Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum. Die wichtigsten Punkte der DSGVO sind: 1. **Rechtmäßigkeit der Verarbeitung**: Personenbezogene Daten dürfen nur rechtmäßig verarbeitet werden, wenn eine der festgelegten Bedingungen erfüllt ist, wie z.B. Einwilligung, Vertragserfüllung oder rechtliche Verpflichtung. 2. **Transparenz und Informationspflichten**: Betroffene Personen müssen klar und verständlich über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung und der Rechte, die sie haben. 3. **Rechte der betroffenen Personen**: Die DSGVO stärkt die Rechte der Individuen, darunter das Recht auf Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung und Datenübertragbarkeit. 4. **Datensicherheit**: Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. 5. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung müssen Unternehmen diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. 6. **Datenschutz-Folgenabschätzung**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, ist eine Datenschutz-Folgenabschätzung erforderlich. 7. **Bußgelder und Sanktionen**: Die DSGVO sieht hohe Bußgelder für Verstöße vor, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können, je nachdem, welcher Betrag höher ist. Die DSGVO zielt darauf ab, den Datenschutz in der digitalen Welt zu stärken und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben.

Zunächst solltest du dich an die Datenschutzbeauftragte oder den Datenschutzbeauftragten der Organisation wenden, die deine Daten verarbeitet. Diese Person ist dafür zuständig, Fragen zum Datenschutz zu beantworten und dir bei Anliegen zu helfen. Wenn du mit der Antwort unzufrieden bist oder weitere Unterstützung benötigst, kannst du dich an die zuständige Aufsichtsbehörde für Datenschutz in deinem Land wenden.

Betroffenen stehen im Rahmen des Datenschutzes verschiedene Rechte zu, insbesondere gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Zu den wichtigsten Rechten gehören: 1. **Recht auf Auskunft**: Betroffene haben das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn ja, Auskunft über diese Daten zu erhalten. 2. **Recht auf Berichtigung**: Betroffene können die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen. 3. **Recht auf Löschung (Recht auf Vergessenwerden)**: Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer personenbezogenen Daten verlangen. 4. **Recht auf Einschränkung der Verarbeitung**: Betroffene haben das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind. 5. **Recht auf Datenübertragbarkeit**: Betroffene können verlangen, dass sie ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese Daten an einen anderen Verantwortlichen übermitteln. 6. **Recht auf Widerspruch**: Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. 7. **Recht auf Widerruf der Einwilligung**: Wenn die Verarbeitung auf einer Einwilligung beruht, können Betroffene diese jederzeit widerrufen. Diese Rechte können je nach nationalem Recht und spezifischen Umständen variieren. Es ist ratsam, sich bei konkreten Anliegen an eine Datenschutzbehörde oder einen Fachanwalt zu wenden.

Für Sales Manager ist insbesondere der Artikel 6 der EU-Datenschutz-Grundverordnung (DSGVO) relevant. Dieser Artikel regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Er beschreibt die verschiedenen Bedingungen, unter denen die Verarbeitung zulässig ist, wie z.B. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen. Auch Artikel 5, der die Grundsätze der Datenverarbeitung festlegt, ist wichtig, um sicherzustellen, dass die Datenverarbeitung transparent und fair erfolgt.

Nach der Datenschutz-Grundverordnung (DS-GVO) müssen verschiedene Grundsätze und Anforderungen eingehalten werden, um den Schutz personenbezogener Daten zu gewährleisten. Hier sind die wichtigsten Punkte: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Daten dürfen nur rechtmäßig und transparent verarbeitet werden. Betroffene Personen müssen über die Verarbeitung informiert werden. 2. **Zweckbindung**: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck notwendig sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und gegebenenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen. 5. **Speicherbegrenzung**: Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. 6. **Integrität und Vertraulichkeit**: Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten und sie vor unbefugtem Zugriff zu schützen. 7. **Rechenschaftspflicht**: Verantwortliche Stellen müssen nachweisen können, dass sie die Vorgaben der DS-GVO einhalten. 8. **Rechte der betroffenen Personen**: Betroffene haben Rechte wie Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. 9. **Datenschutz-Folgenabschätzung**: Bei bestimmten Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine Datenschutz-Folgenabschätzung durchzuführen. 10. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Die Einhaltung dieser Punkte ist entscheidend, um den Anforderungen der DS-GVO gerecht zu werden und die Rechte der betroffenen Personen zu schützen.

Laut dem Bundesdatenschutzgesetz (BDSG) haben bet Personen verschiedene Rechte gegenüber den datennenden Unternehmen. Diese Rechte umfassen: 1. **Recht auf Auskunft**: Betroffene haben das Recht, von dem Unternehmen zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. 4. **Recht auf Einschränkung der Verarbeitung**: In bestimmten Fällen können betroffene Personen die Einschränkung der Verarbeitung ihrer Daten verlangen. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Widerspruchsrecht**: Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen, insbesondere wenn die Verarbeitung auf berechtigten Interessen des Unternehmens beruht. 7. **Recht auf Beschwerde**: Betroffene haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer Daten gegen das Datenschutzrecht verstößt. Diese Rechte sollen den Schutz der personenbezogenen Daten und die Selbstbestimmung der betroffenen Personen über ihre Daten gewährleisten.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.