Die wichtigsten Begriffe der DSGVO, und was Sie bedeuten.

Was steckt hinter den vielen Fachbegriffen? Was ändert sich für Ihr Unternehmen? Welche Maßnahmen müssen Sie ergreifen? Wir erklären die wichtigsten Begriffe, kurz, knapp und verständlich.

Arbeitnehmer-Datenschutz

Mit der Aufnahme einer Tätigkeit innerhalb eines Unternehmens, die den Umgang mit personenbezogenen Daten erfordert, ist der betreffende Mitarbeiter auf die Einhaltung der Datenschutzrichtlinien zu verpflichten. Bei der Erhebung und Nutzung von Mitarbeiterdaten sind zwingend Einwilligungen einzuholen.

Daten­löschung

Jedem Betroffenen steht ein "Recht auf Vergessen" zu. Sobald keine gesetzliche Grundlage (z. B. steuerliche Aufbewährungspflicht) mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen.

Datenschutz­beauftragter

Unternehmen müssen in der Regel einen Datenschutzbeauftragten bestellen, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wenn kein Datenschutzbeauftragter bestellt ist, ist immer der Unternehmer selbst für die Prozesse in seinem Betrieb verantwortlich.

Datenschutz­erklärung

Die Pflicht, eine Datenschutzerklärung auf einer Website einzubinden, ergibt sich aus §13 TMG. Danach muss der Seiteninhaber den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung sowie etwaige Weitergaben personenbezogener Daten unterrichten.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSFA ist durchzuführen, wenn nach einer Schwellwertanalyse ein hohes Risiko besteht. Sie befasst sich insbesondere mit Abhilfemaßnahmen (TOM).

Datenschutz­verletzungen

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Mandantendaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

Informations-/
Auskunftspflichten

Jedes Unternehmen hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben.

Daten­schutz­beauftragter (intern)

Der interne Datenschutzbeauftragte ist unmittelbar dem Geschäftsführer unterstellt und in der Ausübung seiner Aufgaben weisungsfrei. Zudem genießt er einen besonderen Kündigungsschutz. Hierzu muss man ihm zum Erhalt der Fachkunde die Teilnahme an Schulungs- und Fortbildungsveranstaltungen ermöglichen und die damit verbundenen Kosten übernehmen.

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (dem „Betroffenen“): Alter, Geschlecht, Anschrift, Religion, sexuelle Orientierung, Vermögen, Äußerungen, politische und weltanschauliche Überzeugungen usw.

Verzeichnis von Verarbeitungstätigkeiten

Grundsätzlich ist jedes Unternehmen, jeder Freiberufler und Verein und neu, auch jeder Auftragsverarbeiter, zur Erstellung und Führung eines Verzeichnis der Verarbeitungstätigkeiten (VVT) verpflichtet. Das VVT ist die Summe der einzelnen Verfahrensbeschreibungen zur Einhaltung der Datenschutzvorgaben.

Wir haben die Antworten.

Sie stehen vor einem Berg von Fragen? Die Datenschutzhelfer geben hier Antworten zu häufig gestellten Fragen. Ihre Frage ist nicht darunter? Wir kümmern uns selbstverständlich auch um Ihre individuellen Fragen zum Thema Datenschutz. Kontaktieren Sie uns jetzt.

DSGVO

Was versteht man unter "Automatisierte Verarbeitung personenbezogener Daten"?

Eine Definition für die „automatisierte Verarbeitung“ von Daten findet sich in § 3 Abs. 2 BDSG: Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Was sind Datenverarbeitungsanlagen (DVA)?

Mit Datenverarbeitungsanlagen sind elektronische Systeme und Anlagen zum automatisierten Handhaben von Daten gemeint. Darunter fallen sowohl Kleingeräte wie PCs, Laptops, Tablets und Smartphones als auch große Systeme wie beispielsweise unternehmensinterne Rechnernetzwerke oder cloud-basierte Netzwerklösungen.

Was alles fällt in den Bereich "Videoüberwachung"?

Führt ein Unternehmen eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

Was ist ein "Externer Datenschutzbeauftragter"?

Externe Datenschutzbeauftragte sind Dienstleister, die über die notwendige Sachkunde und Erfahrung verfügen und einen internen Datenschutzbeauftragten ersetzen. Sie unterstützen bei der Einhaltung aller datenschutzrechtlichen Vorgaben und haften für etwaige Versäumnisse.

Was ist eine "Technisch organisatorische Maßnahmen (TOM)"?

Die Datensicherheit ist eines der zentralen Prinzipen des Datenschutzes. Hierfür haben Sie und Ihr Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen. In der Anlage zu § 9 BDSG sind die Anforderungen beschrieben, in welchen Kategorie Schutzmaßnahmen sichergestellt sein müssen. Dabei handelt es sich um die sog. „Acht Gebote des Datenschutzes“: um Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot.

Was versteht man unter Auftragsverarbeitung?

Sobald Unternehmen externe Dienstleister (Outsourcing) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich. Das betrifft z. B. externe Unternehmen für u. a. Lohn-/Gehaltsabrechnung (außer beim Steuerberater), Call-Center, Mailings, Newsletter-Versand, Lettershops, Aktenvernichtung etc. Ebenso zählt das Outsourcing von IT-Ressourcen (Rechenzentrum, Cloud Computing, Online-Speicherplatz etc.) dazu.

Was droht bei Datenschutzverstößen?

Bei Datenschutzverstößen können Bußgelder in einer Höhe von bis zu 20 Mio. € erhoben werden. Geschieht ein Verstoß absichtlich oder gegen Entgelt, droht Unternehmern sogar eine Freiheitsstrafe von bis zu zwei Jahren. Abgesehen davon können den Unternehmer selbstverständlich auch Schadensersatzansprüche von Geschädigten treffen. Verstöße gegen den Datenschutz können so rasch Forderungen in erheblicher Höhe nach sich ziehen und unter Umständen als Durchgriffshaftung in das Privatvermögen des Unternehmers vollstreckt werden.

Fallen alle Arten von Daten unter die Vorschriften der DSGV bzw. des BDSG?

Nein, der Schutzbereich umfasst die sogenannten personenbezogenen Daten. Dies sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (dem „Betroffenen“): Alter, Geschlecht, Anschrift, Religion, sexuelle Orientierung, Vermögen, Äußerungen, politische und weltanschauliche Überzeugungen usw.

Was bedeutet Erheben, Nutzen und Verarbeiten von personenbezogenen Daten im Sinne der DSGVO?

Gemäß § 3 Abs. 2 BDSG handelt es sich um die sog. „automatisierte Verarbeitung“ von Daten: Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Warum sollte ich einen externen Datenschutzbeauftragten für mein Unternehmen einsetzen?

Sollte in Ihrem Fall die Verpflichtung bestehen, einen Datenschutzbeauftragten zu bestellen, haben Sie die Wahl zu entscheiden, ob hierbei ein interner oder externer Datenschutzbeauftragten eingesetzt wird. Der interne Datenschutzbeauftragte ist unmittelbar dem Geschäftsführer unterstellt und in der Ausübung seiner Aufgaben weisungsfrei. Zudem genießt er einen besonderen Kündigungsschutz. Hierzu muss man ihm zum Erhalt der Fachkunde die Teilnahme an Schulungs- und Fortbildungsveranstaltungen ermöglichen und die Kosten übernehmen. Externe Datenschutzbeauftragte sind zertifizierte Dienstleister und damit Experten, die über die notwendige Sachkunde und Erfahrung verfügen und einen internen Datenschutzbeauftragten ersetzen. Sie unterstützen Sie und Ihr Unternehmen bei der Einhaltung aller datenschutzrechtlichen Vorgaben, schützen Sie damit vor möglichen Bußgeldern und haften für etwaige Versäumnisse.

Muss jedes Unternehmen, dass die Regelungen des Datenschutzes zu beachten hat, eine Datenschutz-Folgenabschätzung vornehmen?

Nein. Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn nach einer Schwellwertanalyse ein hohes Risiko für die verarbeiteten Daten in Ihrem Unternehmen besteht. Die Datenschutzfolgenabschätzung befasst sich insbesondere mit Abhilfemaßnahmen zur Risikominimierung. Eine Datenschutz-Folgenabschätzung (DSFA) ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Wann liegt eine Auftragsverarbeitung vor und was muss ich beachten?

Sobald Unternehmen externe Dienstleistungen (Outsourcing) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, handelt es sich um einen Auftragsverarbeitung. In diesen Fällen ist ein schriftlicherVertrag zur Auftragsverarbeitung erforderlich. Das betrifft externe Unternehmen für u. a. externe Lohn-/Gehaltsabrechnung (außer beim Steuerberater!), Call-Center, Mailings, Newsletter-Versand, Lettershops, Aktenvernichtung. Ebenso zählt das Outsourcing von IT-Ressourcen (Rechenzentrum, Cloud Computing, Online-Speicherplatz, etc.) dazu.

Was muss ich tun, wenn in meinem Unternemen ein Sicherheitsvorfall eintritt?

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Mandantendaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

Wann bin ich verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen?

Grundsätzlich ist jedes Unternehmen, Freiberufler, Verein und neu auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Das Verfahrensverzeichnis ist die Summe der einzelnen Verfahrensbeschreibungen zur Einhaltung der Datenschutzvorgaben.

Muss ich bei einer Videoüberwachung datenschutzrechtliche Regelungen beachten?

Ja. Führt ein Unternehmen eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

Abkürzungen

Was bedeutet ADV?

ADV steht für Auftragsdatenverarbeitung und umfasst sämtliche durch Dienstleister durchgeführte Maßnahmen im Umgang mit personenbezogenen Daten. Zu diesem Zwecke muss zwischen Auftraggeber und Dienstleister ein sogenannter ADV-Vertag geschlossen werden. Im Zuge der DSGVO werden diese Begriffe leicht verändert. Aus Auftragsdatenverarbeitung (ADV) wird Auftragverarbeitung und aus ADV-Verträgen werden AV-Verträge.

Was bedeutet DSB?

Die Abkürzung DSB steht im Rahmen der DSGVO für den Datenschutzbeauftragten. Dabei muss man zwischen internem und externem DSB unterschieden.Eine kurze Begriffserklärung finden Sie hier.

Was bedeutet EDSB?

Das Kürzel steht für den Europäischen Datenschutzbeauftragten. Er wurde eingesetzt, um die Einhaltung der Datenschutzrichtlinien bei der Verarbeitung von personenbezogenen Daten durch EU-Organe und Einrichtungen sicherzustellen.

Was bedeutet TOM?

TOM steht für alle technischen und organisatorische Maßnahmen die zur Einhaltung des Datenschutzes ergriffen werden. Das Kürzel ist bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannt, allerdings sieht die DSGVO eine Reihe neuer sowohl technischer als auch organisatorischer Maßnahmen vor. Zu den technischen Maßnahmen zählen beispielsweise die Verschlüsselung von Nutzerdaten, die Zugangskontrolle bzw. Beschränkung für Serverräume oder die Sicherstellung einer dauerhaften Stromversorgung. Organisatorische Maßnahmen umfassen alle Aktivitäten zur Einhaltung des Datenschutzes die sich um die eigentliche Datenverarbeitung herum abspielen. Dazu zählen z.B. die Einweisung und Schulung eines internen Datenschutzbeauftragten sowie die regelmäßige Überprüfung und ggf. Anpassung sämtlicher getroffener Maßnahmen zur Gewährleistung der sicheren Datenverarbeitung.

Sie benötigen Unterstützung beim Datenschutz?

Gern helfen wir Ihnen bei der Entwicklung und Umsetzung eines professionellen Datenschutzmanagements.
Unsere Lösungen sind sicher, bedarfsgerecht und wirtschaftlich.