# Allgemeine Hinweise zur Verarbeitung personenbezogener Daten
Seit dem 25.05.2018 gilt in Datenschutz-Grundverordnung (DGSVO). Diese regelt auf europäischer Ebene, wie Unternehmen mit personenbezogenen Daten von Verbrauchern umgehen dürfen - denn diese verdienen nach dem Grundrecht auf informationelle Selbstbestimmung besonderen Schutz.
## Was sind personenbezogene Daten?
Bei personenbezogenen Daten handelt es sich um Informationen, die einer bestimmten Person zuzuordnen sind und Rückschlüsse über diese erlauben. Diese Informationen sind z.B.: biometrische Daten (Fingerabdruck, Körpergröße, Augenfarbe), allgemeine Daten (Geburtsdatum, Geburtsort, Anschrift) oder Kennnummern (Steueridentifikationsnummer, Bankverbindung, Grundbucheinträge, KFZ-Kennzeichen, Kundendaten, Zeugnisse). Solange keine personenbezogenen Daten betroffen sind, ist die DSGVO auch nicht einschlägig!
## Für wen gilt der neue Rechtsrahmen?
Der **sachliche Wirkungsbereich** der DSGVO gilt für alle Mitgliedsstaaten der EU. Sie ist die primäre Rechtsquelle, wenn es um den Datenschutz sowohl auf europäischer als auch auf nationaler Ebene geht.
Der **räumliche Wirkungsbereich** der DSGVO gilt für alle Unternehmen, die entweder in der EU ansässig sind oder sich gewerblich in der EU betätigen. Mithin gilt die DSGVO auch für Unternehmen aus einem Nicht-EU-Land, die innerhalb der EU eine Filiale oder Geschäftsstelle eröffnen.
## Wer ist im Sinne der DSGVO verantwortlich?
Gem. Art. 4 Nr. 7 DSGVO ist Verantwortlicher “die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittle der Verarbeitung von personenbezogenen Daten entscheidet.” Entscheidungsgewalt trägt somit nicht die innere Organisationsstruktur des verarbeitenden Unternehmens, sondern die jeweils verarbeitende Einheit. Unter “gemeinsamer Verantwortlichkeit” versteht die DSGVO, wenn nicht nur eine Stelle sondern mehrere Stellen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Der Einfluss der Verantwortlichen darf hierbei unterschiedlich groß sein. Die Beteiligten müssen lediglich eine Vereinbarung treffen, in der Sie die Zuständigkeiten für die Erfüllung datenschutzrechtlicher Pflichten untereinander aufteilen.
## Welche Grundsätze des Datenschutzes sind einzuhalten?
Die folgenden Grundsätze gelten für Sie als DSGVO-Verantwortliche'\*r stets einzuhalten:
**Erforderlichkeitsgebot:** Informationen über eine Person sind nur dann zu sammeln oder festzuhalten, wenn sie für die Arbeit benötigt werden, nicht auf Vorrat.
**Zweckbindungsgebot:** Informationen dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden.
**Transparenzgebot:** Gegenüber den Betroffenen – deren Daten erhoben werden – ist mit den gesammelten, festgehaltenen und gespeicherten Informationen und dem daraus folgenden Umgang offen umzugehen. Gegenüber Dritten sind sie unter Verschluss zu halten.
**Verschwiegenheitsgebot:** Jede personenbezogene Information, die jemandem in ihrer/seiner beruflichen Funktion bekannt geworden ist, unterliegt der Verschwiegenheitspflicht. Die Verschwiegenheitspflicht erlischt nicht mit dem Ausscheiden aus dem Arbeitsverhältnis. Datenrichtigkeit und
**Speicherbegrenzung:** Personenbezogene Daten, die unvollständig oder nicht richtig sind, müssen unverzüglich gelöscht oder berichtigt werden.
Die gesetzlichen Löschfristen sind einzuhalten.
## Risikobeurteilung
Um herauszufinden, in welchen betrieblichen Prozessen im Hinblick auf die Verarbeitung personenbezogener Daten Änderungsbedarf besteht, empfiehlt es sich vorerst eine Bestandsaufnahme der Prozesse durchzuführen, in denen personenbezogene Daten erfasst werden. Diese dient für Sie als wichtigste Orientierung zur Risikoerkennung und Prävention von potentiellen Datenschutzvorfällen. Eine beispielhaftes Verarbeitungsverzeichnis nach der DSGVO mit Risikoanalyse können Sie sich [hier](file-guid:124bcd59-e3c0-42aa-8763-254074abb090) herunterladen und es im Anschluss Ihrem Unternehmensbild entsprechend anpassen.
## Dokumentation
Als Verantwortliche\*r, der/die personenbezogene Daten verarbeitet, sind Sie gemäß der DSGVO dazu verpflichtet, die Verarbeitung in einem sogenannten **“Verfahrensverzeichnis**” zu dokumentieren. Dabei muss genau dokumentiert werden, welche Kategorien von Daten auf welcher Gesetzesgrundlage Sie speichern, wie lange bestimmte Daten gespeichert werden, an wen diese personenbezogenen Daten weitergegeben werden, wie sie geschützt werden etc.. Nach Verlangen der Betroffenen muss das Verzeichnis ausgehändigt werden. Eine entsprechende Vorlage können Sie sich unter diesem [Link](file-guid:cd316e33-6fbb-47da-ac4f-4d05cd2c6ac0) herunterladen.
## Datenschutzvorfälle
Nach **Artikel 33 DSGVO** muss ein Datenschutzverstoß, bei dem personenbezogene Daten betroffen sind, unverzüglich, möglichst binnen 72 Stunden ab Kenntnis, von dem Verantwortlichen an die zuständige Aufsichtsbehörde gemeldet werden. Das entsprechende Formblatt zur Meldung von Datenschutzvorfällen an die zuständige Behörde können Sie sich [hier](file-guid:6b68ff50-3e10-4691-96aa-2d7acee29fe0) herunterladen.
## Datenvernichtung
Alle personenbezogenen Daten, die in Ihrem Unternehmen verarbeitet werden, müssen nach Ablauf der Aufbewahrungsfristen datenschutzkonform vernichtet werden. Dabei reicht es leider nicht, die Papierunterlagen in dem entsprechenden Container zu entsorgen. Wie personenbezogene Daten DSGVO-konform zu vernichten sind können Sie in dieser [Richtlinie zur Vernichtung personenbezogener Daten](file-guid:64c61d47-d177-47e1-95f2-3f90a6a2c6b1) nachlesen.
## Weiterführende Links und Hinweise zum Datenschutz
Hilfreiche Anregungen zur Umsetzung der datenschutzrechtlichen Anforderungen im betrieblichen Kontext gibt Ihnen unsere [Checkliste](file-guid:69aeb8cb-66fd-4f26-9a0e-4b18fb137c36).
Bitte beachten Sie, dass die hier aufgelisteten Hinweise eine Orientierungshilfe bieten sollen und keinen Anspruch auf Vollständigkeit erheben. Weiterführende Informationen zum Thema finden Sie auf den Seiten der öffentlichen Träger:
**Verbraucherzentrale:**
[DSGVO Nutzerrechte und weitere Downloads ](https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/ihre-daten-ihre-rechte-die-datenschutzgrundverordnung-dsgvo-25152 "DSGVO Nutzerrechte und weitere Downloads")
[Glossar](https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutzrecht-wichtige-begriffe-zum-datenschutz-erklaert-55444 "Glossar")
**Bundesminesterium des Innern, für Bau und Heimat:**
[FAQ zum Thema DSGVO ](https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html "FAQ zum Thema DSGVO")
·
