DSGVO — Datenschutz-Grundverordnung#
Die DSGVO (EU 2016/679) gilt seit 25. Mai 2018 und regelt den Umgang mit personenbezogenen Daten in der gesamten EU.
Was sind personenbezogene Daten?#
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Beispiele:
- Name, Adresse, E-Mail, Telefonnummer
- IP-Adresse, Cookie-IDs, Standortdaten
- Biometrische Daten, Gesundheitsdaten (besonders schützenswert!)
Keine personenbezogenen Daten: anonymisierte/aggregierte Daten (Person nicht mehr bestimmbar)
Grundsätze der DSGVO (Art. 5)#
flowchart TD
A["DSGVO\nGrundsätze"] --> B["Rechtmäßigkeit\nVerarbeitung braucht\nRechtsgrundlage"]
A --> C["Zweckbindung\nNur für festgelegten\nZweck verwenden"]
A --> D["Datensparsamkeit\nNur nötige Daten\nerheben"]
A --> E["Richtigkeit\nDaten aktuell\nhalten"]
A --> F["Speicherbegrenzung\nNicht länger als\nnötig speichern"]
A --> G["Integrität &\nVertraulichkeit\nTechnische Sicherheit"]
A --> H["Rechenschaftspflicht\nNachweis der\nEinhaltung"]Rechtsgrundlagen für Verarbeitung (Art. 6)#
Eine Verarbeitung ist nur legal, wenn mindestens eine dieser Grundlagen vorliegt:
| Nr. | Grundlage | Beispiel |
|---|---|---|
| Art. 6 (1) a | Einwilligung (freiwillig, informiert, jederzeit widerrufbar) | Newsletter-Anmeldung |
| Art. 6 (1) b | Vertragserfüllung | Lieferadresse für Bestellung |
| Art. 6 (1) c | Gesetzliche Pflicht | Lohnsteuer ans Finanzamt melden |
| Art. 6 (1) d | Lebenswichtige Interessen | Notfalldaten im Krankenhaus |
| Art. 6 (1) e | Öffentliches Interesse | Behörden, Forschung |
| Art. 6 (1) f | Berechtigtes Interesse | Fraud-Erkennung, IT-Sicherheit |
Betroffenenrechte (Art. 12–22)#
| Recht | Inhalt | Frist |
|---|---|---|
| Auskunft (Art. 15) | Welche Daten werden über mich gespeichert? | 1 Monat |
| Berichtigung (Art. 16) | Falsche Daten korrigieren lassen | 1 Monat |
| Löschung (Art. 17) | „Recht auf Vergessenwerden" | 1 Monat |
| Einschränkung (Art. 18) | Verarbeitung einfrieren (nicht löschen) | 1 Monat |
| Datenübertragbarkeit (Art. 20) | Daten in maschinenlesbarem Format erhalten | 1 Monat |
| Widerspruch (Art. 21) | Gegen Verarbeitung bei berechtigtem Interesse | Sofort |
| Nicht automat. Entscheidung (Art. 22) | Kein reines Algorithmus-Urteil (z.B. Kredit) | — |
Pflichten von Unternehmen#
Datenschutzbeauftragter (DSB) — wann Pflicht?#
- Öffentliche Stellen (immer)
- Unternehmen mit ≥ 20 Personen, die regelmäßig personenbezogene Daten verarbeiten
- Unternehmen, die sensible Daten oder umfangreiche Überwachung betreiben
Datenschutz-Folgenabschätzung (DSFA, Art. 35)#
Pflicht bei hohem Risiko für Betroffene — z.B. Videoüberwachung, Profiling, biometrische Daten.
Verarbeitungsverzeichnis (Art. 30)#
Dokumentation aller Verarbeitungstätigkeiten (ab 250 Mitarbeiter oder bei risikoreichen Verarbeitungen).
Meldepflicht bei Datenpannen (Art. 33/34)#
- 72 Stunden nach Bekanntwerden → Meldung an Aufsichtsbehörde
- Bei hohem Risiko zusätzlich: Benachrichtigung der Betroffenen
Auftragsverarbeitung (Art. 28)#
Wenn ein Dritter Daten im Auftrag verarbeitet (z.B. Cloud-Anbieter):
- Auftragsverarbeitungsvertrag (AVV) Pflicht
- Auftraggeber bleibt verantwortlich
Bußgelder (Art. 83)#
| Verstoß | Maximalstrafe |
|---|---|
| Schwere Verstöße (z.B. fehlende Rechtsgrundlage) | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes |
| Leichtere Verstöße (z.B. keine Meldung) | 10 Mio. € oder 2 % des Jahresumsatzes |
(Es gilt der höhere Betrag)
DSGVO in der IT — Prüfungsbeispiele#
Ein Unternehmen speichert Bewerberdaten 10 Jahre lang. Ist das zulässig? Nein — Verstoß gegen Speicherbegrenzung (Art. 5). Üblich: 6 Monate nach Absage.
Ein Mitarbeiter schickt versehentlich eine Kundenliste per E-Mail an den falschen Empfänger. Was muss das Unternehmen tun? Datenpanne melden: Innerhalb von 72 Stunden an die Aufsichtsbehörde (z.B. Landesdatenschutzbeauftragter). Falls hohes Risiko → auch Kunden informieren.
Darf ein Arbeitgeber den Browserverlauf der Mitarbeiter überwachen? Nur mit vorheriger Information und wenn eine Rechtsgrundlage vorliegt (berechtigtes Interesse oder Betriebsvereinbarung).
Siehe auch#
- schutzbedarfsanalyse_ISMSLF4 — Datenschutz vs. Datensicherheit, ISMS
- [[../10_recht/vertragsrecht]] — rechtliche Grundlagen im Überblick
- [[../10_recht/lizenzen]] — Softwarerecht und Datenschutz
- verschluesselung — technische Maßnahmen zum Schutz personenbezogener Daten