Data Protection Academy » Data Protection Wiki » Data protection basics
Data protection basics according to GDPR
Die fortschreitende Digitalisierung bringt neben zahlreichen Annehmlichkeiten auch erhebliche Herausforderungen für Behörden, Organisationen und Unternehmen mit sich. Während persönliche Daten früher primär in lokalen Registern geführt wurden, können sie heute dank des Internets global und in kürzester Zeit verbreitet werden. Vielen Menschen ist dabei das Ausmaß der bereits online zirkulierenden Informationen über sie nicht bewusst. Von Online-Einkäufen über Bankdaten bis hin zu persönlichen Präferenzen lassen sich detaillierte Profile erstellen. Der oft sorglose Umgang mit diesen Daten unterstreicht die wachsende Notwendigkeit des Datenschutzes.
Denn gelangen sensible Informationen in unbefugte Hände, können erhebliche Schäden entstehen. Der Datenschutz hat die Aufgabe, dies zu verhindern. In Deutschland und vielen anderen europäischen Ländern regelt die Datenschutz-Grundverordnung (DSGVO) das Recht jedes Bürgers, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen.
Content on the topic of data protection basics according to GDPR:
Definition: What is data protection?
Through the General Data Protection Regulationwhich came into force on 25 May 2018, aims to safeguard the fundamental right to informational self-determination. This means that individuals themselves determine how their data is handled and who may receive what information. Based on the right to informational self-determination, the GDPR regulates the collection, use, storage and disclosure of personal data.
Datenschutz schützt Personen vor missbräuchlicher Datenverarbeitung und garantiert Privatsphäre. Ohne Rechtsgrundlage oder Einwilligung ist die Verarbeitung personal data verboten. Es sollen nur notwendige Daten mit Kenntnis des Betroffenen erhoben, zweckgebunden verarbeitet und bei Wegfall des Zwecks gelöscht werden. Technische Maßnahmen gegen Missbrauch sind Pflicht. Betroffene haben Auskunfts-, Widerspruchs-, Berichtigungs- und Löschrechte. Datenschutz wird in Deutschland primär durch DSGVO und BDSG. geregelt, die u.a. Rechtmäßigkeit, Zweckbindung, Datensparsamkeit und Richtigkeit vorschreiben. Datenschutz verhindert unerlaubte Datenerhebung, -verarbeitung und -weitergabe, um Identitätsdiebstahl zu vermeiden und das Recht auf informationelle Selbstbestimmung zu sichern.
What are the data protection laws?
The Federal Data Protection Act (short BDSG.) is a central data protection law in Germany, which regulates data protection at national level when the GDPR durch Öffnungsklauseln in der Umsetzung des Datenschutzes einen gewissen Spielraum gewährt. Es dient der Ergänzung und Konkretisierung der DSGVO und greift mit ihren besonderen Bestimmungen nur ein, wenn die DSGVO nicht angewendet werden kann.
Das Telemediengesetz (kurz TMG) ist ein zentrales Recht im Bereich des Internetrechts und die wichtigste gesetzliche Vorschrift, seit Telemediendienst und Mediendienststaatsvertrag außer Kraft sind. Es beinhaltet Regelungen und Pflichten der Anbieter von Telemedien. Darunter zählen elektronische Informations- und Kommunikationsdienste, die nicht dem Rundfunkstaatsvertrag oder dem Telekommunikationsgesetz unterstehen. Allgemein gelten die Regelungen für private, öffentliche oder gewerbstätige Anbieter von Telemedien. Ein Beispiel für Pflichten welche im TMG geschrieben stehen ist die Impressumspflicht.
Was bedeutet Datenschutz für Unternehmen?
Unternehmen müssen Datenschutz-Grundlagen beachten, um DSGVO-Konformität zu gewährleisten. Dies umfasst:
- Data Protection Officer: The appointment of an internal or external Data Protection Officer ist in bestimmten Fällen Pflicht und dient der sicheren und effizienten Umsetzung der Datenschutzvorgaben im Unternehmen.
- Verarbeitungstätigkeiten: Die detaillierte Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist unerlässlich. Dieses Verzeichnis muss klare Verantwortlichkeiten festlegen, die Art der verarbeiteten Daten und die jeweiligen Löschfristen definieren, um Transparenz gegenüber Betroffenen und Aufsichtsbehörden zu gewährleisten.
- Datenschutzerklärung: Jede betroffene Person hat das Recht auf Information über die Verarbeitung ihrer Daten. Daher müssen Unternehmen eine leicht zugängliche und verständliche Datenschutzerklärung bereitstellen, insbesondere Website-Betreiber auf ihrer Seite. Dieses Recht basiert auf dem Right to informational self-determination, welches durch die Datenschutzgrundverordnung (EU-DSGVO) gestärkt wird.
- Data protection secrecy: Alle Personen, die im Unternehmen mit personenbezogenen Daten in Berührung kommen, müssen schriftlich zur Wahrung des Datenschutzgeheimnisses und zur Vertraulichkeit der unternehmensbezogenen Daten verpflichtet werden. Der controller im Unternehmen trägt hierfür Sorge.
- Order processing contract (AVV): If external service providers process personal data on behalf of the controller, the conclusion of a legally compliant data processing agreement is mandatory. Data processing agreement (DPA) notwendig, um die Rechte und Pflichten beider Parteien klar zu regeln und die Sicherheit der Daten zu gewährleisten. HeyData bietet hierzu Unterstützung.
- Datenschutzmaßnahmen: The implementation of suitable technisch-organisatorischer Maßnahmen (TOM) ist entscheidend, um die Sicherheit der Daten gemäß den Anforderungen der DSGVO zu gewährleisten. Dies erfordert die Entwicklung eines umfassenden Unternehmenskonzepts, das beispielsweise sichere Zugangscodes, Benutzerkonten und klare betriebliche Arbeitsabläufe umfasst.
- Datenschutz-Folgenabschätzung (DSFA): Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, ist die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich, um diese Risiken zu bewerten und Maßnahmen zu deren Minimierung festzulegen.
- Löschkonzept: Unternehmen müssen ein Löschkonzept entwickeln und implementieren, das festlegt, wann und wie personenbezogene Daten zu löschen oder zu anonymisieren sind, sobald der Zweck der Verarbeitung entfallen ist und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
- Sensitisation of the workforce: Datenschutz kann nur funktionieren, wenn er von allen Mitarbeitern gelebt wird. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen durch den internen oder externen Datenschutzbeauftragten sind unerlässlich, um das Bewusstsein für den Schutz personenbezogener Daten zu stärken und die Einhaltung der Datenschutzgrundlagen zu fördern. Zudem müssen Prozesse für den Umgang mit Data Protection Breaches be established.
Are there industry-specific differences in data protection?
Spätestens seit der Einführung der DSGVO gibt es eine einheitliche Verordnung zum Datenschutz. Wer also mit personenbezogene Daten innerhalb der Europäischen Union arbeitet, findet in der DSGVO Regelungen und Pflichten, die zu befolgen sind. Ergänzend dazu kann es für bestimmte Branchen spezielle Rechtsgrundlagen geben, die es zu beachten gilt. Ebenso greift die DSGVO bei Verkäufern aus dem Nicht-EU-Ausland (sogenannten Drittländern), sobald der Kunde aus der Europäischen Union stammt.
What is the point of data protection or why is data protection so important?
Technologische Fortschritte bringen neben ungeahnten Möglichkeiten auch viele ungeahnte Gefahren mit sich. So erheben Webseiten Daten von Nutzern, ohne deren zwangsläufige Wissen. Diese Daten können aus persönlichen oder wirtschaftlichen Gründen sehr wertvoll sein.
Die Verarbeitung von Daten im Internet birgt die Gefahr, dass sich Unbefugte Zugriff auf diese verschaffen. Um Kunden vor Datenmissbrauch zu schützen, aber auch zum Schutz Ihres Unternehmens vor Angreifern und Bußgeldern, sollten Sie dafür sorgen, dass personenbezogenen Daten DSGVO-konform verarbeitet werden und optimal geschützt sind.
How do consumers benefit from data protection?
Datenschutz verpflichtet Unternehmen Kundendaten etc. sorgsam zu behandeln. Dabei bietet der Datenschutz, insbesondere seit der Einführung der DSGVO, zusätzliche Möglichkeiten für Einzelpersonen an. Sind Ihre Daten in einem Verzeichnis nicht mehr aktuell bzw. fehlerhaft oder möchten Sie nicht, dass Ihre personenbezogenen Daten weiterhin in einem Online-Shop gespeichert sind, so wurde dies nun explizit in der DSGVO geregelt. Mittels Auskunftsersuchen müssen diverse Firmen und Dienstleister alle gespeicherten Daten einer Person aushändigen und auf Wunsch bearbeiten oder löschen.
Regelmäßige Kontrollen und Überprüfungen
Für den durchschnittlichen Verbraucher ist es leider oft schwierig nachzuvollziehen, inwiefern die Unternehmen in der Realität ihren Verpflichtungen in Sachen Datenschutz nachkommen. Aus diesem Grund wurde bereits vor längerer Zeit sogenannte Datenschutz-Aufsichtsbehörden ins Leben gerufen, die eben solche Kontrollen durchführen und bei Verdachtsmomenten die möglichen Verstöße untersucht. In Deutschland gibt es neben dem Bundesbeauftragten für Datenschutz und Informationssicherheit, je einen Landesdatenschutzbeauftragten pro Bundesland. Insgesamt verfügt Deutschland über 17 eigene Aufsichtsbehörde für den Datenschutz.
Unternehmen jeder Größe– vom Kleinstunternehmen bis zum großen Konzern – sind verpflichtet eine data protection documentation gemäß DSGVO zu führen und im Falle eine Überprüfung durch die Aufsichtsbehörden vorweisen können. Deshalb empfiehlt es sich eine Person im Unternehmen auszuwählen, unabhängig ob diese aufgrund der Unternehmensgröße vorgeschrieben ist, die sich um Datenschutzbelange aller Art kümmert.
Was kostet ein Verstoß gegen den Datenschutz?
Ask yourself the question, are you in any way involved with personal data., wie Name, Adresse, Geburtsdatum etc. von Kunden oder anderen Geschäftspersonen zu tun haben. Lautet die Antwort auf diese Frage ja, dann sind Sie verpflichtet eben jenen Datenschutz den Vorschriften entsprechend umzusetzen. Aufgrund der hohen Strafen, die bei Datenschutz-Verstößen drohen, sollten Sie sich rechtzeitig um diese Belange kümmern. Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder vor. Diese können bis zu 20 Millionen Euro beziehungsweise 4% des weltweiten Jahresumsatzes eines Unternehmens betragen, entscheidend ist, welcher Betrag höher ist. Aber auch Freiheitsstrafen von bis zu 3 Jahren sind möglich, wenn gegen die Datenschutzbestimmungen verstoßen wird.
Wer haftet bei Verstößen gegen das Datenschutzgesetz?
Many companies order a so-called Data Protection Officer und lassen das Thema fortan hinter sich. Ein solches Verhalten entlastet aber nicht von einer Haftung im Schadensfall. Denn die Ernennung zum Datenschutzbeauftragten bedeutet nicht zwangsläufig die vollständige Übernahme der Haftung. Bei einfachen Verstößen wird nach wie vor der Geschäftsführer oder eine andere Führungsperson zur Verantwortung gezogen.
Der Datenschutzbeauftragte oder ein sonstiger Mitarbeiter sind nur dann zur Rechenschaft zu ziehen, wenn absichtliches oder grob fahrlässiges Verhalten im Umgang mit personenbezogenen Daten nachgewiesen werden kann. Als Unternehmer sind Sie daher stets gut beraten, wenn Sie sich ab und an selbst ein Bild darüber machen, ob die Datenschutzbestimmungen in Ihrem Unternehmen bestmöglich eingehalten werden.
Video: Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen
Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen
Organisationen müssen zahlreichen Pflichten nachkommen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten. Oft sind beträchtliche Zeit- und Kostenaufwände nötig, um das notwendige Fachwissen aufzubauen, den Datenschutz ganzheitlich zu überblicken und ein Datenschutz-Management-System (DSMS) aufzubauen.
In den Robin Data Hacks zum Thema Datenschutz-Management-System, zeigen wir Ihnen, wie Sie Ihren Datenschutz digital umsetzen und die gesetzlich geforderten Maßnahmen im Umgang mit personenbezogenen Daten systematisch steuern, kontrollieren und dokumentieren können.
The video is a recording of the Robin Data Hack. The Robin Data Hacks take place online and participation is free of charge. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.
What is the difference between data protection and data security?
The difference between data protection and data security is that data protection refers to the Informational self-determinationg und den Schutz der Privatsphäre begrenzt ist. Dabei liegt der Fokus auf den personenbezogenen Daten. Im Gegensatz dazu ist die Datensicherheit weiter gefasst und betrifft alle Datenarten, welche vor unbefugtem Zugriff, Missbrauch und Verlust zu schützen sind. Die Mittel für diese Maßnahmen sind in den TOM geregelt, so zum Beispiel die pseudonymisation. Zusammenfassen lassen sich Datenschutz und Datensicherheit mit folgenden Fragen:
- Datenschutz: Dürfen individual-related data collected and processed?
- Datensicherheit: Wie beziehungsweise mit welchen Maßnahmen werden Daten am besten vor unbefugten Zugriff geschützt?
- NIS2: EU-Richtlinie für mehr Cybersicherheit - 13 November 2025
- EU Data Act: Pflichten für Organisationen - 12 September 2025
- Gefährdungsbeurteilung erstellen - 7 July 2025
Das könnte Sie auch interessieren:
https://media.robin-data.io/2022/05/23150650/Zusammenarbeit-1.jpg
341
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2025-04-23 09:41:392025-04-23 09:44:29DSMS according to GDPR: Structure & practical implementation
https://media.robin-data.io/2025/01/27132208/kuenstliche-intelligenz-ai.png
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2025-04-07 13:24:222025-04-07 13:46:33AI and data protection in practice
