Skip to main content

DSGVO

1. Personenbezogene vs. Besondere Daten

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse, Kfz-Kennzeichen).
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Diese sind besonders schützenswert, da ihre Verarbeitung hohe Risiken für die Grundfreiheiten birgt. Dazu gehören:
  • Biometrische & genetische Daten.
  • Gesundheitsdaten.
  • Religiöse oder weltanschauliche Überzeugungen.
  • Gewerkschaftszugehörigkeit.
  • Sexuelle Orientierung.
  • Ethnische Herkunft.

2. Rechte der Betroffenen

  • Auskunftsrecht (Art. 15): "Was wisst ihr über mich?" Das Unternehmen muss bestätigen, ob Daten verarbeitet werden, zu welchem Zweck und wie lange sie gespeichert werden. Zudem muss eine Kopie der Daten bereitgestellt werden.

  • Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17): Daten müssen gelöscht werden, wenn der Zweck entfällt, die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war – sofern keine gesetzlichen Aufbewahrungspflichten (z. B. Steuerrecht) entgegenstehen.

3. Verarbeitungsverzeichnis (VVT)

  • Verantwortlicher: Die Person oder Stelle (meist das Unternehmen), die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Inhalt des VVT: Es dokumentiert, wer (Abteilung), was (Datenkategorien), warum (Zweck), wie lange (Löschfristen) und wohin (Empfänger) verarbeitet. Es ist das erste Dokument, das die Aufsichtsbehörde bei einer Prüfung sehen möchte.

4. Anonymisierung vs. Pseudonymisierung 

Merkmal Pseudonymisierung Anonymisierung
Definition Ersetzen von Identifikatoren (z. B. Name durch ID-Nummer). Daten so verändern, dass eine Identifizierung unmöglich ist.
Umkehrbarkeit Ja, mit Zusatzwissen (z. B. einer Zuordnungsliste). Nein, technisch nicht rückgängig zu machen.
DSGVO-Geltung Gilt weiterhin als personenbezogene Daten Fällt nicht mehr unter die DSGVO.

5. TOMs (Technische und Organisatorische Maßnahmen)

  • Zutrittskontrolle: Unbefugten den physischen Zutritt zu Räumen verwehren (z. B. Alarmanlage, Chipkarte, Pförtner).

  • Zugangskontrolle: Verhindern, dass Unbefugte Datensysteme nutzen können (z. B. sichere Passwörter, 2-Faktor-Authentifizierung, Firewall).

  • Zugriffskontrolle: Sicherstellen, dass Berechtigte nur auf die Daten zugreifen, für die sie eine Erlaubnis haben (z. B. Rollen- und Rechtekonzept: "Marketing darf nicht in die Personalakte sehen").

  • Weitergabekontrolle: Sicherstellen, dass Daten bei der Übertragung nicht gelesen oder verändert werden können (z. B. Verschlüsselung von E-Mails oder USB-Sticks).

Back to top