Wie führe ich „Datenschutz“ in meinem Unternehmen ein?

…wir wissen genau, was zur Erfüllung der Datenschutzgrundverordnung „DSGVO“ im Unternehmen umgesetzt werden muss! Und wir erklären die Themen so, dass sie jeder einfach verstehen, umsetzen und zukünftig aktualisieren kann.

» Wie definiert man Datenschutz?

Definition gemäß Wörterbuch:
Schutz des Bürgers vor Beeinträchtigungen seiner Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Daten, die seine Person betreffen.

Dies wird oft auch im Zusammenhang mit dem Schutz der Privatsphäre gesehen. Zweck und Ziel im Datenschutz ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht. 

Erstmals wurde das Bundesdatenschutzgesetz 1977 in Kraft gesetzt. Dieses konzentrierte sich jedoch nur auf die öffentliche Bundesverwaltung. Später befasste sich der Staat näher mit dem Datenschutz für Privatpersonen. Dies ergab sich aus der Situation, als sich zahlreiche Bürger weigerten, all ihre Daten im Rahmen von Volkszählungen preis zu geben. So kam es zur teilweisen Aufhebung des sogenannten Volkszählungsgesetzes und der Begriff „informationelle Selbstbestimmung“ wurde seither stark geprägt.

⇑   Zurück nach oben

» Was genau ist Datenschutz?

Datenschutz ist in Deutschland ein Grundrecht, welches dazu dient, die Privatsphäre von Personen und deren personenbezogene Daten vor Missbrauch oder Zugriff durch Unbefugte zu schützen. Dadurch will der Gesetzgeber das Grundrecht aller Personen auf informationelle Selbstbestimmung gewährleisten. Mit Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) soll sichergestellt werden, dass jeder selbst darüber entscheiden kann und darf, welche Daten er wann, wem und zu welchem Verwendungszweck preisgibt.

Datenschutz ist zudem ein Sammelbegriff für alle Gesetze, Vorschriften und Richtlinien, die eingehalten und befolgt werden müssen, um Einzelpersonen und deren Daten vor unerlaubtem Zugriff zu schützen.

⇑   Zurück nach oben

» Seit wann gibt es Datenschutz?

Erstmals wurde das Bundesdatenschutzgesetz 1977 in Kraft gesetzt. Dieses konzentrierte sich jedoch nur auf die öffentliche Bundesverwaltung. Später befasste sich der Staat näher mit dem Datenschutz für Privatpersonen. Dies ergab sich aus der Situation, als sich zahlreiche Bürger weigerten, all ihre Daten im Rahmen von Volkszählungen preis zu geben. So kam es zur teilweisen Aufhebung des sogenannten Volkszählungsgesetzes und der Begriff „informationelle Selbstbestimmung“ wurde seither stark geprägt.

⇑ Zurück nach oben

» Was sind personenbezogene Daten?

Als personenbezogene Daten gelten in Deutschland all jene, die einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. In anderen europäischen Ländern sind auch juristische Personen eingeschlossen (Schweiz oder in Österreich z.B.).

Jeder Mensch ist als Träger bestimmter Rechte und Pflichten eine natürliche Person. Personenbezogene Daten, die der Datenschutz vor Missbrauch schützen soll, sind zum Beispiel:

  • Personalien wie Name, Geburtsort,
  • Geburtsdatum, Nationalität, Familienstand
  • Kontaktdaten wie Anschrift, E-Mail-Adresse, Telefonnummer, IP-Adresse
  • Angaben über Vermögen, Eigentum sowie Schulden und Kredite
  • Behördliche Angaben zu physischen Merkmale wie Haarfarbe, Augenfarbe
  • Kaufverhalten
  • u. v. m.

Neben diesen Datensätzen gibt es in Deutschland jedoch noch besonders schützenswerte personenbezogene Daten, die einem wesentlich strengeren Datenschutz unterliegen:

  1. Gewerkschaftszugehörigkeit
  2. religiöse, philosophische und politische Orientierung
  3. rassische und ethnische Herkunft
  4. psychische und physische Krankheitsbilder
  5. sexuelle Orientierung

Diese letztgenannten Aspekte betreffen den höchstpersönlichen Lebensbereich eines Menschen und sind damit besonders sensibel zu behandeln. Dies greift auch die DSGVO im hohem Maße auf.

⇑ Zurück nach oben

» Was ist der Unterschied zwischen DSGVO und BDSG?

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist unmittelbar geltendes Recht. Sie muss nicht in eigenständiges nationales Recht umgesetzt werden. Sie enthält allerdings an einigen Stellen sogenannte Öffnungsklauseln. Das heißt: Einige Regelungen werden offengehalten. Sie können auf nationaler Ebene konkretisiert werden. Das leistet das BDSG-neu: Es konkretisiert und ergänzt die DSGVO.

Deswegen muss das BDSG-neu immer in Verbindung mit der Datenschutzgrundverordnung betrachtet werden.

Gemeinsam mit der EU-Datenschutzgrundverordnung trat das BDSG-neu am 25.05.2018 in Kraft.

⇑ Zurück nach oben

» Was sind besonders schützenswerte personenbezogene Daten?

Besondere personenbezogene Daten sind:

  • rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeiten
  • Genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

⇑ Zurück nach oben

» Wo ist Datenschutz geregelt?

Datenschutz in Deutschland ist im Bundesdatenschutzgesetz geregelt.

⇑ Zurück nach oben

» Warum ist Datenschutz wichtig?

Damit wir unser Recht auf informelle Selbstbestimmung durchsetzen und auch überprüfen können, ist es grade im digitalen Zeitalter wichtig, Daten zu schützen und hierfür auch entsprechende Regelungen zu haben.

Auch die DSGVO gibt mit ihren Grundsätzen für die Verarbeitung personenbezogener Daten einen wichtigen Rahmen vor.

⇑ Zurück nach oben

» Wer braucht Datenschutz?

Jeder der personenbezogene Daten verarbeitet, speichert oder weitergibt ist verpflichtet die Vorgaben aus der DSGVO und des BDSG einzuhalten. Dies trifft auf Einzelunternehmer genauso zu wie auf Konzerne, Arztpraxen oder Behörden.

⇑ Zurück nach oben

» Was ist ein Datenschutzaudit?

Ein Datenschutzaudit soll aufzeigen, wie gut die Vorschriften der DSGVO im Unternehmen umgesetzt wurden. Ein Audit soll zudem auch Verbesserungspotential aufzeigen. Das Datenschutzaudit sollte in regelmäßigen Abständen durchgeführt werden. Je nach Unternehmensart und Größe kann dies monatlich bis jährlich bedeuten.

⇑ Zurück nach oben

» Was ist die DSGVO?

Die DSGVO harmonisiert seit dem 25. Mai 2018 die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Europa.

Verschiedene Öffnungsklauseln erlauben bzw. verlangen indes länderspezifische Regelungen.

Die DSGVO erlegt Unternehmen umfangreiche Pflichten auf, wie Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit und Umsetzung von Betroffenenrechten. Gleichzeitig stärkt die DSGVO die Verbraucherrechte.

Ein Verstoß gegen die DSGVO kann im schlimmsten Fall mit bis zu 20 Millionen Euro Geldbuße oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert am Ende höher ausfällt) geahndet werden.

⇑ Zurück nach oben

» Wie lange dürfen Daten gespeichert werden?

In der DSGVO gibt es den Grundsatz der Speicherbegrenzung. Dieser sagt aus, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Andere / längere Speicherfristen können zudem durch gesetzliche Vorgaben entstehen.

⇑ Zurück nach oben

» Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter kann als Experte für den Datenschutz, der die Aufgabe hat, in einem Unternehmen die Umsetzung der  Vorgaben der DSGVO sicherzustellen und  Datenschutzverletzungen zu verhindern, gesehen werden. Weiterhin gilt er in Sachen Datenschutz als Vermittler zwischen Unternehmen, Betroffenen und Aufsichtsbehörden.

⇑ Zurück nach oben

» Wer braucht einen Datenschutzbeauftragten?

Die DSGVO gibt gemeinsam mit dem BDSG vor, wer einen Datenschutzbeauftragten braucht. Ein Unternehmen muss einen Datenschutzbeauftragten bestellen wenn mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt sind. Teilzeitkräfte, Aushilfen oder Praktikanten werden dabei voll berücksichtigt. Außerdem muss ein Datenschutzbeauftragter bestellt werden, wenn die Art der Datenverarbeitung eine Folgeabschätzung verlangt oder  wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

⇑ Zurück nach oben

» Wer ist für Datenschutz verantwortlich?

Die Verantwortung für den Datenschutz im Unternehmen trägt der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemeine Manager. Bei Einzelunternehmen dann entsprechend der Unternehme.

⇑ Zurück nach oben

» Was ist ein Verzeichnis der Verarbeitungstätigkeiten?

Das so genannte Verzeichnis von Verarbeitungstätigkeiten – früher auch Verfahrensverzeichnis genannt – dokumentiert alle Vorgänge in denen die Verarbeitung von personenbezogenen Daten stattfindet.

⇑ Zurück nach oben

» Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?

Jedes Unternehmen, Vereine und Behörden, welche personenbezogene Daten verarbeiten müssen ein solches Verzeichnis führen.

⇑ Zurück nach oben

» Was ist eine Vertraulichkeitsvereinbarung?

In der üblichen Praxis ist eine Geheimhaltungs- oder Vertraulichkeitsvereinbarung  ein vertragliches Dokument, das zwischen zwei oder mehreren Parteien geschlossen wird und Stillschweigen über Verhandlungen, Verhandlungsergebnisse oder vertrauliche Unterlagen vertraglich festlegt.

⇑ Zurück nach oben

» Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall definiert ein Ereignis, bei dem die Vertraulichkeit und der Schutz personenbezogener Daten verletzt wurde. Dazu gehören u.a. unbefugter Zugriff, unerlaubte Nutzung, unerlaubte Offenlegung, Verlust und unerlaubte Zerstörung von personenbezogenen Daten.

⇑ Zurück nach oben

» Wann ist ein Datenschutzvorfall meldepflichtig?

Grundvoraussetzung für die Notwendigkeit einer Meldung ist in erster Linie, dass überhaupt ein Datenschutzvorfall vorliegt. Er kann sowohl durch vorsätzliche als auch durch unbeabsichtigte Handlungen von internen und externen Personen verursacht werden.
Dazu gehören wie zuvor auch beschrieben unbefugter Zugriff, Nutzung, Offenlegung, Verlust und unbefugte Zerstörung von personenbezogenen Daten.

Beispiele für einen meldepflichtigen Datenschutzvorfall sind:

  • Unrechtmäßige Übermittlung (z.B. Versand einer E-Mail an den falschen Adressaten),
  • Verlust oder Diebstahl von Speichermedien oder Dokumentationen, die personenbezogene Daten enthalten,
  • Datenpannen / Datenlecks (z.B. Softwarefehler, Angriffe auf das IT-System durch Hacking),
  • Versehentliche Änderung oder auch die unbeabsichtigte Löschung personenbezogener Daten.

Hier ist zudem auch abzuwägen, welche Folgen der oben genannten Vorgänge für die betroffene(n) Person(en) entstanden sind.

⇑ Zurück nach oben

» Was ist eine Datenschutz Folgenabschätzung?

Wenn es bei der Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheit der betroffenen Person gibt, muss der Verantwortliche (Der Unternehmer) vorab eine Abschätzung möglicher Folgen der Verarbeitungsvorgänge durchführen.

Die Datenschutz-Folgenabschätzung ist also ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Ihr Ziel besteht darin, Kriterien für den Schutz der betroffenen Personen zu definieren und die Folgen der Datenverarbeitung möglichst umfassend zu erfassen.

⇑ Zurück nach oben

Wir wünschen Dir eine erfolgreiche und inspirierte Zeit…!

Deine Berater für Qualität im Unternehmen
Die Auditoren GmbH | Mercatorstr. 2 | 40545 Düsseldorf
Tel.: +49-211-54556336 | Mail: Info (at) Die-Auditoren.de