5.4 DSGVO für Organisationen

Modul 5: DSGVO — Europas Standard

Erklärt die wichtigsten Pflichten von Verantwortlichen und Auftragsverarbeitern: Datenschutzbeauftragter, Folgenabschätzung, Meldepflichten bei Datenpannen und Bußgeldrahmen.

1

Learning Material

1 pages

DSGVO für Organisationen

Seite 1 von 1

Die DSGVO richtet sich nicht nur an Einzelpersonen, die ihre Rechte kennen wollen — sie stellt auch Unternehmen, Behörden und andere Organisationen vor konkrete Pflichten. Wer personenbezogene Daten verarbeitet, muss eine Reihe von Anforderungen erfüllen.

Verantwortlicher vs. Auftragsverarbeiter

Die DSGVO unterscheidet zwei zentrale Rollen: Der Verantwortliche (Art. 4 Nr. 7) entscheidet über Zweck und Mittel der Verarbeitung — z. B. ein Unternehmen, das Kundendaten für eigene Zwecke erhebt. Der Auftragsverarbeiter (Art. 4 Nr. 8) verarbeitet Daten im Auftrag des Verantwortlichen — z. B. ein Cloud-Dienstleister oder ein externer Buchhaltungsdienstleister. Beide Parteien müssen einen Auftragsverarbeitungsvertrag abschließen (Art. 28 DSGVO).

Der Datenschutzbeauftragte (DSB, Art. 37–39 DSGVO)

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu bestellen: Behörden, Unternehmen, die umfangreich besondere Datenkategorien verarbeiten, oder Unternehmen, die regelmäßig und systematisch Personen beobachten (z. B. durch Tracking). Der DSB berät intern, überwacht die Compliance und ist Ansprechpartner für Betroffene und Behörden — er oder sie muss dabei unabhängig und weisungsfrei agieren können.

Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

Für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, ist vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Beispiele: biometrische Überwachungssysteme, umfangreiches Profiling, Verarbeitung besonderer Datenkategorien im großen Maßstab.

Verzeichnis der Verarbeitungstätigkeiten (VoV, Art. 30 DSGVO)

Jeder Verantwortliche und Auftragsverarbeiter muss ein internes Register aller Verarbeitungstätigkeiten führen. Darin sind Zweck, Kategorien der Betroffenen und Daten, Empfänger und Löschfristen zu dokumentieren. Das VoV ist das zentrale Instrument der Rechenschaftspflicht.

Meldepflicht bei Datenpannen (Art. 33 DSGVO)

Wird eine Datenschutzverletzung festgestellt, muss der Verantwortliche diese innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Ist die Verletzung voraussichtlich mit einem hohen Risiko für Betroffene verbunden, müssen auch diese unverzüglich informiert werden (Art. 34 DSGVO).

Bußgeldrahmen

Die DSGVO sieht zwei Bußgeldkategorien vor:

  • Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für Verstöße gegen organisatorische Anforderungen (z. B. fehlende Auftragsverarbeitungsverträge).
  • Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes für Verstöße gegen Grundprinzipien, Betroffenenrechte oder den internationalen Datentransfer.

Anlaufstellen in Deutschland

Auf Bundesebene ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig für Bundesbehörden und bestimmte Unternehmen. Für privatwirtschaftliche Unternehmen sind die Landesdatenschutzbehörden der jeweiligen Bundesländer zuständig — z. B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) oder die Berliner Beauftragte für Datenschutz.

Ihr Fazit

Datenschutz ist für Organisationen kein optionales Extra — er ist eine rechtliche Pflicht mit erheblichen Konsequenzen bei Verstößen. Für Sie als Betroffene bedeutet das: Es gibt klare Verantwortliche, an die Sie sich wenden können, und Behörden, die Ihre Rechte durchsetzen.

2

Flashcards

5.4 DSGVO für Organisationen8 Karten
3

Quiz

Quiz: DSGVO für Organisationen6 Fragen

Want more?

Sign up for AI tutoring, study plans, exam prep, and more.

Sign up free