Datenschutz und Privatsphäre: DSGVO-Grundlagen für Mitarbeitende

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizieren: Name, E-Mail, Telefonnummer, IP-Adresse, Foto, Sozialversicherungsnummer, manchmal eine Kombination aus Geburtsdatum und PLZ.

Besondere Kategorien (Gesundheit, Herkunft, politische/religiöse Überzeugung, Gewerkschaftszugehörigkeit, sexuelle Orientierung, Biometrie, Genetik) verlangen strengeren Schutz.

Im Arbeitsalltag: jede Liste, Mail oder Datenbank mit Name-plus-mehr als personenbezogen behandeln; Gesundheit, ID-Nummern und Biometrie als besonders sensibel.

Die sechs Prinzipien der DSGVO

Artikel 5 DSGVO. Nicht auswendig lernen, aber im Verhalten widerspiegeln:

• Rechtmäßigkeit, Treu und Glauben, Transparenz.
• Zweckbindung. Daten für Zweck A nicht einfach für B nutzen.
• Datenminimierung. Nur sammeln, was nötig ist.
• Richtigkeit. Daten korrekt und aktuell.
• Speicherbegrenzung. Nicht länger als nötig.
• Integrität und Vertraulichkeit. Angemessene Sicherheit.

Betroffenenrechte

Auskunftsrecht: was wird über mich verarbeitet? Antwort i. d. R. binnen eines Monats.

Berichtigung und Löschung („Recht auf Vergessen“): außer bei gesetzlicher Aufbewahrungspflicht.

Einschränkung und Widerspruch.

Mitarbeitende: DSGVO-Anfrage sofort an Datenschutzbeauftragten weiterleiten. Nicht selbst antworten.

Datenpanne: was und was tun

Datenpanne: Sicherheitsverletzung mit Verlust, unbefugtem Zugriff oder Änderung. Beispiele: verlorener Laptop, Mail an falschen Empfänger, gehacktes System, versehentlich öffentlich geteilter Ordner.

Meldepflicht: bei Risiko binnen 72 Stunden an Aufsicht (DSGVO Art. 33). Bei hohem Risiko zusätzlich Betroffene (Art. 34).

Praktisch: vermutete Panne sofort intern an IT, Datenschutzbeauftragten, Security-Team melden. Nicht selbst beurteilen.

DSGVO, AI Act und NIS2: wie sie zusammenhängen

DSGVO und AI Act: KI mit personenbezogenen Daten = beide anwendbar.

DSGVO und NIS2/Cbw: Panne ist oft auch meldepflichtiger Cyber-Vorfall. Beide Meldungen parallel.

DSGVO und DORA: für Finanzinstitute beide; ICT-Vorfall mit Personendaten = beide Meldungen.

Wie Sie das in einem Awareness-Programm verankern

DSGVO-Awareness im Basisprogramm: 6–8-Minuten-Modul zu Prinzipien und Meldewegen, Vertiefung für HR, Marketing, Service, Gesundheitswesen.

Mit Praxis verbinden: kurze „bei vermuteter Panne tun“-Anleitung im Mail-Client, rollenbasierte Onboarding, Jahresbericht an Vorstand.

Dokumentation gemäß Cbw entscheidend: zentrale Plattform mit Audit-bereiten Berichten.

Verwandte Artikel

• Versehentliches Datenteilen vermeiden
• Datenpannenmeldung und Awareness verbinden
• Compliance-Anforderungen für Awareness-Schulung
• Grundlagen der Gerätesicherheit

Quellen

• DSGVO (EUR-Lex, offizieller Text)
• Niederländische Datenschutzbehörde (AP)
• European Data Protection Board (EDPB)

FAQ

Was sind personenbezogene Daten?

Jede Information, die eine Person direkt oder indirekt identifiziert. Besondere Kategorien (Gesundheit, Biometrie, Religion) brauchen mehr Schutz.

Wann liegt eine Datenpanne vor?

Sicherheitsverletzung mit Verlust, unbefugtem Zugriff oder Änderung personenbezogener Daten.

In welcher Zeit melden?

72 Stunden an Aufsicht bei Risiko; zusätzlich Betroffene bei hohem Risiko.

Was tun bei DSGVO-Anfrage?

Sofort an Datenschutzbeauftragten weiterleiten. Nicht selbst antworten.

Kostenloser Online-Übersetzer für Kundendokument?

Lieber nicht; freigegebene Dienste nutzen. Sonst DSGVO-Problem.

Was ist Zweckbindung?

Daten für Zweck A nicht einfach für B nutzen.

DSGVO und AI Act?

Bei KI mit personenbezogenen Daten beide anwendbar; AI Act zusätzlich Risikoklassifizierung und KI-Kompetenz.