Image

DSGVO & Datenschutz: Antworten auf die wichtigsten Fragen

Die DSGVO und das BDSG machen zahlreiche Vorgaben für den Datenschutz im Unternehmen. Diese müssen personenbezogene Daten vor unerlaubter Erhebung, Verarbeitung, Speicherung und Weitergabe schützen. Dabei helfen verschiedene Maßnahmen wie Verarbeitungsverzeichnis, TOM, AVV und eine Folgenabschätzung.

  • advomare
  • 04.07.2023
  • Zuletzt aktualisiert am: 22.02.2024

Das Wichtigste auf einen Blick

  • Unternehmen müssen personenbezogene Daten vor unerlaubter Verarbeitung schützen.
  • Alle wichtigen Vorgaben zum Schutz personenbezogener Daten regeln DSGVO und BDSG.
  • Dazu gehören u. a. Verarbeitungsverzeichnis, TOM, AVV und eine Folgenabschätzung.
  • Für die Umsetzung im Unternehmen sind Geschäftsführung oder Vorstand verantwortlich.
  • Ein Datenschutzbeauftragter ist zu bestellen, sobald mindestens 20 Personen mit der automatisierten Verarbeitung von Daten beschäftigt sind.


Sie brauchen Unterstützung im Datenschutzrecht? 

Ob Verarbeitungsverzeichnis, AVV, TOM oder Folgenabschätzung: Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle gesetzlichen Vorgaben, wichtige Maßnahmen und Kosten.

Jetzt Anliegen beschreiben



YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

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

1. Was ist Datenschutz?

Mit Datenschutz ist der Schutz personenbezogener Daten vor unerlaubter Erhebung, Verarbeitung und Weitergabe sowie das Recht auf informelle Selbstbestimmung von Menschen gemeint. 

Der Schutz personenbezogener Daten wird in Deutschland durch die europaweit gültige Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) verbindlich geregelt.

  • DSGVO: Sie stellt Regeln für den Umgang mit personenbezogenen Daten auf und enthält zahlreiche Vorgaben dazu, wie diese Daten von Unternehmen nicht, teilweise oder voll automatisiert zu verarbeiten sind.
  • BDSG: Sie regelt den Umgang mit personenbezogenen Daten in Deutschland und konkretisiert bzw. ergänzt die DSGVO dort, wo einzelne Regelungen den einzelnen EU-Mitgliedsstaaten überlassen sind.


Was fällt alles unter den Datenschutz?

Unter den Datenschutz fallen alle personenbezogenen Daten von Menschen. Dabei ist egal, ob die Daten manuell oder automatisiert verarbeitet und wie sie gespeichert werden. Wer personenbezogene Daten erhebt, verarbeitet oder speichert, muss die Vorgaben von DSGVO und BDSG umsetzen.

Deswegen sind Daten, mit denen sich eine Person identifizieren lässt, u. a. vor unerlaubter Erhebung, Verarbeitung oder Weitergabe zu schützen:

  • Vor- & Nachname
  • Adresse
  • E-Mail & Telefonnummer
  • Geschlecht
  • Beruf
  • Familienstand
  • Kinder
  • Ethnie
  • Weltanschauung
  • Religion 
  • Gesundheitszustand
  • Sexualität


Was bedeutet Datenschutz für Privatpersonen?

Durch die DSGVO und das BDSG sind die personenbezogenen Daten von Privatpersonen vor Datenmissbrauch geschützt. Zudem können Privatpersonen kontrollieren, welche ihrer Daten wie gespeichert, verarbeitet oder weitergegeben werden.

Deswegen sind damit u. a. diese Rechte für Privatpersonen verbunden:

  • Sie müssen vorab eine Information darüber erhalten, welche ihrer Daten zu welchem Zweck und wie lange gespeichert werden – und ihr Einverständnis dazu erteilen (Art. 6 DSGVO). 
  • Sie dürfen Auskunft darüber verlangen, welche personenbezogenen Daten zu welchen Zwecken gespeichert und genutzt werden (Art. 15 DSGVO).
  • Sie dürfen die Korrektur falscher oder veralteter Daten verlangen (Art. 16 DSGVO).
  • Sie dürfen die Löschung ihrer Daten verlangen, wenn diese nicht für z. B. die Erfüllung gesetzlicher Aufbewahrungsfristen oder der Vertragsabwicklung gespeichert werden müssen (Art. 17 DSGVO).
  • Sie sind darüber in Kenntnis zu setzen, wenn die Sicherheit ihrer Daten durch einen Verstoß, ein Datenleck oder einen Hackerangriff bedroht ist (Art. 34 DSGVO).


2. Was ist die DSGVO einfach erklärt?

Die DSGVO regelt den Schutz personenbezogener Daten in der EU, um Personen bei der Verarbeitung ihrer Daten zu schützen und den freien Datenverkehr sicherzustellen.

Deswegen enthält die DSGVO zahlreiche Bestimmungen zur Erhebung, Verarbeitung und Speicherung personenbezogener Daten durch private Unternehmen und öffentliche Stellen


Wann und für wen gilt die DSGVO?

Die Vorgaben der DSGVO sind umzusetzen, sobald personenbezogene Daten von Dritten erhoben, verarbeitet oder gespeichert werden. Deswegen sind die Vorgaben zum Datenschutz in der Arztpraxis, in Unternehmen, von Behörden und Vereinen umzusetzen. 

Auch wenn ein Unternehmen seinen Sitz nicht in der EU hat, gilt die DSGVO, wenn es eine oder mehrere Niederlassungen in der EU hat oder personenbezogene Daten von EU-Bürgern verarbeitet.

Wann gilt die DSGVO für Privatpersonen?

Bei der Verarbeitung von personenbezogenen Daten im privaten oder familiären Kontext gilt die DSGVO nicht. Sobald die Datenverarbeitung aber darüber hinausgeht, gilt dieses Haushaltsprivileg nicht und auch Privatpersonen müssen die gesetzlichen Vorgaben umsetzen.

Das Haushaltsprivileg ist sehr eng auszulegen. Der EuGH hat in seiner Buivids-Entscheidung (C-345/17) 2019 festgestellt, dass dazu nur Tätigkeiten zu zählen seien, die dem Privat- oder Familienleben zuzurechnen sind.

Werden personenbezogene Daten wie Kontaktdaten oder Fotos durch eine Veröffentlichung im Internet einer unbegrenzten Anzahl von Personen zugänglich gemacht, greift das Haushaltsprivileg für Privatpersonen nicht mehr – diese haben dann die DSGVO umzusetzen.

Rechtsanwalt Martin Jedwillat



Wem gilt der Schutz der DSGVO?

Die DSGVO schützt natürliche Personen und die personenbezogenen Daten von natürlichen Personen vor unerlaubter Erhebung, Verarbeitung, Speicherung und Weitergabe. Unternehmen und Unternehmensdaten sind von diesem Schutz ausgeschlossen.

Welche Daten fallen unter die DSGVO?

Unter die DSGVO fallen alle personenbezogenen Daten, durch die sich Personen identifizieren lassen. Dazu zählen alle Informationen, die Rückschlüsse auf physische, psychische, genetische, wirtschaftliche, kulturelle oder soziale Eigenschaften einer Person zulassen.

Folgende Daten fallen daher u. a. unter die DSGVO:

  • Name
  • Telefonnummer
  • Adresse
  • Mailadresse
  • Kfz-Kennzeichen
  • Personalausweisnummer
  • Kreditkartennummer
  • Standortdaten
  • Kennnummern
  • Online-Kennnummern
  • Aussehen



3. Was bedeutet Datenschutz im Unternehmen?

Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen umfangreiche Maßnahmen zum Datenschutz im Unternehmen ergreifen. Daneben ist den Betroffenen dieser Datenverarbeitung eine Kontrolle über ihre Daten zu gewährleisten.

Die Maßnahmen zu diesem Schutz personenbezogener Daten im Unternehmen sind in DSGVO und BDSG geregelt. Die Einhaltung dieser Vorgaben ist bei einer Überprüfung durch die zuständige Aufsichtsbehörde nachzuweisen

Bußgelder, Geld- und Freiheitsstrafen drohen, wenn diese Vorgaben nicht, unzureichend oder fehlerhaft umgesetzt werden.



Welche datenschutzrechtlichen Pflichten hat ein Unternehmen?

Folgende datenschutzrechtliche Pflichten haben Unternehmen u. a.:

  • Die umfangreichen Rechte von Betroffenen einer Datenverarbeitung (Auskunft, Löschung, Berichtigung usw.) sind sicherzustellen.
  • Für die Arbeit mit personenbezogenen Daten müssen sich Mitarbeiter auf das Datengeheimnis verpflichten.
  • Personenbezogene Daten sind vor unbefugtem Zugriff und Datenmissbrauch zu schützen.
  • Die Übermittlung personenbezogener Daten darf nur über eine Zweckbindung an befugte Stellen erfolgen.
  • Die Daten von Mitarbeitern dürfen nur dann erhoben oder verarbeitet werden, wenn sie für ein neues Beschäftigungsverhältnis oder die Beendigung der Tätigkeit notwendig sind.
  • Personenbezogene Daten dürfen zu kommerziellen Zwecken nur eingesetzt werden, wenn der Betroffene vorher seine Zustimmung erteilt hat.


Ein Datenschutzbeauftragter ist zudem von einem Unternehmen zu benennen, wenn laut Art. 37 Abs. 1 lit c DSGVO eine umfangreiche Verarbeitung von personenbezogenen Daten erfolgt oder laut § 38 Abs. 1 BDSG mindestens 20 Personen personenbezogene Daten z. B. Kunden verarbeiten.

Wer ist verantwortlich für den Datenschutz im Unternehmen?

Für den Datenschutz im Unternehmen verantwortlich ist der für das Unternehmen Vertretungsberechtigte. Das ist in der Regel die Geschäftsführung oder der Vorstand.

Auch wenn das Unternehmen einen Datenschutzbeauftragten bestellen musste oder freiwillig bestellt hat, bleibt die korrekte Umsetzung der DSGVO Aufgabe von Geschäftsführung oder Vorstand. Er kontrolliert nur, ob alle Vorgaben korrekt umgesetzt werden.



Wer kontrolliert den Datenschutz im Unternehmen?

Die Einhaltung des Datenschutzes im Unternehmen wird vom internen Datenschutzbeauftragten und der zuständigen Aufsichtsbehörde kontrolliert. Das sind der Bundesbeauftragte für den Datenschutz, die Datenschutzbeauftragten der Bundesländer und die Bundesnetzagentur.


4. Was muss man beachten beim Datenschutz? I Checkliste

Um den Schutz personenbezogener Daten und alle wichtigen Vorgaben von DSGVO und BDSG umzusetzen, können u. a. folgende Maßnahmen helfen:

Maßnahmen: 1) Datenschutzkonzept 2) Verarbeitungsverzeichnis 3) TOM 4) Auftragsdatenverarbeitung 5) Folgenabschätzung 6) Webseite 7) Homeoffice regeln 8) Mitarbeiter informieren 9) Datenschutzverletzungen melden 10) Datenschutzbeauftragter
So gewährleisten Sie den Datenschutz im Unternehmen







1. Datenschutzkonzept erarbeiten

In einem Datenschutzkonzept wird der Schutz personenbezogener Daten zusammengefasst. Dazu gehören u. a. folgende Informationen:

  • Ziele
  • Zuständigkeiten
  • Dokumentationspflichten
  • Beschreibung der personenbezogenen Daten
  • Angabe ihrer Zweckbindung
  • Verantwortliche Stelle
  • Gewährleistung der Betroffenenrechte
  • Technisch-organisatorische Maßnahmen (TOM)



2. Verarbeitungsverzeichnis erstellen

Alle Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verarbeitungsverzeichnis zu dokumentieren. Dieses Verzeichnis ist fortlaufend zu aktualisieren und Behörden auf Nachfrage vorzulegen.

Folgende Angaben sind im Verarbeitungsverzeichnis zu machen:

  • Verarbeitungstätigkeit
  • Verarbeitungszweck
  • Rechtsgrundlage
  • Datum der erstmaligen Verarbeitung
  • Weitergaben
  • Transfers in Drittländer
  • Löschfrist
  • Verarbeitung besonderer Kategorien
  • Betroffene Personen bzw. Personengruppe
  • Ansprechpartner
  • Datenschutzbeauftragter
  • Zugriffsberechtigte
  • TOM
  • ggf. Ergebnis einer Folgenabschätzung



3. Technisch-organisatorische Maßnahmen (TOM) umsetzen

Technische und organisatorische Maßnahmen (TOM) helfen bei der Umsetzung der datenschutzrechtlichen Vorgaben. Alle Maßnahmen sind in einem TOM-Verzeichnis zu dokumentieren.

Diese TOM stellen den Schutz personenbezogener Daten im Unternehmen sicher:

  • Der Zugang zu personenbezogenen Daten ist beschränkt.
  • Die Daten sind durch z. B. ein sicheres Passwort vor Fremdzugriff geschützt.
  • Sie sind pseudonymisiert – eine Buchstaben- oder Zahlenkombination ersetzt z. B. Name oder Adresse.
  • Die personenbezogenen Daten sind korrekt und aktuell – alle Änderungen sind zu dokumentieren.
  • Die Daten sind auch bei technischen Problemen oder einem Stromausfall verfügbar und zugänglich.
  • Sie lassen sich nach unbeabsichtigter oder unbefugter Löschung wiederherstellen.
  • Der Schutz vor Unfällen oder Eindringlingen ist durch die kontinuierliche Überprüfung und Aktualisierung von Systemen oder Programmen sichergestellt.
  • Die TOM werden regelmäßig auf ihre Funktionsfähigkeit und Effektivität geprüft.



4. Auftragsdatenverarbeitung regeln

Ein DSGVO-konformer Auftragsverarbeitungsvertrag (AVV) ist notwendig, wenn personenbezogene Daten von Drittanbietern verarbeitet werden. Er hat meist folgende Inhalte:

  • Gegenstand, Dauer & Vergütung
  • Verarbeitete Daten-Kategorien & betroffene Personenkategorien
  • Verlängerung & Kündigung
  • Verantwortlichkeiten & Weisungsbefugnis
  • Gesetzliche Pflichten
  • Mitteilungs- & Mitwirkungspflichten 
  • Berichtigung, Löschung & Sperrung von Daten
  • TOM zur Gewährleistung der Datensicherheit
  • Regelungen zu Subunternehmern



5. Folgenabschätzung vornehmen

In einer Folgenabschätzung sind alle Risiken für den Schutz von personenbezogenen Daten zu benennen und zu erläutern. Daneben müssen Maßnahmen beschrieben werden, mit denen sich diese Risiken verhindern lassen. 



6. Webseite DSGVO-konform gestalten

Um den Schutz personenbezogener Daten auch auf der Webseite sicherzustellen, ist diese mit einer TSL/SSL-Verschlüsselung zu versehen. Dies betrifft auch ein Kontaktformular oder die Terminbuchung.

Zudem ist den Nutzern eine Datenschutzerklärung auf der Webseite zur Verfügung zu stellen. Diese muss laut Art. 13 DSGVO leicht zugänglich, übersichtlich und verständlich sein und folgende Inhalte haben:

  • Seitenbetreiber
  • Datenschutzbeauftragter
  • Überblick über verarbeiteten Daten
  • Zwecke & Rechtsgrundlage für die Datenverarbeitung 
  • Benennung des berechtigten Interesses der Verarbeitung
  • Datenempfänger & Empfängerkategorien
  • Übertragungen in Drittländer
  • Speicherdauer
  • Benennung von Betroffenenrechten
  • Automatisierte Entscheidungsfindung



7. Homeoffice regeln

Die DSGVO gilt auch für die Arbeit von zuhause – deswegen ist auch im Homeoffice Datenschutz zu gewährleisten. Hierfür bieten sich diese Maßnahmen an:

  • Zugang zu Daten beschränken
  • Dokumente sicher aufbewahren
  • Bildschirm und Laptop vor Dritten schützen
  • Daten regelmäßig sichern
  • Betriebssystem, Software und Apps regelmäßig aktualisieren
  • Antiviren-Software und Passwort-Manager benutzen
  • Dokumente nur mit Schredder oder im Büro entsorgen



8. Mitarbeiter informieren

Mitarbeiter müssen über alle Regeln und Vorgaben für den Schutz personenbezogener Daten belehrt werden. Außerdem sind diese zu verschriftlichen und von allen Mitarbeitern zu unterschreiben.

Darüber hinaus müssen die Mitarbeiter in regelmäßigen Schulungen über die Regeln, Vorgaben und Risiken des Schutzes personenbezogener Daten im Unternehmen aufgeklärt werden und fester Ansprechpartner für ihre Fragen zur Verfügung stehen.



9. Datenschutzverletzungen melden

Ein DSGVO Verstoß ist innerhalb von 24 Stunden bei der zuständigen Aufsichtsbehörde zu melden, wenn dadurch ein Risiko für den Betroffenen besteht. Liegen zu diesem Zeitpunkt noch nicht alle dafür notwendigen Informationen vor, dürfen diese innerhalb von 72 Stunden nachgereicht werden. 

Stellt die Datenschutzverletzung ein besonders hohes Risiko für die Betroffenen dar, sind auch diese zu informieren.



10. Datenschutzbeauftragten bestellen

Ein Datenschutzbeauftragter schult und berät Geschäftsführung, Mitarbeiter und Auftragsdatenverarbeiter zum Schutz personenbezogener Daten im Unternehmen oder in Behörden. Daneben überwacht er die diesbezüglichen Maßnahmennd die Einhaltung der DSGVO. 

In den folgenden Fällen sind Unternehmen gesetzlich zur Bestellung verpflichtet:

  • Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
  • Für die Verarbeitungstätigkeiten ist eine Folgenabschätzung vorgeschrieben.
  • Personenbezogene Daten werden zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet.
  • Das Unternehmen überwacht regelmäßig, umfangreich und systematisch Personen.
  • Es werden besondere Kategorien von Daten wie u. a. genetische, biometrische oder ethnische Daten umfangreich verarbeitet.



Wer über die notwendigen Fachkenntnisse verfügt, darf als Datenschutzbeauftragter eingesetzt werden – dies können Mitarbeiter oder externe Personen sein. Wann diese Eignung genau vorliegt, dazu macht die DSGVO keine Angaben. Allerdings kann eine Zertifizierung durch u. a. TÜV und IHK sinnvoll sein.

Einen darauf spezialisierten Rechtsanwalt als Datenschutzbeauftragten zu berufen, hat gleich mehrere Vorteile: Er stellt nicht nur sicher, dass Sie alle erforderlichen Maßnahmen zum Schutz personenbezogener Daten umsetzen, sondern er kann Sie auch umfassend zu allen rechtlichen Problemstellungen beraten, Beschwerden bearbeiten, behördliche Prüfungen begleiten und vor Behörden oder Gerichten vertreten.

Rechtsanwalt Martin Jedwillat



5. Wie hilft advomare Unternehmen beim Datenschutz?

Um die gesetzlichen Vorgaben zum Datenschutz im Unternehmen umzusetzen und DSGVO-Verstößen vorzubeugen, unterstützen wir Unternehmen mit unserer Expertise bei der Erstellung einer wirksamen und effektiven Strategie mit allen notwendigen Maßnahmen und Aufgaben. 

Weil wir bereits eine Vielzahl an behördlichen und gerichtlichen Datenschutzverfahren begleitet haben, wissen wir, dass bei der Bearbeitung von Beschwerden oder behördlichen Verfahren leicht kostspielige Fehler passieren können.

Wir helfen Ihnen dabei, auf eine Beschwerde oder einen Verstoß schnell und effektiv zu reagieren – und damit den Schaden zu begrenzen. Außerdem übernehmen wir Ihre Vertretung vor Behörden oder Gerichten und versuchen, auf Grundlage einer stichhaltigen Stellungnahme die Einstellung des Verfahrens zu erreichen.

Wir sind auch Ihr anspruchsvoller Ansprechpartner, wenn Sie einen externen Datenschutzbeauftragten bestellen möchten oder müssen.

Sie brauchen Unterstützung im Datenschutzrecht? 

Ob Verarbeitungsverzeichnis, AVV, TOM oder Folgenabschätzung: Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle gesetzlichen Vorgaben, wichtige Maßnahmen und Kosten.

Jetzt Anliegen beschreiben


6. FAQ: häufigste Fragen zu DSGVO & Datenschutz im Unternehmen


Was bedeutet Datenschutz im Unternehmen?

Datenschutz im Unternehmen bedeutet Schutz personenbezogener Daten wie Name, Geschlecht, Familienstand, Gesundheitszustand und Sexualität vor unerlaubter Erhebung, Verarbeitung und Weitergabe sowie das Recht auf informelle Selbstbestimmung von Betroffenen.


Warum ist Datenschutz wichtig für Unternehmen?

Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten einhalten. Dadurch vermeiden sie Abmahnungen von Wettbewerbern, Bußgelder, Geld- und Freiheitsstrafen.


Was ist die europäische Datenschutz-Grundverordnung?

Die europäische Datenschutz-Grundverordnung (DSGVO) regelt und vereinheitlicht den Schutz personenbezogener Daten in der Europäischen Union. Sie enthält zahlreiche Bestimmungen zur Erhebung. Verarbeitung und Speicherung personenbezogener Daten natürlicher Personen durch natürliche Personen, Unternehmen oder Organisationen in der EU.


Welche Unternehmen müssen die DSGVO umsetzen?

Jedes Unternehmen muss die DSGVO unabhängig von seiner Größe oder seinem Jahresumsatz umsetzen, wenn es personenbezogene Daten von EU-Bürgern erhebt, verarbeitet oder speichert. 

Auch wenn das Unternehmen seinen Sitz nicht in der EU hat, ist die DSGVO umzusetzen, wenn es eine oder mehrere Niederlassungen in der EU hat oder personenbezogene Daten von EU-Bürgern verarbeitet.


Was sind die wichtigsten Regeln des Datenschutzes?

Die wichtigsten Regeln für den Schutz personenbezogener Daten sind:

– Betroffenenrechte sicherstellen
– Mitarbeiter auf das Datengeheimnis verpflichten
– Daten vor unbefugtem Zugriff und Datenmissbrauch schützen.
– Personenbezogene Daten nur mit Zweckbindung an befugte Stellen übermitteln
– Daten nur nach Zustimmung kommerziell nutzen

(Bild: wladimir1804 – stock.adobe.com)

Ähnliche Beiträge