von | Juli 11, 2018 | Datenschutz | 0 Kommentare

Datenschutz – Daten – Schutz

Das Geheimnis vom verständlichen Datenschutz, für wen gilt dieser?!

Zuletzt aktualisiert am 1. Juni 2026

Das Geheimnis vom verständlichen Datenschutz

Angesichts neuer Regeln im Datenschutz stehen derzeit einige Fragen im Raum. Das sorgt für eine große Verunsicherung bei den verantwortlichen Stellen.

Wen es betrifft

Unternehmen, Selbstständige und auch Vereine, die in der EU ansässig sind, eine Niederlassung in der EU betreiben oder personenbezogene Daten von EU Bürgern verarbeiten, dürfen sich seit dem 25.05.2018 mit dem Thema Datenschutz intensiv auseinandersetzen. Der Ausdruck personenbezogene Daten ist allumfassend und beinhaltet zum Beispiel den Vor- und Nachnamen, die Anschrift, Telefonnummer, Standortdaten und Geburtstage sowie viele weitere Daten die personenbezogen oder personenbeziehbar sind.

Sobald Sie als Person durch kleinste Informationen dementsprechend zugeordnet werden können unterliegen diese personenbezogenen Daten dem Datenschutz.

Externen Datenschutzbeauftragten beauftragen — bundesweit ab 250 € / Monat

DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.

→ Leistungen ansehenErsteinschätzung anfragen

Wir als Datenschutzbeauftragte unterstützen Sie bei der Umsetzung der gesetzlichen Anforderungen. Wir freuen uns auf Ihren Kontakt.

Anwendungsbereich der DSGVO im Detail

Sachlicher Anwendungsbereich

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. In der Praxis bedeutet dies: Sobald ein Unternehmen, Selbstständiger oder Verein personenbezogene Daten digital verarbeitet – sei es in einer Kundendatenbank, einem E-Mail-Programm oder einer Excel-Tabelle – findet die DSGVO Anwendung.

Räumlicher Anwendungsbereich

Die DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen aus Drittstaaten, die Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (sogenanntes Marktortprinzip gemäß Art. 3 Abs. 2 DSGVO). Diese extraterritoriale Wirkung macht die DSGVO zu einem der weitreichendsten Datenschutzgesetze weltweit.

Was sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO bewusst weit gefasst. Er umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören neben den offensichtlichen Daten wie Name und Anschrift auch:

  • Online-Kennungen: IP-Adressen, Cookie-IDs, Geräte-Fingerprints
  • Standortdaten: GPS-Koordinaten, WLAN-Zugangspunkte, Mobilfunkzellen
  • Wirtschaftliche Daten: Gehaltsinformationen, Kontodaten, Bonitätsdaten
  • Physische Merkmale: Biometrische Daten, Fotos, Videoaufnahmen
  • Soziale Daten: Familienstatus, Mitgliedschaften, soziale Kontakte

Besonders schützenswert sind die besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO: Gesundheitsdaten, genetische und biometrische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Daten zum Sexualleben. Deren Verarbeitung ist grundsätzlich verboten und nur in den engen Ausnahmefällen des Art. 9 Abs. 2 DSGVO zulässig.

Besondere Anforderungen für verschiedene Organisationsformen

Unternehmen und Selbstständige

Unternehmen jeder Größe – vom Einzelunternehmer bis zum Großkonzern – müssen die DSGVO beachten. Die Intensität der erforderlichen Maßnahmen richtet sich dabei nach Art, Umfang und Risiko der Datenverarbeitung. Kleine Unternehmen profitieren von bestimmten Erleichterungen, sind aber keineswegs von den Grundpflichten befreit.

Ob ein Unternehmen einen Datenschutzbeauftragten bestellen muss, regelt § 38 BDSG. Ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung verpflichtend. Mehr dazu erfahren Sie auf unserer Seite zur Datenschutzbeauftragter Pflicht.

Vereine

Auch Vereine verarbeiten regelmäßig personenbezogene Daten ihrer Mitglieder – von Kontaktdaten über Beitragsinformationen bis hin zu Gesundheitsdaten bei Sportvereinen. Die DSGVO gilt hier uneingeschränkt. Vereine müssen ein Verarbeitungsverzeichnis führen, ihre Mitglieder über die Datenverarbeitung informieren und angemessene Sicherheitsmaßnahmen ergreifen.

Öffentliche Stellen

Behörden und andere öffentliche Stellen unterliegen neben der DSGVO auch den spezifischen Datenschutzgesetzen des Bundes und der Länder. In Sachsen gilt zusätzlich das Sächsische Datenschutzgesetz (SächsDSG).

Die Grundsätze der Datenverarbeitung

Art. 5 DSGVO definiert die zentralen Grundsätze, die bei jeder Verarbeitung personenbezogener Daten einzuhalten sind:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Jede Verarbeitung braucht eine Rechtsgrundlage und muss für den Betroffenen nachvollziehbar sein
  2. Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
  3. Datenminimierung: Es dürfen nur die für den Zweck erforderlichen Daten erhoben werden
  4. Richtigkeit: Personenbezogene Daten müssen sachlich richtig und aktuell sein
  5. Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert
  6. Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen sind Pflicht

Professionelle Unterstützung bei der DSGVO-Umsetzung

Die korrekte Umsetzung der DSGVO ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Ein externer Datenschutzbeauftragter der DATUREX GmbH aus Dresden begleitet Ihr Unternehmen dabei – von der initialen Bestandsaufnahme über die Implementierung bis zur laufenden Überwachung. Informieren Sie sich auch über unsere DSGVO-Beratung und vereinbaren Sie ein unverbindliches Erstgespräch.

Datenschutz in der digitalen Arbeitswelt

Die fortschreitende Digitalisierung hat den Umfang der Datenverarbeitung in Unternehmen erheblich erweitert. Homeoffice, Cloud-Dienste, mobile Endgeräte und künstliche Intelligenz stellen neue Herausforderungen an den Datenschutz. Unternehmen müssen ihre Datenschutzkonzepte kontinuierlich an diese Entwicklungen anpassen.

Homeoffice und Remote-Arbeit

Die Verarbeitung personenbezogener Daten im Homeoffice erfordert besondere Schutzmaßnahmen. Dazu gehören die Verwendung von VPN-Verbindungen, die Verschlüsselung von Endgeräten, klare Regelungen zur Nutzung privater Geräte (Bring Your Own Device) und die Schulung der Mitarbeiter zum datenschutzkonformen Arbeiten außerhalb des Büros.

Cloud-Dienste

Die Nutzung von Cloud-Diensten ist aus modernen Unternehmen kaum noch wegzudenken. Datenschutzrechtlich ist dabei besonders relevant, wo die Daten gespeichert werden und ob ein Drittlandtransfer stattfindet. Seit dem Schrems-II-Urteil des EuGH müssen Unternehmen bei der Nutzung US-amerikanischer Cloud-Dienste besondere Sorgfalt walten lassen.

Künstliche Intelligenz

Der Einsatz von KI-Systemen wirft zahlreiche datenschutzrechtliche Fragen auf. Die automatisierte Entscheidungsfindung ist nach Art. 22 DSGVO grundsätzlich eingeschränkt, und Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet.

Datenschutz als Wettbewerbsvorteil

Immer mehr Verbraucher und Geschäftspartner achten auf den verantwortungsvollen Umgang mit ihren Daten. Unternehmen, die einen transparenten und professionellen Datenschutz nachweisen können, genießen einen Vertrauensvorsprung gegenüber Wettbewerbern. Datenschutzzertifizierungen und -siegel können diesen Vorteil zusätzlich untermauern.

Die Investition in professionellen Datenschutz ist daher nicht nur eine rechtliche Notwendigkeit, sondern auch eine strategische Entscheidung, die sich langfristig in Kundenbindung und Geschäftserfolg niederschlägt. Ein regelmäßiger Datenschutz-Check durch qualifizierte Experten stellt sicher, dass Ihr Unternehmen laufend auf dem aktuellen Stand der Anforderungen ist.

Internationale Dimension des Datenschutzes

Die DSGVO hat weltweit Maßstäbe gesetzt und zahlreiche andere Länder dazu inspiriert, ähnliche Datenschutzgesetze zu erlassen. Unternehmen, die international tätig sind, müssen neben der DSGVO auch die Datenschutzgesetze anderer Länder beachten. Besonders relevant sind dabei das Schweizer Datenschutzgesetz (revDSG), das britische UK GDPR und das brasilianische LGPD.

Für international agierende Unternehmen empfiehlt sich die Entwicklung eines globalen Datenschutzprogramms, das die Anforderungen aller relevanten Jurisdiktionen berücksichtigt und einen einheitlichen Mindeststandard gewährleistet.

Was genau sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO definiert. Danach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt — etwa über eine Kennung wie einen Namen, eine Online-Kennung, eine Kennnummer oder einen Standort — identifiziert werden kann.

Die DSGVO versteht den Begriff bewusst weit. Neben den offensichtlichen Daten wie Name, Adresse und Geburtsdatum fallen auch folgende Informationen unter den Schutz der DSGVO:

  • Digitale Kennungen: IP-Adressen, Cookie-IDs, Geräte-IDs, Werbe-IDs
  • Standortdaten: GPS-Koordinaten, WLAN-Standortdaten, Mobilfunkzellen
  • Biometrische Daten: Fingerabdrücke, Gesichtserkennung, Stimmerkennung
  • Gesundheitsdaten: Diagnosen, Medikamentenpläne, Krankenkassenzugehörigkeit
  • Finanzdaten: Kontonummern, Gehaltsinformationen, Bonitätsdaten
  • Beschäftigtendaten: Arbeitsverträge, Beurteilungen, Abmahnungen

Die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO

Art. 5 DSGVO definiert die zentralen Grundsätze, die bei jeder Verarbeitung personenbezogener Daten einzuhalten sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Personenbezogene Daten müssen auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
  • Datenminimierung: Es dürfen nur die personenbezogenen Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind.
  • Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.
  • Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist.
  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen durch angemessene technische und organisatorische Maßnahmen geschützt werden.
  • Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.

Rechtsgrundlagen der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Art. 6 Abs. 1 DSGVO nennt sechs mögliche Rechtsgrundlagen:

  • Einwilligung (lit. a): Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung (lit. b): Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  • Rechtliche Verpflichtung (lit. c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Lebenswichtige Interessen (lit. d): Die Verarbeitung ist zum Schutz lebenswichtiger Interessen erforderlich.
  • Öffentliches Interesse (lit. e): Die Verarbeitung ist für eine Aufgabe im öffentlichen Interesse erforderlich.
  • Berechtigtes Interesse (lit. f): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen.

Betroffenenrechte — Ihre Rechte als Betroffener

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte:

  • Auskunftsrecht (Art. 15): Sie haben das Recht zu erfahren, ob und welche personenbezogenen Daten über Sie verarbeitet werden.
  • Recht auf Berichtigung (Art. 16): Unrichtige Daten müssen unverzüglich berichtigt werden.
  • Recht auf Löschung (Art. 17): Unter bestimmten Voraussetzungen haben Sie das Recht, die Löschung Ihrer Daten zu verlangen.
  • Recht auf Einschränkung (Art. 18): In bestimmten Fällen können Sie die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20): Sie können verlangen, Ihre Daten in einem maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten widersprechen.

Datenschutz in der Praxis umsetzen

Für Unternehmen, Vereine und Selbstständige ist die praktische Umsetzung der DSGVO oft eine Herausforderung. Ein systematisches Vorgehen erleichtert den Einstieg:

  1. Bestandsaufnahme: Ein Verarbeitungsverzeichnis schafft die notwendige Übersicht über alle Verarbeitungstätigkeiten.
  2. Rechtsgrundlagen prüfen: Für jede Verarbeitungstätigkeit muss eine gültige Rechtsgrundlage identifiziert werden.
  3. Technische Maßnahmen: Angemessene technisch-organisatorische Maßnahmen müssen implementiert werden.
  4. Datenschutzhinweise aktualisieren: Datenschutzerklärungen auf Websites und in Verträgen müssen vollständig und aktuell sein.
  5. Auftragsverarbeitungsverträge: Mit allen Dienstleistern, die personenbezogene Daten verarbeiten, müssen entsprechende Verträge abgeschlossen werden.
  6. Mitarbeiterschulungen: Alle Mitarbeiter müssen regelmäßig zum Datenschutz geschult werden.

Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der vollständigen Umsetzung der DSGVO-Anforderungen. Als erfahrener externer Datenschutzbeauftragter begleiten wir Sie von der ersten Bestandsaufnahme bis zur laufenden Betreuung.

Praktische Umsetzungstipps für kleine Unternehmen

Gerade kleine Unternehmen und Einzelunternehmer fühlen sich von den Anforderungen der DSGVO häufig überfordert. Dabei lassen sich die grundlegenden Pflichten mit überschaubarem Aufwand erfüllen, wenn man systematisch vorgeht:

Schritt 1: Datenflüsse identifizieren

Erstellen Sie eine einfache Übersicht aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Denken Sie dabei an Kundenkommunikation, Personalverwaltung, Buchhaltung, Webseite und Social-Media-Aktivitäten.

Schritt 2: Rechtsgrundlagen prüfen

Für jede identifizierte Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen. In den meisten Fällen kommen Vertragserfüllung, berechtigtes Interesse oder Einwilligung in Betracht.

Schritt 3: Datenschutzerklärung erstellen

Jede Webseite benötigt eine vollständige Datenschutzerklärung. Diese muss alle eingesetzten Dienste, Cookies und Tracking-Tools transparent beschreiben.

Schritt 4: Auftragsverarbeitungsverträge abschließen

Mit allen Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten – etwa Cloud-Anbieter, Newsletter-Dienste oder IT-Support – müssen Auftragsverarbeitungsverträge geschlossen werden.

Schritt 5: Technische Sicherheit gewährleisten

Implementieren Sie grundlegende Sicherheitsmaßnahmen: aktuelle Software, starke Passwörter, Verschlüsselung und regelmäßige Backups. Diese Maßnahmen schützen nicht nur personenbezogene Daten, sondern auch Ihre Geschäftsdaten insgesamt.

Wenn Sie Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen als DATUREX GmbH gerne zur Seite. Mit unserer Erfahrung als externer Datenschutzbeauftragter in Dresden und ganz Sachsen finden wir pragmatische Lösungen, die zu Ihrem Unternehmen passen.

Professionelle Datenschutz-Unterstützung für Ihr Unternehmen

Als erfahrene Datenschutzexperten unterstützen wir Sie bei allen Anforderungen der DSGVO. Unsere Leistungen im Überblick:

→ Jetzt unverbindlich beraten lassen

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen

Kommentar absenden