Leitfaden · Datenschutz für Unternehmen

Datenschutz.
Ein Grundrecht.
Eine Pflicht.

Datenschutz regelt, wer welche personenbezogenen Daten zu welchem Zweck verarbeiten darf. In Deutschland gilt die europäische DSGVO zusammen mit dem Bundesdatenschutzgesetz. Dieser Leitfaden erklärt, was Datenschutz konkret bedeutet — von den Grundsätzen über Unternehmenspflichten bis zu Bußgeldern und Aufsichtsbehörden.

1983
Volkszählungs­urteil: informationelle Selbst­bestimmung
7
Grundsätze nach Art. 5 DSGVO
20 Mio.
Euro — maximales Bußgeld
72 h
Meldefrist bei Datenpannen
Inhalt

13 Sektionen, ein Thema.

Ein vollständiger Leitfaden zum Datenschutz in Deutschland. Geschrieben für Geschäftsführer, IT-Leiter und Datenschutzkoordinatoren — ohne Juristen-Lyrik, mit konkreten Praxishinweisen aus unseren laufenden Datenschutzmandaten.

01
Grundlage

Was ist Datenschutz?

Datenschutz ist der Schutz personenbezogener Daten vor unbefugter Erhebung, Speicherung, Nutzung und Weitergabe. Das zugrundeliegende Prinzip ist das Recht auf informationelle Selbstbestimmung: Jeder Mensch entscheidet grundsätzlich selbst, wer was über ihn weiß und was damit geschieht.

Datenschutz ist kein technisches Konzept, sondern in erster Linie ein Recht. Der Gesetzgeber hat mit der DSGVO und dem Bundesdatenschutzgesetz konkrete Regeln formuliert, wie Unternehmen, Behörden, Vereine und Selbstständige mit personenbezogenen Daten umgehen müssen. Datenschutz ist damit Teil des Persönlichkeitsrechts und als solches grundrechtlich geschützt.

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Name, Anschrift, E-Mail, IP-Adresse, Telefonnummer, Geburtsdatum, Gesundheitsdaten, Standortdaten, Fotos, Stimme, Cookie-IDs, Personalnummer, Sozialversicherungsnummer — all das sind persönliche Daten im Sinne des Datenschutzes.

02
Motivation

Warum ist Datenschutz wichtig?

Warum Datenschutz wichtig ist, erklärt sich aus drei Perspektiven: Grundrecht, Vertrauen, Haftung.

Grundrecht. Das Bundesverfassungsgericht hat 1983 im Volkszählungsurteil das Recht auf informationelle Selbstbestimmung ausgerufen. Jeder Mensch hat das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Das ist Teil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG). Die DSGVO setzt dieses Grundrecht in konkretes Recht um.

Vertrauen. Unternehmen, die sorgfältig mit den personenbezogenen Daten ihrer Kunden umgehen, haben einen harten Wettbewerbsvorteil. Studien der Bitkom zeigen: über 75 Prozent der Verbraucher bewerten Datenschutz bei der Wahl eines Anbieters als wichtig. Wer das kultiviert, verkauft mehr.

Haftung. Datenschutzverstöße sind keine Kavaliersdelikte. Die DSGVO sieht Bußgelder bis 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. Außerdem drohen Schadensersatzansprüche nach Art. 82 DSGVO und Reputationsschäden. In Deutschland wurden seit 2018 dreistellige Millionenbeträge an Bußgeldern verhängt — Tendenz steigend.

03
Gesetze

Rechtsgrundlagen des Datenschutzes

Das Datenschutzrecht in Deutschland ist dreistufig: eine EU-Verordnung, ein Bundesgesetz, dazu spezielle Nebengesetze.

  • DSGVO — Datenschutz-Grundverordnung (EU) 2016/679. Seit 25. Mai 2018 unmittelbar anwendbar in allen EU-Mitgliedstaaten. 99 Artikel und 173 Erwägungsgründe. Zentrale Regelung für personenbezogene Daten, Rechtsgrundlagen, Pflichten und Sanktionen. Volltext: dsgvo-gesetz.de.
  • BDSG — Bundesdatenschutzgesetz (neu 2018). Konkretisiert die DSGVO für Deutschland und nutzt die Öffnungsklauseln — etwa § 26 BDSG zum Beschäftigtendatenschutz oder § 38 BDSG zur Pflicht, einen Datenschutzbeauftragten zu bestellen.
  • Landesdatenschutzgesetze (LDSG). Jedes Bundesland hat ein eigenes Gesetz für den öffentlichen Bereich (Behörden, Kommunen, Schulen). In Hamburg gilt das HmbDSG.
  • TTDSG / TDDDG. Regelt Datenschutz bei Cookies, Telemedien und elektronischer Kommunikation — relevant für jede Website mit Tracking oder Consent-Banner.
  • Branchenspezifische Regeln. SGB X (Sozialdaten), StPO (Strafverfolgung), BDSG §§ 22–26 (besondere Konstellationen) ergänzen das Regelwerk.

Im Unternehmensalltag sind DSGVO und BDSG die beiden zentralen Gesetze. Alles andere sind Ergänzungen. Wer beide kennt, kennt den Kern des deutschen Datenschutzrechts.

04
Artikel 5

Die sieben Prinzipien des Datenschutzes

Welche sind die Prinzipien des Datenschutzes? Artikel 5 der DSGVO nennt sieben Grundsätze. Sie sind die DNA jeder datenschutzrechtlichen Entscheidung.

  1. Rechtmäßigkeit, Treu und Glauben, Transparenz. Jede Verarbeitung braucht eine Rechtsgrundlage aus Art. 6 DSGVO — Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigte Interessen. Betroffene müssen klar informiert werden.
  2. Zweckbindung. Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, zu dem sie erhoben wurden. Kundenadressen für Lieferung sind nicht automatisch Werbe-Adressen.
  3. Datenminimierung. Nur die tatsächlich notwendigen Daten werden erhoben. Weniger ist mehr — jede überflüssige Datei ist ein potenzielles Risiko.
  4. Richtigkeit. Personenbezogene Daten müssen sachlich richtig und aktuell sein. Falsche Daten sind auf Antrag der betroffenen Person zu berichtigen.
  5. Speicherbegrenzung. Daten werden nur so lange gespeichert, wie es der Verarbeitungszweck erfordert. Danach: löschen oder anonymisieren. Genau dafür gibt es das Löschkonzept.
  6. Integrität und Vertraulichkeit. Technisch-organisatorische Maßnahmen schützen Daten vor Verlust, unbefugtem Zugriff und Manipulation (Art. 32 DSGVO).
  7. Rechenschaftspflicht. Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können. Kein compliant sein ohne Dokumentation.
Wer mir sagt „Wir machen das seit Jahren so, das passt schon" und die Frage nach der Rechtsgrundlage nicht beantworten kann, ist im DSGVO-Sinne nicht compliant. Nicht, weil das Tun falsch wäre — sondern weil er es nicht beweisen kann.
Nils Oehmichen Nils Oehmichen · Datenschutzberater, frag.hugo
05
Art. 9 & 10 DSGVO

Welche Daten sind besonders geschützt?

Grundsätzlich gilt: Kein personenbezogenes Datum darf ohne Rechtsgrundlage (Art. 6 DSGVO) an Dritte weitergegeben werden. Die häufigsten Rechtsgrundlagen sind Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigte Interessen nach sorgfältiger Abwägung.

Besonders streng regelt Artikel 9 DSGVO die besonderen Kategorien personenbezogener Daten — umgangssprachlich sensible Daten:

  • Gesundheitsdaten. Diagnosen, Medikamente, Laborwerte, psychische Erkrankungen.
  • Genetische und biometrische Daten. DNA, Fingerabdrücke, Gesichtsscans, Retina-Scans.
  • Ethnische Herkunft und rassische Zuordnung.
  • Politische Meinungen. Parteimitgliedschaft, politisches Engagement.
  • Religiöse oder weltanschauliche Überzeugungen.
  • Gewerkschaftszugehörigkeit.
  • Sexualleben und sexuelle Orientierung.

Diese Datenkategorien dürfen nur in engen Ausnahmefällen verarbeitet und weitergegeben werden — etwa mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a) oder zu Zwecken der Gesundheitsvorsorge (lit. h). Auch Daten über strafrechtliche Verurteilungen sind nach Art. 10 DSGVO besonders geschützt.

Ebenfalls heikel: Daten Minderjähriger (Art. 8 DSGVO — Einwilligungsfähigkeit ab 16), Beschäftigtendaten (§ 26 BDSG) und Daten, die einem Berufsgeheimnis unterliegen (Ärzte, Anwälte, Steuerberater — § 203 StGB). Vertiefung: Welche Daten dürfen nicht an Dritte weitergegeben werden?.

06
Im Unternehmen

Pflichten und Rollen

Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Damit verbunden sind konkrete Pflichten:

PflichtRechtsgrundlagePraxis
Verzeichnis von Verarbeitungs­tätigkeiten (VVT)Art. 30 DSGVOInventar aller Datenverarbeitungen
DatenschutzerklärungArt. 13/14 DSGVOTransparenz auf Website, Formularen, E-Mails
Auftrags­verarbeitungs­vertrag (AVV)Art. 28 DSGVOMit jedem externen Dienstleister, der Daten verarbeitet
Datenschutz­beauftragter (DSB)Art. 37 DSGVO / § 38 BDSGAb 20 MA, bei sensiblen Daten oder Kern­überwachung
Datenschutz-Folgen­abschätzung (DSFA)Art. 35 DSGVOVor Verarbeitungen mit hohem Risiko
Technisch-organisatorische Maßnahmen (TOM)Art. 32 DSGVOVerschlüsselung, Zugriffs­kontrolle, Backup
Meldung einer DatenpanneArt. 33 DSGVOBinnen 72 h an die Aufsichts­behörde
Schulung der BeschäftigtenArt. 39 Abs. 1 lit. bJährliche Sensibilisierung, dokumentiert
LöschkonzeptArt. 5 Abs. 1 lit. eAufbewahrungsfristen pro Datenkategorie

Die wichtigste Rolle im Unternehmen ist der Datenschutzbeauftragte. Er überwacht die Einhaltung der DSGVO, schult Mitarbeiter und ist Ansprechpartner für Betroffene und Aufsichtsbehörde. Für viele mittelständische Unternehmen lohnt sich ein externer Datenschutzbeauftragter — weil er unabhängig, rechtssicher qualifiziert und wirtschaftlich günstiger als eine interne Lösung ist. Die Alternative ist ein interner DSB, der zusätzlich zu seiner eigentlichen Aufgabe benannt wird — das kollidiert meist mit Interessenkonflikten (IT-Leiter, HR, Geschäftsführung dürfen nicht gleichzeitig DSB sein).

07
Rechte

Acht Rechte für jede Person

Die DSGVO gewährt jeder natürlichen Person acht zentrale Rechte gegenüber Verantwortlichen. Unternehmen müssen innerhalb eines Monats reagieren (Art. 12 DSGVO), die Auskunft ist kostenlos.

  • Auskunft (Art. 15). Welche Daten werden über mich verarbeitet?
  • Berichtigung (Art. 16). Falsche Daten korrigieren lassen.
  • Löschung (Art. 17, „Recht auf Vergessenwerden"). Daten endgültig entfernen lassen.
  • Einschränkung der Verarbeitung (Art. 18). Daten einfrieren statt löschen.
  • Datenübertragbarkeit (Art. 20). Export im gängigen Format erhalten.
  • Widerspruch (Art. 21). Insbesondere gegen Werbung und Profiling.
  • Keine automatisierte Entscheidung (Art. 22). Recht auf menschliche Prüfung bei Scoring, KI-Entscheidungen etc.
  • Beschwerde bei der Aufsichtsbehörde (Art. 77). Jederzeit und kostenlos.

Jede Betroffenenanfrage ist eine Pflichtaufgabe — keine Kür. Wer Anfragen ignoriert, riskiert Bußgelder und Reputationsschäden. Der Klassiker aus der Praxis: Ehemalige Mitarbeiter bitten nach der Kündigung um Auskunft nach Art. 15 und Löschung nach Art. 17. Antwortet das Unternehmen nicht, landet der Fall bei der Aufsichtsbehörde.

08
Behörden

Aufsicht und Datenpannen

In Deutschland gibt es keine zentrale Datenschutzbehörde, sondern 17 Aufsichtsbehörden: die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikation sowie 16 Landesdatenschutzbehörden (in Bayern zwei — für öffentliche und nicht-öffentliche Stellen).

Für Unternehmen mit Sitz in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zuständig. Die Aufsichtsbehörden haben eine Doppelrolle: Beratung und Sanktion. In der Praxis ist die Beratungsfunktion gerade für KMU ein unterschätztes Angebot.

Datenpannen — formell „Verletzungen des Schutzes personenbezogener Daten" nach Art. 4 Nr. 12 DSGVO — müssen nach Art. 33 binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die betroffenen Personen besteht. Bei hohem Risiko (Leaks von Gesundheitsdaten, Zugangsdaten mit Missbrauchsrisiko) sind die Betroffenen nach Art. 34 zusätzlich zu informieren. Wie das praktisch geht: Datenpanne melden — die 72-Stunden-Frist.

09
Sanktionen

Bußgeld und Verstöße

Art. 83 DSGVO unterscheidet zwei Bußgeld-Kategorien. Maßgeblich ist immer der höhere Betrag.

10 Mio. €
oder 2 % Jahresumsatz

Formale Verstöße: VVT, DSB, TOM, fehlende Datenpanne-Meldung.

20 Mio. €
oder 4 % Jahresumsatz

Grundsatz-Verstöße: Art. 5/6/9, Betroffenenrechte, unrechtmäßige Verarbeitung.

In Deutschland haben die Aufsichtsbehörden seit 2018 Bußgelder im dreistelligen Millionenbereich verhängt. Typische Verstöße: fehlende Rechtsgrundlage bei Cookie-Bannern, unsaubere AVV, nicht gemeldete Datenpannen, fehlende Auskunftserteilung, unzureichende TOM, Weitergabe sensibler Daten ohne Einwilligung.

Ein einfacher Leitfaden: Wer Art. 5, Art. 6, Art. 32 und die Betroffenenrechte einhält und das dokumentiert, wird bei einer Prüfung in der Regel nicht zur Kasse gebeten. Verstöße entstehen dort, wo niemand strukturiert nachhält, was passiert.

10
Abgrenzung

Datenschutz vs. Datensicherheit

Datenschutz und Datensicherheit werden oft synonym verwendet — zu Unrecht. Beide Disziplinen ergänzen sich, sind aber unterschiedliche Sachen.

Datenschutz regelt rechtlich, WER personenbezogene Daten WARUM verarbeiten darf. Er legt Rechtsgrundlagen, Grundsätze und Betroffenenrechte fest.

Datensicherheit schützt technisch und organisatorisch DASS Daten nicht verloren, gestohlen oder manipuliert werden. Sie umfasst Verschlüsselung, Backup, Zugriffskontrolle, Firewall, Incident Response — und greift auch für nicht-personenbezogene Daten (Konstruktionspläne, Finanzdaten, Geschäftsgeheimnisse).

Art. 32 DSGVO verbindet beide Welten: Wer personenbezogene Daten verarbeitet, muss angemessene technisch-organisatorische Maßnahmen treffen. Datensicherheit ist hier ein Teilaspekt des Datenschutzes, geht aber inhaltlich darüber hinaus. Mehr in Informationssicherheit vs. Datenschutz.

11
Web

Datenschutz im Internet

Datenschutz im Internet ist ein Sonderfall — und für die meisten Unternehmen der erste Berührungspunkt mit der DSGVO. Jede Website erhebt personenbezogene Daten: IP-Adresse, Cookies, Nutzungsverhalten, Formular-Eingaben.

Drei Themenfelder sind kritisch:

  • Cookies & Consent. Technisch nicht notwendige Cookies (Analytics, Marketing, Social Media) dürfen nach § 25 TTDSG/TDDDG nur mit vorheriger Einwilligung gesetzt werden. Ein Cookie-Banner, das „OK" und „Ablehnen" gleichwertig darstellt, ist Pflicht.
  • Tracking-Tools. Google Analytics, Matomo, Hotjar, Facebook Pixel — alle erfordern eine aktive Einwilligung. Ohne: Bußgelder und Abmahnungen.
  • Datenschutzerklärung. Pflicht auf jeder Website (Art. 13 DSGVO). Sie muss aktuell sein, alle eingesetzten Dienste nennen und leicht auffindbar sein — idealerweise im Footer verlinkt.

Schnell prüfen, ob Ihre Website den DSGVO-Anforderungen entspricht? Unser kostenloser Hugo Check analysiert 29 Punkte automatisch: Cookies, Consent, Google Fonts, Tracking, SSL, Datenschutzerklärung.

12
§ 26 BDSG

Beschäftigtendatenschutz

Arbeitgeber verarbeiten umfangreich personenbezogene Daten ihrer Mitarbeiter: Bewerbungsunterlagen, Gehalt, Arbeitszeitkonto, Krankmeldungen, Leistungsbeurteilungen, Zugangsdaten. § 26 BDSG regelt das als eigenen Anwendungsbereich.

Die Grundregel: Beschäftigtendaten dürfen nur verarbeitet werden, soweit es für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist — oder eine Einwilligung vorliegt. Typische Konflikte: Videoüberwachung am Arbeitsplatz, Monitoring von E-Mail und Internet, GPS-Tracking bei Firmenfahrzeugen, Alkohol- und Drogentests.

Dazu kommen Mitbestimmungsrechte des Betriebsrats nach § 87 BetrVG. Unternehmen ab einer bestimmten Größe benötigen klare Regeln, wie Mitarbeiterdaten verarbeitet werden. Vertiefung: Beschäftigtendatenschutz — der Leitfaden.

13
Umsetzung

Die Datenschutz-Checkliste

Datenschutz im Unternehmen ist ein Prozess, kein Projekt. Wer pragmatisch startet, arbeitet sich in dieser Reihenfolge durch:

  1. Datenschutzbeauftragten benennen. Intern oder extern. Externer DSB bietet Unabhängigkeit und volle Haftungsübernahme.
  2. Bestandsaufnahme aller Datenverarbeitungen. Von HR über CRM bis zur Website — jede Stelle, an der Daten entstehen, ist relevant.
  3. VVT erstellen. Das Verzeichnis von Verarbeitungstätigkeiten ist das Inventar. Ohne VVT ist keine Rechenschaftspflicht erfüllbar.
  4. Rechtsgrundlagen festlegen. Für jede Verarbeitung die passende Rechtsgrundlage nach Art. 6 (und ggf. Art. 9) DSGVO dokumentieren.
  5. AVV abschließen. Mit jedem Cloud-Anbieter, jedem Tool-Provider, jedem Dienstleister, der Daten verarbeitet.
  6. Datenschutzerklärung aktualisieren. Transparent, vollständig, auffindbar. Pflicht nach Art. 13/14 DSGVO.
  7. Technisch-organisatorische Maßnahmen umsetzen. Verschlüsselung, Passwortrichtlinie, 2-Faktor, Backup, Zugriffsrollen.
  8. Löschkonzept erstellen. Pro Datenkategorie: Aufbewahrungsfrist, Löschregel, Verantwortlicher.
  9. Mitarbeiter schulen. Jährlich, dokumentiert — idealerweise mit e-Learning-Plattform und Phishing-Simulation.
  10. Dokumentieren und prüfen. Alle Maßnahmen, Entscheidungen, Anfragen. Jährlicher Audit.
Das Wichtigste in Kürze Datenschutz schützt die Autonomie jeder natürlichen Person über ihre personenbezogenen Daten. Rechtsgrundlage in Deutschland: DSGVO + BDSG. Pflicht sind VVT, AVV, Datenschutzerklärung, DSB ab 20 MA, TOM und Löschkonzept. Bußgelder bei Verstößen bis 20 Mio. Euro oder 4 % Jahresumsatz. Wer strukturiert vorgeht und seine Entscheidungen nachweisen kann, erfüllt den Kern des Datenschutzrechts.
Weiterlesen

Zum Thema

Leitfaden
DSGVO — der Leitfaden
Art. 5, Rechte, Pflichten, Bußgelder, 8-Schritte-Umsetzung.
 Service
Externer Datenschutzbeauftragter
DSB nach Art. 37 DSGVO / § 38 BDSG — ab 149 €/Monat.
 Produkt
Hugo DSB — Datenschutz-Plattform
VVT, AVV, Datenpannen, TOMs, DSE-Generator, Löschkonzept.
 Download
DSGVO-Checkliste 2026
13 Seiten, 59 Prüfpunkte — kostenloses PDF.
Nils Oehmichen, Datenschutzberater
Ihr Datenschutzberater
Nils Oehmichen

Nils ist seit über einem Jahrzehnt als Datenschutzberater und externer Datenschutzbeauftragter tätig. TÜV-zertifiziert, Mitglied im BVMID, Absolvent der FH Lübeck — und bekannt für pragmatische Lösungen statt Paragrafen-Lyrik.

TÜV-zertifiziert BVMID-Mitglied FH Lübeck 10+ Jahre DSB-Praxis
Vollständiges Profil → LinkedIn
Häufige Fragen

Datenschutz — was Menschen fragen.

Was versteht man unter Datenschutz?
Datenschutz ist der Schutz personenbezogener Daten vor unbefugter Erhebung, Speicherung, Nutzung und Weitergabe. Er sichert das Grundrecht auf informationelle Selbstbestimmung: Jeder Mensch entscheidet selbst, wer was über ihn weiß. Rechtliche Grundlage in Deutschland ist die DSGVO in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) und den Landesdatenschutzgesetzen.
Welche Daten dürfen nicht an Dritte weitergegeben werden?
Ohne Rechtsgrundlage nach Art. 6 DSGVO dürfen keine personenbezogenen Daten weitergegeben werden. Besonders geschützt sind die sensiblen Daten nach Art. 9 DSGVO: Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, ethnische Herkunft, politische Meinungen, Sexualleben, biometrische und genetische Daten. Ihre Weitergabe ist nur mit ausdrücklicher Einwilligung oder in engen Ausnahmefällen zulässig.
Welche sind die Prinzipien des Datenschutzes?
Art. 5 DSGVO nennt sieben Grundsätze: 1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, 2) Zweckbindung, 3) Datenminimierung, 4) Richtigkeit, 5) Speicherbegrenzung, 6) Integrität und Vertraulichkeit, 7) Rechenschaftspflicht. Wer diese Grundsätze einhält und nachweisen kann, erfüllt den Kern des europäischen Datenschutzrechts.
Wann ist der Datenschutz verletzt?
Der Datenschutz ist verletzt, sobald personenbezogene Daten ohne gültige Rechtsgrundlage verarbeitet oder gegen die Grundsätze des Art. 5 DSGVO verstoßen wird. Typische Verletzungen: unberechtigter Zugriff, Verlust eines Laptops mit Kundendaten, falsche Weitergabe, fehlende technisch-organisatorische Maßnahmen (TOM). Solche Datenpannen sind nach Art. 33 DSGVO innerhalb von 72 Stunden der Aufsichtsbehörde zu melden.
Warum ist Datenschutz wichtig?
Datenschutz schützt die Autonomie jeder Person: ohne Kontrolle über persönliche Daten keine freie Meinungsbildung, keine Privatsphäre, keine informationelle Selbstbestimmung. Für Unternehmen ist Datenschutz zusätzlich ein Compliance-Thema mit Bußgeldern bis 20 Mio. Euro — und ein Vertrauensfaktor gegenüber Kunden und Mitarbeitern.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Datenschutz regelt rechtlich, WER personenbezogene Daten WARUM verarbeiten darf. Datensicherheit schützt technisch und organisatorisch, DASS Daten nicht verloren, gestohlen oder manipuliert werden. Datensicherheit ist damit ein Teilaspekt des Datenschutzes (Art. 32 DSGVO: Sicherheit der Verarbeitung), geht aber über personenbezogene Daten hinaus.
Ab wann braucht mein Unternehmen einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter (DSB) ist nach § 38 BDSG in Deutschland Pflicht, sobald mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Zahl der Beschäftigten ist ein DSB Pflicht bei Verarbeitungen mit hohem Risiko (Art. 37 DSGVO) — etwa bei umfangreicher Videoüberwachung, Gesundheitsdaten oder Profiling.
Pragmatisch

Datenschutz mit Plan. Nicht mit Paragrafen.

Wir übernehmen den Datenschutz in Ihrem Unternehmen — persönlich, mit eigener Plattform. 15-Min-Erstgespräch mit Nils.

Erstgespräch buchen Website kostenlos prüfen