DSGVO Wissen

Datenschutz in der Praxis verständlich erklärt

Was bedeutet DSGVO im Unternehmensalltag?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in Unternehmen. Sie betrifft nahezu alle Branchen und erfordert klare Prozesse, dokumentierte Abläufe und einen verantwortungsvollen Umgang mit sensiblen Daten.

Häufige Fragen zur DSGVO

  • Was ist die DSGVO einfach erklärt?
    Die DSGVO ist ein EU-weites Gesetz, das regelt, wie Unternehmen personenbezogene Daten erheben, speichern und verarbeiten dürfen. Ziel ist der Schutz der Privatsphäre von Personen sowie die Transparenz der Datenverarbeitung.
  • Wann brauche ich ein Verzeichnis von Verarbeitungstätigkeiten?
    Sobald ein Unternehmen regelmäßig personenbezogene Daten verarbeitet, ist ein Verzeichnis nach Art. 30 DSGVO verpflichtend. Es dokumentiert alle Prozesse, Zwecke, Datenarten und Empfänger.
  • Was ist ein AV-Vertrag?
    Ein Auftragsverarbeitungsvertrag (AVV) regelt die Datenverarbeitung durch externe Dienstleister. Er stellt sicher, dass diese ebenfalls DSGVO-konform arbeiten und Daten nur nach Weisung verarbeiten.
  • Welche Daten gelten als personenbezogen?
    Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, z. B. Name, E-Mail-Adresse, IP-Adresse oder Kundennummer.
  • Wann ist ein Datenschutzbeauftragter Pflicht?
    Ein Datenschutzbeauftragter ist verpflichtend, wenn mindestens 20 Personen regelmäßig personenbezogene Daten verarbeiten oder besondere Datenkategorien verarbeitet werden (z. B. Gesundheitsdaten).
  • Welche Strafen drohen bei DSGVO-Verstößen?
    Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Zusätzlich können Reputationsschäden entstehen.
  • Wie lange dürfen Daten gespeichert werden?
    Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden.
  • Was sind technische und organisatorische Maßnahmen (TOMs)?
    TOMs sind Sicherheitsmaßnahmen wie Zugriffskontrollen, Verschlüsselung oder Berechtigungskonzepte, die den Schutz personenbezogener Daten sicherstellen.
  • Wie gehe ich mit Bewerberdaten richtig um?
    Bewerberdaten dürfen nur für den Bewerbungsprozess genutzt werden und müssen nach Abschluss des Verfahrens spätestens nach 6 Monaten gelöscht werden, sofern keine Einwilligung zur längeren Speicherung vorliegt.
  • Was muss ich bei Tracking und Cookies beachten?
    Tracking-Technologien dürfen nur mit aktiver Einwilligung der Nutzer eingesetzt werden. Diese muss freiwillig, informiert und jederzeit widerrufbar sein.

Fachliche Einblicke zur DSGVO

1. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT ist die zentrale Dokumentationspflicht der DSGVO. Es beschreibt detailliert, welche personenbezogenen Daten im Unternehmen verarbeitet werden, zu welchem Zweck dies geschieht, auf welcher Rechtsgrundlage und welche Empfänger beteiligt sind. Ohne ein vollständiges VVT ist eine DSGVO-Konformität faktisch nicht nachweisbar.

2. Auftragsverarbeitung und AV-Verträge

Sobald externe Dienstleister wie IT-Provider, Cloud-Anbieter oder Marketingagenturen personenbezogene Daten im Auftrag verarbeiten, ist ein AV-Vertrag zwingend erforderlich. Dieser definiert Verantwortlichkeiten, Sicherheitsmaßnahmen und Kontrollrechte des Auftraggebers.

3. Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist erforderlich, wenn Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen. Sie bewertet Risiken systematisch und definiert geeignete Schutzmaßnahmen.

4. Rechtsgrundlagen der Verarbeitung

Jede Datenverarbeitung benötigt eine rechtliche Grundlage wie Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Ohne klare Rechtsgrundlage ist die Verarbeitung unzulässig.

5. Löschkonzepte und Speicherfristen

Unternehmen müssen definieren, wie lange Daten gespeichert werden dürfen. Ein strukturiertes Löschkonzept verhindert Datenüberhang und reduziert Haftungsrisiken.

6. Betroffenenrechte

Betroffene Personen haben Rechte auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Unternehmen müssen Prozesse implementieren, um diese Rechte fristgerecht zu erfüllen.

7. Datenschutzverletzungen und Meldepflichten

Datenschutzvorfälle müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden, sofern ein Risiko für Betroffene besteht. Interne Prozesse zur schnellen Reaktion sind entscheidend.

8. Technische und organisatorische Maßnahmen (TOMs)

TOMs bilden die Sicherheitsbasis der DSGVO. Sie umfassen Verschlüsselung, Zugriffskontrollen, Backups und physische Sicherheitssysteme.

9. Datenschutz in der Cloud

Cloud-Dienste erfordern besondere Prüfungen hinsichtlich Datenstandort, Subunternehmern und Sicherheitsniveau. Ohne geeignete Verträge besteht ein erhebliches Risiko.

10. Datenschutz als kontinuierlicher Prozess

DSGVO-Konformität ist kein einmaliges Projekt, sondern ein laufender Prozess. Regelmäßige Audits, Schulungen und Aktualisierungen sind notwendig, um dauerhaft compliant zu bleiben.

DSGVO sicher umsetzen

Wir unterstützen Sie bei der rechtssicheren Umsetzung aller Datenschutzanforderungen.

Jetzt Kontakt aufnehmen