Datenschutz-Grundlagen: Begriffe und Prinzipien
1 / 13Worum geht es beim Datenschutz?
Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten EU. Sie schützt ein Grundrecht: das Recht jedes Menschen, selbst über seine persönlichen Daten zu bestimmen.
Wichtig zu verstehen: Datenschutz schützt nicht die Daten selbst, sondern die Menschen hinter den Daten. Sobald Ihr Unternehmen Informationen über Kunden, Kollegen oder Bewerber verwendet, greift die DSGVO.
Das betrifft Sie im Alltag ständig:
- Eine E-Mail an einen Kunden schreiben
- Eine Bewerbung öffnen und lesen
- Eine Telefonnummer in Ihr CRM eintragen
- Eine Teilnehmerliste für ein Meeting erstellen
All das ist Umgang mit personenbezogenen Daten und unterliegt Regeln, die Sie kennen sollten.
Hinweis: Diese Schulung vermittelt allgemeines Datenschutzwissen und ersetzt keine Rechtsberatung im Einzelfall. Bei konkreten Zweifelsfällen wenden Sie sich an Ihren Datenschutzbeauftragten.
💡 Praxis-Tipp
Merken Sie sich den Perspektivwechsel: Fragen Sie bei jeder Datenverwendung, wie Sie es fänden, wenn ein anderes Unternehmen so mit Ihren eigenen Daten umginge.
§ Rechtsgrundlagen zu diesem Kapitel
Wörtlicher Gesetzestext als Quelle — jederzeit am amtlichen Text prüfbar.
Art. 4 Nr. 1 DSGVO — Begriffsbestimmung: personenbezogene Daten
Amtlicher Text ↗Im Sinne dieser Verordnung bezeichnet der Ausdruck: [...] „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Art. 4 Nr. 2 DSGVO — Begriffsbestimmung: Verarbeitung
Amtlicher Text ↗Im Sinne dieser Verordnung bezeichnet der Ausdruck: [...] „Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Art. 4 Nr. 7 DSGVO — Begriffsbestimmung: Verantwortlicher
Amtlicher Text ↗Im Sinne dieser Verordnung bezeichnet der Ausdruck: [...] „Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Art. 5 Abs. 1 DSGVO — Grundsätze für die Verarbeitung personenbezogener Daten
Amtlicher Text ↗Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung"); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung"); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit"); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung"); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit").
Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht
Amtlicher Text ↗Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht").
Art. 83 Abs. 4 DSGVO — Allgemeine Bedingungen für die Verhängung von Geldbußen (bis 10 Mio. EUR / 2 %)
Amtlicher Text ↗Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
Art. 83 Abs. 5 DSGVO — Allgemeine Bedingungen für die Verhängung von Geldbußen (bis 20 Mio. EUR / 4 %)
Amtlicher Text ↗Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Art. 83 Abs. 6 DSGVO — Geldbußen bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Amtlicher Text ↗Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.