Datenschutzschulung

Da Sie im beruflichen Alltag regelmäßig Umgang mit personenbezogenen Daten haben, ist Ihr Arbeitgeber gesetzlich verpflichtet, Sie regelmäßig mit den Anforderungen des Datenschutzes vertraut zu machen. 

Um dies so flexibel wie möglich zu gestalten, wurde hierfür die moderne Form der Wissensvermittlung im Rahmen dieses E-Learning-Tools ausgewählt.

Durch klicken auf der "weiter" Button gelangen Sie zum nächsten Abschnitt.

Bitte lesen Sie sich alle Inhalte gut durch, denn am Ende wartet ein kleines Quiz auf Sie!

Warum ist Datenschutz notwendig?

Warum ist Datenschutz notwendig?

  • Datenschutz ist wichtig => personenbezogene Daten müssen geschützt werden!
  • Das Gefährdungspotenzial steigt durch moderne Technik 
  • Beachtung ist gesetzlich vorgeschrieben in der DSGVO und dem  BDSG 
  • Bußgeld bis zu EUR 20.000.000,00 oder 4% des weltweiten Jahresumsatzes 
  • Datenschutz bringt auch Vorteile mit sich (Ansatz zur Prozessoptimierung, Image, Wettbewerbsvorteil, etc.)
  • Grundrecht auf informationelle Selbstbestimmung (Volkszählungsurteil von 1983, Bundesverfassungsgericht)
  • Grundrecht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde. 

So wie Sie nicht wollen, dass Daten über Sie Unbefugten zur Kenntnis gelangen, müssen Sie auch dafür sorgen, dass Sie die Daten anderer vertraulich behandeln.

Wo ist der Datenschutz geregelt?

Wo ist der Datenschutz geregelt?

  • EU-Datenschutzrichtlinie (EU DSGVO, ab 25. Mai 2018) 
  • Bundesdatenschutzgesetz (BDSG) 
  • Landesdatenschutzgesetze (Behörden und sonstige öffentl. Stellen) 
  • Kirchendatenschutzgesetze (EKD, KDG) 
  • Spezielle gesetzliche Vorschriften üZ.B. BGB, HGB, UWG, AO, TMG, TKG, SGB.

Was ist Datenschutz?

Was ist Datenschutz?

Datenschutz ist nicht (primär) der "Schutz der Daten", sondern 


Datenschutz ist der Schutz von Personen vor dem Umgang mit ihren Daten


  • vor unberechtigter Erhebung und Verarbeitung,
  • vor fremder (unberechtigter) Kenntnisnahme und Verwendung, 
  • vor unsauberem Umgang mit den Daten (Computer, Internet).

Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

Unter Personenbezogene Daten nach Art. 4 DSGVO  fallen

  • Einzelangaben:
    • Über persönliche oder sachliche Verhältnisse 
    • Von bestimmter oder bestimmbarer Person 
  • Art personenbezogener Daten (Sensibilität) 
  • Besondere Arten personenbezogener Daten 
  • Personenbezogene Daten sind nie belanglos!

Welche personenbezogenen Daten werden bei Ihnen von wem erhoben und verarbeitet?

  • Mitarbeiter- / Bewerberdaten (z.B. Adresse, Sozialdaten, Arbeitszeiten, Ausbildung, Fähigkeiten, Arbeitszeugnisse) 
  • Kundendaten
  • Interessentendaten (z.B. Adresse, Interessen, Empfehlungen, etc.) 
  • Lieferantendaten

Einzelangaben

Personenbezogen sind alle Einzelangaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, z.B.:

Persönliche Verhältnisse

  • Name, Anschrift, Geburtsdatum 
  • Familienstand, Anzahl Kinder 
  • Fingerabdruck 
  • Telefonnummer 
  • Arbeitgeber und Beruf
  • Zeugnisse 
  • Kontonummer, Bankverbindung 
  • Hobbys

Sachliche Verhältnisse

  • Einkommen 
  • Vermögen 
  • KFZ-Typ, KFZ-Kennzeichen 
  • Steuern 
  • Versicherungen 
  • Grundbesitz 
  • Vertragsbeziehungen 
  • Internetnutzung (IP-Adresse)

Personenbezogene Daten besonderer Art

Personenbezogene Daten besonderer Art, z.B.: 

  • Rassische und ethnische Herkunft
  • Religiöse oder philosophische Überzeugungen 
  • Politische Meinungen 
  • Gewerkschaftszugehörigkeit 
  • Angaben zur Gesundheit oder dem Sexualleben

personenbezogene Daten in der nach der DSGVO

Was muss mit den personenbezogenen Daten passieren, damit das DSGVO gilt ?

Daten erheben und verarbeiten

Daten erheben und verarbeiten

Wann dürfen Daten erhoben und verarbeitet werden? 

  • Grundsatz:  Personenbezogene Daten dürfen gar nicht erhoben oder verarbeitet werden 
  • Ausnahmsweise doch erlaubt:
    • Bei einer speziellen (bereichsspezifischen) Regelung, z.B. Tarifvertrag, Betriebsvereinbarung,                                             andere Gesetze (TMG, SGB, GewO, StGB, etc.)
    • Durch DSGVO oder BDSG erlaubt 
    • Betroffener willigt ein (vertragliche Regelung)

Grundregeln des Datenschutzes

Grundregeln des Datenschutzes

Folgende allgemeine Grundregeln des Datenschutzes gelten:  

Rechtsgrundlage: Immer, wenn personenbezogene Daten “angefasst” werden, muss es dafür eine Gesetzesgrundlage oder eine Einwilligung geben. 

Datenerhebung beim Betroffenen: Wann immer möglich, sind die Daten direkt beim Betroffenen zu erheben. Wenn dies nicht möglich ist, ist er i.d.R. zumindest darüber zu informieren (informationelle Selbstbestimmung) 

Auskunftsrechte: Der Betroffene muss jederzeit Kenntnis haben, dass Daten über ihn gespeichert sind (Transparenzgebot). Deshalb darf er Auskunft verlangen.

Zweckbestimmung: Erhobene Daten dürfen ausschließlich für den Zweck verwendet werden, zu dem sie ursprünglich erhoben wurden. 

Datensparsamkeit: Nur so wenig Daten wie nötig dürfen erhoben, und verarbeitet werden. 

Berichtigung: Personenbezogene Daten, die falsch sind, müssen berichtigt werden. 

Schutz durch technische und organisatorische Maßnahmen: Daten sind vor Missbrauch zu schützen.

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen

  • Zutrittskontrolle (Zutrittsberechtigungen, Gebäude, Aufbewahrung) üZugangskontrolle (Log-In, VPN, Netzsicherheit, etc.) 
  • Zugriffskontrolle (Rechte- und Rollenkonzept) 
  • Weitergabekontrolle (Übermittlung, Schnittstellen, Transport) 
  • Eingabekontrolle (Protokollierung) 
  • Auftragskontrolle (Verantwortlichkeiten, Weisungen, Kontrollen) 
  • Verfügbarkeitskontrolle (Serverraum, RZ, Datensicherung) üTrennungskontrolle (Getrennte Verarbeitung, Zweckbindung)

Datenschutzverstöße

Die TOP 5 der Datenschutzverstöße

  • E-Mail-Marketing ohne Einwilligung / E-Mails an falsche Adressaten 
  • Schulungen der Mitarbeiter wurden nicht durchgeführt 
  • Fehlende Datenschutz-Verträge mit Dienstleistern (AV) 
  • Fehlende Verschwiegenheitserklärungen (z.B. externe Reinigungsfirmen) 
  • Unzureichende Umsetzung der technischen und organisatorischen Maßnahmen

Folgen bei Verstoß

Was passiert, wenn gegen Datenschutzvorschriften verstoßen wird?

  • Informationspflicht – Meldung an die Datenschutzbehörde (72 Stunden) 
  • Image des Unternehmens / Behörde nimmt Schaden 
  • Schadensersatzpflicht gegenüber dem Betroffenen 
  • Für Beschäftigte: Arbeitsrechtliche Konsequenzen 
  • Ordnungswidrigkeit (bis zu EUR 20 Mio. Bußgeld) 
  • Straftat: Geldstrafe oder Freiheitsstrafe bis zu 2 Jahren

Bußgeldbewehrte Tatbestände sind u.a.

  • Fehlende Verträge zur Auftragsverarbeitung
  • Fehlende bzw. unzureichende Datenschutzerklärung 
  • Fehlende Bestellung eines Datenschutzbeauftragten 
  • Verstoß gegen die Meldepflicht einer Datenschutzpanne 
  • Fehlende Widerspruchsmöglichkeit bei Werbung 
  • Keine Auskunft an den Betroffenen 
  • Datenspeicherung ohne Grundlage

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte

  • Hinwirken auf das Einhalten der Datenschutzbestimmungen 
  • Überwachung der Datenverarbeitung 
  • Führen der Verarbeitungsverzeichnisse 
  • Durchführen von Vorabkontrollen – soweit erforderlich 
  • Schulung der Mitarbeiter bzgl. der geltenden Vorschriften und besonderen Erfordernissen des Datenschutzes 
  • Ansprechpartner für Geschäftsleitung, Betriebsrat, Mitarbeiter, Kunden, Dritte üStichprobenartige Prüfung der Datenverarbeitung 
  • Überwachung der Auftragsverarbeitung 
  • Mindestens jährliches Update der Risikoanalyse bei einem Besuch vor Ort 
  • Prüfung neuer Verfahren (Verfahrensbeschreibungen)
  • Regelmäßiger Bericht an die Geschäftsleitung

Er ist der Geschäftsleitung direkt unterstellt und arbeitet weisungsfrei.

Datenpannen und Anfragen

Umgang mit Datenschutzvorfällen

Weiterhin kommt mit der DS-GVO die für alle Unternehmen geltende Pflicht bei Datenschutzvorfällen innerhalb von 72 Stunden die Aufsichtsbehörde zu informieren, um sich nicht rechtswidrig zu verhalten.

Dabei spielt es keine Rolle welcher Mitarbeiter einen Datenschutzvorfall verursacht oder festgestellt hat

Von Bedeutung ist alleine ob für die betroffene Person voraussichtlich ein hohes Risiko auf Grund des Datenschutzvorfalls besteht.

Da nicht alle Datenschutzverstöße als Datenschutzvorfälle mit hohem Risiko für die betroffenen Personen gewertet werden müssen, sind auch nicht alle Vorfälle meldepflichtig

Um diese Entscheidung jedoch fundiert und vor allem nachweislich im Zeitfenster von 72 Stunden treffen zu können, müssen alle Mitarbeiter Datenschutz- und Sicherheitsvorfälle an das Unternehmen melden.

Zu diesen Vorfällen zählen unter anderem folgende Beispiele:

  • Verlust von Datenträgern / Laptops / Smartphones / etc.
  • Versand vertraulicher Unterlagen an falsche Empfänger
  • Einbruch mit Diebstahl von Daten oder Datenträgern
  • Hacking von IT-Systemen / Webanwendungen
  • Falsche Entsorgung von vertraulichen Unterlagen


Im Zweifelsfall ist immer eine Meldung an das Unternehmen durchzuführen. Die genauen Abläufe können den entsprechenden Datenschutzrichtlinien entnommen werden. 

Fragen Sie im Zweifelsfall Ihren Vorgesetzten oder Datenschutzbeauftragten.

Durch eine Meldung entstehen Ihnen keine Nachteile - Meldungen gehen dem Tagesgeschäft stets vor!

Umgang mit Anfragen

Im Zentrum der DS-GVO stehen die Rechte der betroffenen Personen (Betroffenenrechte)

Diesen unterschiedlichen Rechten ist grundsätzlich binnen eines Monats nach Ihrer Geltendmachung nachzukommen, um nicht in die Gefahr zu geraten, rechtswidrig zu handeln.

Dabei spielt es keine Rolle auf welchem Weg eine Anfrage einer betroffenen Person das Unternehmen erreicht, oder welcher Mitarbeiter diese erhalten hat. Von Bedeutung ist alleine, dass die betroffene Person ihre Rechte geltend gemacht hat!

Alle Anfragen zu folgenden Rechten einer betroffenen Personen müssen dokumentiert und innerhalb des oben genannten Zeitfensters bearbeitet werden:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • Widerspruchsrecht (Art. 21 DS-GVO)

Um diese Rechte einzuhalten sollte das Unternehmen einen eindeutigen Prozess definieren, der strikt einzuhalten und allen Mitarbeitern bekannt ist. 

Die genauen Abläufe können den entsprechenden Datenschutzrichtlinien entnommen werden. Fragen Sie im Zweifelsfall Ihren Vorgesetzten oder Datenschutzbeauftragten.

Zusammenfassung

Zusammenfassung

  • Um Datenschutz kommt man nicht herum 
  • Geschützt sind alle personenbezogenen Daten 
  • Deshalb sind auch technische Geräte (Hard- und Software) zu schützen, auf denen personenbezogene Daten verarbeitet werden 
  • Betroffene haben Auskunfts-, Löschung- und Sperrungsrechte 

Im Zweifel: Vertraulich an den Datenschutzbeauftragten wenden

Quiz

Wen schützt die DS-GVO?

  • Unternehmen
  • Personen
  • IT-Systeme

Was ist Datenschutz?

  • Datenschutz ist nicht (primär)
    der "Schutz der Daten"
  • Datenschutz ist
    der Schutz von Personen vor dem Umgang mit ihren Daten

Was bedeutet Datenschutz?

  • Der Betroffene soll vor dem Missbrauch seiner Daten durch Unternehmen und Behörden geschützt werden, so dass ihm daraus kein persönliches Risiko entstehen kann.
  • Die Daten des Betroffenen sollen vor unsachgemäßer Nutzung und Verarbeitung geschützt werden
  • Der Betroffenen soll vor der versehentlichen Verarbeitung der eigenen und der unsachgemäßen Nutzung fremder Daten geschützt werden.

Welche Strafen drohen beim Verstoß gegen die DSGVO?

  • 50 Mio. Euro bzw. 5 % des weltweiten Jahresumsatzes
  • 10 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes
  • 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes

Was sind personenbezogene Daten?

  • Personenbezogene Daten sind alle Daten, die der Person gehören und sich auf die eigene oder andere Personen beziehen.
  • Personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.
  • Personenbezogenen Daten sind alle Einzelangaben über persönliche Verhältnisse, die sich über eine bestimmte oder bestimmbare Person im Internet finden lassen.

Wann ist die Verarbeitung personenbezogener Daten zulässig?

  • Die Verarbeitung und Nutzung personenbezogener Daten ist dann zulässig, wenn der Betroffene zugestimmt hat oder die Daten im Internet veröffentlicht wurden.
  • Die Verarbeitung und Nutzung personenbezogener Daten ist nur dann unzulässig, wenn der Betroffene ausdrücklich und schriftlich Einspruch erhoben hat.
  • Die Verarbeitung und Nutzung personenbezogener Daten ist dann zulässig, wenn sie gesetzlich erlaubt bzw. angeordnet ist oder von den Betroffenen freiwillig bewilligt wurde.

Welche Daten sind besonders schützenswert?

  • Unter anderem Kinderzahl, Name des Ehepartners, Blutgruppe und Schuhgröße
  • Unter anderem die Steueridentifikationsnummer, monatliches Netto Gehalt. persöhnliches Vermögen und Schulden der Nachbarn.
  • Unter anderem politische Meinungen, religiöse oder weltanschauliche Überzeugungen, genetische Daten, sexuelle Orientierung und Gewerkschachftsschaftszugehörigkeit.

Wann müssen personenbezogenen Daten gelöscht werden?

  • Wenn der Zweck der Verarbeitung wegfällt, unabhängig von den gesetzlichen Aufbewahrungsfristen.
  • Wenn der Zweck für die Verarbeitung wegfällt und die gesetzliche Aufbewahrungsfrist abgelaufen ist.

Was gehört nicht zu den sogenannten Betroffenenrechten?

  • Recht auf Löschung
  • Recht auf Widerspruch
  • Recht aus Anonymisierung
  • Recht auf Auskunft

Was versteht man unter dem Begriff "Auftragsverarbeiter"?

Personen/Unternehmen, die personenbezogene Daten 

Wann findet die DS-GVO Anwendung?

  • beim Versand von Newslettern
  • Software zum Zwecke der Gehaltsabrechnung
  • bei privatem Schriftverkehr

Ist einer Person auf Anfrage mitzuteilen, ob personenbezogene Daten über diese gespeichert sind?

  • ja, dieser Person ist mitzuteilen, ob und welche auf diese Person bezogenen Daten gespeichert sind
  • nein, denn dies wird durch die DS-GVO ausgeschlossen
  • nein, Einwilligung dazu abgegeben

Welche der folgenden Maßnahmen können der datenschutzrechtlichen Zutrittskontrolle zugeordnet werden?

  • Einsatz einer Alarmanlage
  • Einsatz einer Firewall
  • Einsatz einer Schließanlage
  • Einsatz einer verschlüsselten Datenverbindung
  • Führung einer Besucherliste
  • Regelungen zum Umgang mit Besuchern
  • Verschlossene Fenster
  • Videoüberwachung der Eingangstür