Projekt Hibiskus

StartComplianceDSGVO

Compliance

DSGVO – Datenschutz-Grundverordnung

Rechtspflicht EU-weit · seit Mai 2018 · Bußgelder bis 20 Mio. EUR
Gilt für alle Unternehmen
Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig von Unternehmensgröße und Sitz. Ein kleines Handwerksunternehmen mit Kundendaten unterliegt der DSGVO genauso wie ein Konzern.

Was sind personenbezogene Daten?

Alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen:

  • Name, Adresse, Telefonnummer, E-Mail-Adresse
  • IP-Adressen, Cookie-IDs, Standortdaten
  • Kundennummern, Vertragsdaten
  • Mitarbeiterdaten, Gehaltsabrechnungen
  • Fotos, Videos, Stimmen

Grundprinzipien der DSGVO

Prinzip 1

Rechtmäßigkeit

Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt: Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse.

Prinzip 2

Zweckbindung

Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden. Kundenadressen für Werbung – nur wenn ausdrücklich eingewilligt.

Prinzip 3

Datensparsamkeit

Nur Daten erheben, die wirklich benötigt werden. Keine vorsorglich gesammelten Datenberge "für später".

Prinzip 4

Richtigkeit

Gespeicherte Daten müssen korrekt sein. Veraltete oder falsche Daten sind zu löschen oder zu korrigieren.

Prinzip 5

Speicherbegrenzung

Daten dürfen nicht länger gespeichert werden als notwendig. Löschkonzept erstellen und umsetzen.

Prinzip 6

Integrität & Vertraulichkeit

Technische und organisatorische Maßnahmen (TOMs) schützen Daten vor unbefugtem Zugriff, Verlust und Zerstörung.

Pflichten für KMU

  • Verzeichnis von Verarbeitungstätigkeiten – dokumentiert, welche Daten wie verarbeitet werden (Art. 30 DSGVO)
  • Datenschutzerklärung – auf der Website, klar und verständlich
  • Auftragsverarbeitungsverträge (AVV) – mit allen Dienstleistern, die Daten im Auftrag verarbeiten (Cloud-Anbieter, Lohnbuchhaltung, etc.)
  • Technische & organisatorische Maßnahmen (TOMs) – dokumentierte Sicherheitsmaßnahmen
  • Meldung von Datenpannen – binnen 72 Stunden an die zuständige Aufsichtsbehörde

Datenschutzbeauftragter (DSB)

Ein DSB ist in bestimmten Fällen Pflicht:

  • Öffentliche Stellen (immer)
  • Unternehmen, bei denen die Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheit, Religion, etc.) umfasst
  • Unternehmen mit regelmäßiger systematischer Überwachung (z.B. Videoüberwachung)
  • In Deutschland zusätzlich: ab 20 Personen, die regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind

Bei Datenpanne: Meldepflicht

72-Stunden-Frist
Werden personenbezogene Daten kompromittiert (Ransomware, Datenleck, verlorenes Gerät), muss die zuständige Datenschutzbehörde binnen 72 Stunden informiert werden. Die Frist beginnt ab Bekanntwerden des Vorfalls, nicht ab dem tatsächlichen Vorfall.

Checkliste: DSGVO-Grundschutz