Recht und Steuern
FAQs zur DSGVO
Welche Arten von Daten sind durch die DSGVO geschützt?
Die DSGVO schützt alle personenbezogenen Daten, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Hierzu zählen u. a. Name, Anschrift, Telefonnummer, E-Mail-Adresse, Kontodaten, Bonitätsdaten, Kfz-Kennzeichen, Personalausweisnummer, Sozialversicherungsnummer, IP-Adresse, Fotos, Gesundheitsdaten sowie Werturteile wie Zeugnisse. Nicht geschützt sind anonymisierte Daten, die keinen Personenbezug mehr aufweisen.
Gilt Datenschutz auch für Firmenkunden?
Ja, sobald personenbezogene Daten von Ansprechpartnern (z. B. Name, E-Mail-Adresse, Funktion) verarbeitet werden, gilt die DSGVO auch im B2B-Bereich. Angaben zu juristischen Personen sind nicht geschützt, es sei denn, sie lassen Rückschlüsse auf natürliche Personen zu.
Ist das Bundesdatenschutzgesetz (BDSG) neben der DSGVO weiterhin anwendbar?
Die DSGVO gilt unmittelbar und vorrangig. Das BDSG ergänzt die DSGVO, etwa im Beschäftigtendatenschutz (§ 26 BDSG). Nach aktueller EuGH- und BAG-Rechtsprechung ist § 26 BDSG nur noch eingeschränkt anwendbar, da er nicht alle Anforderungen der DSGVO-Öffnungsklausel erfüllt. Die Bundesregierung arbeitet an einer Neuregelung.
Gilt das Datenschutzrecht auch bei Papierakten?
Ja, die DSGVO gilt für strukturierte Papierakten ebenso wie für elektronische Datenverarbeitung, sofern die Daten in einem Dateisystem abgelegt werden.
Sind auch Kleingewerbetreibende von der DSGVO erfasst?
Ja, die DSGVO gilt für alle Unternehmen, unabhängig von Größe und Branche. Kleine Unternehmen sind nur von einzelnen Pflichten (z. B. Datenschutzbeauftragter) ausgenommen, müssen aber alle übrigen Vorgaben umsetzen.
Fallen auch außereuropäische Unternehmen unter die DSGVO?
Ja, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten (Marktortprinzip).
Wann dürfen Daten rechtmäßig verarbeitet werden?
Eine Verarbeitung ist zulässig, wenn eine Rechtsgrundlage besteht: Vertragserfüllung, Einwilligung, gesetzliche Pflicht oder berechtigtes Interesse. Die Einwilligung ist nur in bestimmten Fällen erforderlich und muss freiwillig, informiert und widerrufbar sein (Art. 6, Art. 7 DSGVO).
Wie sieht eine wirksame Einwilligung aus?
Eine Einwilligung muss freiwillig, informiert, eindeutig und jederzeit widerrufbar sein. Sie darf nicht an eine Bedingung gekoppelt sein und muss über den Zweck der Verarbeitung informieren (Art. 4 Nr. 11, Art. 7 DSGVO).
Was bedeutet die Rechenschaftspflicht?
Unternehmen müssen nachweisen können, dass sie alle Datenschutzvorgaben einhalten (Art. 5 Abs. 2 DSGVO). Dazu gehören auch die Datenschutzgrundsätze und die Dokumentation der Prozesse.
Darf ich die Daten meiner Mitarbeiter verarbeiten?
Beschäftigtendaten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern dies erforderlich ist. Für darüber hinausgehende Zwecke (z. B. Veröffentlichung von Fotos) ist eine freiwillige Einwilligung erforderlich. Die Anforderungen an den Beschäftigtendatenschutz werden derzeit neu geregelt, da § 26 BDSG nur noch eingeschränkt anwendbar ist.
Was ist ein Datenschutzmanagement?
Ein Datenschutzmanagementsystem umfasst u. a. das Verzeichnis von Verarbeitungstätigkeiten, Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, Mitarbeiterschulungen und ein Datensicherheitskonzept.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Es dokumentiert alle Verarbeitungsvorgänge personenbezogener Daten. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift praktisch selten, da regelmäßig Beschäftigtendaten verarbeitet werden (Art. 30 DSGVO).
Müssen technische und organisatorische Maßnahmen getroffen werden?
Ja, die DSGVO verlangt einen risikobasierten Ansatz für technische und organisatorische Maßnahmen (TOM), z. B. Verschlüsselung, Zugriffskontrollen, regelmäßige Überprüfung der Maßnahmen (Art. 32 DSGVO).
Was sind die wichtigsten Sofortmaßnahmen zur Umsetzung der DSGVO?
Verarbeitungsverzeichnis erstellen, Datenschutzerklärung anpassen, Auftragsverarbeitungsverträge schließen, Einwilligungen prüfen und ggf. neu einholen, IT-Sicherheit aufbauen, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten einrichten, Mitarbeitersensibilisierung.
Wann müssen personenbezogene Daten gelöscht werden?
Daten müssen gelöscht werden, wenn sie für den Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen entgegenstehen (z. B. 6 Jahre für Handelsbriefe, 10 Jahre für steuerrelevante Unterlagen). Ein Löschkonzept ist zu empfehlen (Art. 17 DSGVO).
Wann ist ein Datenschutzbeauftragter zu bestellen?
Wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder besondere Kategorien personenbezogener Daten verarbeitet werden. Die Berechnung umfasst alle regelmäßig mit Datenverarbeitung befassten Personen, unabhängig vom Beschäftigungsstatus (§ 38 BDSG).
Was ist bei der Beauftragung von Dienstleistern zu beachten?
Bei Auftragsverarbeitung ist ein Vertrag nach Art. 28 DSGVO erforderlich. Der Dienstleister muss angemessene technische und organisatorische Maßnahmen nachweisen.
Was ist eine Datenschutz-Folgenabschätzung?
Sie ist durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Mindestanforderungen sind systematische Beschreibung, Bewertung der Notwendigkeit/Verhältnismäßigkeit, Risikobewertung und geplante Abhilfemaßnahmen (Art. 35 DSGVO). Die Aufsichtsbehörden veröffentlichen Listen (Blacklists/Whitelists) mit Verarbeitungsvorgängen, für die eine DSFA verpflichtend oder entbehrlich ist. Im Zweifel empfiehlt sich die Durchführung einer DSFA, da die Behörden die Anforderungen streng auslegen und Verstöße mit Bußgeldern ahnden.
Darf ich mein Geschäftslokal per Video überwachen?
Videoüberwachung ist zulässig, wenn sie erforderlich ist und kein milderes Mittel zur Wahrung des Hausrechts besteht. Betroffene müssen frühzeitig informiert werden, und die Speicherung ist auf wenige Tage zu begrenzen, außer bei Nachweis strafbarer Handlungen.
Wer trägt die Verantwortung bei Datenschutzverstößen?
Das Unternehmen als verantwortliche Stelle haftet für Datenschutzverletzungen. Auch der Auftragsverarbeiter haftet, wenn er gegen Weisungen verstößt (Art. 82 DSGVO).
Müssen die Datenschutzerklärungen auf Webseiten angepasst werden?
Ja, sie müssen alle Datenverarbeitungen auf der Webseite abdecken, inkl. Cookies, Tracking, Newsletter, Social Media und Zahlungsdienstleister. Die Einwilligung für Newsletter muss nachweisbar sein (Double-Opt-In).
Wie erfolgt eine Überprüfung durch die Datenschutzaufsicht?
Die Landesdatenschutzbehörden können Unternehmen überprüfen, Verarbeitungsverzeichnisse anfordern und Bußgelder verhängen.
Wann muss ein Verstoß gemeldet werden?
Datenschutzverletzungen sind binnen 72 Stunden der Aufsichtsbehörde zu melden. Die betroffene Person ist ebenfalls zu informieren, wenn ein hohes Risiko besteht (Art. 33, 34 DSGVO).
Mit welchen Sanktionen bei Verstößen ist zu rechnen?
Die DSGVO sieht empfindliche Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes vor (Art. 83 DSGVO).
Drohen wettbewerbsrechtliche Abmahnungen?
Abmahnungen sind möglich, insbesondere bei fehlerhaften Datenschutzerklärungen auf Webseiten. Die Anpassung an die DSGVO ist dringend zu empfehlen.