Datenschutz für Unternehmen


Das Recht auf informa­tionelle Selbst­bestimmung

Das Recht auf informationelle Selbstbestimmung ist das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Es ist damit der Ursprung für Datenschutz und Datensicherheit sowie die Erarbeitung des Bundesdatenschutzgesetzes (BDSG) und der EU-Datenschutz-Grundverordnung (DSGVO).


Kleines 1x1 des Datenschutzes

  • Was sind personen­bezogene Daten?

    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

    z. B. Name, Geburtstag, Kontaktdaten, Kontonummer, Foto, Steuer-ID, Iris-Scan

  • Was sind besondere Kategorien personen­bezogener Daten?

    Dies sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetischen Daten oder biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

    z.B. Schwangerschaft, sexuelle Orientierung, Gewerkschaftszugehörigkeit

  • Wer ist der Verantwortliche?

    Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

    z.B. Geschäftsführer, Leiter Fachabteilung, Arzt, Inhaber

  • Was ist eine Auftrags­verarbeitung?

    Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Al le Prozesse, die auch durch die juristische Person selbst erledigt werden könnten, werden als Auftragsverarbeitung bezeichnet.

    z.B. externe Lohnbuchhaltung, externer IT-Service, externes Call-Center, Fernwartung

  • Was ist ein Verfahrens­verzeichnis?

    Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis wird Verfahrensverzeichnis genannt. Dieses Verzeichnis muss folgende Angaben über die Verarbeitungstätigkeiten enthalten:

    • den Namen und die Kontaktdaten des Verantwortlichen, des Vertreters und ggf. des Datenschutzbeauftragten
    • den Zweck der Verarbeitung
    • Datenkategorien betroffener Personen und Kategorien personenbezogener Daten
    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden
    • ggf. Übermittlung personenbezogener Daten in ein Drittland
    • Löschfristen
    • Beschreibung der technischen und organisatorischen Maßnahmen
  • Was ist eine Datenschutz­folgen­abschätzung?

    Die Datenschutzfolgenabschätzung ist die Abschätzung der Folgen bei der Verarbeitung personenbezogener Daten, bei denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vorausgegangen ist dieser Abschätzung in der Regel eine Risikoabschätzung.

  • Wie funktioniert eine Risiko­abschätzung?

    Es erfolgt die Einschätzung der Risiken, insbesondere der Eintrittswahrscheinlichkeit und der Schutzstufe der möglichen Verletzung von Rechten natürlicher Personen. Dies kann durch eine Matrix und die Festlegung eines Schwellwertes erfolgen.

Grundsätze des Datenschutzes

Schaubild Datenverarbeitung
  • Rechtmäßigkeit

    Personenbezogene Daten müssen nach Treu und Glauben verarbeitet werden und in einer für die Person nachvollziehbaren Weise verarbeitet werden. Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich.

    (Art.5 Abs. 1 lit. a DSGVO)

  • Speicherbegrenzung

    Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für den Zweck erforderlich ist. Es muß eine zeitliche Grenze der Verarbeitung geplant, angegeben und realisiert werden.

    (Art. 5 Abs.1 lit. e DSGVO)

  • Datenminimierung

    Personenbezogene Daten müssen für den Zweck angemessen und erheblich sein sowie auf das für die Zwecke notwendige Maß beschränkt sein.

    (Art. 5 Abs.1 lit. c DSGVO)

  • Zweckbindung

    Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

    (Art. 5 Abs. 1 lit. b DSGVO)

  • Richtigkeit

    Personenbezogene Daten müssen fachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Der Verantwortliche muß alle angemessenen Maßnahmen treffen, damit im Hinblick auf den Verarbeitungszweck unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden.

    (Art. 5 Abs.1 lit. d DSGVO)

  • Integrität und Vertraulichkeit

    Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Durch geeignete technische und organisatorische Maßnahmen muß der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung und unbeabsichtigter Schädigung gewährleistet werden.

    (Art. 5 Abs.1 lit. f DSGVO)

Die Betroffenen­rechte

  • Auskunftsrecht

    Jede betroffenen Person hat das Recht der Auskunft über die von ihr verarbeiteten personenbezogenen Daten.

    (Art. 15 DSGVO)

  • Berichtigungsrecht

    Jede betroffenen Person hat das Recht der Berichtigung unrichtiger und unvollständiger personenbezogener Daten.

    (Art. 16 DSGVO)

  • Löschrecht

    Jede betroffenen Person hat das Recht der Löschung ihrer personenbezogenen Daten bei Zweckwegfall, Widerruf der Einwilligung, Widerspruch und der unrechtmäßigen Datenverarbeitung. Eine Löschung muß nicht erfolgen, wenn die Verarbeitung notwendig ist zur Ausübung der freien Meinungsäußerung, der Erfüllung rechtlicher Verpflichtungen, aus Gründen des öffentlichen Interesses, für Archivzwecke und zur Geltendmachung von Rechtsansprüchen.

    (Art. 17 DSGVO)

  • Recht auf Vergessenwerden

    Jede betroffenen Person hat das Recht auf Vergessenwerden = Löschung ihrer personenbezogenen Daten bei Zweckwegfall, Widerruf der Einwilligung, Widerspruch und der unrechtmäßigen Datenverarbeitung.

    (Art. 17 DSGVO)

  • Recht auf Einschränkung der Verarbeitung/­Sperrung

    Jede betroffenen Person hat das Recht auf Einschränkung der Verarbeitung/Sperrung personenbezogener Daten, wenn die Richtigkeit bestritten wird, eine unrechtmäßige Verarbeitung, aber kein Löschverlangen vorliegt, weiterhin bei Zweckwegfall und Widerspruch, solange nicht feststeht, ob berechtigte Gründe des Verantwortlichen überwiegen.

    (Art. 18 DSGVO)

  • Recht auf Datenübertragung

    Jede betroffenen Person hat das Recht, die Übertragung personenbezogener Daten von einem Verantwortlichen zu einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen, wenn die Daten selbst bereit gestellt wurden.

    (Art. 20 DSGVO)

  • Widerspruchsrecht

    Jede betroffenen Person hat das Recht, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen, welche sich aus der Wahrnehmung einer Aufgabe des öffentlichen Interesses oder der berechtigten Interessen des Verantwortlichen ergeben.

    (Art. 21 DSGVO)

  • Recht gegen automatisierte Entscheidungen

    Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

    (Art. 22 DSGVO)

Weiterführende Grundsätze und Ideen des Datenschutzes

  • Meine Erwartung zum Umgang mit Daten sollte ich auch für fremde Daten umsetzen!

  • Mit gutem Datenschutz spare ich Geld!

  • Mit Datenschutz verbessere ich meine Prozesse!

  • Das Geheimnis ist Vereinfachung!

  • Datenschutz ist Zukunft!

  • Datenschutz wird nie mehr aufhören!

  • Guter Datenschutz ist ein Wettbewerbsvorteil!

  • Bei Nichtbeachtung des Datenschutzes drohen empfindliche Strafen!

  • Haftbar ist immer der Verantwortliche!

  • Datenschutz soll Spaß machen!

Dafür stehen unsere Mitarbeiter im Datenschutz

  • Datenminimierung

  • Vereinfachung der Prozesse

  • Zukunftssichere und weitsichtige Beratung im Datenschutzes und der Informationssicherheit im Rahmen der DSGVO

  • Kontinuierliche Verbesserung der Prozesse im Datenschutz

  • Finden von praktikablen Lösungen, die den Geschäftsablauf unterstützen

  • Regelmäßige Schulung der Verantwortlichen und Mitarbeiter

  • Konsequenter Schutz personenbezogener Daten

  • Transparente Dokumentation der Datenschutzprozesse

  • Verarbeitung personenbezogener Daten auf rechtmäßige und nachvollziehbarer Weise


Datenschutz fängt bei Ihnen an!

Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutz­beauftragte oder Konzerndaten­schutzbeauftragte.