Basiswissen zum Thema Datenschutz

Starten Sie damit, Grundkenntnisse aufzubauen

Auf den Datenschutz in Ihrem Unternehmen angesprochen, machen Sie große Augen? Oder Sie sagen: „Einen Augenblick bitte, ich bekomme gerade einen dringenden Anruf...“ und schon sind Sie dem unangenehmen Thema entflohen? Oder Sie haben sich schon gefragt, warum manche vom Cookie-Setzen statt Kekse-Essen sprechen?

Solchen Situationen lässt sich leicht mit ein paar Grundkenntnissen im Datenschutzrecht begegnen. Informieren Sie sich hier in unserem Basiswissen über die wichtigen Aspekte des Datenschutzes. Erkennen Sie damit Datenschutzthemen in Ihrem Unternehmen frühzeitig. Setzen Sie dann am besten die Themen in Ihrem Unternehmen mit unserer Schritt-für-Schritt-Anleitung um.

Unterhalb der folgenden Basisthemen finden Sie eine kurze FAQ-Liste mit den wichtigsten Fragen vorab.

Organisation und Umfeld

Bringen Sie Ihr Unternehmen in Stellung. Eine sortierte Unternehmensorganisation ist schon die halbe Miete.

Datenschutz­beauftragter

Ist der Datenschutzbeauftragte das Schweizer Taschenmesser, um all Ihre Aufgaben rund um den Datenschutz abzuarbeiten? Muss eigentlich jedes Unternehmen einen Datenschutzbeauftragten beschäftigen?

Grundsätze der Daten­verarbeitung

Die DSGVO gibt Grundsätze vor, die zu befolgen und gegebenenfalls auch nachzuweisen sind.

Verarbeitungs­verzeichnis

Das Verarbeitungsverzeichnis steht im Mittelpunkt Ihrer Organisation des Datenschutzes und ist eine Pflichtaufgabe für jeden Verantwortlichen.

Recht­mäßig­keit

Sind Sie darauf vorbereitet, die Verarbeitung von personenbezogenen Daten zu rechtfertigen?

Zweck­bindung

Wenn Sie personenbezogene Daten verarbeiten, dann muss klar sein, wofür die Datenverarbeitung dient.

Informations­pflichten

Für die einen sind es die Informationspflichten, für die anderen sind es die Datenschutzhinweise. In beiden Fällen soll Transparenz durch Informationen hergestellt werden.

Risiko­betrachtung

Wer Risiken kennt, kann Risiken akzeptieren, mindern oder auch ganz verhindern.

Daten­sicherheit

Die Sicherheit der Verarbeitung soll durch festgelegte Maßnahmen gewährleistet werden.

Betroffenen­rechte

Machen Sie es den betroffenen Personen möglichst einfach, ihre Rechte aus der DSGVO zu kennen und wahrnehmen zu können.

Datenschutz­vorfall

Was ist das und was ist im Falle einer Datenpanne zu tun?

Löschen

Informieren Sie sich darüber, warum Daten zu löschen sind, welche Aufbewahrungsfristen gelten und wie Sie die Löschung umsetzen können. 

Privacy by design & default

Privacy by Design = Datenschutz durch Technikgestaltung und Privacy by Default = datenschutzfreundliche Voreinstellungen

Kurze FAQ – die häufigsten Fragen zu Beginn

Was sind „personenbezogene Daten“?

Definition

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Beispiele

  • Stammdaten: Vorname, Nachname, Adresse, Geburtsdatum
  • Kontaktdaten: Telefonnummer, E-Mail-Adresse
  • Allgemeine Personendaten: Vorname, Nachname, Titel, Alter, Jobbezeichnung, Foto, Familienstand, Hobby, Adresse, Telefonnummer, E-Mail-Adresse
  • Online-Daten: Geräte-Identifikationsdaten, IP-Adresse, Meta-Daten, Verbindungsdaten, Protokoll- und Logdaten, Inhaltsdaten (Chats)
  • ID-Kenn-Nummern: KFZ-Zeichen, Identifizierungsnummern wie Steuernummer, Personalausweisnummer, Matrikel-Nummer, Sozialversicherungsnummer
  • Gesundheitsdaten: Diagnosen, Arzttermine
  • Ort und Zeit: Standortdaten/Geolokation, Zeitdaten, Termindaten, Kursdaten
  • Bank-, Finanzdaten, Vermögensdaten: Gehaltsdaten, Bankdaten, Kontoauszüge, Schulden, Insolvenz, Grundbucheintrag, KFZ-Briefe
  • Physische Daten: Statur, Geschlecht, Augenfarbe, Größe, Gewicht
  • Werturteile: Bewerbungen, Zeugnisse, Berichte, Zertifikate, Qualifikationen
  • Strafrechtliche Daten: Strafrechtliche Verurteilungen und Straftaten, Führungszeugnisse mit Eintrag

Was sind „besondere Kategorien von personenbezogenen Daten“?

Definition

„Besondere Kategorien von personenbezogenen Daten“ sind Daten, aus denen

  • die ethnische Herkunft, 
  • politische Meinungen, 
  • religiöse oder weltanschauliche Überzeugungen oder 
  • die Gewerkschaftszugehörigkeit hervorgeht, 

sowie die Verarbeitung von 

  • genetischen Daten, 
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, 
  • Gesundheitsdaten oder 
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

ACHTUNG

Die Verarbeitung dieser Kategorien ist untersagt. Wenn Sie diese Kategorie verarbeiten wollen, benötigen Sie neben der Rechtsgrundlage aus Art. 6 DSGVO zusätzlich einen Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO.

Was ist überhaupt eine Verarbeitung?

„Verarbeitung“ – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche ausgeführte Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

  • das Erheben, 
  • das Erfassen, 
  • die Organisation, 
  • das Ordnen, 
  • die Speicherung, 
  • die Anpassung oder Veränderung, 
  • das Auslesen, 
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung, 
  • die Verbreitung oder eine andere Form der Bereitstellung, 
  • den Abgleich oder die Verknüpfung, 
  • die Einschränkung, 
  • das Löschen oder 
  • die Vernichtung.

Dabei ist es egal, ob die Verarbeitung nur teilweise oder ganz automatisiert stattfindet.

Auch wenn es sich um eine nicht-automatisierte Verarbeitung handelt, müssen Sie die Vorgaben der DSGVO einhalten, wenn diese Daten in einem Dateiensystem gespeichert sind oder gespeichert werden sollen. Dieser Zusatz im Art. 2 Abs. 1 DSGVO soll sicherstellen, dass auch analoge Dateien (wie z. B. Aktenordner oder nicht digitalisierte Archive) von der DSGVO umfasst sind.

Alles verboten? Wann dürfen Sie die Daten verarbeiten?
  • Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nicht oder nur unter ganz bestimmten Vorgaben erlaubt. Hierbei ist zwischen den zuvor genannten Datenarten zu unterscheiden.
  • Die Verarbeitung von „personenbezogenen Daten“ ist nur rechtmäßig und somit erlaubt, wenn Sie einen der Erlaubnistatstände (Rechtsgrundlage) nach Art. 6 DSGVO erfüllt.
  • Die Verarbeitung von „besonderen Kategorien von personenbezogenen Daten“ ist prinzipiell untersagt! Diese Daten dürfen nur verarbeitet werden, wenn eine der in Art. 9 DSGVO benannten Ausnahmen zutrifft.
  • Die Verarbeitung von „personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“ darf nur unter behördlicher Aufsicht erfolgen oder wenn ein Gesetz Sie dazu verpflichtet. Ansonsten ist auch diese Verarbeitung untersagt!

Kostenfreie Broschüre - Datenschutz ganz kurz

„Datenschutz ganz kurz“ fasst die allerwichtigsten Punkte für Beschäftigte kompakt zusammen.

Mehr erfahren

Schritt für Schritt

Legen Sie gleich los und erstellen Sie nach und nach Ihre Datenschutz-Grundausstattung. Behalten Sie mit dem Schritt-für-Schritt-Konzept stets den Überblick beim Datenschutz.

mehr

Arbeitshilfen

Arbeitshilfen erleichtern die Arbeit. Hier finden Sie Vorlagen und Checklisten, die Sie für Ihre Datenschutz-Grundausstattung nutzen können.

mehr

Praxisbeispiele

Es gibt viele Möglichkeiten, den Datenschutz umzusetzen. Denn jedes Unternehmen tickt anders. Fallbeispiele aus der Praxis geben Ihnen hilfreiche Anregungen.

mehr