Die Datenschutzgrundverordnung (DSGVO) ist ein Gesetz der Europäischen Union und regelt den Umgang mit personenbezogenen Daten. In Deutschland gelten ergänzend und konkretisierend die Bestimmungen des Bundesdatenschutzgesetzes (BDSG).
Nachfolgend sind die Bestimmungen der DSGVO für Unternehmen zusammengefasst und mit Beispielen einfach und praxisnah erläutert.
Bitte beachten Sie auch meine praxisnahe Online-Schulung zur DSGVO.
Inhaltsübersicht
- Was regelt die DSGVO zusammengefasst?
- Wann und für wen gilt die DSGVO (Zusammenfassung)?
- Wann dürfen personenbezogene Daten nach der DSGVO verarbeitet werden (Zusammenfassung der DSGVO Grundsätze und Rechtsgrundlagen)?
- In welchen Fällen gelten Besonderheiten nach der DSGVO?
- Wie können Unternehmen die DSGVO umsetzen?
Jetzt buchen: Mein praxisnahes Online Webinar/Schulung zur DSGVO (2 x 2,5 Stunden, online)
1. Was regelt die DSGVO zusammengefasst?
Die DSGVO regeln im Wesentlichen folgende Punkte:
Zulässigkeit der Datenverarbeitung: Voraussetzungen, unter denen Daten über Personen erhoben und verwendet werden dürfen (Einzelheiten siehe unten, Ziffer 3).
z.B. der Grundsatz, dass nicht mehr Daten als nötig und nicht länger als nötig gespeichert werden dürfen.
Betroffenenrechte: Rechte der Personen, deren Daten genutzt werden.
z.B. Recht auf Auskunft, welche Daten das Unternehmen über sie gespeichert hat, Recht auf Berichtigung, Löschung, Sperrung, Herausgabe oder Übertragung in einem gängigen digitalen Format, Recht auf Widerspruch gegen Werbung.
Ergänzende organisatorische Pflichten und Dokumentation-Pflichten, die Unternehmen beim Umgang mit personenbezogenen Daten beachten müssen. Die wichtigsten sind (Zusammenfassung):
Transparenzpflichten: Information der betroffenen Personen, wie das Unternehmen ihre Daten nutzt.
z.B. Datenschutzhinweise auf Webseiten, Datenschutzinformationen für Bewerber, Datenschutzinformationsblatt für Mitarbeiter, Datenschutztexte auf Formularen.
Verzeichnis der Verarbeitungstätigkeiten: Führen eines Verzeichnisses, in dem aufgelistet wird, welche Daten für welche Zwecke vom Unternehmen genutzt werden. Weitere Informationen in meinem Beitrag zum Verzeichnis der Verarbeitungstätigkeiten.
z.B. Angaben zu Personalaktenverwaltung, Gehaltsabrechnung, Videoüberwachung, Newsletterversand, Webseiten-Analyse Tools.
Datenschutzverträge: Pflicht zum Abschluss von Verträgen mit Dienstleistern, die für das Unternehmen Daten verarbeiten (Auftragsverarbeitungsverträge).
z.B. Nutzung von Cloud Diensten, Betrieb oder Wartung von Servern durch Dritte, externes Scannen, Archivieren oder Vernichten von Unterlagen.
Abschluss von Verträgen über die Verantwortungsverteilung mit Unternehmen, mit denen gemeinsam das "Wie" und "Wofür" der Datenverarbeitung festgelegt wird (Joint Controller Verträge).
z.B. Auslagerung der Personalabteilung im Konzern.
Benennung eines Datenschutzbeauftragten: Bestimmte Unternehmen müssen eine Person als Datenschutzbeauftragten benennen, der zum Datenschutz berät und die Einhaltung kontrolliert.
Rechenschaftspflicht: Das Unternehmen muss in der Lage sein, nachweisen zu können, dass es die DSGVO einhält.
z.B. Datenschutzrichtlinie/Arbeitsanweisung, Festlegung von Prozessen, Dokumentation von Rollen- und Berechtigungskonzepten und Erstellung von Löschkonzepten.
Datenschutzfolgenabschätzung: Bei besonders riskanten Datenverarbeitungen müssen Unternehmen eine Risikoanalyse durchführen.
z.B. Ortung und Nachverfolgung von Mitarbeitern mittels Smartphone oder im Dienstwagen, umfassender Einsatz von Fingerabdrucksensoren.
Meldung von Datenpannen: Dokumentation und Meldung von Datenpannen an Aufsichtsbehörden und betroffene Personen in bestimmten Fällen.
z.B. Verlust oder Diebstahl eines Notebooks mit Personaldaten, Diebstahl von Smartphones oder USB-Sticks, Hackerangriff auf Kunden-Datenbank, Versand von Personaldaten an falschen E-Mail Empfängerkreis.
Datensicherheit: Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Daten durch angemessene technische und organisatorische Maßnahmen.
z.B. Arbeitsanweisung zur Datensicherheit (z.B. betreffend Passwörter, Umgang mit Laptops, Smartphones), Clean Desk Policy, Erstellung von Datenbackups, Einsatz von Verschlüsselungstechniken. .
Siehe auch meine umfassende, fundierte und praxisnahe DSGVO-Schulung (online Webinar).
2. Wann und für wen gilt die DSGVO (Zusammenfassung)?
Die DSGVO gilt für alle Unternehmen in der EU. Sie ist auch von Unternehmen außerhalb der EU zu beachten, wenn diese ihre Leistungen oder Produkte an EU Bürger richten und dabei deren Daten erheben oder nutzen.
z.B. US Online-Shop in deutscher Sprache mit de-Domain, Bezahlung in Euro und Versand nach Deutschland.
Die DSGVO gilt inhaltlich, wenn „personenbezogene Daten“ vorliegen und diese „verarbeitet“ werden.
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auf die Sensibilität kommt es nicht an. Auch Informationen im geschäftlichen Umfeld können personenbezogene Daten sein.
Kontaktdaten von Ansprechpartnern bei Kunden oder Lieferanten (Herr Robert Schmidt arbeitet im Einkauf der ABC AG), Mitarbeiterlisten, Personalakten, Schichtpläne, IP-Adressen von Webseitenbesuchern (die zur Verfolgung von Urheberrechtsverletzungen erfasst werden), Liste von Newsletter-Bestellern.
„Verarbeitung“ ist jeder Umgang mit personenbezogenen Daten, insbesondere das Erheben (z.B. per Fragebogen), Erfassen (z.B. per Formular, Software oder Kamera), Speichern (z.B. in einer Datenbank, Excel-Datei oder Personalakte), Ändern (z.B. Aktualisieren), Übermitteln (z.B. an eine Behörde oder ein verbundenes Unternehmen), Abgleichen, Verknüpfen, das Sperren oder Löschen.
Verarbeitungen sind z.B. Kontaktdaten von Ansprechpartnern bei Kunden (B2B) in CRM (Kundendatenbank) speichern, Newsletter an Kunden versenden, Bestellung von Kunden aufnehmen, E-Mail Server betreiben, Ergebnisse aus Mitarbeitergesprächen in Personalakte ablegen, Informationen von Stellenbewerbern aufnehmen.
Zusammengefasst gilt die DSGVO also immer, wenn ein Unternehmen in der EU mit Informationen über eine natürliche Person umgeht.
3. Wann dürfen personenbezogene Daten nach der DSGVO verarbeitet werden (Zusammenfassung der DSGVO Grundsätze und Rechtsgrundlagen)?
Bei der Verarbeitung personenbezogener Daten müssen die Grundsätze der DSGVO für die Datenverarbeitung beachtet werden und es muss eine Rechtsgrundlage für die Verarbeitung vorliegen.
a) Grundsätze der DSGVO für die Datenverarbeitung
Diese Grundsätze der DSGVO zum Datenumgang lassen sich wie folgt zusammenfassen:
Rechtmäßigkeit: Personenbezogene Daten nur verarbeiten, wenn die DSGVO dies erlaubt, d.h. eine sogenannte „Rechtsgrundlage“ für die Verarbeitung vorliegt (Details, siehe unten Ziffer 3.b).
Zweckbindung: Daten nur für die Zwecke verwenden, für die sie ursprünglich gesammelt wurden oder die mit diesen ursprünglichen Zwecken kompatibel sind.
z.B. Zur Datensicherheit gespeicherte Login- und Logout-Zeiten von Mitarbeitern nicht zur Arbeitszeitkontrolle nutzen.
Datenminimierung: Nicht mehr Daten erfassen und nutzen als für den konkreten Zweck nötig (keine Speicherung auf Vorrat).
z.B. die Abfrage von Namen und Arbeitgeber ist für die Zusendung von Newslettern ist nicht nötig.
Speicherbegrenzung: Daten löschen, wenn sie nicht mehr benötigt werden.
z.B. Bewerbungen abgelehnter Kandidaten spätestens 6 Monate nach der Auswahlentscheidung löschen.
Richtigkeit: Unrichtige oder unvollständige Daten korrigieren.
z.B. in Dokumentation zum Mitarbeitergespräch nicht protokollierte Bedenken des Betroffenen ergänzen.
Datensicherheit: Daten ausreichend schützen vor Zugriff durch Unbefugte, vor Verlust und Verfälschung.
z.B. sichere und unterschiedliche Passwörter wählen, Laptops unterwegs sicher verwahren, Sicherheitskopien erstellen, Daten verschlüsselt speichern, Schreibtisch aufräumen, keine Apps mit unnötigen Berechtigungen installieren.
b) Rechtsgrundlagen der DSGVO für die Datenverarbeitung
Der besonders wichtige Grundsatz der „Rechtmäßigkeit“ der Datenverarbeitung verlangt, dass für jede Verarbeitung eine Rechtsgrundlage nach der DSGVO vorliegt. Die wichtigsten Rechtsgrundlagen der DSGVO sind zusammengefasst:
Vertragsdurchführung: Die Verarbeitung ist zur Abwicklung eines Vertrags mit dem Betroffenen erforderlich.
z.B. Kontoverbindung der Mitarbeiter zur Gehaltsauszahlung nutzen, Anschrift des Kunden zum Versand des bestellten Produkts verwenden.
Erfüllung von Gesetzen: Zur Erfüllung von rechtlichen Verpflichtungen ist die Datenverarbeitung erforderlich.
z.B. Identifikationsdaten von Vertragspartnern gemäß Geldwäschegesetz abfragen und speichern.
Berechtigte Interessen: Das Unternehmen verfolgt mit der Verarbeitung ein legitimes Interesse, es bestehen keine weniger einschneidenden Alternativen und im Rahmen einer Abwägung ergibt sich, dass entgegenstehende Interessen der Betroffenen nicht überwiegen. Bei der Abwägung ist unter anderem die Erwartungshaltung der Betroffenen zu berücksichtigen.
z.B. Geschäftsbriefe eines erkrankten Mitarbeiters einsehen, um dringende Kundenanfrage zu bearbeiten.
Einwilligung: Der Betroffene hat eindeutig und informiert der Datennutzung zugestimmt.
z.B. Mitarbeiter erlaubt Nutzung seines Portraits im Intranet, Kunde bestellt Newsletter.
Bei Beschäftigtendaten gelten ergänzend die besonderen Bestimmungen des Bundesdatenschutzgesetzes (§ 26 BDSG), da die DSGVO in diesem Bereich den Mitgliedstaaten eigene, konkretisierende Regelungen gestattet (sog. Öffnungsklausel).
Eine Zusammenfassung der DSGVO.Pflichten für Mitarbeiter finden Sie auch in meinem zweiseitigen Datenschutz-Spickzettel und in meiner DSGVO-Checkliste. Diese sind jeweils Teil meines kostenloses DSGVO-Sinfonie Pakets zur Umsetzung der DSGVO im Unternehmen.
Fragen und Lust auf mehr: Besuchen Sie mein umfassendes Online Webinar (Dauer 2 x 2,5 Stunden) zur DSGVO.
4. In welchen Fällen gelten Besonderheiten nach der DSGVO?
In einigen Fällen stellt die DSGVO besondere Anforderungen an den Datenumgang, die ergänzend zu den oben erläuterten Grundsätzen zu beachten sind:
Sensible Daten: Für bestimmte sensible Daten gilt ein Verarbeitungsverbot. Diese dürfen nur erhoben oder genutzt werden, wenn eine Ausnahmeregelung nach Art. 9 Abs. 2 DSGVO greift. Zu den sensiblen Daten gehören unter anderem: Daten zu Gesundheit (z.B. Krankheitsfehlzeiten eines Mitarbeiters) Daten zur Religion, zu politischen Meinungen, zur Gewerkschaftszugehörigkeit oder zum Sexualleben.
Datenexport: Werden Daten an Stellen außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt, muss dort ein angemessenes Datenschutzniveau sichergestellt sein. Für bestimmte Länder hat die EU Kommission entschieden, dass deren Datenschutzgesetze ausreichend sind (z.B. Japan, Israel, Schweiz). Für alle anderen Länder müssen in der Regel besondere Verträge mit den Datenempfängern nach bestimmten Musterverträgen der EU-Kommission geschlossen werden (sogenannte "Standardvertragsklauseln" oder "Standarddatenschutzklauseln")
Weitere Fälle: Besonderheiten sieht die DSGVO auch vor bei Daten zu Straftaten und computergestützten Entscheidungen über Personen (sog. "automatisierte Einzelfallentscheidungen").
5. Wie können Unternehmen die DSGVO umsetzen?
Ein bewährtes Vorgehen zur Umsetzung der DSGVO im Unternehmen kann wie folgt aussehen:
- Verantwortlichen für die DSGVO Umsetzung bestimmen (Projekt) und mit ausreichend Ressourcen ausstatten (Zeit/Budget).
- Prüfen, ob ein Datenschutzbeauftragter benannt werden muss oder soll und diesen ggf. benennen.
- Rollen, Verantwortlichkeiten und Prozesse in einer Arbeitsanweisung zum Datenschutz festlegen (z.B. Umgang mit Anfragen von Betroffenen, Datenpannen).
- Mitarbeiter zum Datenschutz schulen.
- Verzeichnis der Verarbeitungstätigkeiten erstellen oder aktualisieren.
- Jede Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten auf DSGVO-Konformität prüfen und soweit nötig jeweils
- Datenschutzinformationen für Betroffene ergänzen oder aktualisieren
- Datenschutzverträge schließen
- Datenschutzfolgenabschätzungen durchführen
- Sonstige spezifische Maßnahmen treffen (z.B. Einwilligungen einholen, Löschkonzepte erstellen, Zugriffsrechte anpassen).
Jetzt buchen: Mein praxisnahes Online Webinar/Schulung zur DSGVO (2 x 2,5 Stunden, online)
Tipp: Erfinden Sie das Rad nicht neu. Mein kostenloses "DSGVO-Sinfonie" Paket enthält eine Muster-Datenschutzrichtlinie für Unternehmen inklusive Anleitung zur Umsetzung, Checkliste und Übersicht. Zum DSGVO-Sinfonie Paket