Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Datenschutz » Datenschutz DSGVO

Datenschutz DSGVO

Datenschutz DSGVO Datenschutzbeauftragter
Datenschutz DSGVO Datenschutzbeauftragter

Wir unterstützten Sie bei der rechtswirksamen Umsetzung der Datenschutz DSGVO. In der Einhaltung der DSGVO sind viele kleine und mittelständische Unternehmen unvorbereitet. Die Beauftragung eines internen bzw. externen Datenschutzbeauftragten wurde nicht erkannt oder auf die lange Bank geschoben.

Seit dem 25. Mai 2018 mussten alle Betriebe in der mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten, einen DSB beauftragen. Wir sind  bundesweit als Dienstleister für den Datenschutz unterwegs und unterstützten Sie beim Aufbau eines wirksamen Datenschutz Managements.

Ab diesem Datum gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben. Für Betriebe, die Daten verarbeiten, bestehen kehrseitig gewisse Anforderungen an die Datennutzung. Wer Daten z.B. seiner Kunden und Geschäftspartner nutzen möchte, muss diese überwiegend formalen Anforderungen erfüllen.

Die Pflichten von Betrieben und die Rechte von Betroffenen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Vorschriften werden durch die §§ 32 bis 37 des Bundesdatenschutzgesetzes (BDSG) ergänzt. Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen.

Aktuelle Änderungen im Datenschutz 2024

Soweit öffentlich bekannt und zum aktuellen Stand (Anfang 2024) ersichtlich, gab es keine grundlegenden Änderungen am deutschen Datenschutzrecht (BDSG) oder an der europäischen Datenschutz-Grundverordnung (DSGVO), die speziell zum Jahr 2024 in Kraft getreten sind. Beide Regelwerke wurden zuletzt vor allem durch Urteile (z. B. des Europäischen Gerichtshofs) und Leitlinien (z. B. durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder oder den Europäischen Datenschutzausschuss) präzisiert.

Dennoch ist es wichtig, Folgendes zu beachten:

  • Aktuelle Rechtsprechung und Leitlinien
    Auch ohne formale Gesetzesänderung können Urteile und neue Auslegungshinweise die Anwendung von DSGVO und BDSG beeinflussen.
    Beispielsweise können Gerichtsurteile zur Zulässigkeit von Cookies oder Datenübermittlungen in Drittstaaten konkrete Änderungen in der Praxis nach sich ziehen.
  • EU-US Data Privacy Framework
    Im Juli 2023 trat das neue „EU-US Data Privacy Framework“ in Kraft, das den Datentransfer zwischen EU und USA erleichtern soll. An der DSGVO selbst ändert das zwar nichts direkt, allerdings wirkt sich dieses Rahmenwerk auf die praktische Umsetzung von Drittstaatentransfers aus.
  • E-Privacy-Verordnung (ePrivacy Regulation)
    Die geplante ePrivacy-Verordnung wird seit Längerem auf EU-Ebene verhandelt, ist aber bislang nicht beschlossen. Ein Inkrafttreten im Jahr 2024 galt zeitweise als möglich, verzögert sich jedoch weiter. Eine finale Fassung könnte zukünftig das Online-Datenschutzrecht deutlich verändern – allerdings wäre dies dann ein eigenes Regelwerk, nicht direkt eine Änderung an DSGVO/BDSG.
  • Bundesdatenschutzgesetz (BDSG)
    Das aktuelle BDSG (in der Fassung von 2018, angepasst an die DSGVO) unterliegt punktuellen Änderungen, etwa durch Anpassungen in anderen Gesetzen (z. B. Telemediengesetz, Telekommunikationsgesetz), sofern dort datenschutzrechtliche Bezüge bestehen. Größere Reformen rein am BDSG selbst sind aber bisher nicht bekannt.

Hinweis: Bislang gibt es keine umfassenden Neuerungen von BDSG und DSGVO, die zum Jahr 2024 speziell in Kraft getreten sind. Wer jedoch datenschutzrechtlich auf dem neuesten Stand bleiben möchte, sollte laufend gerichtliche Entscheidungen, Behördenleitlinien und die Entwicklung von EU-weiten Regelungen (z. B. zum Thema ePrivacy oder Datenübermittlungen in Drittstaaten) im Blick behalten.

DSGVO und ihre Bedeutung

Die Datenschutz-Grundverordnung (DSGVO) ist die wichtigste EU-weite Regelung zum Schutz personenbezogener Daten. Sie gibt verbindliche Vorgaben für die Verarbeitung und den Schutz dieser Daten vor und betrifft Unternehmen unabhängig von ihrer Größe – von Start-ups über Freiberufler bis hin zu etablierten Konzernen. Wer sich nicht an die Vorgaben hält, riskiert empfindliche Bußgelder und langfristigen Reputationsverlust.

Grundsätze der DSGVO​

Die Grundsätze der Datenschutzgrundverordnung DSGVO im Artikel 5. DSGVO gleichen im Kern denen der Bundesdatenschutzgesetz BDSG. Dennoch ergeben sich mit der DSGVO einige wichtige Änderungen, sowohl für Unternehmen als auch für Privatpersonen, die es zu beachten gilt. Die Unternehmen sollten umgehend die Forderungen im Betrieb umsetzen, ansonsten können gegen Verstöße hohe Bußgelder drohen. Siehe auch zur Informationen zur Informationssicherheit ISO 27001.

Auch Kleinunternehmer müssen die Anforderungen der Datenschutzgrundverordnung beachten. Eine Datenverarbeitung zur Ausübung persönlicher oder familiärer Tätigkeiten fallen nicht unter der DSGVO. Auch der Online Handel, beispielsweise Ebay, Online-Shops müssen sich an die Regelungen halten.

Wesentliche Neuerungen​

Im wesentlichen regelt die DSGVO die Rechte von Betroffenen und die Pflichten der Verantwortlichen. Die Rechte von betroffenen sind im Artikel 12 – 23 formuliert. Unternehmen sind verpflichtet, betroffene umfassend über die personenbezogenen Daten, die zu Verarbeitungszwecken gespeichert und verarbeitet werden zu informieren.

Jeder Mitarbeiter im Unternehmen hat ein Auskunftsrecht. Auch das Recht auf Datenübertragbarkeit ist im Artikel 20 geregelt. Hier geht es primär darum gewissen Daten, beispielsweise in Sozial Media Bereich mitzunehmen, wenn der Anbieter gewechselt wird, ohne dabei Daten zu verlieren. Auch das Recht auf Löschung (Recht auf Vergessenwerden) ist in der DSGVO Artikel 17 geregelt.

Anleitung zum rechtskonformen Datenschutz

Datenschutz ist in allen Unternehmen ein wesentliches Element, um personenbezogene Daten von Kunden-, Mitarbeiter- und Geschäftspartnerdaten zu schützen und gesetzliche Anforderungen zu erfüllen. Im Folgenden finden Sie eine übersichtliche Schritt-für-Schritt-Anleitung, wie Sie ein grundlegendes Datenschutzmanagement implementieren können:

Unsere Schritt für Schritt Anleitung zu einen rechtskonformen Datenschutz

  1. Ist-Analyse durchführen

    Datenflüsse erfassen: Verschaffen Sie sich zunächst einen Überblick darüber, welche personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden.
    Systeme und Prozesse auflisten: Dokumentieren Sie, wo und wie die Daten erhoben, gespeichert und weitergegeben werden (z. B. CRM-System, Personalsoftware, Newsletter-Tool).
    Zuständigkeiten klären: Wer ist für welche Verarbeitung verantwortlich? Benennen Sie intern kompetente Ansprechpartner für Datenschutzfragen.

  2. Datenschutzorganisation aufbauen

    Datenschutzbeauftragten (DSB) bestimmen: Prüfen Sie, ob Sie gesetzlich verpflichtet sind, einen DSB zu benennen (z. B. ab 20 Personen, die regelmäßig personenbezogene Daten automatisiert verarbeiten).
    Externer vs. interner DSB: Entscheiden Sie, ob Sie intern über ausreichende Fachkompetenz verfügen oder ob ein externer Dienstleister geeigneter ist.
    Rollen und Verantwortlichkeiten definieren: Legen Sie fest, wer im Unternehmen welche Aufgaben im Rahmen des Datenschutzes übernimmt (z. B. IT-Leitung, HR-Abteilung).

  3. Verzeichnis von Verarbeitungstätigkeiten erstellen

    Gesetzliche Pflicht:
    Nach Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen.
    Angaben je Verarbeitungstätigkeit:
    Zweck und Rechtsgrundlage der Verarbeitung
    Kategorien betroffener Personen und Daten (z. B. Kundendaten, Mitarbeiterdaten)
    Empfänger (intern/extern)
    Aufbewahrungsfrist
    Technische und organisatorische Maßnahmen (TOMs)
    Regelmäßige Aktualisierung: Halten Sie das Verzeichnis stets auf dem neuesten Stand, da sich Prozesse und Systeme ändern können.

  4. Rechtmäßigkeit der Datenverarbeitung sicherstellen

    Rechtsgrundlagen prüfen: Jede Verarbeitung personenbezogener Daten benötigt eine Erlaubnis (z. B. Vertragserfüllung, Einwilligung, gesetzliche Verpflichtung, berechtigtes Interesse).
    Einwilligungen einholen: Wo notwendig (z. B. Newsletter-Versand), fordern Sie eine ausdrückliche Einwilligung ein. Verwenden Sie möglichst das Double-Opt-In-Verfahren für Newsletter.
    Informationspflichten erfüllen: Informieren Sie Betroffene transparent über Art, Zweck, Dauer und Rechtsgrundlage der Verarbeitung (z. B. in Datenschutzerklärungen).

  5. Technische und organisatorische Maßnahmen (TOMs) umsetzen

    Zutritts- und Zugriffskontrolle: Stellen Sie sicher, dass nur autorisierte Personen Zugang zu Räumen, Systemen und Daten haben.
    Sicherheitskonzepte und Verschlüsselung: Schützen Sie Daten bei der Übertragung und Speicherung (z. B. SSL/TLS, Festplattenverschlüsselung).
    Backup- und Notfallkonzept: Sorgen Sie für regelmäßige Datensicherungen und erstellen Sie einen Notfallplan, um im Ernstfall schnell reagieren zu können.

  6. Verträge zur Auftragsverarbeitung prüfen

    Externe Dienstleister identifizieren: Nutzen Sie Cloud-Services, Steuerberatung oder andere Dienstleister, die personenbezogene Daten in Ihrem Auftrag verarbeiten?
    Auftragsverarbeitungsvertrag (AVV) abschließen: Nach Art. 28 DSGVO benötigen Sie mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen rechtskonformen Vertrag.
    Regelmäßiges Controlling: Überprüfen Sie die Einhaltung der vertraglichen Vorgaben und lassen Sie sich Sicherheitsnachweise (z. B. Zertifikate) vorlegen.

  7. Schulung und Sensibilisierung der Mitarbeitenden

    Regelmäßige Datenschutz-Schulungen: Führen Sie Seminare oder E-Learning-Module durch, um das Bewusstsein für Datenschutz zu stärken.
    Awareness fördern: Weisen Sie auf Phishing, Social Engineering und andere Gefahren hin, um menschliche Fehler zu reduzieren.
    Ansprechpersonen nennen: Kommunizieren Sie klar, an wen sich Mitarbeitende bei Fragen oder Verdachtsfällen wenden können.

  8. Datenschutz-Folgenabschätzung (DSFA) bei hohen Risiken

    Identifizierung risikoreicher Verarbeitungen: Prüfen Sie, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht (z. B. bei umfangreicher Verarbeitung sensibler Daten).
    DSFA durchführen: Bewerten Sie mögliche Risiken und legen Sie fest, wie diese minimiert werden sollen.
    Abstimmung mit Aufsichtsbehörde: Wenn die Ergebnisse unklar sind oder erhebliche Restrisiken bestehen, wenden Sie sich an die zuständige Datenschutzbehörde.

  9. Datenschutzerklärung für Webseiten und Apps

    Rechtskonforme Inhalte: Informieren Sie Webseitenbesucher über Zweck, Rechtsgrundlage, Speicherdauer und Weitergabe von Daten.
    Cookie-Banner und Opt-In-Verfahren: Beachten Sie die Vorgaben für Tracking- und Analysetools (Opt-in oder Opt-out je nach Rechtsgrundlage).
    Kontakt zum DSB: Machen Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten leicht zugänglich (Impressum/Datenschutz-Seite).

  10. Strafen und Sanktionen vermeiden

    Bußgeldrahmen beachten: DSGVO und BDSG sehen Geldbußen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes vor.
    Dokumentationspflicht erfüllen: Eine sorgfältige Dokumentation dient als Nachweis im Falle einer Prüfung durch die Datenschutzaufsichtsbehörde.
    Laufende Überwachung und Optimierung: Datenschutz ist ein kontinuierlicher Prozess. Passen Sie Richtlinien, Prozesse und Schulungen regelmäßig an neue Gesetze, Urteile und technologische Entwicklungen an.

Auskunftsrecht (Art. 15 DSGVO)​

Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.

Kosten für Datenschutz und QM System
Kosten für Datenschutz und QM System

Alt-Datenbestände​

Auch alte Datenbestände, sogenannte Alt-Bestände die vor dem 25. Mai 2018 erhoben wurden, fallen unter die Anforderungen der Datenschutzgrundverordnung. Wurden die Daten vor diesem Datum rechtmäßig erhoben und verarbeitet ergeben sich keine großen Änderungen.

Diese wurden vorher im Bundesdatenschutzgesetz BDSG geregelt, dass vielfach mit der DSGVO übereinstimmt. Um diesen hohen Datenschutz Standard zu gewährleisten, hat die EU als Gesetzgeber die Bußgelder bei Zuwiderhandlung erheblich erhöht. Dieser kann unterumständen bis zu 4% des Umsatzes ausfallen.

Erhebung, Verarbeitung und Speicherung von Daten

Ein zentraler Aspekt des Datenschutzes ist die korrekte Erhebung, Verarbeitung und Speicherung personenbezogener Daten. Dabei gilt der Grundsatz der Datensparsamkeit: Es dürfen nur solche Daten erhoben werden, die für den angegebenen Zweck tatsächlich notwendig sind. Gleichzeitig müssen betroffene Personen stets über den Zweck der Datenerhebung sowie ihre Rechte informiert werden. Dies hat unmittelbare Auswirkungen auf Webseiten, Online-Shops, Newsletter-Anmeldungen oder Kontaktformulare.

Privacy by Design

Um Datenschutz von Beginn an richtig umzusetzen, empfiehlt es sich, das Prinzip Privacy by Design zu befolgen. Das bedeutet, dass Datenschutzaspekte bereits in der Planungsphase neuer Dienste, Produkte und Tools berücksichtigt und fest in deren Architektur verankert werden. Auf diese Weise werden nachträgliche Anpassungen, die oft kosten- und zeitintensiv sind, minimiert und das Risiko von Datenschutzverstößen sinkt.

Technische und organisatorische Maßnahmen (TOM)

Eine wichtige Rolle nimmt der verantwortungsvolle Umgang mit den erhobenen Informationen im Tagesgeschäft ein. Technische und organisatorische Maßnahmen (TOM) helfen dabei, die Datensicherheit zu gewährleisten. Hierzu gehören etwa Verschlüsselungen, Zugriffsbeschränkungen, regelmäßige Backups, sichere Passwörter sowie ein sorgfältiges Rechte- und Rollenkonzept. Unternehmen sollten zudem ein funktionierendes Datenschutz- und Sicherheitskonzept erstellen, das alle relevanten Prozesse festhält und Zuständigkeiten klar regelt. In vielen Fällen ist es zudem vorgeschrieben oder zumindest sinnvoll, einen Datenschutzbeauftragten zu bestellen, der die Einhaltung aller Datenschutzvorgaben überwacht.

Betroffenenrechte und wie Unternehmen reagieren sollten

Verbraucher haben gemäß DSGVO umfassende Rechte: das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit ihrer personenbezogenen Daten sowie das Widerspruchsrecht bei bestimmten Verarbeitungen. Unternehmen sollten daher strukturierte interne Prozesse etablieren, um schnell und datenschutzkonform auf entsprechende Anfragen reagieren zu können. Transparente Kommunikationswege und gut geschulte Mitarbeiter erhöhen nicht nur die Zufriedenheit der Kunden, sondern verringern auch das Risiko von Verstößen.

Reputationsfaktor Datenschutz

Datenschutz ist untrennbar mit der Außenwirkung eines Unternehmens verbunden. Wer den Schutz personenbezogener Daten vernachlässigt, riskiert nicht nur hohe Strafen, sondern auch einen erheblichen Reputationsschaden. Umgekehrt kann ein vorbildlicher Umgang mit Daten als klarer Vertrauensfaktor im Wettbewerb genutzt werden. Kunden und Geschäftspartner erwarten heute ein hohes Maß an Sicherheit und Transparenz. Wer diese Aspekte in den Vordergrund stellt, profitiert von einer nachhaltig positiven Wahrnehmung am Markt.

Datenschutz Beauftragter​

In ihren Unternehmen sind mehr als 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt? Wenn sie diese Frage mit JA beantworten, ist die Beauftragung eines internen oder externen Datenschutz beauftragten notwendig.

  1. Wir unterstützen Sie beim Aufbau eines Datenschutz Management System. Die Anforderungen an den betrieblichen Datenschutzbeauftragten ergeben sich aus den Artikeln 37 bis 39 der Europäischen Datenschutz- Grundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG).
  2. Die primäre Aufgabe eines Datenschutzbeauftragten gemäß DSGVO Artikel 39 ist die Unterrichtung und Beratung der Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und BDSG-Neu.
  3. Ferner obliegt dem Datenschutzbeauftragten die Überwachung auf Einhaltung der Datenschutzgrundverordnung hinsichtlich der Verarbeitung personenbezogener Daten.

Wann ist ein DSB zu benennen?​

Die Benennung eines Datenschutzbeauftragten (DSB) ist nicht freiwillig sondern wird im BDSG (Bundesdatenschutzgesetz) § 38 geregelt. Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben.

Des Weiteren benötigen Sie einen DSB wenn besondere Kategorien verarbeitet werden. Beispielsweise rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen. Verarbeiten Sie genetische und biometrische Daten zur eindeutigen Identifizierung von Beschäftigten oder Gesundheitsdaten sind Sie verpflichtet einen Datenschutzbeauftragten zu benennen. Weitere Informationen erhalten Sie im Artikel 9 DSGVO.

Bundesdatenschutzgesetz​

Das Bundesdatenschutzgesetz (BDSG) ist für Datenschutzbeauftragte im Unternehmen die zentrale Norm und regelt den Datenschutz sowohl für den öffentlichen (Bundesbehörden) als auch für den privaten Bereich (Unternehmen, Vereine). Eine Vorschrift des BDSG ist dann anwendbar, wenn keine fach- und bereichspezifische Datenschutzregelungen für den gleichen Sachverhalt in einem anderen Bundesgesetz gilt.

  1. Das BSDG gilt bei Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, der Länder sowie nicht-öffentliche Stellen (Wirtschaft). Ausgenommen sind persönliche oder familiäre Zwecke (§ 1 Abs. 2 BDSG).
  2. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben wurden (§ 28 Abs. 1 Satz 2 BDSG), dieser Zweck muss vor der Erhebung feststehen und darf nur durch Gesetz oder mit Einwilligung geändert werden. Die Verarbeitung ist dabei nach Art, Umfang und Dauer hinsichtlich des Erhebungszwecks zu begrenzen.
  3. Der Betroffene muss in der Lage sein, zu erfahren, wer welche Art von Daten in welchem Umfang und zu welchem Zweck erhebt, verarbeitet oder nutzt (Auskunftsansprüche, vgl. etwa §§ 4, 6b, 33, 34 BDSG).

Die Anlage zum BDSG zu § 9 enthält einen Katalog zu technischen und organisatorischen Maßnahmen bei Auftragsdatenverarbeitung zur Gewährleistung der Vorschriften des BDSG hinsichtlich Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle insbesondere auch auf die Verwendung von Verschlüsselungsverfahren zu achten, die dem Stand der Technik entsprechenden.

Datenschutzgrundverordnung​

Die DSGVO (Datenschutzgrundverordnung) ist nicht das Bundesdatenschutzgesetz BDSG. Waren früher schon ab 10 Mitarbeiter Unternehmen verpflichtet einen DSB zu benennen, so wurde die Schwelle im Juni 2019 von 10 auf 20 Mitarbeiter erhöht.

Insofern, dass diese sich auch ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigten. Die Spielregeln bleiben die gleichen. Auch wenn kein DSB mehr unter 20 Mitarbeiter gefordert ist, muss das Unternehmen die DSGVO einhalten.

Wie kann man die teilweise hohen Strafzahlungen bei Verstößen umgehen? Eigentlich nur wenn im Unternehmen ein DSB die Einhaltung der DSGVO überwacht und die Geschäftsleitung und Mitarbeiter auf Verstöße aufmerksam macht und diese umgehend beseitigt

Fazit

Datenschutz sollte als kontinuierlicher Prozess verstanden werden, der sich den dynamischen Anforderungen der digitalen Welt anpasst. Regelmäßige Schulungen der Mitarbeiter, permanente Sicherheits- und Risikoanalysen sowie die stetige Aktualisierung bestehender Konzepte bilden das Fundament für einen verlässlichen, zukunftssicheren und gesetzeskonformen Unternehmensauftritt. Wer diese Maßnahmen gewissenhaft umsetzt, profitiert von einem besseren Risikomanagement, umgeht potenzielle Bußgelder und stärkt das Vertrauen von Kunden und Geschäftspartnern – mit positivem Einfluss auf den langfristigen Geschäftserfolg.

FAQs zum Datenschutz

Was versteht man unter personenbezogenen Daten?

Unter personenbezogenen Daten fallen sämtliche Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Adresse, E-Mail-Adresse, Geburtsdatum oder auch IP-Adresse.

Wann ist ein Datenschutzbeauftragter vorgeschrieben?

a) Kerntätigkeit mit umfangreicher Überwachung: Ein DSB ist verpflichtend, wenn die Hauptaufgabe des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordern (z. B. Personalvermittlungen, Bewachungsunternehmen, Detekteien).
Umfangreiche Verarbeitung besonderer Kategorien: Betrifft Ihre Kerntätigkeit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Daten, benötigen Sie ebenfalls einen DSB.
b) Ab 20 Beschäftigten mit automatisierter Verarbeitung: Sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein DSB benannt werden. Als Beschäftigte zählen auch Leiharbeiter, freie Mitarbeiter, Praktikanten, Auszubildende.
c) Allgemeiner Grundsatz nach Artikel 37 DSGVO: Grundsätzlich benötigen alle Unternehmen, die automatisiert personenbezogene Daten verarbeiten (z. B. E-Mail-Adressen, Namen, Anschriften, Bankdaten), einen DSB. Bei weniger als 10 Personen ist die Benennung meist nicht verpflichtend.
Hinweis: In vielen Fällen ist es dennoch ratsam, unabhängig von der Größe oder Mitarbeiterzahl, einen DSB zu bestellen, um das Unternehmen rechtskonform aufzustellen und Bußgelder zu vermeiden.

Welche Konsequenzen drohen bei DSGVO-Verstößen?

Die DSGVO sieht empfindliche Bußgelder vor, die sich in manchen Fällen auf bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) belaufen können. Zudem kann ein Imageschaden entstehen, der das Vertrauen von Kunden und Partnern nachhaltig beeinträchtigt.

Wie können Kunden ihre Rechte geltend machen?

Verbraucher haben das Recht auf Auskunft über ihre Daten, können eine Berichtigung oder Löschung verlangen und unter bestimmten Voraussetzungen der Verarbeitung widersprechen. Sie können sich direkt an das Unternehmen wenden, das die Daten verarbeitet. Sollte das Unternehmen nicht reagieren oder der Anfrage nicht nachkommen, kann die zuständige Datenschutzaufsichtsbehörde eingeschaltet werden.

Wie wichtig sind regelmäßige Sicherheitsprüfungen?

Regelmäßige Sicherheits- und Risikoanalysen sind essenziell, um Schwachstellen in der IT-Infrastruktur frühzeitig zu erkennen. Nur durch eine stetige Prüfung und Aktualisierung technischer und organisatorischer Maßnahmen lässt sich ein hohes Schutzniveau aufrechterhalten und die Gefahr von Datenschutzverletzungen minimieren.

Was kostet ein Datenschutzbeauftragter?

Unser DSGVO-Paket umfasst alle notwendigen Schulungen sowie die erforderliche Dokumentation zur konformen Umsetzung der DSGVO und des BDSG. Dieses Paket bieten wir für 180,00 € im Monat an.
Bitte beachten Sie: Bei vorsätzlicher oder fahrlässiger Nichtbestellung eines Datenschutzbeauftragten können gemäß DSGVO Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes drohen.

Wer kann zum Datenschutzbeauftragten benannt werden?

Interner vs. Externer DSB: Der Datenschutzbeauftragte kann ein eigener Mitarbeiter oder ein externer Dienstleister sein.
Fachliche Qualifikation: In jedem Fall müssen fundierte Kenntnisse im Datenschutzrecht und IT-Bereich vorliegen.
Kein Interessenkonflikt: Personen, die selbst für die Datenverarbeitung verantwortlich sind (z. B. Geschäftsführung, IT-Leitung, Personalabteilung), dürfen in der Regel nicht DSB sein, da sie sich sonst selbst kontrollieren würden.

Was ist eine Auftragsverarbeitung?

Unter Auftragsverarbeitung versteht man das Auslagern von Verarbeitungsvorgängen personenbezogener Daten an einen Dienstleister. Das Unternehmen gibt die Daten zur Verarbeitung weiter, bleibt aber datenschutzrechtlich verantwortlich.
Beispiele:
Cloud-Anbieter, die Daten auf ihren Servern speichern
Steuerberater, die Steuererklärungen anhand von Kundendaten erstellen

Datenschutzerklärung für die Webseite

Sobald Sie auf Ihrer Webseite Tools zur Tracking-Analyse, Kontakt- oder Newsletterformulare einsetzen, müssen Sie eine Datenschutzerklärung bereitstellen. Darin informieren Sie über:
Zweck der Datenerhebung
Rechtsgrundlage der Verarbeitung
Mögliche Empfänger oder Drittanbieter
Kontaktdaten des Datenschutzbeauftragten
Außerdem können Sie von Ihrem Domain- bzw. Hosting-Anbieter häufig einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) anfordern oder herunterladen.

Strafen und Sanktionen nach DSGVO und BDSG

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) sehen erhebliche Strafen bei Verstößen vor. Bußgelder werden in zwei Kategorien eingeteilt:
Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes: z. B. bei unzureichender Kooperation mit Datenschutzbehörden, mangelnden Sicherheitsmaßnahmen
Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes: z. B. bei Verstößen gegen Verarbeitungsgrundsätze, Nichtbeachtung von Betroffenenrechten oder unerlaubter Datenübermittlung
Zusätzlich sind weitere Sanktionen möglich, wie etwa Verwarnungen, Anordnungen zur Löschung von Daten oder Einschränkungen der Verarbei

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner