Warum diese Schulung – und warum für alle
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 unmittelbar geltendes Recht in der gesamten EU. Sie verpflichtet Unternehmen ausdrücklich zur Schulung der Beschäftigten: Art. 39 Abs. 1 lit. b nennt die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“, Art. 32 fordert geeignete organisatorische Maßnahmen zur Sicherheit der Verarbeitung, und Art. 5 Abs. 2 verlangt, die Einhaltung nachweisen zu können (Rechenschaftspflicht).
Zielgruppe ist daher nicht nur die IT, sondern jede Person, die mit personenbezogenen Daten in Berührung kommt – und das ist praktisch jeder, der E-Mails schreibt oder Kundendaten sieht. Geschult wird idealerweise direkt nach Aufnahme der Tätigkeit und danach regelmäßig (in der Regel jährlich oder bei wesentlichen Änderungen).
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist der Personenbezug – nicht, ob die Information „geheim“ wirkt.
- Eindeutige Beispiele: Name, Adresse, Geburtsdatum, Kundennummer, Kfz-Kennzeichen, IP-Adresse, Standortdaten, Fotos.
- Besondere Kategorien (besonders geschützt): Gesundheitsdaten, religiöse oder politische Überzeugung, Gewerkschaftszugehörigkeit, biometrische Daten.
- Gilt branchenübergreifend: von Kundendaten im Handel bis zur Patientenakte in der Arztpraxis.
Beispiel: Schon die IP-Adresse zählt
Viele unterschätzen, dass auch eine IP-Adresse ein personenbezogenes Datum sein kann, weil sich darüber eine Person identifizieren lässt. Wer also Server-Logs oder Website-Analysen auswertet, verarbeitet personenbezogene Daten – mit allen Pflichten. Erst eine echte Anonymisierung (kein Rückbezug mehr möglich) führt aus der DSGVO heraus.
Was bedeutet „Verarbeitung“?
Der Begriff ist bewusst weit: Erheben, Speichern, Verändern, Auslesen, Verwenden, Weitergeben, Löschen – all das ist „Verarbeitung“. Schon das Anlegen einer Excel-Liste mit Kundennamen ist eine Verarbeitung im Sinne der DSGVO.
Wer ist wer? Die drei zentralen Rollen
Die DSGVO verteilt Verantwortung über klar definierte Rollen. Wer sie kennt, versteht sofort, wen welche Pflicht trifft und wann ein Vertrag nötig ist.
- Verantwortlicher: entscheidet über Zwecke und Mittel der Verarbeitung – meist Ihr Unternehmen. Trägt die Hauptverantwortung und Nachweispflicht.
- Auftragsverarbeiter: verarbeitet Daten weisungsgebunden für den Verantwortlichen – z. B. ein Cloud-, Newsletter- oder Lohnabrechnungsdienstleister. Hier ist ein Auftragsverarbeitungsvertrag (Art. 28) Pflicht.
- Betroffene Person: der Mensch, dessen Daten verarbeitet werden – Kundin, Mitarbeiter, Interessent. Ihr stehen die Betroffenenrechte zu.
Beispiel: Wann ein AV-Vertrag nötig ist
Ein Handwerksbetrieb nutzt einen Cloud-Dienst für die Buchhaltung und einen externen Newsletter-Versand. Beide Dienstleister verarbeiten personenbezogene Daten im Auftrag – also braucht der Betrieb mit jedem von ihnen einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Weitergabe der Daten an den Dienstleister bereits ein Verstoß, selbst wenn technisch alles sicher ist.
Das Wichtigste in Kürze
- Die DSGVO verpflichtet ausdrücklich zur Schulung aller beteiligten Mitarbeitenden.
- Personenbezogen = jede Information mit Bezug zu einer identifizierbaren Person (auch IP-Adresse).
- Besondere Kategorien (z. B. Gesundheit) sind besonders geschützt.
- Drei Rollen: Verantwortlicher, Auftragsverarbeiter (AV-Vertrag nach Art. 28!), betroffene Person.
- Schulung direkt zu Beginn und regelmäßig (i. d. R. jährlich).
?Wissens-Check
Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.
Frage 1.Welches ist KEIN personenbezogenes Datum?
Frage 2.Wie häufig sollte eine Datenschutzschulung in der Regel stattfinden?
Frage 3.Was zählt als „Verarbeitung“ personenbezogener Daten?