Datenschutz in Unternehmen in NRWLesezeit: 4 Min

Wichtige gesetzliche Voraussetzungen von DS-GVO und BDSG

Datenschutz ist in der heutigen digitalen Welt von zentraler Bedeutung. Unternehmen und Organisationen sind rechtlich dazu verpflichtet, Maßnahmen zu ergreifen, um die personenbezogenen Daten, die sie verarbeiten, zu schützen.

In Europa bildet die Datenschutzgrundverordnung (DS-GVO) den rechtlichen Rahmen, der durch das Bundesdatenschutzgesetz (BDSG) in Deutschland ergänzt wird.

BLOG-TIPP: DER RICHTIGE UMGANG MIT DATENMÜLL IM DATENSCHUTZ FÜR UNTERNEHMEN

Was ist die DS-GVO?

Die Datenschutzgrundverordnung (DS-GVO) ist ein umfassendes Regelwerk zum Schutz personenbezogener Daten innerhalb der Europäischen Union. Sie trat am 25. Mai 2018 in Kraft und harmonisiert die Datenschutzvorschriften in allen EU-Mitgliedsstaaten. Dabei stärkt sie die Rechte der Betroffenen und legt gleichzeitig Pflichten für datenverarbeitende Stellen, also Unternehmen und Organisationen, fest.

Was ist das BDSG?

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DS-GVO auf nationaler Ebene in Deutschland. Es regelt spezifische nationale Besonderheiten und präzisiert die allgemeinen Vorgaben der DS-GVO. Das BDSG beinhaltet beispielsweise zusätzliche Bestimmungen zur Datenverarbeitung im Beschäftigungskontext und spezifische Regelungen für den Bereich der Videoüberwachung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, jede Information, die es ermöglicht, eine Person direkt oder indirekt zu identifizieren, fällt unter den Begriff der personenbezogenen Daten. Beispiele hierfür sind Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, aber auch Online-Kennungen wie IP-Adressen und Cookies. Personenbezogene Daten sind dabei auch in unterschiedlichen Situationen zu bewerten.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?

Verbot mit Erlaubnisvorbehalt im Datenschutz

Der Grundsatz des „Verbots mit Erlaubnisvorbehalt“ ist ein zentrales Prinzip des Datenschutzes, das in der Datenschutz-Grundverordnung (DS-GVO) verankert ist. Dieser Grundsatz besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt eine explizite Erlaubnis vor. Diese Erlaubnis kann in Form einer gesetzlichen Grundlage, einer Einwilligung der betroffenen Person oder einer anderen in der DS-GVO geregelten Ausnahme vorliegen.

DS-GVO und BDSG verlangen daher eine sorgfältige Abwägung und klare Rechtfertigung für jede Verarbeitungstätigkeit. Daten sollten nur dann verarbeitet werden, wenn ein legitimer Zweck vorliegt und keine weniger invasive Methode verfügbar ist, um denselben Zweck zu erreichen. Prinzipien wie Datenminimierung und Zweckbindung sind hier besonders relevant: Es dürfen nur die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind, und dies nur für einen klar definierten Zweck.

Kategorien personenbezogener Daten

Personenbezogene Daten können in verschiedene Kategorien unterteilt werden, die jeweils unterschiedliche Anforderungen an den Schutz dieser Daten stellen:

Allgemeine personenbezogene Daten – Diese Kategorie umfasst Basisinformationen wie Name, Adresse, Telefonnummer, E-Mail-Adresse und Geburtsdatum. Diese Daten sind grundlegend und erfordern angemessene Schutzmaßnahmen, um Missbrauch zu verhindern.

Besondere Kategorien personenbezogener Daten – Diese umfassen sensiblere Daten, die gemäß Art. 9 DS-GVO einem besonderen Schutz unterliegen. Dazu gehören:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten (z.B. Fingerabdrücke, die zur eindeutigen Identifizierung einer Person verwendet werden)
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Diese Daten dürfen nur unter strengen Voraussetzungen und meist mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.

Strafdaten – Daten über strafrechtliche Verurteilungen und Straftaten unterliegen ebenfalls besonderen Schutzvorkehrungen, wie in Art. 10 DS-GVO und in nationalen Regelungen vorgesehen.

Das Verständnis der verschiedenen Kategorien personenbezogener Daten und die Notwendigkeit, deren Verarbeitung streng zu regulieren, ist ein zentraler Bestandteil eines effektiven Datenschutzmanagements.

BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ

Wichtige Maßnahmen zur Umsetzung des Datenschutzes – Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)

Unternehmen müssen ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten führen, die personenbezogene Daten betreffen. Dieses Verzeichnis dient als Grundlage für die Datenschutzdokumentation und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.

Bei besonders risikoreichen Datenverarbeitungsvorgängen ist eine Datenschutz-Folgenabschätzung notwendig. Diese dient der Identifizierung und Bewertung potenzieller Risiken für die Rechte und Freiheiten der betroffenen Personen sowie der Festlegung von Maßnahmen zur Risikominimierung.

BLOG-TIPP: VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (VVT) IM DATENSCHUTZ FÜR NRW

Implementierung Technischer und Organisatorischer Maßnahmen (TOM)

Zu den TOM zählen Maßnahmen zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Dazu gehören unter anderem Zugangskontrollen, Verschlüsselungstechniken und regelmäßige Sicherheitsüberprüfungen.

BLOG-TIPP: BEDEUTUNG UND UMSETZUNG VON TOM IN UNTERNEHMEN

Schulung und Sensibilisierung der Mitarbeiter

Mitarbeiter sollten regelmäßig geschult werden, um ein Bewusstsein für den Datenschutz und die Einhaltung der geltenden Vorschriften zu schaffen. Dies umfasst Schulungen über sichere Verarbeitung, Erkennung von Datenschutzverletzungen und den richtigen Umgang mit personenbezogenen Daten.

BLOG-TIPP: MITARBEITERSCHULUNGEN ALS NOTWENDIGE MASSNAHMEN IM DATENSCHUTZ

Erstellung von Datenschutzrichtlinien und -vereinbarungen

Unternehmen sollten klare und verständliche Datenschutzrichtlinien erstellen, die die internen Verfahren und Verantwortlichkeiten im Umgang mit personenbezogenen Daten regeln. Darüber hinaus sind Datenschutzvereinbarungen mit Auftragsverarbeitern notwendig, um sicherzustellen, dass auch externe Dienstleister datenschutzkonform arbeiten.

Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung sind Unternehmen verpflichtet, diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Zudem müssen betroffene Personen unverzüglich informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Einhaltung der DS-GVO und BDSG in Unternehmen und Organisationen

Die Einhaltung der DS-GVO und des BDSG ist für Unternehmen und Organisationen unerlässlich. Durch die Umsetzung der oben genannten Maßnahmen schaffen Sie nicht nur Rechtssicherheit, sondern auch Vertrauen bei Ihren Kunden und Geschäftspartnern. Ein systematischer und umfassender Ansatz zum Datenschutz ist daher ein wichtiger Bestandteil moderner Unternehmensführung.

Sollten Sie Unterstützung bei der Implementierung dieser Maßnahmen benötigen, stehen wir Ihnen als externer Datenschutzbeauftragter gerne zur Seite.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Bewerten Sie diesen Beitrag
3 Bewertungen
Umsetzung des Datenschutzes in Unternehmen und Organisationen
Anfrage