DSGVO: Grundlagen für die betriebliche Praxis

0

Die Datenschutz-Grundverordnung, besser bekannt als DSGVO, hat die Landschaft des Datenschutzes in Europa und darüber hinaus grundlegend verändert und stellt Unternehmen auch heute noch vor große Herausforderungen.

In der heutigen digitalen Welt ist der Schutz personenbezogener Daten nicht nur eine rechtliche Verpflichtung, sondern auch ein wichtiger Aspekt, um das Vertrauen von Kund:innen, Mitarbeiter:innen und Partner:innen zu gewinnen und zu erhalten.

Diese Handlungshilfe für die betriebliche Praxis soll als umfassender Leitfaden dienen, um Unternehmen dabei zu unterstützen, die Anforderungen der DSGVO besser zu verstehen und sie in ihre alltäglichen Geschäftsprozesse zu integrieren.

Sie ist darauf ausgerichtet, sowohl datenschutzrechtliche Neulinge als auch erfahrene Praktiker:innen dabei zu unterstützen, datenschutzkonforme Strukturen und Prozesse in ihrem Unternehmen zu schaffen und zu pflegen.
Im ersten Teil dieses Leitfadens werden wir die Grundlagen der DSGVO und die damit verbundenen Rechte und Pflichten erläutern. Dies dient als solides Fundament, um das weitere Vorgehen zu verstehen und die Notwendigkeit datenschutzkonformer Maßnahmen zu erkennen.

Sie erhalten Tipps für die praktische Umsetzung der DSGVO in der betrieblichen Praxis. Wir geben Ihnen konkrete Handlungsempfehlungen, Checklisten und Musterformulare, um die Vorgaben der DSGVO systematisch und effizient umzusetzen.

Von der Datenschutz-Folgenabschätzung über Informationspflichten und Einwilligungen bis hin zu den spezifischen Anforderungen beim Datentransfer, bieten wir Ihnen umfassende Hilfestellung.

Wir möchten Ihnen eine Brücke bauen zwischen den theoretischen Anforderungen der DSGVO und der praktischen Umsetzung im betrieblichen Alltag. Unser Ziel ist es, dass Sie am Ende dieses Leitfadens nicht nur die DSGVO verstehen, sondern auch in der Lage sind, datenschutzkonforme Prozesse in Ihrem Unternehmen zu implementieren und zu pflegen.

Wir freuen uns, Sie auf diesem Weg zu begleiten.

Überblick

Die DSGVO ist ein umfangreiches Gesetz der EU, das die Verarbeitung personenbezogener Daten reguliert.

Artikel 6 DSGVO legt die Rechtsgrundlagen für die Datenverarbeitung fest, einschließlich der Zustimmung und der Notwendigkeit für die Vertragserfüllung.

Personenbezogene Daten sind Informationen, die auf eine identifizierbare Person bezogen werden können.

Artikel 15 DSGVO gewährt Individuen das Recht auf Auskunft über ihre verarbeiteten Daten, während Artikel 17 das „Recht auf Vergessenwerden“ umfasst, also die Löschung von Daten.

Die DSGVO bedeutet für Unternehmen, dass sie konforme Maßnahmen ergreifen müssen, um Datenschutz zu gewährleisten und Bußgelder zu vermeiden.

Die Verordnung ist in allen EU-Mitgliedstaaten direkt anwendbar, was durch die Bezeichnung EU DSGVO verdeutlicht wird. Bei DSGVO-Verstößen können Unternehmen mit erheblichen Strafen rechnen.

Artikel 82 DSGVO regelt den Anspruch auf Schadensersatz für Betroffene.

Unternehmen sind verpflichtet, ein Verfahrensverzeichnis zu führen, wie in Artikel 30 DSGVO gefordert, und bei Datenschutzverletzungen gemäß Artikel 33 DSGVO eine Meldung an die Aufsichtsbehörde zu machen.

Die DSGVO ist auch außerhalb der EU relevant, da sie für alle Unternehmen gilt, die Dienstleistungen in der EU anbieten oder Daten von EU-Bürger:innen verarbeiten.

Für eine umfassende DSGVO-Konformität müssen Unternehmen die Grundsätze nach Artikel 5 beachten, die Transparenz, Zweckbindung, Datenminimierung und Sicherheit umfassen.

Datenschutzbeauftragte spielen eine wichtige Rolle, indem sie die Einhaltung der DSGVO überwachen und als Ansprechpartner:innen für die Datenschutzbehörden fungieren.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten von EU-Bürger:innen regelt. Sie wurde am 25. Mai 2018 wirksam und ersetzt die zuvor geltende Datenschutzrichtlinie von 1995.

Die DSGVO hat mehrere Hauptziele:

  1. Harmonisierung der Datenschutzgesetze in der gesamten EU
    Vor der DSGVO hatten die verschiedenen EU-Mitgliedsstaaten unterschiedliche Datenschutzgesetze, was zu Verwirrung und Inkonsistenzen führte. Die DSGVO hat diese nationalen Gesetze durch eine einzige, einheitliche Regelung ersetzt.
  2. Stärkung der Rechte der Einzelpersonen
    Die DSGVO hat die Rechte der Einzelpersonen in Bezug auf ihre Daten gestärkt. Dazu gehört das Recht auf Zugang zu den eigenen Daten, das Recht auf Berichtigung, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit und das Recht, der Verarbeitung personenbezogener Daten zu widersprechen.
  3. Verschärfung der Anforderungen an Unternehmen und Organisationen
    Die DSGVO stellt hohe Anforderungen an Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Sie müssen sicherstellen, dass sie die Daten sicher und verantwortungsbewusst verarbeiten, und sie müssen in der Lage sein, dies nachzuweisen. Zudem gibt es unter der DSGVO strengere Meldepflichten bei Datenschutzverletzungen

Warum ist die DSGVO wichtig für Ihr Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) ist aus mehreren Gründen von großer Bedeutung für Unternehmen:

  1. Rechtskonformität und Strafen
    Unternehmen, die gegen die DSGVO verstoßen, können mit hohen Geldbußen belegt werden. Diese können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Daher ist es von entscheidender Bedeutung, dass Unternehmen die Vorgaben der DSGVO einhalten, um diese Risiken zu vermeiden.
  2. Vertrauen und Reputation
    Wenn Unternehmen den Datenschutz ernst nehmen und DSGVO-konform arbeiten, fördert dies das Vertrauen ihrer Kund:innen, Geschäftspartner:innen und der Öffentlichkeit. Andererseits kann ein Verstoß gegen Datenschutzbestimmungen erheblichen Schaden für den Ruf eines Unternehmens verursachen.
  3. Wettbewerbsvorteil
    Unternehmen, die den Datenschutz als strategischen Vorteil sehen und transparent mit den Daten ihrer Kund:innen umgehen, können sich positiv von ihren Wettbewerbern abheben.
  4. Datenmanagement
    Die Anforderungen der DSGVO können Unternehmen dazu veranlassen, ihre Datenverarbeitungspraktiken zu überprüfen und zu verbessern. Dies kann dazu führen, dass sie ihre Daten effizienter nutzen und bessere Einblicke in ihre Kund:innen gewinnen.
  5. Internationaler Datentransfer
    Die DSGVO legt auch die Bedingungen fest, unter denen personenbezogene Daten außerhalb der EU übertragen werden können. Für Unternehmen, die international tätig sind oder mit Partner:innen außerhalb der EU zusammenarbeiten, ist es daher wichtig, diese Regelungen zu verstehen und einzuhalten.

Grundlagen der DSGVO

In diesem Beitrag widmen wir uns den Grundlagen der Datenschutz-Grundverordnung (DSGVO), die als zentrales Regelwerk für den Datenschutz in der Europäischen Union gilt. Die DSGVO ist mehr als nur ein juristisches Dokument – sie stellt vielmehr einen entscheidenden Leitfaden dar, um den Schutz und die Verarbeitung personenbezogener Daten zu regeln und zu gewährleisten.

Die Grundlagen der DSGVO zu verstehen, ist der erste Schritt, um sicherzustellen, dass Ihr Unternehmen konform mit den Vorgaben ist. Diese Grundlagen reichen von den grundlegenden Prinzipien und Definitionen der DSGVO bis hin zu den Rechten der betroffenen Personen. Sie bieten ein solides Fundament für alle weiteren Aspekte und Maßnahmen, die im Kontext der DSGVO relevant sind.

Im ersten Teil dieses Kapitels werden wir uns die wichtigsten Prinzipien der DSGVO ansehen, da-runter die Prinzipien der Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung und der Datenminimierung. Anschließend werden wir auf die Definition von personenbezogenen Daten und speziellen Kategorien von Daten eingehen und erklären, was unter Datenverarbeitung zu verstehen ist.

Ein weiterer wichtiger Aspekt sind die Rechte der betroffenen Personen, die durch die DSGVO gestärkt wurden. Dies beinhaltet das Recht auf Auskunft, Berichtigung, Löschung (auch bekannt als „Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und das Recht, der Verarbeitung zu widersprechen.

Durch das Verständnis und die Anwendung dieser Grundlagen kann Ihr Unternehmen sicherstellen, dass es den Anforderungen der DSGVO gerecht wird und sowohl die Privatsphäre der betroffenen Personen schützt als auch die eigenen Geschäftsprozesse rechtssicher gestaltet.

Grundprinzipien der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) basiert auf einer Reihe von Grundprinzipien, die den Umgang mit personenbezogenen Daten leiten. Diese Prinzipien sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben
    Personenbezogene Daten müssen auf rechtmäßige, faire und transparente Weise verarbeitet werden. Dies bedeutet, dass Unternehmen eine gültige Rechtsgrundlage für die Verarbeitung von Daten haben müssen und transparent gegenüber den betroffenen Personen sein müssen.
  • Zweckbindung
    Personenbezogene Daten dürfen nur für festgelegte, ausdrückliche und legitime Zwecke erhoben werden. Eine Verarbeitung, die mit diesen Zwecken nicht vereinbar ist, ist grundsätzlich unzulässig.
  • Datenminimierung
    Es sollten nur so viele Daten erhoben und verarbeitet werden, wie unbedingt notwendig sind. Daten, die nicht notwendig sind, sollten nicht erhoben oder sofort gelöscht werden.
  • Richtigkeit
    Personenbezogene Daten sollten korrekt und aktuell sein. Unternehmen sind dazu ver-pflichtet, unrichtige Daten unverzüglich zu löschen oder zu berichtigen.
  • Speicherbegrenzung
    Personenbezogene Daten sollten nicht länger als notwendig aufbewahrt werden. Sobald die Daten für den ursprünglichen Zweck nicht mehr benötigt werden, sollten sie gelöscht oder anonymisiert werden.
  • Integrität und Vertraulichkeit
    Personenbezogene Daten sollten sicher verarbeitet werden. Dies umfasst sowohl die technische Sicherheit (z.B. gegen Hackerangriffe) als auch die organisatorische Sicherheit (z.B. Zugangskontrollen).
  • Rechenschaftspflicht
    Unternehmen müssen nachweisen können, dass sie diese Prinzipien einhalten. Dies bedeutet, dass sie Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen und geeignete Sicherheitsmaßnahmen implementieren müssen.

Personenbezogene Daten

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.

Eine natürliche Person wird als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Das bedeutet, dass Daten, die dazu verwendet werden können, eine Person zu identifizieren, als personenbezogene Daten gelten. Dies kann ein Name, eine Adresse, eine Telefonnummer, eine E-Mail-Adresse, eine Sozialversicherungsnummer, eine IP-Adresse oder sogar ein Cookie auf einem Computer sein, sofern diese Informationen auf eine bestimmte Person verweisen können.

Es ist wichtig zu beachten, dass auch Daten, die zunächst nicht direkt einer Person zugeordnet werden können, personenbezogen werden können, wenn sie mit anderen Daten kombiniert, werden. Beispielsweise könnte eine Kombination aus Postleitzahl, Geburtsdatum und Geschlecht ausreichen, um eine Person zu identifizieren.

Besondere Kategorien personenbezogener Daten (früher als „sensible Daten“ bezeichnet) umfassen Informationen wie Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen und genetische Daten. Diese Daten genießen unter der DSGVO einen besonderen Schutz und dürfen nur unter bestimmten Bedingungen verarbeitet werden.

Rechte der betroffenen Personen

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten erheblich.
Die wichtigsten Rechte sind:

  • Recht auf Auskunft
    Betroffene Personen haben das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen, etwa zu den Verarbeitungszwecken, den Kategorien der verarbeiteten personenbezogenen Daten und der geplanten Speicherdauer.
  • Recht auf Berichtigung
    Betroffene Personen haben das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
  • Recht auf Löschung („Recht auf Vergessenwerden“)
    Unter bestimmten Umständen haben Betroffene das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht wer-den. Dies ist zum Beispiel der Fall, wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
  • Recht auf Einschränkung der Verarbeitung
    Betroffene Personen haben das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn etwa die Richtigkeit der Daten von ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist, sie aber die Löschung der Daten ablehnen.
  • Recht auf Datenübertragbarkeit
    Betroffene Personen haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
  • Widerspruchsrecht
    Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Interessenabwägung oder im öffentlichen Interesse erfolgt, Wider-spruch einzulegen.
  • Automatisierte Entscheidungen einschließlich Profiling
    Betroffene Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich, aufgrund von Rechtsvorschriften zulässig oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
  • Recht auf Beschwerde bei einer Aufsichtsbehörde
    Betroffene Personen haben das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Teilen Sie den Beitrag auf:

Über den:die Autor:in

Jens Kränke

Unternehmensberater für die Bereiche Datenschutz, Datensicherheit und Revision für groß- und mittelständische Unternehmen sowie öffentlicher Stellen.

Zur Themenübersicht Recht und Datenschutz