Skip to main content

DSGVO

1. Personenbezogene vs. Besondere Daten

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse, Kfz-Kennzeichen).
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Diese sind besonders schützenswert, da ihre Verarbeitung hohe Risiken für die Grundfreiheiten birgt. Dazu gehören:
  • Biometrische & genetische Daten.
  • Gesundheitsdaten.
  • Religiöse oder weltanschauliche Überzeugungen.
  • Gewerkschaftszugehörigkeit.
  • Sexuelle Orientierung.
  • Ethnische Herkunft.

2. Rechte der Betroffenen

  • Auskunftsrecht (Art. 15): "Was wisst ihr über mich?" Das Unternehmen muss bestätigen, ob Daten verarbeitet werden, zu welchem Zweck und wie lange sie gespeichert werden. Zudem muss eine Kopie der Daten bereitgestellt werden.

  • Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17): Daten müssen gelöscht werden, wenn der Zweck entfällt, die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war – sofern keine gesetzlichen Aufbewahrungspflichten (z. B. Steuerrecht) entgegenstehen.

3. Verarbeitungsverzeichnis (VVT)

  • Verantwortlicher: Die Person oder Stelle (meist das Unternehmen), die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Inhalt des VVT: Es dokumentiert, wer (Abteilung), was (Datenkategorien), warum (Zweck), wie lange (Löschfristen) und wohin (Empfänger) verarbeitet. Es ist das erste Dokument, das die Aufsichtsbehörde bei einer Prüfung sehen möchte.

4. Anonymisierung vs. Pseudonymisierung q

Merkmal Pseudonymisierung Anonymisierung
Definition Ersetzen von Identifikatoren (z. B. Name durch ID-Nummer). Daten so verändern, dass eine Identifizierung unmöglich ist.
Umkehrbarkeit Ja, mit Zusatzwissen (z. B. einer Zuordnungsliste). Nein, technisch nicht rückgängig zu machen.
DSGVO-Geltung Gilt weiterhin als personenbezogene Daten Fällt nicht mehr unter die DSGVO.

5. TOMs (Technische und Organisatorische Maßnahmen)

  • Zutrittskontrolle: Unbefugten den physischen Zutritt zu Räumen verwehren (z. B. Alarmanlage, Chipkarte, Pförtner).

  • Zugangskontrolle: Verhindern, dass Unbefugte Datensysteme nutzen können (z. B. sichere Passwörter, 2-Faktor-Authentifizierung, Firewall).

  • Zugriffskontrolle: Sicherstellen, dass Berechtigte nur auf die Daten zugreifen, für die sie eine Erlaubnis haben (z. B. Rollen- und Rechtekonzept: "Marketing darf nicht in die Personalakte sehen").

  • Weitergabekontrolle: Sicherstellen, dass Daten bei der Übertragung nicht gelesen oder verändert werden können (z. B. Verschlüsselung von E-Mails oder USB-Sticks).

Back to top