FIT4DSGVO Lernkompendium

(Version 1.1.0)

1
Inhaltsverzeichnis:

1 Einleitung Seite 5
2 Verarbeitung personenbezogener Daten Seite 10
3 Grundsätze des Datenschutzes Seite 18
4 Herausforderungen Seite 37
5 Maßnahmen Seite 46
6 Was tun bei Verstößen? Seite 49
7 Zusammenfassung Seite 53

Hinweis:

Das Lernkompendium ist durchsuchbar. Das heißt, Sie können im PDF nach einem
bestimmten Begriff suchen, um direkt zur entsprechenden Stelle zu gelangen. Klicken
Sie dafür in der Menüleiste auf "Bearbeiten" und dann auf "Suchen".
Sie können stattdessen auch gleichzeitig die Tasten "Strg" + "F" drücken.

Geben Sie den gewünschten Suchbegriff (z.B. Speicherung) einfach in das Feld ein und
bestätigen Sie mit der Eingabetaste. So können Sie das Kompendium bequem nach
Schlagwörtern durchsuchen.

2
Was erwartet Sie im Programm FIT4DSGVO?

 Wir wollen Ihnen gebündelt und unkompliziert die wichtigsten

Informationen zur Verfügung stellen, die Sie über die EU-Datenschutz-
Grundverordnung, abgekürzt „DSGVO“ wissen müssen.
 Wir erklären die Grundsätze des gesetzlichen Datenschutzes und
verdeutlichen, warum es so wichtig ist, jetzt die DSGVO ganz oben auf die
Prioritätenliste zu setzen.
 Mit allen wichtigen Inhalten und Handlungsanweisungen geben wir Ihnen
einen Leitfaden an die Hand, um DSGVO-konform handeln zu können.
 Durch Praxisbeispiele und Tipps erhalten Sie viele Anregungen, wie Sie
personenbezogene Daten bewusst schützen und auch in kritischen
Situationen professionell handeln können.
 In einem abschließenden Quiz überprüfen Sie Ihren Lernerfolg.
 Mit diesem Programm möchten wir dazu beitragen, dass Sie sich in Bezug
auf den Datenschutz im Unternehmen sicher fühlen.

Wir wünschen Ihnen viel Freude und zahlreiche neue Erkenntnisse mit FIT4DSGVO.

3
Wir haben die Inhalte in themenbezogene Abschnitte zusammengefasst und werden
diese in chronologischer Reihenfolge durchlaufen. Als Einstieg beginnen wir mit einer
anschaulichen Erklärung der Verarbeitung von personenbezogenen Daten. Wir
erklären, was die DSGVO ist und was sie für uns als Unternehmen bedeutet und
warum der Schutz von personenbezogenen Daten für alle Unternehmen so wichtig
ist. Anschließend lernen Sie die Arten der Verarbeitung personenbezogener Daten
und die Grundsätze des gesetzlichen Datenschutzes. Die Rechte der Betroffenen
Personen stellen wir Ihnen unter den Herausforderungen vor, denen wir uns im
Rahmen der DSGVO stellen müssen. Und wir zeigen Ihnen Maßnahmen zur
regelkonformen Umsetzung der wichtigsten DSGVO-Richtlinien. Am Ende erfahren
Sie die Folgen, die Datenschutzverletzungen bedeuten können und was in diesen
Fällen zu tun ist. In einer Zusammenfassung möchten wir Ihnen wichtige Pflichten
und Handlungsanleitungen auf den Weg geben, damit Sie stets DSGVO-konform
handeln können.

4
Wir als Menschen in einer digitalen Welt, die sich tagtäglich neu erfindet, müssen uns
vielen Herausforderungen stellen.

Neue Trends der Digitalisierung, wie Cloud-Computing, Big Data oder auch der
internationale Datenverkehr machen Informationen und Daten immer und überall
verfügbar und sie werden zum Wettbewerbsvorteil. Doch die Bedrohungen durch
Missbrauch steigen: Cybercrime, Viren und Datenverlust machen digitale Geschäfte
zum Risiko auf Kunden- und Anbieterseite. Das macht es notwendig, jederzeit die
gesetzlichen Bestimmungen und unternehmensinternen Richtlinien in nahezu allen
Industrien und Geschäftsbereichen einzuhalten. Ein sorgsamer Umgang mit Daten,
besonders wenn sie persönliche Merkmale beinhalten, ist damit wichtiger denn je.
Denn Datenschutz ist Datensicherheit!

Für einen kontrollierbaren Datenverkehr innerhalb der EU hat die Europäische Union
ein gesetzliches Rahmenwerk zum Datenschutz verabschiedet: Die DSGVO.

5
Im Zentrum der DSGVO steht der Schutz von personenbezogene Daten. Aber was
sind personenbezogene Daten eigentlich und worin unterscheiden sie sich von
anderen Daten?

Personenbezogen Daten sind sämtliche Informationen, durch die eine Person

identifizierbar wird, d.h. durch die wir herausfinden können, wer eine Person ist. Nicht
zu den personenbezogenen Daten zählen etwa anonyme Daten, die keine
Rückschlüsse auf konkrete Personen zulassen, wie z.B. Besucherstatistiken auf
Webseiten oder allgemeinen Statistiken

Mit Personen sind zunächst alle Menschen gemeint, bezeichnet auch als natürliche
Personen. Das können Kunden, Lieferanten, Mitarbeiter und Geschäftspartner sein
und werden in der DSGVO zusammenfassend als „Betroffene Personen“ bezeichnet.

Wir als Unternehmen benötigen personenbezogene Daten von Kunden, Lieferanten,

Mitarbeiter und Partnern, um unsere Leistung erbringen zu können. Laut DSGVO
werden wir damit zu Verarbeitern von personenbezogenen Daten.

Wer Daten verarbeitet steht unter Informationspflicht; die betroffene Person hat das
Recht auf Auskunft über die Verarbeitung ihrer Daten.

6
Für uns als Unternehmen erhöhen die Trends der Digitalisierung die Bedeutung der
sogenannten Datenschutz-Compliance. Mit diesem englischen Begriff ist die
Beachtung und Einhaltung aller relevanten Gesetze, Verordnungen und Richtlinien
zusammengefasst, die unternehmensintern definiert sind.
Die neue EU-Datenschutz-Grundverordnung ist eine dieser Verordnungen und gilt für
alle Unternehmen, die in der EU tätig sind. Sie basiert auf den Grundrechten und
Grundfreiheiten natürlicher Personen und hat zum Ziel, die Datensicherheit zu
schützen und die Verarbeitung personenbezogener Daten in Unternehmen zu
kontrollieren. Sie tritt ab 25. Mai 2018 in Kraft.

7
Die DSGVO betrifft uns alle und bedeutet ab dem 25. Mai 2018 striktere Regeln für
die Verarbeitung von personenbezogenen Daten.
Wir als Organisation benötigen personenbezogene Daten von Kunden und
Konzernunternehmen, Lieferanten, Mitarbeitern und Partnern, um unsere Leistung
erbringen zu können.
Und für den Schutz personenbezogener Daten tagen wir als Unternehmen eine
besondere Verantwortung: Wenn wir E-Mails schreiben, Adresslisten bearbeiten,
Protokolle schreiben, Lieferantenverzeichnisse erstellen und vieles mehr. Jede
Person im Unternehmen trägt die Verantwortung im Umgang mit
personenbezogenen Daten und somit auch für deren Sicherheit.
Die Sensibilisierung zu Themen der Datensicherheit und des Datenschutzes ist
wichtig und Schulungen wie diese tragen dazu bei, die DSGVO einhalten zu können.

8
Nun wollen wir aber Sie fragen: Was schätzen Sie? Wie viel Prozent der Datenschutz-
Verstöße werden durch menschliches Versagen verursacht?
Richtige Antwort: 80% der Datenschutz-Verstöße werden durch menschliches
Versagen verursacht!

9
Uns als Organisation ist der Schutz der Verarbeitung personenbezogener Daten
wichtig. Von welchen Arten der Verarbeitung in der DSGVO die Rede ist, erfahren Sie
auf der nächsten Seite.

10
Personenbezogene Daten sind alle Daten, durch die wir herausfinden können, wer
eine Person ist. Merkmale dieser Person – oder Eigenschaften dieser Person. Ein
Personalausweis enthält den Namen und eine eindeutige Nummer. Der Ausweis bzw.
die Ausweisnummer ist damit ein eindeutiger Nachweis über die Identität der Person.
Das gleiche gilt bei Steuernummern. Darüber hinaus gibt es noch viele weitere Daten
mit Personenbezug. Identifizierbar werden Personennamen nämlich auch in
Kombination mit ihren Postadressen, E-Mail-Adressen, IP-Adressen, Telefonnummern
- ja auch durch GPS-Koordinaten, KFZ-Kennzeichen und vielen anderen Merkmalen.
Solche personenbezogenen Daten werden in Unternehmen üblicherweise in
Gehaltslisten, Lieferantenverzeichnissen, Protokollen und Ähnlichem erfasst. Mit
dem direkten Bezug auf die Person, sind sie vertraulich und müssen geschützt
werden. Mit der neuen DSGVO sollen Unternehmen noch mehr Verantwortung für den
Schutz all dieser Daten übernehmen. Dazu aber später mehr.
Wichtig ist aber zu unterscheiden! In der DSGVO geht nicht um den Schutz von
Unternehmenswerten wie z.B. Patenten, Prozessknowhow, geistiges Eigentum des
Unternehmens, Geschäftsgeheimnisse. sondern ausschließlich um den Schutz der
Verarbeitung von personenbezogenen Daten.

11
12
Wenn wir personenbezogene Daten verarbeiten, dann bedeutet das, Daten zu
Personen zu erheben, zu erfassen, zu ordnen, zu speichern, zu verändern, abzufragen
und sie für bestimmte Zwecke zu verwenden, bereitzustellen oder zu löschen.
Was bedeutet das konkret? Sie erstellen ein Lieferantenverzeichnis mit Kontaktdaten
der Ansprechpartner. Hierbei handelt es sich um eine Verarbeitung. Welche
Technologie bei der Verarbeitung zum Einsatz kommen, d.h. ob die Daten manuell
und auf Papier oder digital und automatisiert erhoben werden, ist nicht wesentlich.
Zugunsten des Datenschutzes sind in jedem Fall die Arten der Verwendung zu
dokumentieren! Dazu später mehr.

13
Weitaus strengere Regeln gibt es für den Umgang mit Daten besonderer Kategorien,
die noch einen tieferen Einblick in die Privatsphäre einer Person zulassen und in der
DSGVO ausdrücklich aufgezählt werden. Bei solchen Merkmalen sprechen wir von
personenbezogenen Daten besonderer Kategorien, ehemals auch sensible Daten
genannt. Dazu, zählen genetische Daten, biometrische Daten die Ethnische Herkunft,
politische Meinungen, religiöse Überzeugungen die Gewerkschaftszugehörigkeit
oder Daten zum Sexualleben der sexuellen Orientierung oder Gesundheit

Die personenbezogenen Daten besonderer Kategorien sind besonders

schützenswert! Eine Verarbeitung ist bis auf wenige Ausnahmen verboten! Zum
Beispiel zu Gesundheitszwecken in der Arbeitsmedizin.

Damit Sie als Person auf die vertrauliche Verwendung von personenbezogenen
Daten vertrauen dürfen, ist das als Grundrecht im Datenschutzgesetz verankert. Die
sieben wichtigen Grundsätze dazu sehen Sie gleich.

14
15
Wir wollen zusammenfassen und Sie zu einer kleinen Übung einladen.
Ordnen Sie bitte die dargestellten Merkmale oder Eigenschaften der richtigen
Kategorie zu. Sie haben die Auswahl zwischen Personenbezogenen Daten,
Personenbezogenen Daten besonderer Kategorien und Unternehmensdaten.

16
Gratulation, Sie haben alle Daten richtig zugeordnet!

17
Die vertrauliche Verwendung von personenbezogenen Daten ist als Grundrecht im
Datenschutzgesetz verankert. Sehen Sie hier die sieben wichtigen Grundsätze dazu.

18
Die allgemeinen Grundsätze der DSGVO sehen vor, dass personenbezogene Daten
rechtmäßig und transparent verarbeitet werden. Für eine kurze Erklärung dieser
Grundsätze, klicken Sie bitte auf die einzelnen Felder.
Wenn Sie alle Felder aufgerufen haben, gelangen Sie zum nächsten Themenpunkt.

19
Laut dem Artikel 5 der DSGVO müssen „Personenbezogene Daten…auf rechtmäßige
Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden...“
Was bedeutet das? Wann immer personenbezogene Daten erhoben werden, muss
die betroffene Person wissen, dass sie personenbezogene Daten preisgibt und wie
diese Daten verwendet werden.
Wenn Sie z.B. eine Kundenkarte in einem Supermarkt beantragen, werden Sie i.d.R.
bestätigen müssen, dass Sie über die Verwendung Ihrer Daten aufgeklärt wurden.
Oftmals passiert das über das Ankreuzen z.B. einer Datenschutzleitlinie, also mit
einer aktiven Zustimmung. Über die Kundenkarte werden nun alle Ihre Einkäufe
erfasst und gespeichert. Indem nun die Einkäufe Ihrer Person zugeordnet werden
(also dem Namen, der auf Ihrer Kundenkarte hinterlegt ist) wird damit ein erstmal
„neutraler“ Datenbestand (wie eben ein Einkauf im Supermarkt) personenbezogen.
Werden Personenbezogene Daten erhoben, muss die Person darüber Bescheid
wissen und dann aktiv zustimmen, wenn es keine andere Grundlage dafür gibt.
Ausnahmen sind, wenn diese Daten zur Erfüllung eines Vertrages verarbeitet werden
müssen oder dafür eine gesetzliche Grundlage besteht. Z.B., wenn Lohn und
Gehaltsabgaben von Mitarbeitern an das Finanzamt übermittelt werden sollen. In
diesem Fall werden die Daten nicht direkt beim Mitarbeiter, sondern – wie gesetzlich
vorgesehen - von der Personalabteilung erhoben.

20
21
22
„Personenbezogene Daten müssen...für festgelegte, eindeutige und legitime Zwecke
erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu
vereinbarenden Weise weiterverarbeitet werden...“
Schon beim Ergeben der Daten, muss die Person wissen, wofür die Daten verwendet
werden sollen. Die Person muss darauf vertrauen können, dass die Daten zu keinem
anderen Zweck verwendet werden.
Ein Beispiel: Sie sind Veranstalter einer Konferenz und haben über die Anmeldelisten
sämtliche Kontaktdaten zu den Teilnehmenden. Wollen Sie die Teilnehmenden auch
für weitere Veranstaltungen anschreiben, müssen Sie bereits bei der Anmeldung zur
Konferenz über Ihr Vorhaben informieren und von den Teilnehmenden die aktive
Einwilligung holen.

23
24
Als datenverarbeitendes Unternehmen sind wir verpflichtet, betroffenen Personen in
verständlicher Weise transparent zu machen, zu welchem Zweck und in welchem
Umfang die Verarbeitung erfolgt. Die DSGVO spricht hier von der Informationspflicht.
D.h., wann immer Sie personenbezogene Daten erheben, müssen Sie dafür sorgen,
dass für die Person klar nachvollziehbar ist:
 WER die Daten erhebt, also die Identität der verantwortlichen Stelle,
 WAS für Daten WARUM erhoben werden und zu welchem Zweck die Daten
verarbeitet werden sollen.
 Ebenso bekannt sollte sein, WOHIN die Daten gegebenenfalls übermittelt
werden und WIE LANGE die Aufbewahrungsfristen definiert sind.

Für die Informationspflichten bei der Datenerhebung, stellen Sie sich am besten die
sechs W-Fragen: WER, WAS, WARUM, WOZU, WOHIN, WIE LANGE.

25
26
Wenn Sie personenbezogene Daten erheben, sollten Sie immer berücksichtigen, ob
alle erhobenen Daten auch tatsächlich benötigt werden. Wird das Geburtsdatum oder
der Familienstand nicht benötigt, sollten diese Daten auch nicht erhoben werden.
Weniger ist mehr!
Auch Personenbezogene Daten auf Vorrat zu speichern, nur weil Sie möglicherweise
in Zukunft einmal brauchen könnten, ist nicht erlaubt! (es sei denn, es gibt dafür eine
gesetzliche Grundlage).

27
28
Viele Daten werden nicht mehr benötigt, wenn Projekte abgeschlossen oder
gesetzliche Fristen abgelaufen sind. Nach Ablauf solcher gesetzlich oder
prozessbezogenen Aufbewahrungsfristen, müssen Daten darum immer gelöscht
werden. Bewerbungsunterlagen müssen beispielsweise sechs Monate aufbewahrt
werden, müssen dann aber gelöscht werden.
Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen, z.B. bei einem
laufenden Gerichtserfahren, müssen die Daten weiter gespeichert bleiben, bis das
schutzwürdige Interesse rechtlich geklärt ist.

29
30
Speichern Sie personenbezogene Daten richtig, vollständig und auf dem aktuellen
Stand. Damit stellen Sie die Qualität der Daten sicher. Das ist wichtig, um Anfragen
von Betroffenen Personen korrekt erfüllen zu können.
Treffen Sie angemessene Maßnahmen, um sicherzustellen, dass unrichtige,
unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert
werden.
Halten Sie Eingaberichtlinien ein, um sicherzustellen, dass Daten nicht versehentlich
falsch erfasst werden oder versehentlich oder absichtlich gefälscht werden.

31
32
33
Risiken im vertraulichen Umgang mit Daten bestehen z.B., wenn Sie Daten auf ein
allgemein zugängliches Netzlaufwerk ablegen, im normalen Papierkorb entsorgen
oder Geburtstagslisten an Kollegen versenden. Für personenbezogene Daten gilt das
Datengeheimnis! Behandeln Sie diese Daten also vertraulich! Angemessene
organisatorische und technische Maßnahmen helfen, Daten korrekt zu sichern. Damit
schützen Sie die Daten nicht nur vor unbefugtem Zugriff. Sie verhindern auch, dass
sie unrechtmäßig verbreitet oder weitergegeben werden oder diese Daten
versehentlich verloren gehen, verändert oder zerstört werden.
Fehler passieren oft in Eile. Arbeiten Sie darum aufmerksam und kontrollieren Sie vor
dem Senden von E-Mails nochmal alle Empfänger. Zugunsten der Datensicherheit
verschlüsseln Sie am besten Dateien und verteilen Zugangsrechte.

34
35
Lassen Sie uns die 7 Grundsätze nochmal zusammenfassen: Jede Verarbeitung von
personenbezogenen Daten ist grundsätzlich verboten, es sei denn sie ist
insbesondere durch eine Einwilligung der betroffenen Person, zur Erfüllung eines
Vertrages oder eine gesetzliche Grundlage gerechtfertigt.
Eine persönliche Einwilligung benötigen Sie sowohl für ein Foto in der Mitarbeiter-
Telefonliste als auch für das Versenden eines Newsletters an Ihre Kundschaft.
Erlaubt ist allerdings für eine Rechnungsstellung neben Namen und Anschrift auch
zusätzlich die Telefonnummer oder E-Mail-Adresse des Kunden zu speichern. Um
einen Vertrag mit einem Kunden erfüllen zu können, ist es eben notwendig zu
kommunizieren. Eine gesetzliche Grundlage besteht Z.B., wenn Lohn und
Gehaltsabgaben von Mitarbeitern an das Finanzamt übermittelt werden sollen.
Alle Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten sind
in Artikel 6 der DSGVO geregelt.
Denken Sie daran. Sie selbst sind für die Datensicherheit verantwortlich! Erfassen Sie
personenbezogene Daten stets richtig und aktuell.

36
Angewandt auf die Unternehmenspraxis unserer Organisation bedeuten die
Grundsätze des Datenschutzes eine gesteigerte Verantwortung und gleichzeitig neue
Herausforderungen. Welche das sind, erfahren Sie im folgenden Abschnitt.

37
Die Verantwortung für die Einhaltung der Datenschutz-Grundverordnung liegt bei uns
als Unternehmen und ist mit einigen Herausforderungen für uns verbunden. Klicken
Sie bitte auf die Felder, um mehr zu erfahren.

38
Wir als Unternehmen müssen bei Aufsichtsbehörden, wie der Datenschutzbehörde
nachweisen können, dass wir die DSGVO einhalten. Wir müssen darum die
Verarbeitung personenbezogener Daten und alle Vorfälle schriftlich protokollieren.
Die Aufsichtsbehörden haben Anspruch jederzeit diese Dokumentation einzusehen!
Fehlt die Dokumentation, sind Strafen fällig.

39
Der Schutz personenbezogener Daten wird in der DSGVO ausgeweitet. Bei der
Erhebung der Daten muss die Person, um deren Daten es geht, umfangreich über die
Verwendung der Daten informiert werden. Das wird als Informationspflicht
bezeichnet und macht es ggf. für die Praxis notwendig, Texte für
Datenschutzhinweise, Einwilligungserklärungen und Datenschutzbelehrungen
anzupassen.

40
Mit der neuen DSGVO wird es wichtiger, betroffene Personen, deren Daten Sie
speichern, umfassend darüber aufzuklären, was mit ihren Daten geschieht. Dieses
Rechte bezeichnet die DSGVO als Betroffenenrechte.
 Mit dem Auskunftsrecht hat jede Person das Recht zu wissen, welche Daten,
aus welchem Grund über sie erhoben werden.
 Das Recht auf Berichtigung stellt sicher, dass die Daten stets aktuell sind.
 Das Recht auf Löschung und auf „Vergessen Werden“ erlaubt es betroffenen
Personen, dass sie betreffende personenbezogene Daten unverzüglich und
komplett gelöscht werden, sofern kein anderer Verarbeitungsgrund mehr
besteht.
 Das Recht auf Einschränkung fordert nur die Daten zu verarbeiten, die
unbedingt notwendig sind.
 Das Informationsrecht fordert von Verarbeitern, alle Empfänger darüber zu
informieren, wenn Daten berichtigt, gelöscht oder eingeschränkt werden.
 Mit dem Recht auf Datenübertragbarkeit muss eine betroffene Person die
Möglichkeit haben, die eigenen Daten auch in andere Systeme zu
transferieren. D.h. Profildaten bei einem Dienst zu exportieren und bei einem
vergleichbaren Dienst wieder zu importieren.
 Betroffene Personen können Widerspruch gegen die Verwendung ihrer Daten
einlegen, es sei denn, es gibt eine gesetzliche Grundlage für die Verwendung.
 Die betroffene Person hat das Recht zu erfahren, ob ihre Daten für eine
automatisierte Entscheidungsfindung verarbeitet werden. Dazu zählen das
Sammeln, Analysieren und Auswerten von Daten der Person, um Vorhersagen
über die Meinung oder das Verhalten dieser Person machen zu können. Dafür
wird auch gerne der englische Begriff „Profiling“ verwendet.

Wir als Organisation müssen durch technische und organisatorische Maßnahmen in

der Lage sein, alle Betroffenenrecht zu erfüllen.

41
Dabei ist es unerlässlich zu wissen, wo und wie personenbezogene Daten verarbeitet
werden. Nur so können wir auf eine Anfrage reagieren und z.B. einen „Wunsch auf
Auskunft“ nachkommen. Betroffenenrechte sind ohne Verzögerung, spätestens aber
innerhalb eines Monats zu erledigen! Erhalten Sie z.B. ein E-Mail oder einen
Telefonanruf, mit Anfragen zu einem Betroffenenrecht, leiten Sie die Anfrage bitte
sofort an die Datenschutzverantwortliche Person weiter.

42
Transparenz bedeutet strenge Dokumentations- und Nachweispflichten. Jedes
Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, ein
sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu führen. Es dient der
Kontrolle und dokumentiert alle Verarbeitungen von personenbezogen Daten. Fehlt
es, drohen hohe Strafen. Das Verzeichnis ist komplett, wenn Sie damit die sechs W-
Fragen beantworten: Wer, Was, Wie, Warum, Wozu, Wie lange!

43
Verpflichtende Sicherheitsvorkehrungen und Maßnahmen verstärken die
Datensicherheit.
Der Schutz der Datensicherheit betrifft jede Person:
Übertragen Sie Personenbezogene Daten nur verschlüsselt. Entsorgen Sie Papier
nicht im Papierkorb, sondern shreddern sie es.

Lassen Sie Dokumente nicht offen am Tisch liegen, sondern verwenden Sie dafür
versperrbare Aktenschränke und achten Sie beim Versenden von E-Mails auf den
Empfänger, um Daten nicht unabsichtlich an unberechtigte Personen zu übermitteln.
In bestimmten Fällen muss ein Datenschutzbeauftragter bestellt werden. Dessen
Kontaktdaten sind zum Beispiel auf der Website zu veröffentlicht und muss eine
Mitteilung an die Datenschutzbehörde erfolgen.

Bei schweren Datenpannen muss spätestens innerhalb von 72h eine Meldung an die
Aufsichtsbehörde erfolgen.Wenn ein Risiko für die betroffene Person besteht, muss
diese ebenfalls umgehend von dem Vorfall in Kenntnis gesetzt werden.

44
Für bestimmte Verarbeitungen sind zusätzliche Risikobewertungen und Datenschutz-
Folgenabschätzungen vorzunehmen. Darunter fallen z.B. Datenübermittlungen an
Empfänger außerhalb der EU, Videoüberwachungen oder Gesundheitsdaten im
Unternehmen.

45
Sie kennen nun die Herausforderungen, dann lassen Sie uns doch gleich ansehen,
welche Maßnahmen für einen gesetzeskonformen Umgang getroffen werden
müssen.

46
Wir als Organisation verarbeiten personenbezogene Daten in fast allen
Unternehmensbereichen. Und sicher auch in Ihrem Bereich. Betroffen sind z.B. Daten
von Mitarbeiterinnen und Mitarbeitern in Ausbildungsverzeichnissen, eine Übersicht
der Fahrer von Firmenfahrzeugen oder Geburtstagslisten vom Kollegium.
Wie können wir nun den Datenschutz in allen diesen Bereichen sicherstellen? Wie Sie
bereits erfahren haben, sieht die DSGVO als Maßnahme ein verpflichtendes
Verzeichnis von Verarbeitungstätigkeiten vor. Dieses Verzeichnis muss alle
Verarbeitungen von personenbezogen Daten dokumentieren und ständig aktuell
gehalten werden. Es steht auch der Datenschutzbehörde zur Verfügung, um die
Verarbeitung von personenbezogenen Daten innerhalb der Unternehmen zu
kontrollieren. Dieses Verzeichnis ist damit das Herzstück der DSGVO – Die DSGVO
sieht hohe Strafen vor, wenn das Verzeichnis fehlt! Sie können sich merken, dass das
Verzeichnis dann komplett ist, wenn damit die 6 W-Fragen über die enthaltenen Daten
beantwortet werden können: Sie kennen das ja bereits aus den “Grundsätzen des
Datenschutzes“.
Um das Verzeichnis aktuell halten zu können, muss jede Art der Verarbeitung von
personenbezogenen Daten an die Datenschutzverantwortlichen Person gemeldet
werden. z.B. wenn ein Lieferantenverzeichnis mit personenbezogenen Daten in Excel
erstellt wird. Oder ein Mitarbeiterverzeichnis erstellt wird, um Befähigungen oder
Zertifikate von Mitarbeitern zu verwalten.
Sie melden eine solche neue Verarbeitung schriftlich per E-Mail an Ihren Kontakt für
Datenschutz. Überlegen Sie aber zuvor, ob Sie die Daten oder die Datenverarbeitung
tatsächlich benötigen. Damit handeln Sie richtig und nach dem Grundsatz der
Datensparsamkeit.

47
Sie wollen ein neues Verzeichnis mit personenbezogenen Daten melden? Sie erhalten
eine Auskunfts-Anfrage einer Betroffenen Person? Oder Sie sind auf einen
vermeintlichen Verstoß gegen die korrekte Verarbeitung personenbezogener Daten
aufmerksam geworden?
Bei all diesen Meldungen oder bei Fragen wenden Sie sich bitte in erster Linie
schriftlich per E-Mail an Ihren Kontakt für Datenschutz.
Melden Sie unter dieser Adresse insbesondere ein neues Verzeichnis, Anfragen von
Betroffenen für eine Auskunft, oder ein Löschungsansuchen, Datenschutzvorfälle,
wie einen Verlust von personenbezogenen Daten, einen unberechtigten Zugriff auf
Daten und Ähnliches oder wenn ein externes Unternehmen bzw. auch ein
Konzernunternehmen mit der Verarbeitung personenbezogener Daten beauftragt
wird. In diesem Fall muss eine spezielle Vereinbarung über eine
Auftragsdatenverarbeitung abgeschlossen werden.

48
Auch wenn wir uns unserer Verantwortung bewusst sind und entsprechend handeln,
gibt es keine hundertprozentige Sicherheit gegen Datenverstößen. Auf der nächsten
Seite erfahren Sie, was in einem solchen Fall zu tun ist.

49
Stellen Sie sich vor, Daten gehen verloren. Das kann ein verlorengegangener USB-
Stick sein, mit personenbezogenen Daten über die Kundschaft oder ausgedruckte
Telefonlisten des Kollegiums. Das Risiko, dass diese Daten in fremde Hände geraten
könnten, ist relativ hoch. Und damit ist das ein klarer Verstoß gegen den Datenschutz
und kann laut DSGVO harte Konsequenzen nach sich ziehen.
Wenn Sie also eine Datenschutzverletzung bemerken, gibt es nur ein richtiges
Verhalten! Melden Sie den Fall sofort nach Bekanntwerden persönlich oder schriftlich
der Datenschutz-Beauftragten Person.
Diese koordiniert die weitere Vorgangsweise: Sie meldet einen Verstoß binnen 72
Stunden an die Datenschutzbehörde, informiert unverzüglich die betroffenen
Personen und veröffentlicht den Verstoß, falls dies erforderlich ist.

50
Denken Sie daran, dass es bei Verstößen gegen den Datenschutz zu einem großen
Imageschaden kommen kann. Und auch der finanzielle Schaden ist enorm. Verstöße
gegen die DSGVO werden geahndet mit hohen Geldbußen. Erlaubt sind bis zu 20
Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des
vorangegangenen Geschäftsjahres. Die Unternehmensgröße ist dabei nicht relevant.
Auch Schadenersatzforderungen von Betroffenen Personen zählen zu den
finanziellen Risiken.
Nehmen Sie daher den Datenschutz ernst und halten Sie sich immer an die
Unternehmensrichtlinien!

51
Sie haben nun kennengelernt, mit welchen Maßnahmen wir den neuen
Herausforderungen der DSGVO begegnen müssen und wie wir unsere Informationen
zum Datenschutz richtig kommunizieren. Im Folgenden fassen wir nochmal die
wichtigsten Punkte für Sie zusammen.

52
Sie sind nun am Ende angelangt und haben eine Menge über die neue DSGVO
erfahren.

Die neue EU-Datenschutz-Grundverordnung gilt für alle Unternehmen, die in der EU

tätig sind. Sie basiert auf den Grundrechten und Grundfreiheiten natürlicher
Personen und hat zum Ziel, die Datensicherheit zu schützen und die Verarbeitung
personenbezogener Daten in Unternehmen zu kontrollieren. Sie ist seit 25. Mai 2018
in Kraft.

Für Unternehmen besteht die größte Bedeutung der DSGVO darin, die Verarbeitung
von personenbezogenen Daten nachzuweisen und alle Anweisungen in der DSGVO
zu befolgen. Andernfalls drohen dem Unternehmen Geldbußen in Höhe von 20
Millionen Euro oder 4% des Jahresumsatzes und zusätzliche
Schadenersatzforderungen von Betroffenen.
Prüfen Sie darum Ihre internen Prozesse und passen diese an.
Unternehmen haben mit der Informationspflicht betroffenen Personen Auskunft
über alle Arten der Verarbeitung personenbezogener Daten zu geben. Die
Betroffenenrechte erlauben es Kunden, Lieferanten, Partnern und Mitarbeitern,
personenbezogene Daten insbesondere löschen und berichtigen zu lassen oder
deren Verarbeitung zu widerrufen. Verantwortliche haben einen Monat Zeit, die
Anfragen zu erledigen.

Unternehmen sind verpflichtet Verzeichnisse von Verarbeitungstätigkeiten zu

erstellen und diese vollständig und aktuell zu halten. Alle Mitarbeiter im Umgang mit
personenbezogenen Daten, sind in der Pflicht, neue Verarbeitungen an die
Datenschutzverantwortliche Person zu melden. Außerdem meldepflichtig sind
schwere Datenpannen, diese sind unverzüglich bzw. nach maximal 72 Stunden der
Datenschutzbehörde und in sehr schweren Fällen den betroffenen Personen zu
melden. Für Datenschutzverletzungen müssen Unternehmen mit Imageschaden und
ebenfalls hohen Geldstrafen rechnen. 53
Zum Abschluss wollen wir Ihnen nochmal die wichtigsten Informationen und
Handlungsanleitungen mit auf den Weg geben. Damit Sie stets DSGVO-konform
handeln können.
 Personenbezogene Daten sind vertraulich und unterliegen dem
Datengeheimnis. Sie dürfen personenbezogene Daten darum nur mit einer
Rechtmäßigkeit verarbeiten!
 Eine Verbreitung personenbezogener Daten über E-Mail-Verteiler, allgemein
zugängliche Netzwerke oder ähnliches birgt Gefahren und ein Verlust von
Daten bedeutet auch einen Verstoß gegen den Datenschutz.
 Vermeiden Sie unüberlegtes oder eigenmächtiges Handeln bei
Datenschutzverstößen. Wenn Sie sich nicht sicher sind, was zu tun ist, wenden
Sie sich am besten an Ihren Kontakt für Datenschutz.

Der Schutz der Datensicherheit ist wichtig und betrifft jede Person:
 Zugunsten der Datensicherheit verschlüsseln Sie am besten Dateien und
verteilen Zugangsrechte.
 Eine professionelle und regelmäßige Sicherung der Daten und Anonymisierung
sorgen zusätzlich für Sicherheit und schützen vor unrechtmäßiger Weitergabe,
Verlust oder Zerstörung der Daten.
 Ebenso gilt der Datenschutz für die manuelle Verarbeitung. Entsorgen Sie
darum Papier nicht im Papierkorb, sondern Shreddern sie es.
 Lassen Sie Ausdrucke und Dokumente nicht offen am Tisch liegen, sondern
verwenden Sie dafür versperrbare Aktenschränke.
 Achten Sie beim Versenden von E-Mails auf den Empfänger, um Daten nicht
unabsichtlich an unberechtigte Personen zu übermitteln.
 Arbeiten Sie aufmerksam und beachten Sie gegebenenfalls Eingaberichtlinien
für das Erheben von Daten.

54
  Stellen Sie sicher, dass Ihre interne und externe Kommunikation reibungslos
funktioniert, damit Sie Informationspflichten, Meldepflichten und
Betroffenenrechte einhalten können.

Darüber hinaus gibt es natürlich weitere Maßnahmen, um die Regeln des

Datenschutzes einhalten zu können. Ihr Kontakt für Datenschutz hilft Ihnen hier gerne
weiter!

55
56
Herzlichen Glückwunsch. Sie haben das eTraining erfolgreich abgeschlossen. Sind
Sie fit für die DSGVO? Testen Sie nun Ihr neu erlerntes Wissen in einem Quiz.

57
Wir stellen Ihnen nun 10 Fragen. Bitte bearbeiten Sie die Fragen in Ruhe, es gibt kein
Zeitlimit. Wichtig ist, dass Sie die Fragen richtig beantworten. Ihr Ziel ist, 80% der
Fragen richtig zu beantworten.
Die Fragen können eine oder mehrere richtige Antworten haben. Am Ende gelangen
Sie zur Auswertung und sehen, ob Sie Fit4DSGVO sind!

58
Herzlichen Glückwunsch! Sie haben das eTraining Fit4DSGVO erfolgreich absolviert!
Sie haben die Neuerungen der neuen EU-Datenschutz-Grundverordnung kennen
gelernt und wissen nun warum Datenschutz in Unternehmen wichtig ist, wie Sie für
den Schutz personenbezogener Daten sorgen können und wie Sie Missbrauch und
Verstößen gegen den Datenschutz begegnen müssen, um in kritischen Situationen
professionell Handeln können.
Herzlichen Dank und auf Wiedersehen!

59