10 YEARS

Was du über Datenschutz wissen musstPfeil zurück

Was du über Datenschutz wissen musst

Robin
Robin
Dezember 2023
Tech Knowhow
In die Zwischenablage kopiert!

Datenschutz ist eines der wichtigsten Rechte und Gesetze für den Einzelnen sowohl in der heutigen digitalen Zeit als auch zukünftig. Hier erfährst du nicht nur was Datenschutz ist, sondern auch deine Rechte und was für Pflichten Unternehmen einhalten müssen.

Was ist Datenschutz?

Datenschutz bezeichnet den Schutz personenbezogener Daten natürlicher Personen vor missbräuchlicher Verwendung. Auf gut Deutsch bedeutet dies, dass die Daten, die eine Person eindeutig identifizieren, vor Missbrauch geschützt werden, also z.B. vor Weitergabe ohne Einwilligung oder vor einer zweckfremden Verarbeitung.

Zu personenbezogene Daten gehören zum Beispiel:

  • Name
  • Geburtstag
  • Kreditkarteinformationen
  • IP-Adresse
  • Anschrift

Hierbei wird der Datenschutz durch die EU-weite DSGVO bestimmt und durch das Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert.

Aber was genau steht denn im DSGVO drin?

Die DSGVO ist sehr umfangreich, dabei werden z.B. auch Inhalte geregelt, an welche Länder außerhalb der EU (Drittländer) personenbezogene Daten verschickt und verarbeitet werden dürfen oder auch die Regelungen bei der Verarbeitung der personenbezogenen Daten durch Dritte (Auftragsverarbeiter). In diesem Abschnitt werden jedoch die Datenschutzgrundsätze und die Rechte einer betroffenen Person aufgeklärt.

Datenschutzgrundsätze

In Kapitel 2 Artikel 5 der DSGVO werden die Grundsätze der Verarbeitung von personenbezogenen Daten festgelegt. Hier ist eine Kurze Zusammenfassung des Artikels:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz:
    Die Daten dürfen nur auf eine rechtlich zulässige Weise (z.B. mit einer Einwilligung) und mit Fairness und Offenheit verarbeitet werden.
  • Zweckbindung: 
    Die Daten dürfen nur für den Zweck verarbeitet werden, den die betroffene Person eingewilligt hat.
  • Datenminimierung: 
    Es sollen nur die Daten erhoben werden, die für den Zweck notwendig sind. Zum Beispiel benötigt man bei einer Terminanfrage nicht die Herkunft.
  • Richtigkeit: 
    Die Daten müssen richtig sein und bei Fehler berichtigt oder gelöscht werden.
  • Speicherbegrenzung:
    Die Daten dürfen nur so lange gespeichert werden, wie der Zweck für die Verarbeitung erforderlich ist.
  • Integrität und Vertraulichkeit:
    Es muss gewährleistet werden, dass die Daten vor unbefugter Verarbeitung, Zugriff und unbeabsichtigter Schädigung geschützt sind.

Nun wissen wir, wie die personenbezogenen Daten verarbeitet werden. Aber die große Frage stellt sich ja, wird dies auch eingehalten? Und was kann ich als betroffene Person machen, falls dies nicht eingehalten wird. 

Rechte einer betroffen Person

Als betroffene Person bezeichnet man eine natürliche Person, deren personenbezogenen Daten verarbeitet werden. In Artikeln 12 - 22 im DSGVO werden die Rechte der betroffenen Person festgelegt. Dabei sind die Artikel 12-22 sehr verständlich.

  • (Art. 12) Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  • (Art. 13) Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person
  • (Art. 14) Informationspflicht bei der Erhebung, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden
  • (Art. 15) Auskunftsrecht der betroffenen Person
  • (Art. 16) Recht auf Berichtigung
  • (Art. 17) Recht auf Löschung
  • (Art. 18) Recht auf Einschränkung der Verarbeitung
  • (Art. 19) Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  • (Art. 20) Recht auf Datenübertragbarkeit
  • (Art. 21) Widerspruchsrecht
  • (Art. 22) Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Für detaillierte Informationen zu den einzelnen Artikel kannst du hier reinschauen: https://www.sentiguard.eu/wissen/dsgvo-betroffenenrechte/

Pflichten eines Unternehmens

Nachdem die Datenschutzgrundsätze und Pflichten der Betroffenen kurz angesprochen wurden, kommen wir nun zu den Pflichten eines Unternehmens. Zunächst einmal muss ein Unternehmen, das personenbezogene Daten erfasst, die Grundsätze und Pflichten der betroffenen Personen einhalten, ansonsten können hohe Geldstrafen aufkommen.

Dies sind die wesentlichen Pflichten eines Unternehmen bei der Verarbeitung von Daten:

Geeignete technische und organisatorische Maßnahmen (TOM)

Gemäß DSGVO Artikel 24, 25 und 32 muss das Unternehmen technische sowie organisatorische Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit gewährleisten und dies schriftlich dokumentieren.

Technische Maßnahmen sind Maßnahmen, die man “physikalisch” unternehmen kann. Dabei können es sehr simple Sachen sein, wie zum Beispiel ein Schloss für das Aktenregal, ein Passwortschutz der Daten bis zu einem Fingerabdruck-Scan.

Bei den organisatorischen Maßnahmen geht es darum, was für Vorgehens- und Verfahrensweisen die Mitarbeiter einhalten müssen.

Dies könnten bestimmte Richtlinien zur Nutzung eines PCs sein, z.B. keine externen Medien dürfen angeschlossen werden oder die korrekte Weise zur Entsorgung von Dokumenten mit personenbezogenen Daten. Ein weiterer Punkt wäre auch die Schulung von Mitarbeitern bezüglich Datenschutz.

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Hierbei geht es darum, dass ein Unternehmen schriftlich verpflichtet ist, alle Tätigkeiten, die die personenbezogenen Daten verarbeiten, zu dokumentieren. Das Verzeichnis benötigt folgende Angaben:

  • Name und Kontaktdaten des Verarbeiters
  • Zweck der Verarbeitung
  • Kategorie der Betroffenen Person
  • Kategorie der Daten
  • Kategorie des Empfängers
  • ggf. die Übermittlung an Drittländer
  • Löschfrist
  • Technische und organisatorische Maßnahmen

So könnte ein VVT aussehen:

VVT-Beispiel
VVT-Beispiel

Benennung eines Datenschutzbeauftragten

Ein Unternehmen muss einen internen oder externen Datenschutzbeauftragten benennen, falls zum Beispiel die Kerntätigkeit die Verarbeitung von personenbezogenen Daten ist. In der DSGVO Artikel 37 werden weitere Punkte genannt, wann man einen Datenschutzbeauftragten benennen muss. Zusätzlich erweitert das BDSG § 38 die Anforderung zur Benennung eines Datenschutzbeauftragten. 

Meldung von Verletzungen des Schutzes an personenbezogenen Daten an die Aufsichtsbehörde und betroffenen Person

Bei einer Verletzung des Schutzes der personenbezogenen Daten muss das Unternehmen laut DSGVO Artikel 33-34 unverzüglich und möglichst innerhalb der 72 Stunden der Aufsichtsbehörde melden. 

In der Meldung müssen folgende Information hinterlegt sein:  

  • Beschreibung der Art der Verletzung
  • Name und die Kontaktdaten des Datenschutzbeauftragten
  • Folgen der Verletzung
  • sowie die ergriffenen oder vorgeschlagenen Maßnahmen zu Behebung

Solange aber kein Risiko für die Rechte und Freiheiten der betroffenen Person besteht, ist eine Meldung nicht notwendig.

Auftragsverarbeitungsvertrag

Beim Auftragsverarbeitungsvertrag geht es darum, dass das Unternehmen die Verarbeitung der personenbezogenen Daten an einen Dritten, der auch die oberen Punkte erfüllt, beauftragt und beide Parteien einen Vertrag mit bestimmten Richtlinien unterzeichnen. Nachlesen kannst du das hier: DSGVO Artikel 28.

Bin ich nun ein Datenschutz-Connoisseur?

Nein. Dieser Artikel dient nicht als eine Schulung oder Crash Course zum Datenschutz, sondern soll darauf aufmerksam machen, was Datenschutz ist und worauf du als Einzelne für Rechte hast oder als Unternehmen achten sollst. Wenn du mehr über Datenschutz wissen willst, können wir dich gerne beraten.

Falls du mehr zum Thema

lesen möchtest: