DSGVO: Allgemeines und Begrifflichkeiten

Personenbezogene Daten sind jegliche Informationen über natürliche Personen (z.B. Name, Anschrift, Familienstand, Geburtsdatum, E-Mail-Adresse). Die DSGVO gilt für die automatisierte sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Keine Anwendung findet die DSGVO dagegen bei der Verarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (z. B. privates Telefonbuch, Schnappschüsse fürs Familienalbum, Art. 2 Abs. 2 c).

Der Begriff der Verarbeitung ist weit gefasst und umfasst jeglichen Umgang mit personenbezogenen Daten.

Die natürliche Person, auf die sich die personenbezogenen Daten beziehen, wird in der DSGVO als betroffene Person bezeichnet, also regelmäßig Ihre Kunden, insbesondere Webseiten-Besucher, aber auch Ihre Mitarbeiter (Art. 4 Nr. 1 DSGVO).

Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, also regelmäßig Sie als Unternehmer (Art. 4 Nr. 7 DSGVO).

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO), also regelmäßig ein externer Dienstleister. Hierfür ist ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO (PDF) erforderlich.

Möglichkeiten zum Schutz personenbezogener Daten bieten die Pseudonymisierung und die Anonymisierung:

Pseudonymisieren ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, z. B. Kundennummer, Nickname (Art. 4 Nr. 5 DSGVO).

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, z.B. Analysen und Statistiken (§ 3 Abs. 6 BDSG).

Verstöße gegen die DSGVO können teuer werden. Im Einzelfall kann die zuständige Aufsichtsbehörde Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO).