Kurz erklärt
Die Datenschutz-Grundverordnung regelt EU-weit den Umgang mit personenbezogenen Daten. Unternehmen müssen Daten zweckgebunden, sicher und nachvollziehbar verarbeiten.
Die Datenschutz-Grundverordnung regelt EU-weit den Umgang mit personenbezogenen Daten. Unternehmen müssen Daten zweckgebunden, sicher und nachvollziehbar verarbeiten.
Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet — unabhängig von der eigenen Größe oder dem eigenen Sitz. Schon ein einzelnes Mitarbeiterverzeichnis, eine Kundendatenbank oder ein Newsletter-Verteiler fällt darunter.
Personenbezogene Daten sind alle Angaben, die sich einer identifizierbaren Person zuordnen lassen: Name, E-Mail, IP-Adresse oder Standortdaten. Auch ein Kleinbetrieb mit wenigen Beschäftigten ist verpflichtet. Maßgeblich ist nicht die Mitarbeiterzahl, sondern die Tatsache, dass überhaupt personenbezogene Daten verarbeitet werden.
Die DSGVO verlangt, dass Sie jede Datenverarbeitung auf eine Rechtsgrundlage stützen und sie nachvollziehbar dokumentieren. Daten dürfen nur für festgelegte Zwecke und nur so lange wie nötig gespeichert werden.
Verstöße können empfindliche Bußgelder nach sich ziehen, deren Höhe sich am Umsatz orientiert.
Die DSGVO ist ein Gesetz und für jede Organisation verbindlich. Sie schützt speziell personenbezogene Daten und die Rechte der Betroffenen.
ISO 27001 ist dagegen ein freiwilliger, zertifizierbarer Standard für Informationssicherheit insgesamt — er schützt alle schützenswerten Informationen, nicht nur personenbezogene. Ein nach ISO 27001 zertifiziertes Managementsystem erleichtert die DSGVO-Umsetzung erheblich, ersetzt sie aber nicht. Datenschutz und Informationssicherheit überschneiden sich, verfolgen jedoch unterschiedliche Schutzziele.
FAQ
Kurz und konkret beantwortet.
Ja. Aufsichtsbehörden können bei schweren Verstößen Bußgelder verhängen, deren Obergrenze sich am weltweiten Jahresumsatz orientiert. Entscheidend sind Art, Schwere und Dauer des Verstoßes sowie die Frage, ob das Unternehmen kooperiert und Datenschutz nachweislich ernst nimmt.
Nicht zwingend. Ob ein Datenschutzbeauftragter bestellt werden muss, hängt von Tätigkeit und Umfang der Datenverarbeitung ab, nicht allein von der Größe. Pflicht, Aufgaben und Abgrenzung sind im Eintrag zum Datenschutzbeauftragten beschrieben.
Nein. Eine Datenschutzerklärung erfüllt nur die Informationspflicht gegenüber Website-Besuchern. Daneben braucht es ein Verarbeitungsverzeichnis, technische Schutzmaßnahmen, Verträge mit Dienstleistern und Prozesse für Betroffenenrechte. Die Erklärung ist ein Baustein, nicht der gesamte Datenschutz.
Ja. Sobald ein Cloud-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, bleiben Sie verantwortlich. Sie müssen einen Auftragsverarbeitungsvertrag schließen und bei Anbietern außerhalb der EU zusätzlich prüfen, ob der Datentransfer rechtlich abgesichert ist.
Verwandte Begriffe
Noch Fragen?
Ob Compliance & Recht oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.