Häufige Fragen zum Datenschutz und zur IT-Sicherheit

Hier finden Sie die häufigsten Fragen & Antworten zum Datenschutz und zur IT-Sicherheit

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Sie ist seit dem 25.05.2018 gültig und wird in Deutschland durch das Bundedatenschutzgesetz (BDSG) ergänzt. Sie ist geltendes Recht.

Für wen gilt die DSGVO?

Die DSGVO gilt für europäische Unternehmen, Vereine und öffentliche-Stellen, z.B. Behörden. Zusätzlich gilt die DSGVO auch für nicht-europäische Unternehmen, welche Ihre Produkte auf dem europäischen Markt anbieten (Marktortprinzip). 

Oft wird die DSGVO mit der gesetzlichen Bestellpflicht für Datenschutzbeauftragte verwechselt, im Gegenteil zur Bestellpflicht gilt die DSGVO für alle Unternehmen, unabhängig von der Größe und Mitarbeiterzahl.

Was sind die wichtigsten Neuerungen der DSGVO?

Einige der wichtigsten Neuerungen durch die Datenschutz-Grundverordnung sind die sogenannten Betroffenenrechte, welche den durch die Datenverarbeitung betroffenen Personen eine Vielzahl an Rechten zusprechen. Die wichtigsten dieser neuen Rechte sind z.B. das Recht auf Information, Auskunft und das Recht auf Vergessenwerden (Löschung).

Erstmals sind mit der DSGVO auch die Möglichkeiten, Datenschutzverstöße zu sanktionieren, drastisch verschärft worden. So können Unternehmen und Vereine nun für Datenschutzverstöße durch die zuständigen Aufsichtsbehörden mit Bußgeldern sanktioniert werden. Diese Bußgelder können bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen (im Vergleich dazu sah das deutsche BDSG bisher ein maximales Bußgeld von 300.000 Euro vor). 

Das unterstreicht die Relevanz der Datenschutz-Grundverordnung deutlich, da Datenschutzverstöße nun empfindliche finanzielle Auswirkungen für Unternehmen darstellen können.

Wann brauche ich einen Datenschutzbeauftragten (DSB) für mein Unternehmen / meinen Verein?

Die gesetzliche Pflicht einen Datenschutzbeauftragten zu bestellen besteht, wenn einer der folgenden Punkte zutrifft:

  • Es sind regelmäßig mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG - Update auf 2. DSAnpUG-EU).
  • Wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, Religionszugehörigkeiten, politische Meinungen, sexuelle Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es finden Verarbeitungen statt, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (§ 38 Abs. 1 Satz 2 BDSG).  Zum Beispiel eine Videoüberwachung des Firmengeländes oder von Parkplätzen. Eine Liste mit DSFA-pflichtigen Verarbeitungsvorgängen finden Sie hier
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DSGVO).

Mein Unternehmen ist nicht pflichtig einen DSB zu bestellen, ist das Thema DSGVO damit für mich erledigt?

Die DSGVO gilt auch für Firmen und Vereine, welche nicht unter die gesetzliche Pflicht fallen, einen Datenschutzbeauftragten zu bestellen. Oft wird die DSGVO mit der gesetzlichen Bestellpflicht für Datenschutzbeauftragte verwechselt, im Gegenteil zur Bestellpflicht gilt die DSGVO für alle Unternehmen, unabhängig von der Größe und Mitarbeiterzahl.

Auch ohne DSB müssen Sie die gesetzlichen Anforderungen beachten und diverse Maßnahmen ergreifen und Dokumentationspflichten erfüllen. Das betrifft z.B. bei der Firmenwebseite, auf der Besucherstatistiken erfasst werden, die gesetzlichen Pflichtdokumente, wie z.B. Verarbeitungsverzeichnisse, oder die fristgerechte Erfüllung der Betroffenenrechte auf Auskunft oder Löschung. 

Gerne unterstützen wir Sie dabei - Sprechen Sie uns einfach an!

Wo liegt der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten? Wo liegen die Vorteile und Nachteile?

Die Aufgaben und Tätigkeiten unterscheiden sich nicht, es gibt jedoch einige organisatorische und betriebswirtschaftliche Unterschiede

Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter
Betrieblicher Kündigungsschutz, Abberufung sehr schwierig Kündigungsschutz vertraglich geregelt
Erwerb der Fachkunde aufwendig und kostspielig Bringt die erforderliche Fachkunde bereits mit
Regelmäßige Weiterbildungskosten Weiterbildungskosten entfallen
Gefahr der „Betriebsblindheit“ Objektive und neutrale Sicht auf Unternehmen und Prozesse. Bringt branchenübergreifende Erfahrung mit
Kennt Prozesse, Unternehmen und Branche bereits sehr gut Benötigt eine gewisse Einarbeitungszeit in Prozesse und Unternehmen
Haftung bleibt im Unternehmen Haftung vertraglich geregelt
Oft langsame Reaktionszeiten, da meist noch andere Tätigkeiten im Unternehmen zu erfüllen sind Kurze Reaktionszeiten, spezialisierte Tätigkeiten

Welche Aufgaben übernimmt der Datenschutzbeauftragte?

Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin. Grundlage und Maßstab der Aufgabenerfüllung des Datenschutzbeauftragten sind die geltenden Rechtsvorschriften zum Datenschutz. 

Zu den Aufgaben des Datenschutzbeauftragten gehören unter anderem:

  • Stellung einer fachkundigen Person als zu benennender betrieblicher Datenschutzbeauftragter.
  • Unterrichtung und Beratung des Auftraggebers und dessen Beschäftigten nach der DSGVO und sonstigen Datenschutzvorschriften.
  • Schulung der Mitarbeiter im Datenschutz.
  • Überwachung und Koordination der Maßnahmen des Datenschutzes und der Datensicherheit sowie der Einhaltung der DSGVO und der Strategien des Auftraggebers für den Schutz personenbezogener Daten.
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde.
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und ggf. Beratung zu sonstigen Fragen.
  • Dokumentation und Pflege der technisch-organisatorischen Maßnahmen (TOM) zum Datenschutz.
  • Hilfestellung bei der Erstellung und Führung des Verfahrensverzeichnisses der Verarbeitungstätigkeiten.

Diese Aufgaben erfüllt der Datenschutzbeauftragte mit der Hilfe verschiedener Methoden und Werkzeuge wie Beratungsgesprächen, Audits, der Einführung eines Datenschutz-Managementsystems, Dokumenten zur Mitarbeitersensibilisierung, Online- und Präsenzschulungen sowie regelmäßigen und detaillierten Berichten an die Geschäftsführung. 

Zudem ist der Datenschutzbeauftragte ein ständiger fachkundiger Ansprechpartner für Mitarbeiter, Betroffene und Aufsichtsbehörden in allen Fragen und Themen rund um den Datenschutz.

Wann brauche ich ein Cookie-Banner auf meiner Webseite?

Ein Cookie Banner wird immer benötigt, wenn Cookies auf der Webseite eingesetzt werden, um den Informationspflichten nach DSGVO nachzukommen. Es gibt jedoch Unterschiede wie ein Cookie-Banner gestaltet sein muss, abhängig von der Art der verwendeten Cookies.

Gerne analysieren wir Ihre Webseite und beraten Sie bei der Umsetzung!

Wie muss das Cookie-Banner gestaltet sein?

Die Gestaltung des Cookie-Banners ist abhängig von der Art der eingesetzten Cookies. Werden z.B. nur technische Cookies eingesetzt, welche zur Darstellung der Seite zwingend notwendig sind, ist ein Cookie-Banner mit reiner Information („Okay-Banner“) ausreichend.

Werden allerdings Tracking-Cookies oder Werbe-/Marketing-Cookies, z.B. von Drittanbietern, verwendet, ist häufig eine aktive Einwilligung (Opt-In) der Besucher erforderlich und das Banner muss mit einer „Akzeptieren“ und einer „Ablehnen“-Funktion ausgestattet sein. Zudem sollte das Banner die direkte Erreichbarkeit des Impressums nicht einschränken, einen Verweis zur Datenschutzerklärung beinhalten und verständlich über Zweck und Art der Datenverarbeitung informieren.

Eine genaue Auflistung der für Sie notwendigen Angaben können wir Ihnen gerne auf Anfrage erstellen - Sprechen Sie uns einfach an!

Welche Cookies darf ich ohne Einwilligung einsetzen?

Ohne Einwilligung dürfen technische Cookies, welche zur Funktion der Webseite zwingend notwendig sind, z.B. Warenkorb-Cookies bei Webshops, wenn dadurch keine Analyse des Nutzerverhaltens möglich ist und keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet. In diesen Fällen reicht ein rein informatives Cookie-Banner („Okay-Banner“ statt „Akzeptieren/Ablehnen“-Banner). Aufgrund der Vielzahl an Cookies und individuellen Techniken auf Webseiten raten wir dazu, die Webseite genau zu analysieren, erst dann lässt sich eine verbindliche Aussage dazu treffen. 

Welche Cookies benötigen eine aktive Einwilligung (Opt-In)?

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung. Dies sind z.B. Werbe-/ Marketing-Cookies, Tracking-Cookies (Google-Analytics) oder Cookies von Social-Media Plattformen.

Aufgrund der Vielzahl an Cookies und individuellen Techniken auf Webseiten raten wir dazu, die Webseite vorab genau analysieren zu lassen, erst dann lässt sich eine verbindliche Aussage dazu treffen. Wir beraten Sie gerne!

Wo bekomme ich ein DSGVO-konformes Cookie-Banner her?

Durch die langjährige Kooperation mit unseren Partnern der B-CF Werbeagentur können wir Ihnen sowohl die Analyse Ihrer Webseite als auch die schnelle und kostengünstige Umsetzung eines DSGVO-konformen Cookie-Banners auf Ihrer Webseite anbieten, sprechen Sie uns einfach an.

Angebot Einholen