Datenschutz im Unternehmen: Die wichtigsten Begriffe der DSGVO

Ob Kunden-, Mitarbeiter- oder Lieferantendaten: Die Datenschutzgrundverordnung (DSGVO) gilt für alle Unternehmer und sorgt für einheitliche Regeln in der EU.

Geltungsbereich

Unternehmer sind von der Datenschutz-Grundverordnung (DSGVO) betroffen, sobald sie personenbezogene Daten natürlicher Personen verarbeiten – unabhängig von Unternehmensgröße oder Branche. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO), z. B. Name, Adresse, E-Mail, aber auch technische Daten wie IP-Adressen.
Die DSGVO gilt unmittelbar und vorrangig in allen EU-Mitgliedstaaten; das Bundesdatenschutzgesetz (BDSG) ergänzt sie nur, soweit die DSGVO Öffnungsklauseln vorsieht oder nationale Konkretisierungen zulässt, etwa im Beschäftigtendatenschutz (§ 26 BDSG).

Wichtige Begriffe und Definitionen

  • Personenbezogene Daten: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person (Art. 4 Nr. 1 DSGVO)
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Verwenden, Übermitteln oder Löschen (Art. 4 Nr. 2 DSGVO)
  • Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO)
  • Betroffene Person: Diejenige natürliche Person, auf die sich personenbezogene Daten beziehen (Art. 4 Nr. 1 DSGVO)
  • Pseudonymisierung: Verarbeitung personenbezogener Daten so, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können; diese Zusatzinformationen müssen gesondert aufbewahrt und besonders geschützt werden (Art. 4 Nr. 5 DSGVO)
  • Anonymisierung: Dauerhafte Entfernung des Personenbezugs, sodass eine Identifizierung auch mit Zusatzwissen nicht mehr möglich ist. Anonymisierte Daten unterliegen nicht mehr der DSGVO

Pflichten für Unternehmer

  • Rechtmäßigkeit, Transparenz, Zweckbindung: Jede Verarbeitung von Daten muss auf einer Rechtsgrundlage beruhen, darf nur für die festgelegten Zwecke erfolgen und muss für Betroffene nachvollziehbar sein (Art. 5, 6 DSGVO).
  • Technische und organisatorische Maßnahmen: Unternehmer müssen geeignete Maßnahmen zum Schutz der Daten treffen und deren Wirksamkeit regelmäßig überprüfen (Art. 24, 32 DSGVO), technische Maßnahmen sind z.B. Verschlüsselungssystem, organisatorische Maßnahmen z.B. Berechtigungsvergaben oder Schulung von Mitarbeitenden.
  • Informationspflichten: Betroffene sind umfassend über die Datenverarbeitung, ihre Rechte, die Rechtsgrundlage und die Speicherdauer zu informieren (Art. 13, 14 DSGVO).
  • Betroffenenrechte: Den Ansprüchen auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung, Widerspruch, Datenübertragbarkeit (Art. 15–22 DSGVO) ist zu entsprechen.
  • Meldepflichten: Datenschutzverstöße mit Risiko für Betroffene sind binnen 72 Stunden der Aufsichtsbehörde zu melden (Art. 33 DSGVO).
  • Verzeichnis von Verarbeitungstätigkeiten: Unternehmer müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen (Art. 30 DSGVO).
  • Auftragsverarbeitung: Bei externer Datenverarbeitung ist ein Vertrag nach Art. 28 DSGVO erforderlich; der Unternehmer bleibt verantwortlich und haftet auch für Fehler des Auftragsverarbeiters.
  • Datenschutzbeauftragter: In bestimmten Fällen (z. B. bei umfangreicher Verarbeitung besonderer Datenkategorien) ist ein Datenschutzbeauftragter zu benennen (§ 38 BDSG).
In einem weiterführenden Beitrag finden Sie Informationen zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Tipps zur Einhaltung des Datenschutzes

Sie schützen sich durch den Aufbau eines Datenschutzmanagementsystems und regelmäßige Schulungen der Mitarbeiter. Eine sorgfältige Dokumentation aller Verarbeitungsvorgänge und Überprüfung der technischen und organisatorischen Maßnahmen unterstützt Sie dabei. Achten Sie auf den Abschluss und die Kontrolle von Auftragsverarbeitungsverträgen und stellen Sie sicher, dass alle Maßnahmen regelmäßig überprüft werden.
Nutzen Sie, wo möglich, Pseudonymisierung und Anonymisierung, um Risiken zu minimieren und den Schutz der Betroffenen zu erhöhen.

Pseudonymisierung ist eine datenschutzfreundliche Technik, bei der personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Diese Zusatzinformationen müssen getrennt und besonders geschützt aufbewahrt werden. Die Pseudonymisierung senkt das Risiko für Betroffene, bleibt aber eine Form der Verarbeitung personenbezogener Daten und unterliegt daher der DSGVO.
Anonymisierung geht weiter: Hier wird der Personenbezug dauerhaft entfernt, sodass eine Identifizierung auch mit Zusatzwissen nicht mehr möglich ist. Anonymisierte Daten sind keine personenbezogenen Daten mehr und unterliegen nicht der DSGVO.

Konsequenzen bei Nichteinhaltung

Bei Verstößen gegen den Datenschutz müssen Sie mit einer der folgenden Maßnahmen rechnen:
  • Bußgelder: Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)
  • Schadensersatz: Betroffene können bei Datenschutzverstößen Schadensersatz verlangen (Art. 82 DSGVO)
  • Zwangsmittel der Aufsicht: Aufsichtsbehörden können Anordnungen, Untersagungen oder Zwangsgelder verhängen
  • Haftungsrisiken: Unternehmer haften auch für Fehler von Auftragsverarbeitern und müssen deren Auswahl und Überwachung dokumentieren
Hinweis auf IHK-Netzwerk Datenschutz: Sind Sie betrieblicher Datenschutzbeauftragter oder in Ihrem Unternehmen für Datenschutz verantwortlich und ihr Unternehmen IHK-Mitglied? Das IHK-Netzwerk Datenschutz greift aktuelle Themen auf und gibt mind. zweimal im Jahr Gelegenheit zu Austausch.