Geltungsbereich - Für wen gilt die DSGVO?

Die DSGVO gilt für Unternehmen, Organisationen, Behörden und öffentliche Einrichtungen. Doch welche Pflichten haben sie und welche Daten müssen geschützt werden?

In diesem Beitrag erfahren Sie, welche Rechte betroffene Personen haben und welche Maßnahmen die Einrichtungen ergreifen müssen, um die personenbezogenen Daten von Individuen zu schützen und die Vorschriften einzuhalten.

In diesem Beitrag:

 

Key Takeaways:

  • Die DSGVO gilt für Unternehmen, Organisationen, Behörden, öffentliche Einrichtungen und Einzelpersonen, die personenbezogene Daten von EU-Bürgern verarbeiten
  • Gemäß der DSGVO umfassen personenbezogene Daten nicht nur persönliche Informationen, sondern auch sensible Daten wie Gesundheits- und Finanzinformationen
  • Einzelpersonen haben nach der DSGVO Rechte, darunter das Recht auf Information, auf Berichtigung oder Löschung ihrer Daten und Übertragung ihrer Daten an eine andere Partei 

 

Was ist die DSGVO und für wen gilt sie?

Die Datenschutz-Grundverordnung (DSGVO), im Englischen bekannt als General Data Protection Regulation (GDPR), ist ein rechtlicher Rahmen für die Erhebung und Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union (EU).

Ziel ist es, die Datenschutzrechte der EU-Bürger zu schützen und die Datenschutzgesetze in Europa in Einklang zu bringen. Einzelpersonen sollen im Rahmen der DSGVO mehr Kontrolle über ihre persönlichen Daten bekommen und Informationen darüber erhalten, wie sie verwendet werden.

Die DSGVO gilt für alle Unternehmen, Organisationen, Behörden und öffentlichen Einrichtungen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Standort der Organisation. Dieser extraterritoriale Anwendungsbereich stellt sicher, dass die Daten von EU-Bürgern auch geschützt sind, wenn sie außerhalb der EU verarbeitet werden.

 

 

Welche Daten werden durch die DSGVO geschützt?

Das Ziel der DSGVO ist es, die Daten und Privatsphäre von Einzelpersonen zu schützen. Doch um welche Art von Daten handelt es sich dabei? Lassen Sie es uns herausfinden. 

Personenbezogene Daten

Zu den personenbezogenen Daten, wie sie durch die DSGVO definiert sind, zählen alle Informationen, über die eine Person direkt oder indirekt identifiziert werden kann, wie Name, Adresse oder Identifikationsnummern. Darüber hinaus können sie auch sensible Informationen wie die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder biometrische Daten umfassen.

Bei biometrischen Daten handelt es sich um Fingerabdrücke, Iris-Scans und Gesichtserkennungsdaten, die zunehmend für Identifikations- und Authentifizierungszwecke verwendet werden. Es kann aber auch die Sozialversicherungsnummer einer Person oder sogar ihre Browser-Historie unter die Kategorie personenbezogener Daten fallen. 

Gesundheitsdaten

Gesundheitsdaten fallen unter die besondere Kategorie personenbezogener Informationen, die durch die DSGVO geschützt sind. Die Verarbeitung von Gesundheitsdaten erfordert eine strikte Einhaltung der Datenschutzprinzipien und kann die Bestellung von Auftragsverarbeitern für bestimmte Verarbeitungsaufgaben umfassen.

Organisationen, die Gesundheitsdaten verarbeiten, müssen erweiterte Sicherheitsmaßnahmen implementieren, um diese sensiblen Informationen vor unbefugtem Zugriff oder Datenschutzverstößen zu schützen. Es ist notwendig, dass Einzelpersonen ihre ausdrückliche Einwilligung für die Verarbeitung ihrer Gesundheitsdaten geben und dabei klar die Zwecke angeben sind, für die ihre Informationen verwendet werden.

Finanzdaten

Eine weitere Gruppen von Daten, die durch die DSGVO geschützt werden sollen, sind Finanzdaten wie Bankdaten, Transaktionsaufzeichnungen und Anlageinformationen. Unbefugter Zugriff oder Missbrauch von Finanzinformationen kann zu schwerwiegenden Konsequenzen wie Identitätsdiebstahl, Finanzbetrug oder unbefugten Transaktionen führen.

Organisationen müssen deshalb strenge Sicherheitsmaßnahmen implementieren, um Finanzdaten zu schützen. Zu den Praktiken, die dazu eingesetzt werden, zählen Verschlüsselung, Zugriffskontrollen, regelmäßige Überwachung und Datenminimierung.

 



Welche Rechte haben betroffene Personen gemäß der DSGVO?

Kennen Sie die Rechte, die betroffene Personen nach der DSGVO haben? Hier erhalten Sie eine Übersicht.

Recht auf Auskunft

Betroffene Personen haben das Recht, Details darüber anzufordern, wie Organisationen ihre personenbezogenen Daten sammeln, verarbeiten und nutzen. Es befähigt Einzelpersonen, informierte Entscheidungen über den Datenaustausch und die Datenschutzpraktiken innerhalb der EU zu treffen.

Gemäß der DSGVO ist Transparenz ein grundlegendes Prinzip, dem Datenverarbeiter und -verantwortliche gerecht werden müssen. Sie sind verpflichtet, den betroffenen Personen klare und leicht zugängliche Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitzustellen. Dazu gehören Angaben zum Zweck der Datensammlung, zur rechtlichen Grundlage der Verarbeitung, zu den Speicherfristen und zu allen an der Verarbeitung beteiligten Dritten.

Recht auf Berichtigung

Das Recht auf Berichtigung ermöglicht es den betroffenen Personen, Ungenauigkeiten oder unvollständige Informationen in ihren persönlichen Daten, die von Organisationen gespeichert werden, zu korrigieren. Es gewährleistet, dass Einzelpersonen die Kontrolle über die Richtigkeit und Vollständigkeit ihrer persönlichen Informationen gemäß den Bestimmungen der DSGVO haben.

Wenn zum Beispiel ein Kunde feststellt, dass seine Adresse bei einem Unternehmen falsch ist, kann er eine Berichtigungsanfrage stellen, um sie ändern zu lassen. Ebenso haben Personen das Recht, ein falsch erfasstes Geburtsdatum zu korrigieren, um sicherzustellen, dass die Daten korrekt sind. Organisationen müssen Verfahren zur Bearbeitung solcher Anfragen schnell und effizient bearbeiten, um den Datenschutzgesetzen zu entsprechen.

Recht auf Löschung

Auch bekannt als das „Recht auf Vergessenwerden" ermöglicht das Recht auf Löschung es den betroffenen Personen, die Löschung ihrer persönlichen Daten zu verlangen, wenn sie nicht mehr notwendig sind, unrechtmäßig verarbeitet werden oder ihre Einwilligungen widerrufen. Dies könnte beispielsweise auf einen Social-Media-Benutzer zutreffen, der alle seine Beiträge und persönlichen Informationen von einer Plattform entfernen möchte.

Organisationen müssen fristgerecht auf diese Anfragen reagieren und sicherstellen, dass die Daten dauerhaft aus ihren Systemen entfernt werden. Es gibt jedoch auch Ausnahmen von diesem Recht, beispielsweise wenn die Daten für die Einhaltung gesetzlicher Vorschriften oder das öffentliche Interesse erforderlich sind. 

Recht auf Einschränkung der Verarbeitung

Personen, deren personenbezogene Daten von einer Organisation verarbeitet werden, können diese Verarbeitung unter bestimmten Bedingungen beschränken. Dies ist beispielsweise möglich, wenn sie Bedenken hinsichtlich der Richtigkeit ihrer Daten haben, nicht mit den durchgeführten Verarbeitungstätigkeiten einverstanden sind oder auf eine Entscheidung über einen Antrag auf Datenlöschung warten. 

In diesen Fällen ist der Auftragsverarbeiter dafür verantwortlich, sicherzustellen, dass die Verarbeitung der Daten der betroffenen Person wie gewünscht gestoppt oder eingeschränkt wird. Ein Nichtbefolgen dieser Einschränkungen könnte zu potenziellen Verstößen gegen die DSGVO-Vorschriften und daraus resultierenden Strafen führen.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit ermöglicht es den Betroffenen, ihre personenbezogenen Daten zu erhalten und für ihre Zwecke über verschiedene Dienste oder Plattformen hinweg zu nutzen. Dieses Recht ist insbesondere für Informationen wie Finanzdaten relevant, da es einen nahtlosen Transfer zwischen Finanzinstituten oder Dienstleistern ermöglicht.

Wenn Personen ihr Recht auf Datenübertragbarkeit ausüben, können sie ihre Daten in einem strukturierten, allgemein üblichen und maschinenlesbaren Format anfordern. Dies umfasst persönliche Informationen, die sie einem Unternehmen zur Verfügung gestellt haben, sowie Daten, die aus ihren Aktivitäten generiert wurden. Zu diesen Daten können Benutzerprofile, Präferenzen und sogar der Nutzungsverlauf gehören.

Organisationen müssen sicherstellen, dass die Datenübertragungsmechanismen sicher und effizient sind, um reibungslose Übergänge zu ermöglichen. Durch die Festlegung klarer Prozesse für die Datenübertragbarkeit verbessern Unternehmen die Transparenz und Rechenschaftspflicht im Umgang mit den Informationen der Betroffenen.

Widerspruchsrecht

Betroffene Personen können der Verarbeitung ihrer personenbezogenen Daten in bestimmten Fällen widersprechen, etwa im Zusammenhang mit Direktmarketing oder Forschungszwecken. Dieses Recht gibt den betroffenen Personen mehr Kontrolle darüber, wie ihre Informationen von Organisationen genutzt und geteilt werden. Die zuständige Datenschutzbehörde überwacht die Einhaltung der Widersprüchen, die von Einzelpersonen erhoben werden.

Welche Maßnahmen müssen Unternehmen und Organisationen ergreifen?

Als Organisation, die personenbezogene Daten von EU-Bürgern erhebt oder verarbeitet, müssen Sie eine Reihe von Anforderungen erfüllen. Erfahren Sie, welche grundlegenden Maßnahmen Sie dazu umsetzen müssen.

Datenschutzbeauftragter

Die DSGVO verlangt von Organisationen, einen Datenschutzbeauftragten zu ernennen, der für die Überwachung von Datenschutzstrategien verantwortlich ist, die Einhaltung der DSGVO sicherstellt und als Ansprechpartner für Aufsichtsbehörden und betroffene Personen in Datenschutzfragen dient. 

Zu den Aufgaben des Datenschutzbeauftragten (DSB) zählt es, Risikobewertungen durchzuführen, erforderliche Maßnahmen zur Sicherung sensibler Informationen umzusetzen und prompt auf Datenschutzverletzungen zu reagieren. Er ist darüber hinaus auch damit beauftragt, das Bewusstsein für Datenschutzgesetze und -vorschriften innerhalb der Organisation zu fördern und Schulungen für Mitarbeitende anzubieten.

Das könnte Sie auch interessieren: Ab wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragtern?

 

Datenschutz-Folgenabschätzung

Zum Schutz personenbezogener Daten müssen Organisationen Datenschutz-Folgenabschätzungen durchführen. Es handelt sich dabei um einen strukturierten Prozess, um Datenschutzrisiken zu identifizieren und zu mindern, die aus bestimmten Verarbeitungstätigkeiten entstehen. Sie hilft Organisationen, die Auswirkungen der Datenverarbeitung auf die Datenschutzrechte von Personen und die Einhaltung der EU-Datenschutzbestimmungen zu bewerten.

Die DSGVO nennt spezifische Kriterien, wann eine DPIA notwendig ist, beispielsweise bei Verarbeitungsvorgängen, die sensible Daten betreffen oder die systematische Überwachung von Personen in großem Umfang beinhalten.

Der DPIA-Prozess umfasst die Identifizierung der Zwecke der Datenverarbeitung, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten und die Bewertung der Risiken für die Rechte und Freiheiten von Personen. Diese umfassende Bewertung ermöglicht es Organisationen, geeignete Maßnahmen umzusetzen, um die Privatsphäre der betroffenen Personen zu schützen und die Einhaltung der DSGVO sicherzustellen.

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen sind ein zentraler Bestandteil der DSGVO-
Compliance und umfassen vielfältige Vorkehrungen, um personenbezogene Daten zu schützen. Bei der Verschlüsselung werden beispielsweise Informationen in ein unlesbares Format umgewandelt, um sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.

Zugriffskontrollen sind erforderlich, um den Zugriff auf sensible Daten auf relevantes Personal zu beschränken. Richtlinien zur Datenlöschung geben des Weiteren vor, wie lange Daten gespeichert werden können und unter welchen Bedingungen sie sicher entsorgt werden sollten, um den gesetzlichen Anforderungen zu entsprechen.

Incident-Response-Pläne sind eine weitere notwendige Maßnahme. Sie umreißen die Schritte, die im Falle von Datenverletzungen unternommen werden sollen, um Schäden zu minimieren und die entsprechenden Behörden zu benachrichtigen.

Berichterstattung über Datenverstöße

Unter der DSGVO müssen Unternehmen und Organisationen Datenschutzverletzungen unverzüglich der zuständigen Aufsichtsbehörde und den betroffenen Personen melden, wenn eine Verletzung die Sicherheit personenbezogener Daten gefährdet. Die DSGVO legt spezifische Anforderungen an Benachrichtigungen und Zeitrahmen für die Meldung von Verletzungen fest.

Organisationen sind verpflichtet, die Schwere der Verletzung zu bewerten, einschließlich der Analyse der potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen. Die Vorfallbewertung dient dazu, angmessene Maßnahmen zu bestimmten, um die  Auswirkungen der Datenschutzverletzung zu mindern und weiteren unbefugten Zugriff zu verhindern. 

Bei der Benachrichtigung betroffener Personen müssen Organisationen klare und prägnante Informationen über die Verletzung bereitstellen. Darin muss die Art des Vorfalls, die betroffene Datenkategorien und empfohlene Maßnahmen zum Selbstschutz genannt werden.

Bereit für den nächsten Schritt?

Die DSGVO stellt viele Anforderungen an Organisationen, die personenbezogene Daten erfassen und verarbeiten, doch die Einhaltung der Vorschriften muss nicht kompliziert sein. Mit DataGuard haben Sie den idealen Partner an Ihrer Seite, um die DSGVO-Vorgaben effizient zu erfüllen zentral an einem Ort.

Unsere benutzerfreundliche Plattform vereinfacht den gesamten Datenschutzprozess, reduziert den manuellen Aufwand um bis zu 40 % und hilft Ihnen, Datenschutzverletzungen und hohe Bußgelder zu vermeiden. Unser Team zertifizierter Experten steht Ihnen beratend zur Seite.

 

 
 

 

Häufig gestellte Fragen

Für wen gilt die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) gilt für alle Organisationen, die personenbezogene Daten von Personen innerhalb der Europäischen Union (EU) verarbeiten. Dazu gehören Unternehmen, gemeinnützige Organisationen und Regierungsbehörden.

Gilt die DSGVO auch für Unternehmen außerhalb der EU?

Ja, die DSGVO gilt auch für Unternehmen außerhalb der EU, wenn sie Waren oder Dienstleistungen für Personen in der EU anbieten oder deren Verhalten überwachen.

Müssen kleine Unternehmen und Start-ups der DSGVO entsprechen?

Ja, die DSGVO gilt für alle Organisationen, unabhängig von ihrer Größe, die personenbezogene Daten von Personen innerhalb der EU verarbeiten. Es gibt jedoch einige Ausnahmen für kleine Unternehmen mit weniger als 250 Mitarbeitenden.

Was passiert, wenn eine Organisation gegen die DSGVO verstößt?

Nichtkonformität mit der DSGVO kann zu schwerwiegenden Konsequenzen führen, einschließlich Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Personen haben auch das Recht, Schadensersatz für Schäden geltend zu machen, die durch die Nichtkonformität der Organisation verursacht wurden.

Über den Autor

DataGuard Insights DataGuard Insights
DataGuard Insights

DataGuard Insights bietet Expertenanalysen und praktische Ratschläge zu Sicherheits- und Compliance-Fragen, mit denen IT-, Marketing- und Rechtsexperten in verschiedenen Branchen und Organisationen konfrontiert sind. DataGuard Insights dient als zentrale Anlaufstelle für das Verständnis der Feinheiten der regulatorischen Landschaft und bietet Einblicke, die Führungskräften helfen, fundierte Entscheidungen zu treffen. DataGuard Insights konzentriert sich auf die neuesten Trends und Entwicklungen und liefert Fachleuten die Informationen, die sie benötigen, um sich in der Komplexität ihres Fachgebiets zurechtzufinden und sicherzustellen, dass sie immer informiert und ihrer Zeit voraus sind.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren