was fällt unter datenschutz

Was fällt unter Datenschutz?

/ Allgemein, Datenschutz

Warum Datenschutz heute wichtiger denn je ist

In unserer digitalisierten Welt hinterlassen wir täglich unzählige Datenspuren. Ob beim Online-Shopping, in sozialen Netzwerken, bei der Nutzung von Smartphones oder im beruflichen Kontext – personenbezogene Daten werden nahezu überall erhoben, verarbeitet und gespeichert. Doch was genau fällt eigentlich unter den Begriff Datenschutz? Und welche Rechte und Pflichten ergeben sich daraus für Unternehmen und Privatpersonen?

Die Bedeutung des Datenschutzes hat in den vergangenen Jahren erheblich zugenommen. Datenpannen, Hackerangriffe und der zunehmende Einsatz künstlicher Intelligenz haben das Bewusstsein für den Schutz persönlicher Informationen geschärft. 

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum Datenschutz heute wichtiger denn je ist
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen des Datenschutzes
  4. Was genau fällt unter Datenschutz?
  5. Zentrale Pflichten für Unternehmen
  6. Praktische Tipps für datenschutzkonformen Umgang
  7. Checkliste: Datenschutz-Compliance für Unternehmen
  8. Datenschutz als Chance begreifen
  9. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Datenschutz umfasst alle Maßnahmen zum Schutz personenbezogener Daten vor unbefugter Verarbeitung, Missbrauch und Verlust – von der Erhebung über die Speicherung bis zur Löschung.
  • Die DSGVO definiert klare Pflichten für Unternehmen bei der Verarbeitung personenbezogener Daten, einschließlich Informationspflichten, Betroffenenrechten und technisch-organisatorischen Maßnahmen.
  • Verstöße gegen Datenschutzbestimmungen können teuer werden: Es drohen Bußgelder bei schwerwiegenden Verstößen gegen die DSGVO.

Rechtliche Grundlagen des Datenschutzes

Die DSGVO als zentrale Rechtsquelle

Die Datenschutz-Grundverordnung bildet das Fundament des europäischen Datenschutzrechts. Sie gilt unmittelbar in allen Mitgliedstaaten der EU und regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO verfolgt einen risikobasierten Ansatz und verpflichtet Verantwortliche, technische und organisatorische Maßnahmen zu ergreifen, die dem jeweiligen Risiko für die Rechte und Freiheiten betroffener Personen angemessen sind.

Zentrale Prinzipien der DSGVO sind in Art. 5 festgelegt: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Diese Grundsätze müssen bei jeder Verarbeitung personenbezogener Daten beachtet werden.

Was genau fällt unter Datenschutz?

Definition personenbezogener Daten

Der Datenschutz befasst sich mit personenbezogenen Daten. Gemäß Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung bestimmt werden kann.

Der Begriff ist bewusst weit gefasst. Personenbezogene Daten umfassen offensichtliche Informationen wie Namen, Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen. Aber auch weniger offensichtliche Daten fallen darunter: IP-Adressen, Cookie-Kennungen, Kfz-Kennzeichen, Sozialversicherungsnummern, Personalausweisnummern, Kontodaten, Kreditkartennummern, Gesundheitsdaten, biometrische Daten, Fotos von Personen und vieles mehr.

Selbst wenn einzelne Daten für sich genommen nicht identifizierend wirken, können sie durch Kombination oder Verknüpfung mit anderen Informationen zu personenbezogenen Daten werden. Ein typisches Beispiel ist die Kombination von Postleitzahl, Geschlecht und Geburtsdatum, die in dünn besiedelten Regionen bereits zur Identifikation einer Person ausreichen kann.

Besondere Kategorien personenbezogener Daten

Art. 9 DSGVO definiert besondere Kategorien personenbezogener Daten, die einem erhöhten Schutz unterliegen. Hierzu zählen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung hervorgehen.

Die Verarbeitung solcher sensiblen Daten ist grundsätzlich verboten und nur unter strengen Voraussetzungen erlaubt. Erforderlich ist regelmäßig eine ausdrückliche Einwilligung der betroffenen Person oder das Vorliegen besonderer Ausnahmetatbestände, etwa bei der Verarbeitung durch Ärzte oder im Beschäftigungskontext.

Zentrale Pflichten für Unternehmen

Rechtsgrundlagen für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Am häufigsten relevant sind die Einwilligung der betroffenen Person, die Erforderlichkeit zur Vertragserfüllung und die Wahrung berechtigter Interessen.

Eine Einwilligung muss freiwillig, informiert, eindeutig und nachweisbar sein. Sie kann jederzeit widerrufen werden. Unternehmen tragen die Beweislast für das Vorliegen einer wirksamen Einwilligung. Im B2B-Bereich wird oft übersehen, dass auch Daten von Ansprechpartnern in Unternehmen personenbezogene Daten sind und einer Rechtsgrundlage bedürfen.

Die Vertragserfüllung als Rechtsgrundlage greift, wenn die Datenverarbeitung zur Durchführung eines Vertrags mit der betroffenen Person erforderlich ist. Dies umfasst vorvertragliche Maßnahmen auf Anfrage der Person, etwa die Erstellung eines Angebots.

Berechtigte Interessen des Verantwortlichen oder eines Dritten können eine Verarbeitung rechtfertigen, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Diese Interessenabwägung muss dokumentiert werden. 

Informationspflichten und Transparenz

Transparenz gehört zu den Grundprinzipien der DSGVO. Art. 13 und 14 DSGVO verpflichten Verantwortliche, betroffene Personen umfassend über die Datenverarbeitung zu informieren. Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitgestellt werden.

Bei direkter Erhebung von Daten bei der betroffenen Person müssen die Informationen zum Zeitpunkt der Erhebung bereitgestellt werden. Dies erfolgt typischerweise über Datenschutzerklärungen auf Websites, Informationsblätter bei Vertragsabschluss oder mündliche Hinweise bei telefonischer Kontaktaufnahme.

Die Informationspflicht umfasst unter anderem: Identität und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlagen, berechtigte Interessen, Empfänger der Daten, Absicht zur Übermittlung in Drittländer, Speicherdauer, Betroffenenrechte, Widerrufsrecht bei Einwilligung, Beschwerderecht bei Aufsichtsbehörde sowie Informationen über eine etwaige automatisierte Entscheidungsfindung.

Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen werden.

Zu den technischen Maßnahmen gehören Verschlüsselung von Daten bei der Übertragung und Speicherung, Zugriffskontrollen und Authentifizierungsverfahren, Firewalls und Virenschutzprogramme, regelmäßige Backups und sichere Löschverfahren. Auch die Pseudonymisierung von Daten zählt zu den empfohlenen Maßnahmen.

Organisatorische Maßnahmen umfassen Zugriffs- und Zugangsregelungen, Schulungen der Mitarbeiter, Vertraulichkeitsverpflichtungen, Prozesse zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen, Incident-Response-Pläne für Datenpannen sowie die Führung eines Verzeichnisses von Verarbeitungstätigkeiten.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Viele Unternehmen sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Gemäß Art. 37 DSGVO in Verbindung mit § 38 BDSG besteht diese Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Unabhängig von dieser Schwelle ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies betrifft etwa Auskunfteien, Adresshändler oder Betreiber von Vergleichsportalen.

Praktische Tipps für datenschutzkonformen Umgang

Implementierung eines Datenschutzmanagements

Ein strukturiertes Datenschutzmanagement ist die Grundlage für Compliance. Dazu gehört zunächst die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten. In diesem Verzeichnis werden alle Verarbeitungsprozesse im Unternehmen dokumentiert, einschließlich Zwecken, Kategorien betroffener Personen und Daten, Empfängern, Speicherfristen und technisch-organisatorischen Maßnahmen.

Datenschutzrichtlinien und -prozesse sollten schriftlich fixiert werden. Dazu gehören Regelungen zur Nutzung von IT-Systemen, zum Umgang mit Betroffenenrechten, zur Meldung von Datenpannen und zu Löschfristen. Diese Dokumente dienen nicht nur der internen Organisation, sondern auch als Nachweis gegenüber Aufsichtsbehörden.

Regelmäßige Überprüfungen und Aktualisierungen sind erforderlich, da sich sowohl die technischen Rahmenbedingungen als auch die rechtlichen Anforderungen ständig weiterentwickeln. Ein jährlicher Datenschutz-Check hat sich in der Praxis bewährt.

Schulung und Sensibilisierung der Mitarbeiter

Datenschutz ist keine reine IT-Angelegenheit, sondern betrifft alle Mitarbeiter. Regelmäßige Schulungen sind daher unverzichtbar. Neue Mitarbeiter sollten bereits im Rahmen des Onboardings eine Datenschutz-Grundlagenschulung erhalten.

Die Schulungen sollten praxisnah gestaltet sein und konkrete Beispiele aus dem Arbeitsalltag aufgreifen. Typische Themen sind der sichere Umgang mit E-Mails, die Vermeidung von Datenpannen, das Erkennen von Phishing-Angriffen und der korrekte Umgang mit Betroffenenrechten.

Wichtig ist die Dokumentation aller Schulungsmaßnahmen, da die DSGVO die Schulung der Mitarbeiter als Teil der technisch-organisatorischen Maßnahmen ansieht.

Checkliste: Datenschutz-Compliance für Unternehmen

Grundlagen:

  • Verzeichnis von Verarbeitungstätigkeiten erstellt 
  • Datenschutzbeauftragter bestellt (falls erforderlich)
  • Datenschutzrichtlinien und -prozesse dokumentiert
  • Technische und organisatorische Maßnahmen implementiert

Website und Online-Präsenz:

  • Datenschutzerklärung vorhanden und vollständig
  • Cookie-Banner rechtssicher gestaltet
  • Einwilligungen für Marketing ordnungsgemäß eingeholt
  • Social-Media-Plugins datenschutzkonform einbinden

Verträge und Dienstleister:

  • Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
  • Prüfung und Überwachung der Auftragsverarbeiter
  • Standardvertragsklauseln bei internationalen Transfers

Mitarbeiter und Organisation:

  • Mitarbeiter regelmäßig geschult
  • Vertraulichkeitsverpflichtungen unterzeichnet
  • Zugriffs- und Berechtigungskonzept vorhanden
  • Prozesse für Betroffenenrechte etabliert

Notfallvorsorge:

  • Prozess zur Meldung von Datenpannen definiert
  • Kontaktdaten der zuständigen Aufsichtsbehörde hinterlegt
  • Notfallplan für IT-Sicherheitsvorfälle vorhanden

Datenschutz als Chance begreifen

Datenschutz wird häufig als lästige Pflicht wahrgenommen, die Zeit und Ressourcen bindet. Doch ein professioneller Umgang mit personenbezogenen Daten bietet auch erhebliche Chancen. Unternehmen, die Datenschutz ernst nehmen und transparent kommunizieren, gewinnen das Vertrauen ihrer Kunden und Geschäftspartner.

Guter Datenschutz ist zugleich gute IT-Sicherheit. Die geforderten technischen und organisatorischen Maßnahmen schützen nicht nur vor Datenschutzverstößen, sondern auch vor Cyberangriffen und Datenverlusten. Sie tragen zur Geschäftskontinuität bei und vermeiden kostspielige Datenpannen.

Die Einhaltung datenschutzrechtlicher Vorgaben ist komplex und erfordert spezialisiertes Wissen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Datenschutz-Auditor (DGI) unterstütze ich Unternehmen dabei, ihre Datenschutz-Compliance sicherzustellen. Mein Ansatz verbindet juristische Expertise mit praktischer Umsetzbarkeit. Ich verstehe Datenschutz nicht als Hindernis, sondern als Enabler für digitale Geschäftsmodelle – solange die rechtlichen Rahmenbedingungen eingehalten werden.

Ob externe Datenschutzbeauftragter-Bestellung, Datenschutz-Audit oder die datenschutzkonforme Implementierung neuer Technologien – ich stehe Ihnen mit individueller Beratung und kurzfristiger Rückmeldung zur Seite. Vereinbaren Sie ein Erstgespräch, um Ihre spezifischen Anforderungen zu besprechen.

Häufig gestellte Fragen 

Was genau sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören offensichtliche Angaben wie Name und Adresse, aber auch E-Mail-Adressen, IP-Adressen, Standortdaten, Cookie-IDs und sogar Kombinationen verschiedener Daten, die eine Identifikation ermöglichen. Der Begriff ist sehr weit gefasst und umfasst praktisch alle Informationen, mit denen eine Person direkt oder indirekt bestimmt werden kann.

Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon ist ein Datenschutzbeauftragter erforderlich, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige Überwachung von Personen erfordert oder wenn besondere Kategorien von Daten in großem Umfang verarbeitet werden. Der Datenschutzbeauftragte kann intern bestellt oder extern beauftragt werden.

Welche Strafen drohen bei Datenschutzverstößen?

Bei Verstößen gegen die DSGVO können Bußgelder verhängt werden, je nachdem, welcher Betrag höher ist. Die Höhe des Bußgeldes richtet sich nach verschiedenen Faktoren wie der Art, Schwere und Dauer des Verstoßes, dem Grad der Fahrlässigkeit und den getroffenen Abhilfemaßnahmen. Neben Bußgeldern können auch Schadensersatzansprüche betroffener Personen und erhebliche Reputationsschäden entstehen.

Ist eine Einwilligung zur Datenverarbeitung immer erforderlich?

Nein, eine Einwilligung ist nur eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Häufig ist die Verarbeitung zur Vertragserfüllung erforderlich, etwa bei der Abwicklung einer Bestellung. Auch die Wahrung berechtigter Interessen kann eine Verarbeitung rechtfertigen, wenn die Interessen der betroffenen Person nicht überwiegen. Eine Einwilligung ist insbesondere dann erforderlich, wenn keine andere Rechtsgrundlage greift.

Wie lange dürfen personenbezogene Daten gespeichert werden?

Die DSGVO fordert, dass Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Die konkrete Speicherdauer hängt vom jeweiligen Kontext ab. Gesetzliche Aufbewahrungsfristen, etwa aus dem Steuer- oder Handelsrecht, können eine längere Speicherung rechtfertigen. Nach Ablauf der Speicherfrist müssen die Daten gelöscht oder anonymisiert werden. Unternehmen sollten für jede Verarbeitungstätigkeit eine konkrete Speicherdauer festlegen und dokumentieren.

Was muss eine Datenschutzerklärung enthalten?

Eine Datenschutzerklärung muss umfassend über alle Verarbeitungsvorgänge informieren. Pflichtangaben sind unter anderem: Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten, Speicherdauer, Information über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), Widerrufsrecht bei Einwilligung und Beschwerderecht bei einer Aufsichtsbehörde. Bei internationalen Datentransfers sind zusätzliche Angaben erforderlich.

Was ist eine Datenschutz-Folgenabschätzung und wann ist sie erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine systematische Bewertung der Risiken einer Verarbeitungstätigkeit für die Rechte und Freiheiten betroffener Personen. Sie ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Dies ist insbesondere der Fall bei umfangreicher automatisierter Verarbeitung einschließlich Profiling, umfangreicher Verarbeitung besonderer Kategorien von Daten oder bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und dokumentieren, welche Risiken bestehen und welche Maßnahmen zur Risikominimierung getroffen werden.

Wie kann ich als Unternehmen datenschutzkonform mit Cloud-Diensten arbeiten?

Bei der Nutzung von Cloud-Diensten ist zunächst zu prüfen, ob eine Auftragsverarbeitung vorliegt. In diesem Fall ist ein Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter erforderlich. Werden Daten in Länder außerhalb der EU übermittelt, müssen zusätzliche Vorkehrungen getroffen werden, um ein angemessenes Schutzniveau zu gewährleisten. Wichtig ist eine sorgfältige Auswahl des Anbieters unter Berücksichtigung seiner Datenschutz- und Sicherheitsmaßnahmen.

Kontakt aufnehmen
Nach oben scrollen