# 4.4 Datenschutz (DSGVO)

## DSGVO - Grundlagen

Die **Datenschutz-Grundverordnung (DSGVO)** ist seit dem 25. Mai 2018 EU-weit gültig.

### Grundprinzipien

```
DSGVO - Grundsätze (Art. 5)
├── Rechtmäßigkeit, Transparenz
├── Zweckbindung
├── Datenminimierung
├── Richtigkeit
├── Speicherbegrenzung
└── Integrität und Vertraulichkeit
```

### Anwendungsbereich

| Bereich | Geltung |
|---------|---------|
| EU-Bürger | Weltweit |
| EU-Unternehmen | Weltweit |
| Drittland-Unternehmen | Bei Angebot in EU |

---

## Personenbezogene Daten

### Definition

> Alle Informationen, die sich auf eine **identifizierte** oder **identifizierbare** natürliche Person beziehen.

### Kategorien

| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Adresse, Geburtsdatum |
| Kontaktdaten | Telefon, E-Mail |
| Vertragsdaten | Kunden-Nr., Vertragsinhalt |
| Nutzungsdaten | Logfiles, Cookies |
| Gesundheitsdaten | Krankheit, Behinderung |
| Biometrische Daten | Fingerabdruck, Face ID |
| Politische Meinungen | Parteizugehörigkeit |
| Religiöse Überzeugung | Konfession |

### Besondere Kategorien

```
Art. 9 DSGVO - Besondere personenbezogene Daten
├── Gesundheitsdaten
├── Biometrische Daten
├── Politische Meinungen
├── Religiöse Überzeugung
├── Gewerkschaftszugehörigkeit
├── Ethnische Herkunft
├── Sexualleben
└── Strafrechtliche Verurteilungen
```

---

## Betroffenenrechte

### Rechte der Betroffenen

| Recht | Beschreibung |
|-------|-------------|
| **Auskunft** (Art. 15) | Informationen über verarbeitete Daten |
| **Berichtigung** (Art. 16) | Falsche Daten korrigieren |
| **Löschung** (Art. 17) | "Recht auf Vergessenwerden" |
| **Einschränkung** (Art. 18) | Verarbeitung sperren |
| **Datenübertragung** (Art. 20) | Daten in maschinenlesbarem Format |
| **Widerspruch** (Art. 21) | Widerspruch gegen Verarbeitung |
| **Automatisierte Entscheidungen** (Art. 22) | Keine rein automatisierten Entscheidungen |

### Informationspflichten

```
Art. 13, 14 DSGVO - Bei Erhebung mitzuteilen
├── Verantwortlicher
├── Datenschutzbeauftragter
├── Zweck der Verarbeitung
├── Rechtsgrundlage
├── Empfänger oder Kategorien
├── Speicherdauer
├── Betroffenenrechte
└── Beschwerderecht bei Behörde
```

---

## Verantwortliche

### Verantwortlicher

> Natürliche oder juristische Person, die über die **Zwecke und Mittel** der Verarbeitung entscheidet.

### Auftragsverarbeitung (Art. 28)

```
Auftragsverarbeiter (AV)
├── Externe Dienstleister (Cloud, Hosting)
├── Weisungsgebunden
├── Auftragsverarbeitungsvertrag (AVV) erforderlich
└── Kontroll- und Überwachungspflichten
```

### Datenschutzbeauftragter (DSB)

| Unternehmen | Pflicht |
|-------------|----------|
| > 20 Mitarbeiter | Pflicht |
| Verarbeitung besonderer Daten | Pflicht |
| Öffentliche Stelle | Immer |

---

## Technische und organisatorische Maßnahmen (TOM)

### Mindestanforderungen

```
Art. 32 DSGVO - Sicherheit der Verarbeitung
├── Pseudonymisierung
├── Verschlüsselung
├── Vertraulichkeit
├── Integrität
├── Verfügbarkeit
└── Rasche Wiederherstellbarkeit
```

### Beispiele für TOM

| Maßnahme | Beschreibung |
|----------|-------------|
| Zutrittskontrolle | Zugang zum Serverraum |
| Zugriffskontrolle | Berechtigungskonzept |
| Weitergabekontrolle | TLS-Verschlüsselung |
| Eingabekontrolle | Protokollierung |
| Verfügbarkeitskonzept | Backup, USV |
| Trennungsgebot | Test-/Produktivumgebung |

---

## Datenschutz-Folgenabschätzung (DSFA)

### Wann erforderlich?

```
Art. 35 DSGVO - Pflicht zur DSFA
├── Verarbeitung besonderer Kategorien
├── Umfangreiches Profiling
├── Systematisches Monitoring
├── Neue Technologien
└── Risikoreiche Verarbeitung
```

### Durchführung

```
DSFA-Schritte
1. Beschreibung der Verarbeitung
2. Bewertung der Erforderlichkeit
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominimierung
5. Stellungnahme DSB
6. Dokumentation
```

---

## Datenschutzverletzungen

### Meldepflicht

```
Art. 33 DSGVO - Meldung an Behörde
├── Innerhalb von 72 Stunden
├── Beschreibung der Verletzung
├── Kategorien betroffener Daten
├── Anzahl Betroffener
├── Wahrscheinliche Folgen
└── Ergriffene Maßnahmen
```

### Benachrichtigungspflicht

```
Art. 34 DSGVO - Benachrichtigung Betroffener
├── Wenn hohe Risiken für Rechte
├── Sofortige Benachrich­tigung
└── In verständlicher Sprache
```

---

## Bußgeld und Strafen

### DSGVO-Bußgelder

```
Art. 83 DSGVO - Geldbußen
├── Bis zu 20 Mio. EUR oder
├── Bis zu 4% des weltweiten Jahresumsatzes
└── Je nach Schwere des Verstoßes
```

### Bußgeld-Kategorien

| Verstoß | Maximales Bußgeld |
|----------|-------------------|
| Grundprinzipien | 10 Mio. oder 2% |
| Rechte der Betroffenen | 10 Mio. oder 2% |
| Übermittlung in Drittland | 20 Mio. oder 4% |
| Sonstige Verstöße | 20 Mio. oder 4% |

---

## Checkliste Datenschutz

```
□ Verarbeitungsverzeichnis (Art. 30)
□ Datenschutzbeauftragter benannt (falls nötig)
□ Auftragsverarbeitungsverträge (Art. 28)
□ Technische Maßnahmen implementiert
□ Mitarbeiter geschult
□ Datenschutz-Folgenabschätzung (falls nötig)
□ Prozesse für Betroffenenrechte
□ Datenschutzerklärung auf Website
□ Verletzungsmanagement dokumentiert
```

---

## Querverweise

- [[LF4-03-Sicherheitskonzepte|Zurück: Sicherheitskonzepte]]
- [[LF3-Datenbanken|Datenbanken: Datensicherheit]]
- [[Wissen/Wirtschafts-Sozialkunde/WISO-Zusammenfassung|WISO: Rechtliche Grundlagen]]

---

*Stand: 2024*