Was besagt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum (EWR). Die wichtigsten Punkte der DSGVO sind: 1. **Recht auf Auskunft**: Betroffene Personen haben das Recht zu erfahren, welche personenbezogenen Daten über sie gespeichert sind und wie diese verwendet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Auch als "Recht auf Vergessenwerden" bekannt, ermöglicht es den Betroffenen, die Löschung ihrer Daten unter bestimmten Bedingungen zu verlangen. 4. **Recht auf Einschränkung der Verarbeitung**: Personen können die Verarbeitung ihrer Daten unter bestimmten Umständen einschränken. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Einwilligung**: Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat oder eine andere rechtliche Grundlage vorliegt. 7. **Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen**: Unternehmen müssen Datenschutzmaßnahmen bereits bei der Entwicklung von Produkten und Dienstleistungen berücksichtigen. 8. **Verstärkter Schutz für besondere Datenkategorien**: Die DSGVO sieht einen höheren Schutz für sensible Daten wie Gesundheitsdaten oder Daten über ethnische Herkunft vor. Die DSGVO hat das Ziel, den Datenschutz in der EU zu harmonisieren und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben. Verstöße gegen die DSGVO können mit hohen Geldstrafen geahndet werden.

Zunächst solltest du dich an die Datenschutzbeauftragte oder den Datenschutzbeauftragten der Organisation wenden, die deine Daten verarbeitet. Diese Person ist dafür zuständig, Fragen zum Datenschutz zu beantworten und dir bei Anliegen zu helfen. Wenn du mit der Antwort unzufrieden bist oder weitere Unterstützung benötigst, kannst du dich an die zuständige Aufsichtsbehörde für Datenschutz in deinem Land wenden.

Betroffenen stehen im Rahmen des Datenschutzes verschiedene Rechte zu, insbesondere gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Zu den wichtigsten Rechten gehören: 1. **Recht auf Auskunft**: Betroffene haben das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn ja, Auskunft über diese Daten zu erhalten. 2. **Recht auf Berichtigung**: Betroffene können die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen. 3. **Recht auf Löschung (Recht auf Vergessenwerden)**: Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer personenbezogenen Daten verlangen. 4. **Recht auf Einschränkung der Verarbeitung**: Betroffene haben das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind. 5. **Recht auf Datenübertragbarkeit**: Betroffene können verlangen, dass sie ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese Daten an einen anderen Verantwortlichen übermitteln. 6. **Recht auf Widerspruch**: Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. 7. **Recht auf Widerruf der Einwilligung**: Wenn die Verarbeitung auf einer Einwilligung beruht, können Betroffene diese jederzeit widerrufen. Diese Rechte können je nach nationalem Recht und spezifischen Umständen variieren. Es ist ratsam, sich bei konkreten Anliegen an eine Datenschutzbehörde oder einen Fachanwalt zu wenden.

Für Sales Manager ist insbesondere der Artikel 6 der EU-Datenschutz-Grundverordnung (DSGVO) relevant. Dieser Artikel regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Er beschreibt die verschiedenen Bedingungen, unter denen die Verarbeitung zulässig ist, wie z.B. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen. Auch Artikel 5, der die Grundsätze der Datenverarbeitung festlegt, ist wichtig, um sicherzustellen, dass die Datenverarbeitung transparent und fair erfolgt.

Nach der Datenschutz-Grundverordnung (DS-GVO) müssen verschiedene Grundsätze und Anforderungen eingehalten werden, um den Schutz personenbezogener Daten zu gewährleisten. Hier sind die wichtigsten Punkte: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Daten dürfen nur rechtmäßig und transparent verarbeitet werden. Betroffene Personen müssen über die Verarbeitung informiert werden. 2. **Zweckbindung**: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck notwendig sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und gegebenenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen. 5. **Speicherbegrenzung**: Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. 6. **Integrität und Vertraulichkeit**: Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten und sie vor unbefugtem Zugriff zu schützen. 7. **Rechenschaftspflicht**: Verantwortliche Stellen müssen nachweisen können, dass sie die Vorgaben der DS-GVO einhalten. 8. **Rechte der betroffenen Personen**: Betroffene haben Rechte wie Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. 9. **Datenschutz-Folgenabschätzung**: Bei bestimmten Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine Datenschutz-Folgenabschätzung durchzuführen. 10. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Die Einhaltung dieser Punkte ist entscheidend, um den Anforderungen der DS-GVO gerecht zu werden und die Rechte der betroffenen Personen zu schützen.

Laut dem Bundesdatenschutzgesetz (BDSG) haben bet Personen verschiedene Rechte gegenüber den datennenden Unternehmen. Diese Rechte umfassen: 1. **Recht auf Auskunft**: Betroffene haben das Recht, von dem Unternehmen zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. 4. **Recht auf Einschränkung der Verarbeitung**: In bestimmten Fällen können betroffene Personen die Einschränkung der Verarbeitung ihrer Daten verlangen. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Widerspruchsrecht**: Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen, insbesondere wenn die Verarbeitung auf berechtigten Interessen des Unternehmens beruht. 7. **Recht auf Beschwerde**: Betroffene haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer Daten gegen das Datenschutzrecht verstößt. Diese Rechte sollen den Schutz der personenbezogenen Daten und die Selbstbestimmung der betroffenen Personen über ihre Daten gewährleisten.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.