Datenschutz Basics

Aus Budget- oder Zeitgründen wird in Unternehmen teilweise die Einhaltung der DSGVO vernachlässigt. Um dem zu entgehen, stellt heyData euch eine kleine Anforderungsliste der Datenschutz Basics für Unternehmen auf:

Personal Data - Alt

Personenbezogene Daten

Jegliche Angaben, die sich auf eine identifizierbare Person beziehen und unter besonderem Schutz stehen.

Mehr erfahren
Data Officer - Alt

Datenschutzbeauftragte*r

Die Verantwortung für Datenschutz kann intern im Unternehmen oder durch externe Expert*innen übernommen werden.

Mehr erfahren
Data Security - Alt

Datenschutz & Datensicherheit

Oftmals im gleichen Kontext verwendet, gibt es dennoch einen Unterschied zwischen den beiden Begrifflichkeiten.

Mehr erfahren
Contact - Alt

Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Die Verarbeitung von personenbezogenen Daten durch Dritte unterliegt ebenfalls einer Regelung gemäß der DSGVO.

Mehr erfahren
Verzeichnis - Alt

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Dokumentation aller Verarbeitungstätigkeiten, die personenbezogene Daten enthalten.

Mehr erfahren
Tom - Alt

Technische & organisatorische Maßnahmen (TOM)

Gewährleistung eines angemessenen Managements zum Schutz personenbezogener Daten.

Mehr erfahren
Personal Data - Alt

Personenbezogene Daten

Jegliche Angaben, die sich auf eine identifizierbare Person beziehen und unter besonderem Schutz stehen.

Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare oder identifizierte, natürliche Person beziehen. Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einem Standort oder anderen Merkmalen identifiziert werden können. In der Praxis fallen darunter sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden können. Beispiele hierfür sind Telefonnummern, Ausweisnummern, Kontodaten, Kfz-Kennzeichen, Kundennummern, Mailadressen oder Anschriften. Diese Daten stehen deswegen unter besonderem Schutz, da jede Person ein Recht auf informationelle Selbstbestimmung hat.

Kurzinfo

  • Angaben über identifizierbare Person
  • Identifizierbarkeit: direkt oder indirekt
  • Schutz: Recht auf informationelle Selbstbestimmung
Data Officer - Alt

Datenschutzbeauftragte*r

Die Verantwortung für Datenschutz kann intern im Unternehmen oder durch externe Expert*innen übernommen werden.

Der Datenschutz kann innerhalb eines Unternehmens intern oder extern abgebildet werden. Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) haben den Kreis der Unternehmen stark erweitert, die einen Datenschutzbeauftragten benennen müssen. Gehört Ihr Unternehmen zu dieser Gruppe, müssen Sie sich zwischen einem internen und einem externen Datenschutzbeauftragten entscheiden. Ein interner Datenschutzbeauftragter ist dabei nur eine Lösung, wenn die Mitarbeiterin oder der Mitarbeiter über die erforderlichen Kenntnisse und die Kapazität verfügt. Viele Unternehmen entscheiden sich deshalb für einen externen Datenschutzbeauftragten.

Kurzinfo

  • Interne*r oder externe*r Datenschutzbeauftragte*r
  • Oftmals Pflicht für Datenschutzbeauftragte*n
  • Bei internem: Kapazität und Kenntnisse notwendig
Data Security - Alt

Datenschutz & Datensicherheit

Oftmals im gleichen Kontext verwendet, gibt es dennoch einen Unterschied zwischen den beiden Begrifflichkeiten.

Ohne Datenschutz kann ein Unternehmen keinen seriösen Internetauftritt garantieren. Wird dieses Thema vernachlässigt, sind Imageverlust, Käuferschwund, Bußgelder und Sanktionen die resultierenden Folgen. Das Datenschutzgesetz regelt alle relevanten Bestimmungen, die personenbezogene Datenverarbeitung im Unternehmen betreffen. Jedes Unternehmen, welches in der EU tätig ist, ist zur Einhaltung der Datenschutzbestimmungen verpflichtet. Daten von Kunden, der Belegschaft oder von Geschäftspartnern sind zu schützen, da sonst Bußgelder oder Sanktionen drohen.

Die Datensicherheit geht dabei Hand in Hand mit dem Thema Datenschutz. Sie beschäftigt sich aber nicht mit dem Schutz personenbezogener Daten, sondern um praktische Handlungsweisen in Bezug auf IT-Sicherheit. Um die Datenschutz Basics einzuhalten, sollten Unternehmen immer ein Datensicherheitskonzept vorweisen können, das nicht nur personenbezogene Daten inkludiert, sondern alle zu verarbeitenden Datenströme.

Die Datensicherheit kann erhöht und gesichert werden durch die Verwendung
 

  • eines aktuellen Webbrowsers
  • einer aktuellen (Verschlüsselungs-)Software, Firewall und Antivirensoftware
  • von Benutzerkonten mit Rechteverteilung
  • von sicheren Passwörternvon Backups
  • von Rechtevergabe bei Downloads
  • durch die Sensibilisierung der Mitarbeiter
  • durch Vorsicht bei unbekannten Anhängen
  • durch Vermeidung von der Veröffentlichung persönlicher Daten

Kurzinfo

  • Datenschutz: notwendig für seriösen Internetauftritt
  • Datensicherheit: praktische Handlungsweisen bzgl. IT-Sicherheit
Contact - Alt

Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Die Verarbeitung von personenbezogenen Daten durch Dritte unterliegt ebenfalls einer Regelung gemäß der DSGVO.

Mit der Einführung der DSGVO im Mai 2018 wurde die vormals im BDSG bekannte Richtlinie der Auftragsdatenverarbeitung erneuert. Hierbei geht es um den Abschluss eines Vertrags (eines AVV) mit Dienstleistern oder Partnern, welche personenbezogene Daten im Auftrag verarbeiten. Dementsprechend müssen Unternehmen bei der Auswahl möglicher Dienstleister sehr sorgsam vorgehen und deren Tätigkeiten in regelmäßigen Abständen überprüfen. In der allgemeinen Unternehmenspraxis sind diese Vorgänge beispielsweise die Verarbeitung von Lohnbuchhaltung, Vertriebsaktivitäten oder der Einsatz von Marketing und Analyse-Tools. Somit sind wesentliche Bereiche der Zusammenarbeit mit anderen Unternehmen von dieser Regelung betroffen.

Abschluss eines Vertrags (AVV)

Kurzinfo

  • Regelung der Auftragsverarbeitung
  • Unternehmen müssen Dienstleister sorgfältig auswählen
  • Tätigkeitsüberprüfung regelmäßig notwendig
Verzeichnis - Alt

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Dokumentation aller Verarbeitungstätigkeiten, die personenbezogene Daten enthalten.

Die DSGVO verlangt gemäß Art. 30, dass die verantwortlichen Stellen ein sogenanntes Verarbeitungsverzeichnis erstellen, in welchem alle Verarbeitungstätigkeiten verzeichnet sind, die sich mit personenbezogenen Daten befassen.
Hierbei handelt es sich mit Abstand um eines der wichtigsten Dokumente in der gesamten DSGVO, denn es betrifft alle Unternehmen. Sobald ein Unternehmen personenbezogene Daten verarbeitet, ist es dazu aufgefordert, diese Prozesse fein säuberlich in diesem Verzeichnis zu dokumentieren. Dies gilt selbstverständlich auch für Auftragsverarbeiter. Obwohl viele behaupten, dass die Erstellung lediglich Firmen mit mehr als 250 Mitarbeitern betrifft, gilt diese Ausnahme nur dann, wenn die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt. Dies ist allerdings nur in den seltensten Fällen zutreffend. Sollte es sich um besondere Datenkategorien, wie beispielsweise Gesundheitsdaten, Religion oder ähnliches handeln, trifft die Pflicht der Erstellung und Pflege eines Verarbeitungsverzeichnisses ohnehin zu.

Verarbeitungsverzeichnis (VVT)

Kurzinfo

  • Verzeichnis für Verarbeitungstätigkeiten
  • Alle Unternehmen betroffen
  • Ausnahme: gelegentliche Datenverarbeitung
Tom - Alt

Technische & organisatorische Maßnahmen (TOM)

Alle Maßnahmen zum Schutz personenbezogener Daten.

In der DSGVO, die seit Mai 2018 Gültigkeit besitzt, wurden die Regelungen des BDSG bezüglich der technischen und organisatorischen Maßnahmen (TOM) übernommen. In der DSGVO gewinnen sie jedoch stark an Bedeutung. Sie sollen geeignete Prozesse definieren und beschreiben, wie bei Datenschutzverstößen vorgegangen wird. Somit soll ein geeignetes Management zum Datenschutz etabliert werden. Natürlich liegt es auch nahe, dass je gravierender die Gefahr von Verstößen ist (bspw. bei sehr sensiblen Daten), desto detaillierter und umfangreicher müssen auch die Prozesse und deren Beschreibungen sein. Hierbei ist es immer sinnvoll den zuständigen Datenschutzbeauftragten zu konsultieren.

Technische und organisatorische Maßnahmen

Kurzinfo

  • Geeignete Prozesse zu Datenschutzverstößen
  • Bei sensiblen Daten müssen TOMs detaillierter sein

Mehr entdecken

Weitergehende Informationen findest du auch auf unseren Wissensseiten und im heyData Magazin

Magazin

Stöbere in unseren Magazin-Artikeln.

Mehr erfahren

Studien

Lerne mehr zum Thema durch unseren Studien.

Mehr erfahren