Themenbereiche

Unsere Themen

Vier Kernbereiche des Datenschutzrechts, die für Selbstständige und Kleinunternehmer besonders relevant sind. Aufbereitet aus Behördenmaterialien.

Datenschutzerklärung auf digitalem Tablet mit modernem Design
01
Pflichtdokument

Was eine Datenschutzerklärung enthalten muss

Die Datenschutzerklärung ist das sichtbarste Datenschutzdokument eines Unternehmens. Sie informiert Besucher und Kunden darüber, wie ihre Daten verarbeitet werden. Rechtsgrundlage sind vor allem Art. 13 und Art. 14 DSGVO.

Angaben zum Verantwortlichen

Name, Adresse und Kontaktdaten der verantwortlichen Person oder des Unternehmens. Bei Bedarf auch die Kontaktdaten des Datenschutzbeauftragten.

Zwecke der Verarbeitung

Für welche Zwecke werden personenbezogene Daten verarbeitet? Zum Beispiel: Vertragserfüllung, Buchhaltung, Newsletter-Versand.

Rechtsgrundlagen

Auf welcher rechtlichen Basis erfolgt die Verarbeitung? Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung (lit. c) oder berechtigtes Interesse (lit. f)?

Speicherdauer

Wie lange werden die Daten gespeichert? Entweder konkrete Fristen oder die Kriterien, nach denen die Speicherdauer bestimmt wird.

Betroffenenrechte

Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit. Und das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen.

Quelle: Orientierungshilfe der Datenschutzkonferenz zu Informationspflichten, Art. 13/14 DSGVO

02
Pflicht oder freiwillig?

Wann man einen Datenschutzbeauftragten braucht

Ein Datenschutzbeauftragter (DSB) ist nicht für jedes Unternehmen Pflicht. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) regeln, wann eine Pflicht zur Bestellung besteht.

Mitarbeiterzahl als Kriterium

Nach § 38 BDSG müssen Unternehmen, die in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen DSB bestellen.

Art der Verarbeitung

Unabhängig von der Mitarbeiterzahl ist ein DSB erforderlich, wenn Verarbeitungen einer Datenschutz-Folgenabschätzung bedürfen oder wenn umfangreich besondere Kategorien von Daten verarbeitet werden (z.B. Gesundheitsdaten).

Freiwillige Bestellung

Auch ohne Pflicht kann ein DSB bestellt werden. Wer das tut, muss die gesetzlichen Anforderungen an die Funktion einhalten. Eine freiwillige Bestellung kann nicht einfach widerrufen werden.

Externe Datenschutzbeauftragte

Die Funktion kann intern oder extern besetzt werden. Externe DSBs sind oft eine praktische Lösung für kleine Unternehmen, die die Pflicht zur Bestellung trifft.

Quelle: § 38 BDSG, Art. 37-39 DSGVO, Hinweise des BfDI zur Bestellung von Datenschutzbeauftragten

Datenschutzbeauftragter in professioneller Besprechung mit Kleinunternehmer
Verarbeitungsverzeichnis als strukturierte Tabelle auf einem Bildschirm
03
Art. 30 DSGVO

Wie man ein Verarbeitungsverzeichnis erstellt

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein internes Dokument, das alle Datenverarbeitungsprozesse eines Unternehmens dokumentiert. Es ist keine öffentliche Pflicht, muss aber auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

Name und Kontaktdaten des Verantwortlichen

Wer ist verantwortlich für die Verarbeitung? Gibt es einen gemeinsam Verantwortlichen oder einen Auftragsverarbeiter?

Zwecke der Verarbeitung

Jede Verarbeitungstätigkeit wird mit ihrem Zweck aufgeführt. Zum Beispiel: Kundenverwaltung, Buchhaltung, Personalverwaltung, E-Mail-Marketing.

Kategorien von Betroffenen und Daten

Welche Personengruppen sind betroffen (Kunden, Mitarbeiter, Lieferanten)? Welche Datenkategorien werden verarbeitet?

Empfänger und Drittlandtransfers

An wen werden Daten weitergegeben? Gibt es Übermittlungen in Länder außerhalb der EU oder des EWR?

Technisch-organisatorische Maßnahmen

Welche Sicherheitsmaßnahmen sind implementiert? Verschlüsselung, Zugangskontrolle, Backup-Konzepte.

Quelle: Art. 30 DSGVO, Mustervorlagen des BfDI und der Landesdatenschutzbehörden

04
Art. 33 und 34 DSGVO

Was bei einem Datenleck zu tun ist

Eine Datenschutzverletzung ist jeder Vorfall, bei dem personenbezogene Daten unbeabsichtigt oder unbefugt offengelegt, verändert, gelöscht oder zugänglich gemacht werden. Das kann ein Hackerangriff sein, aber auch ein verlorenes Notebook oder eine falsch adressierte E-Mail.

72-Stunden-Frist

Nach Art. 33 DSGVO muss eine Datenschutzverletzung, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Was die Meldung enthalten muss

Art der Verletzung, betroffene Datenkategorien und Personengruppen, ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen, ergriffene oder geplante Maßnahmen.

Benachrichtigung Betroffener

Wenn die Verletzung voraussichtlich ein hohes Risiko für Betroffene darstellt, müssen diese nach Art. 34 DSGVO unverzüglich informiert werden. Die Meldung an die Behörde reicht dann nicht aus.

Interne Dokumentation

Alle Datenschutzverletzungen müssen intern dokumentiert werden, auch wenn keine Meldepflicht besteht. Art, Auswirkungen und ergriffene Maßnahmen sind festzuhalten.

Quelle: Art. 33-34 DSGVO, Leitlinien des EDPB zu Datenschutzverletzungen (05/2021)

Sicherheitsvorfall-Management auf einem modernen Computerbildschirm