180 Grad Datenschutz Bildmarke

Was Sie zur Datenschutz-Grundverordnung (DSGVO) wissen sollten

Allgemein

Datenklau, Hacker-Angriffe, Datenmissbrauch – Dass persönliche Daten einen hohen emotionalen und ebenfalls ökonomischen Wert haben, wird durch eben solche Skandale immer wieder deutlich. Auch führt dies vermehrt dazu, dass Menschen vorsichtiger mit ihren Daten umgehen. Trotzdem ist das tagtägliche Herausgeben der eigenen Daten sowie das Verarbeiten personenbezogener Daten Anderer – egal ob Patientendaten, Kundendaten, User-Daten usw. – fast unvermeidbar. Seit dem 25. Mai 2018 gilt nun die Datenschutz-Grundverordnung (DSGVO), die seither durch ihre Komplexität für viel Verunsicherung und Hilflosigkeit sorgt. Daher möchten wir nachfolgend einen Überblick über die zentralen Größen der DSGVO geben und somit ein generelles Verständnis schaffen.

DSGVO - Gegenstand und Hintergrund

Bei der Datenschutz-Grundverordnung (DSGVO) handelt es sich um eine Verordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten regelt. Bis zum In-Kraft-Treten der Verordnung galten in Bezug auf den Datenschutz in jedem EU-Land verschiedene Standards. Durch die DSGVO herrscht jetzt ein vereinheitlichtes Recht.

Die DSGVO gewährleistet nun auch auf europäischer Ebene, dass eine natürliche Person, also jeder Mensch, ein Recht auf den Schutz seiner persönlichen Daten hat. Dadurch verfolgt die Verordnung das Ziel, die Grundrechte und Grundfreiheiten der betroffenen Person zu schützen.

Irrtümlicherweise wurde zunächst oft angenommen, dass die DSGVO nur auf sehr große Unternehmen Einfluss habe. Tatsächlich aber gilt die Verordnung für jedes Unternehmen und alle öffentlichen Stellen, die Daten verarbeiten. Dazu zählt also jeder, auch ein Ein-Mann-Betrieb, der eine wirtschaftliche Tätigkeit ausübt. Sogar außereuropäische Unternehmen müssen sich an die Verordnung halten, wenn sie Daten von Personen aus der EU verarbeiten. Gleichfalls garantiert die DSGVO aber auch einen freien Datenverkehr innerhalb des Europäischen Binnenmarktes.

Checkliste zur DSGVO

Mit der folgenden Checkliste haben wir Ihnen die wichtigsten Maßnahmen und Möglichkeiten zur Umsetzung der DSGVO zusammengestellt.
Jetzt herunterladen und auf der sicheren Seite sein.

Personenbezogene Daten

Die Begriffe Datenschutz und personenbezogene Daten gehören untrennbar zusammen. Doch obwohl es sich bei dem Begriff der personenbezogenen Daten um eines der zentralen Merkmale der DSGVO handelt, ist nach wie vor für viele undurchsichtig, was damit gemeint ist.

Was sind personenbezogene Daten?

Im Prinzip sind personenbezogene Daten genau das, was zwischen der technischen Datenverarbeitung und einer tatsächlichen natürlichen Person steht. Es sind also all jene Informationen, die einen ganz bestimmten Menschen identifizierbar machen. Das ist er immer dann, wenn er direkt oder indirekt und insbesondere anhand bestimmter Besonderheiten oder Attribute erkannt werden kann. Zu solchen personenbezogenen Daten können beispielsweise zählen:

  • Name, Alter, Geburtsdatum
  • Familienstand
  • Anschrift, Telefonnummer, E-Mail Adresse
  • IP-Adresse
  • Kontonummer
  • KFZ-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Standortdaten
  • Online-Kennung
  • Vorstrafen
  • physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale
  • biometrische Daten
  • Gesundheitsdaten
  • subjektive Informationen, wie Meinungen oder Beurteilungen von und über eine Person
  • Wertende Informationen, zum Beispiel eine Beurteilung der Kreditwürdigkeit

Es handelt sich also um all jene Informationen, die sofort oder nach und nach auf eine bestimmte Person schließen lassen. Dabei ist egal, aus welchem Lebensbereich diese Daten stammen. Die DSGVO beschränkt sich also nicht nur auf die Intims-, Privats- oder Familiensphäre, sondern umfasst sämtliche Informationen über die sozialen, rechtlichen, wirtschaftlichen und sonstigen gesellschaftlichen Merkmale eines Individuums.

Darüber hinaus greift die DSGVO auch bei der Verarbeitung und Weiterverarbeitung von personenbezogenen Daten, die die entsprechende Person eigenständig veröffentlicht hat. Darunter fallen beispielsweise Angaben, Äußerungen, Handlungen etc., die in Sozialen Netzwerken oder auf allgemein zugänglichen Plattformen getätigt wurden. Ebenso das Filmen von natürlichen Personen mittels Videoüberwachung im öffentlichen Raum fällt unter den Schutz der DSGVO, wenn die entsprechenden Personen durch bestimmte (s.o.) Informationen erkennbar sind. Denn auch in der Öffentlichkeit hat jeder Mensch ein Recht auf den Schutz seiner Privatsphäre.

Jeder Mensch hat das Recht auf den Schutz seiner Daten

Datenschutz-Schulung

Was sind keine personenbezogenen Daten?

Es gibt immer noch Daten, die keiner identifizierbaren natürlichen Person zugeordnet werden können. Solche Informationen sind dementsprechend anonym. Dies schließt auch all jene Daten mit ein, die so anonymisiert worden sind, dass sie nicht oder nicht mehr in Verbindung mit einer bestimmten Person gebracht werden können. Demzufolge sind anonyme Daten also das Gegenstück zu personenbezogenen Daten. Mögliche Beispiele sind hier etwa:

  • Angaben zu Betriebsvermögen
  • Statistische Erhebungen
  • Einwohnerzahl eines Landkreises/ einer Stadt
  • Unternehmensdaten wie beispielsweise Umsätze

Was ist eigentlich mit der Verarbeitung von Daten gemeint?

Unter den Schutz der DSGVO fallen all jene personenbezogenen Informationen, die verarbeitet werden können. Der Begriff Verarbeitung bezeichnet einen Vorgang, der mit Hilfe von automatisierten oder nicht-automatisierten Verfahren ausgeführt wird, um personenbezogene Daten zu:

  • verändern
  • erheben
  • erfassen
  • organisieren
  • speichern
  • vernichten
  • verbreiten
  • vergleichen
  • löschen

Wer braucht einen Datenschutzbeauftragten?

Der Datenschutzbeauftragte ist ein wichtiger Bestandteil der DSGVO. Es handelt sich dabei um eine Person, die in oder für ein Unternehmen darauf achtet, dass der Datenschutz im Sinne der Verordnung und der weiteren Datenschutzgesetze, wie beispielsweise dem deutschen Bundesdatenschutzgesetz, eingehalten wird. Doch seit In-Kraft-Treten der DSGVO gibt es bezüglich dieser Thematik insbesondere eine Frage: Wer braucht einen Datenschutzbeauftragten?

Um dies zu beantworten können Sie sich zwei einfache Frage stellen: Werden in Ihrem Unternehmen auf automatisierte oder nicht-automatisierte Art und Weise personenbezogene Daten verarbeitet?

  • Automatisiert bedeutet hierbei, dass für die Verarbeitung personenbezogener Daten technische Geräte, wie etwa ein Computer eingesetzt werden. Diese Frage muss hier also bereits mit „Ja“ beantwortet werden, wenn in Ihrem Unternehmen beispielsweise E-Mails versendet werden.
  • Nicht-automatisiert bedeutet somit im Umkehrschluss, dass keine elektronische Datenverarbeitung stattfindet. Ein Beispiel hierfür wären etwa handgeschriebene Karteikarten, die nach einem bestimmten System geordnet sind. Dies ist heute jedoch nur noch selten der Fall.

Weiterhin ist ausschlaggebend, ob es sich um eine öffentliche Stelle oder ein Unternehmen/ einen Verein handelt.

  • Eine öffentliche Stelle muss in jedem Fall einen Datenschutzbeauftragten benennen.
  • Ein Unternehmen oder Verein wiederum erst dann, wenn mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten.

Bei der Benennung eines Datenschutzbeauftragten gibt es wiederum zwei Optionen:

  • Einerseits ist es möglich, einen entsprechend geschulten internen Mitarbeiter mit dem Datenschutz zu beauftragen. Hierbei ist zu beachten, dass dieser dann direkt der Geschäftsführung untergeordnet ist und für den Zeitraum dieser Tätigkeit besonderen Kündigungsschutz genießt. Wird er von seiner Aufgabe als Datenschutzbeauftragter entbunden, so erweitert sich dieser Kündigungsschutz noch um ein weiteres Jahr.
  • Andererseits gibt es die Möglichkeit, einen externen Datenschutzbeauftragten zu engagieren. Spezialisierte Dienstleister sorgen mit stets aktuellem und abrufbarem Fachwissen dafür, dass es sich lohnt, auf einen externen Spezialisten zu setzen. So können interne Ressourcen für das relevante Kerngeschäft genutzt werden.

Mit welcher Strafe ist bei einem Verstoß gegen die DSGVO zu rechnen?

Bei einem Verstoß gegen die DSGVO muss nicht nur mit Abmahnungen, sondern auch mit hohen Bußgeldern gerechnet werden. Die Höhe entsprechender Strafzahlungen kann auf bis zu 20 Millionen Euro oder auf bis zu vier Prozent des weltweiten Jahresumsatzes des sanktionierten Unternehmens festgelegt werden. Allerdings sind die Bußgelder in der großen Mehrheit als verhältnismäßig zu bezeichnen, fügen also dem Unternehmen keinen nachhaltigen Schaden zu. Entsprechende Bußgelder wurden bereits seit dem 25. Mai 2018 gegen kleinere und größere Unternehmen verhängt.

Das übergeordnete Ziel dieses ersten Beitrags unseres Datenschutz-Blogs war es, ein generelles Verständnis zur neuen Datenschutz-Grundverordnung zu schaffen. Dabei lag der Hauptfokus darauf, abstrakte Begriffe zu erklären und mit gefährlichem Halbwissen aufzuräumen. Doch die Themenfelder Datenschutz und speziell auch DSGVO bieten noch viel mehr Vertiefungsmöglichkeiten, die zukünftig aufgegriffen und in weiteren Beiträgen fokussiert werden sollen.

Kurz und knapp

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Diese schafft eine EU-weite rechtliche Vereinheitlichung in Bezug auf den Umgang und die Verarbeitung von personenbezogenen Daten. Dabei meint der Begriff „personenbezogene Daten“ alle Besonderheiten und Attribute, die auf eine bestimmte Person schließen lassen, wie beispielsweise ihr Name oder ihre E-Mail Adresse.

Um diese Daten zu schützen braucht jede öffentliche Stelle und fast jedes Unternehmen und jeder Verein seit Mai 2018 einen Datenschutzbeauftragten. Dabei kann es sich entweder um einen internen geschulten Mitarbeiter oder einen externen Spezialisten handeln. Ein entsprechender Datenschutzbeauftragter kontrolliert dann, ob der Datenschutz im Sinne der DSGVO eingehalten wird. Bei einem Verstoß gegen die Verordnung kann es zu Abmahnungen und hohen Bußgeldern kommen. Ausführlichere Informationen zu diesem Thema und eine Erklärung aller zentralen Begriffe finden Sie in diesem Blogbeitrag.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

Nächster Beitrag
Verstoß gegen den Datenschutz – Aufsichtsbehörden bitten zur Kasse

Ähnliche Beiträge

Menü