FAQs zum Datenschutz
- Was ist Datenschutz?
- Was sind personenbezogene Daten?
- Was sind besondere Kategorien personenbezogener Daten?
- Muss ich das Datenschutzrecht beachten?
- Gilt das Datenschutzrecht auch bei Dateien, die in Papierform verarbeitet werden?
- Brauche ich einen Datenschutzbeauftragten?
- Muss ich ein Verarbeitungsverzeichnis führen?
- Wann müssen personenbezogene Daten gelöscht werden?
- Muss ich Datenschutzhinweise bereitstellen?
- Muss ich meine Mitarbeiter im Umgang mit dem Datenschutz schulen?
Was ist Datenschutz?
Der Datenschutz regelt den Umgang mit personenbezogenen Daten natürlicher Personen. Sein Ziel ist es, den Missbrauch oder die unrechtmäßige Verarbeitung dieser Daten zu verhindern. Dadurch werden die Persönlichkeitsrechte jeder Person geschützt.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das umfasst sowohl eindeutige Daten wie den Namen, die Adresse, die E-Mail-Adresse und Ähnliches, aber auch Kennnummern, wie beispielsweise eine Kontonummer oder virtuelle Daten, wie beispielsweise eine IP-Adresse.
Werden die Daten anonymisiert, sodass die dahinterstehende Person nicht mehr identifiziert werden kann, handelt es sich nicht mehr um personenbezogene Daten und die Grundsätze des Datenschutzes gelten nicht.
Werden die Daten anonymisiert, sodass die dahinterstehende Person nicht mehr identifiziert werden kann, handelt es sich nicht mehr um personenbezogene Daten und die Grundsätze des Datenschutzes gelten nicht.
Was sind besondere Kategorien personenbezogener Daten?
Besondere Kategorien personenbezogener Daten sind Datenkategorien, die der Gesetzgeber als besonders schützenswert angesehen hat, wie z.B. Gesundheitsdaten, biometrische Daten, genetische Daten, religiöse oder weltanschauliche Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder ethnische Herkunft. Häufig werden diese Kategorien auch als „(besonders) sensible Daten“ bezeichnet. Für die Verarbeitung dieser Datenkategorien gelten besondere Anforderungen.
Muss ich das Datenschutzrecht beachten?
Ja. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss das Datenschutzrecht einhalten. Das gilt unabhängig von der Branche oder Anzahl der Mitarbeitenden.
Gilt das Datenschutzrecht auch bei Dateien, die in Papierform verarbeitet werden?
Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder "Post-it" Aufkleber fallen also nicht darunter, soweit sie nicht geordnet abgelegt werden.
Brauche ich einen Datenschutzbeauftragten?
Sie brauchen einen Datenschutzbeauftragten, wenn mindestens einer der folgenden Punkte zutrifft:
- Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
- Es werden Verarbeitungen vorgenommen, die einer Datenschutzfolgenabschätzung bedürfen.
- Die Kerntätigkeit des Verantwortlichen besteht in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen.
- Die Kerntätigkeit des Verantwortlichen besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO.
Muss ich ein Verarbeitungsverzeichnis führen?
Alle Unternehmen, die personenbezogene Daten automatisiert oder nicht automatisiert verarbeiten und sie in einem Dateisystem speichern oder speichern wollen, müssen ein Verzeichnis über die Verarbeitungen führen. Das Gesetz sieht eine Ausnahme vor: Unternehmen mit weniger als 250 Mitarbeitenden sind von der Pflicht, ein Verarbeitungsverzeichnis zu führen, befreit. Aber nur dann, wenn die Verarbeitung selbst kein Risiko birgt – ein Risiko besteht z. B. immer bei Scoring und Überwachungsmaßnahmen -, die Verarbeitung nur gelegentlich erfolgt, und keine besonderen sensiblen Datenkategorien, wie z. B. Religions-, Gesundheitsdaten usw. betroffen sind. Die meisten Unternehmen verarbeiten regelmäßig Daten ihrer Mitarbeitenden und Kunden, so dass die Ausnahmevorschrift in den meisten Fällen nicht greift und das Verarbeitungsverzeichnis geführt werden muss.
Wann müssen personenbezogene Daten gelöscht werden?
Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind - der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. ist für Handelsbriefe eine Aufbewahrungsfrist von 6 Jahren vorgesehen gemäß oder für Buchungsbelege 8 Jahre. Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. "Löschkonzept" aufzusetzen. Darin soll festgelegt sein, welche Kategorien von Daten im Unternehmen verarbeitet werden und nach welchen Fristen diese Daten gelöscht werden. Dies ist allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.
Muss ich Datenschutzhinweise bereitstellen?
Ja, sobald Sie personenbezogene Daten verarbeiten, müssen Sie den Betroffenen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitstellen. Das geht entweder in Papierform oder digital.
Inhaltlich muss den Betroffenen ein Überblick über die verarbeiteten Daten, die Rechtsgrundlagen und den Zweck der Verarbeitung, die Speicherdauer, eventuelle Datenübermittlungen an Dritte und ihre ausübbaren Rechte gegeben werden.
Die Betroffenen müssen nicht bestätigen bzw. unterschreiben, dass Sie die Datenschutzhinweise tatsächlich gelesen haben.
Inhaltlich muss den Betroffenen ein Überblick über die verarbeiteten Daten, die Rechtsgrundlagen und den Zweck der Verarbeitung, die Speicherdauer, eventuelle Datenübermittlungen an Dritte und ihre ausübbaren Rechte gegeben werden.
Die Betroffenen müssen nicht bestätigen bzw. unterschreiben, dass Sie die Datenschutzhinweise tatsächlich gelesen haben.
Muss ich meine Mitarbeiter im Umgang mit dem Datenschutz schulen?
Gemäß der DSGVO gibt es keine ausdrückliche Pflicht des Verantwortlichen, die eigenen Mitarbeitenden im Datenschutz zu schulen.
Jedoch muss der Verantwortliche geeignete Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen zählt u.a. auch die Schulung der Mitarbeitenden. Im Falle eines Datenschutzverstoßes sollte der Verantwortliche zudem nachweisen können, dass alle Mitarbeitenden ausreichend darüber in Kenntnis gesetzt wurden, wie mit personenbezogenen Daten umzugehen ist. Somit ergibt sich eine indirekte Pflicht für Mitarbeiterschulungen.
Stand: Juli 2025
Jedoch muss der Verantwortliche geeignete Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen zählt u.a. auch die Schulung der Mitarbeitenden. Im Falle eines Datenschutzverstoßes sollte der Verantwortliche zudem nachweisen können, dass alle Mitarbeitenden ausreichend darüber in Kenntnis gesetzt wurden, wie mit personenbezogenen Daten umzugehen ist. Somit ergibt sich eine indirekte Pflicht für Mitarbeiterschulungen.
Stand: Juli 2025