KOSTENLOSE DATENSCHUTZ MASTERCLASS
Modul 1: Bearbeitungsverzeichnis & Bearbeitungsgrundsätze
- Lerne alle wichtigen Begriffe zum Thema Datenschutz kennen
- Erfahre, wie du dir mit einem Bearbeitungsverzeichnis die optimale Datenschutz-Basis für dein Unternehmen legst
- Schau dir an, welche Bearbeitungsgrundsätze eingehalten werden müssen und welche Rechtfertigungsgründe für Datenbearbeitungen vorliegen können
In Modul 1 erwarten dich folgende Themen:
Datenschutz Masterclass - herzlich Willkommen!
In den nächsten 4 Wochen lernst du alles zum Thema Datenschutz, was du wissen musst.
Damit dir der Start gelingt und du optimal von der Masterclass profitieren kannst, bitten wir dich, dir zuerst alle wichtigen Informationen rund um die Masterclass durchzulesen.
Wichtige Informationen zur Masterclass
Du erhältst ab sofort alle 7 Tage eine E-Mail mit dem Zugang zum jeweiligen Modul.
Im Modul enthalten sind alle wichtigen Informationen zum Thema, Vorlagen und FAQ’s.
Überprüfe bitte jeweils deinen Spam-Ordner, wenn du keine E-Mail in deinem Postfach finden kannst.
Du hast nun Zeit, dir die Inhalte des Moduls selbständig anzuschauen. Am Ende des Moduls findest du die To-Do’s, die du im Anschluss gleich umsetzen kannst.
Nach 4 Wochen hast du Zugang zu allen 4 Modulen erhalten – die Masterclass ist somit zu Ende.
Die einzelnen Module der Masterclass enthalten teilweise viele, ausführliche Informationen. Das Ziel ist nicht, dass du dir alles auf einmal anschaust und lernst.
→ Verschaffe dir stattdessen jeweils einen Überblick zum Thema.
→ Setze diejenigen Dinge um, die für dein Unternehmen Sinn machen.
→ Behalte den Rest im Hinterkopf, damit du weisst, wo du nachschauen kannst, wenn es darauf ankommt.
Solange du willst! 🤩
Du hast jederzeit freien und kostenlosen Zugriff auf die verschiedenen Module und Inhalte der Datenschutz Masterclass. Du kannst also auch nach den einzelnen Modulen auf die Inhalte zugreifen, solange die Masterclass von PrivacyBee angeboten wird.
Ja, die Datenschutz Masterclass ist komplett kostenlos.
Aber: Wir sind gerade erst mit der Masterclass gestartet. Damit wir sie weiter verbessern können, sind wir auf dein Feedback angewiesen.
➡️ Bitte bewerte also unbedingt jeweils am Ende das Modul (du findest dafür jeweils ganz unten einen Button Jetzt Modul bewerten) und teile uns deine Verbesserungsvorschläge mit – vielen Dank! 🙏🏼
Datenschutz - los geht's!
Bevor mit der Umsetzung von Datenschutzvorschriften begonnen werden kann, solltest du die Grundlagen und die wichtigsten Begriffe im Zusammenhang mit dem Datenschutz verstehen.
Wieso ist Datenschutz so wichtig?
Wieso ist Datenschutz so wichtig?
Deutlich an Relevanz gewonnen hat der Datenschutz mit in Kraft treten des neuen Datenschutzgesetzes am 1. September 2023. Seither gelten strengere Datenschutzvorschiften, die teils mit hohen Bussen durchgesetzt werden können.
Ein wirksamer Datenschutz ist aber nicht nur aus der Perspektive der Compliance relevant. Für Unternehmen schafft ein vertrauenswürdiger Datenschutz auch Vertrauen zu Kund:innen und Partnern.
Wichtigste Grundlage für die Umsetzung des Datenschutzes ist die Festlegung von Verantwortlichkeiten. Im Unternehmen muss ganz klar sein, wer für den Datenschutz verantwortlich ist und über ausreichende Kenntnisse dazu verfügt. Danach kann mit der Umsetzung begonnen werden.
Diese Begriffe musst du kennen:
Um den Datenschutz wirksam umsetzen zu können, ist es wichtig, einige Grundbegriffe zu verstehen.
Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes (Quelle: Wikipedia).
Einfach gesagt: Compliance ist ein Überbegriff für Rechtstreue bzw. Regelkonformität.
nDSG = neues Datenschutzgesetz 🇨🇭
Das neue Datenschutzgesetz verpflichtet Unternehmen dazu, alle notwendigen organisatorischen und technischen Massnahmen zu ergreifen, damit Datensicherheit sichergestellt und Datenmissbrauch möglichst vermieden wird.
DSGVO = Datenschutz-Grundverordnung 🇪🇺
Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten in der EU vereinheitlicht werden.
EDÖB = Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 🇨🇭
Der EDÖB beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften. Zudem ist der EDÖB als Öffentlichkeitsbeauftragter die Schlichtungsstelle für den Zugang zu amtlichen Dokumenten.
Daten sind jede erdenkliche Art von Informationen. Sobald aus diesen Daten ein bestimmter Mensch identifiziert werden kann, handelt es sich um Personendaten. Zu den Personendaten zählen somit alle Informationen, die einen Rückschluss auf einen bestimmten Menschen zulassen.
💡 Typische Beispiele für Personendaten sind der vollständige Name, die Privatadresse, die IP-Adresse oder Standortdaten.
Der Begriff «Personendaten» ist in seiner Bedeutung deckungsgleich mit dem ebenfalls regelmässig verwendeten Begriff «personenbezogene Daten».
Der Begriff der Datenbearbeitung ist ausserordentlich breit gefasst. Tatsächlich umfasst das Bearbeiten von Personendaten jede Tätigkeit im Zusammenhang mit Personendaten.
Dazu zählen insbesondere das Erheben, Speichern, Lesen, Übermitteln oder Löschen von Personendaten. Ob die Bearbeitung analog oder digital erfolgt ist unerheblich.
Der Begriff «Bearbeiten» ist in seiner Bedeutung deckungsgleich mit dem ebenfalls regelmässig verwendeten Begriff «Verarbeiten».
Verantwortliche Person ist, wer die Kontrolle über eine Datenbearbeitung ausübt. Also Namentlich die Person, die die Daten vordergründig bearbeitet.
Die verantwortliche Person ist dafür verantwortlich, dass die Datenschutzvorschriften eingehalten werden.
💡 In einem KMU ist z. B. häufig der/die Geschäftsführer:in die verantwortliche Person.
Datenschutz ist die Regulierung des Bearbeitens von Personendaten, um die Privatsphäre der betroffenen Personen zu schützen.
Datensicherheit hingegen befasst sich mit den technischen und organisatorischen Maßnahmen, die eingesetzt werden müssen, um alle Daten (nicht nur Personendaten) vor unbefugtem Zugriff, Verlust oder Beschädigung zu schützen.
Verschaffe dir einen Überblick
Eine wirksame Umsetzung der Datenschutzvorschriften ist erst möglich, wenn ganz klar ist, welche Datenbearbeitungen im Unternehmen durchgeführt werden.
Dazu empfiehlt es sich ein Bearbeitungsverzeichnis zu erstellen. Dieses ist zwar nicht in jedem Fall gesetzlich vorgeschrieben, allerdings ist es praktisch in jedem Fall sinnvoll ein Bearbeitungsverzeichnis zu erstellen.
Wie erstellt man ein Bearbeitungsverzeichnis?
Ziel des Bearbeitungsverzeichnisses ist Übersicht. Übersicht über alle Datenbearbeitungen, die im Unternehmen vorgenommen werden. So können alle Datenbearbeitungen nachvollzogen werden.
Folgende Angaben sollten im Bearbeitungsverzeichnis festgehalten werden:
Aus diesen Angaben lässt sich erkennen, dass das Bearbeitungsverzeichnis mehr eine generelle Beschreibung der Datenbearbeitungen, als ein detailliertes Protokoll über jede einzelne Datenbearbeitung ist. Da die Erstellung eines Bearbeitungsverzeichnisses nicht ganz unkompliziert ist, haben wir dir hier eine Vorlage erstellt:
FAQ zum Bearbeitungsverzeichnis
Wie bereits erwähnt, ist die Erstellung eines Bearbeitungsverzeichnisses nicht immer Pflicht. Namentlich müssen Unternehmen, die weniger als 250 Mitarbeitende haben und deren Datenbearbeitungen kein hohes Risiko für die Rechte der betroffenen Personen mit sich bringen, kein Bearbeitungsverzeichnis erstellen.
Sofern du gesetzlich dazu verpflichtet bist, ein Bearbeitungsverzeichnis zu erstellen, drohen bei Nichteinhaltung keine unmittelbaren Bussen. Allerdings kann der EDÖB dich unter Bussenandrohung auffordern, ein Bearbeitungsverzeichnis zu erstellen.
Auch wenn du nicht gesetzlich dazu verpflichtet bist, ein Bearbeitungsverzeichnis zu erstellen, hat die Nichterstellung eines Bearbeitungsverzeichnisses negative Folgen. Beispielsweise ist eine wirksame Umsetzung der Datenschutzvorschriften ohne Übersicht über die Datenbearbeitungen kaum möglich.
Wann sind Datenbearbeitungen zulässig?
Jede Datenbearbeitung ist nur zulässig, wenn sie rechtmässig ist. Werden unzulässige Datenbearbeitungen vorgenommen, drohen negative Folgen.
Datenbearbeitungen sind grundsätzlich zulässig, solange die Bearbeitungsgrundsätze eingehalten werden.
Folgende 4 Bearbeitungsgrundsätze sind zu beachten:
Datenbearbeitung sind verhältnismässig, wenn sie sich auf das Nötigste beschränken. Es sollten nur so viel und so lang Daten bearbeitet werden, wie für die Erreichung des Ziels der Datenbearbeitung zwingend erforderlich.
Wer Personendaten bearbeitet, muss sich vergewissern, dass die von ihm bearbeiteten Personendaten korrekt sind und muss diese ggf. korrigieren oder löschen.
Der Zweck der bearbeiteten Personendaten darf nicht verändert werden. Grundsätzlich dürfen Personendaten ausschliesslich zu dem Zweck bearbeitet werden, zu dem sie erhoben wurden.
Der Zweck einer Datenbearbeitung und die damit verbundene Erhebung von Personendaten muss für die betroffenen Personen erkennbar sein.
💡 Um die 4 Bearbeitungsgrundsätze zu veranschaulichen, stelle dir folgendes Beispiel vor:
Lorenzo ist Geschäftsführer des Pizzalieferdienstes «Margherita AG». Die Margherita AG liefert Pizzen aller Art in den Grossraum Bern. Lorenzo verwendet Kundendaten, um die Pizzas auszuliefern. Zudem verwendet er diese fürs Marketing. Er fragt sich, worauf er achten muss, damit diese Datenbearbeitungen zulässig sind.
Verhältnismässigkeit:
Lorenzo darf nur die Daten erheben, die für die Auslieferung der Pizza erforderlich sind. Namentlich der Name, die Adresse und ggf. die Telefonnummer. Würde Lorenzo noch weitere Daten erheben, wäre dies ein Verstoss gegen den Bearbeitungsgrundsatz der Verhältnismässigkeit.
Datenrichtigkeit:
Lorenzo hat darauf zu achten, dass die von ihm erhobenen Daten korrekt sind.
Zweckgebundenheit:
Lorenzo darf die erhobenen Daten nur für die Auslieferung der Pizza verwenden. Eine Verwendung der Daten fürs Marketing (ohne explizites Einverständnis) würde gegen den Bearbeitungsgrundsatz der Zweckgebundenheit verstossen.
Erkennbarkeit:
Die Bearbeitung der Daten muss für Lorenzos Kund:innen erkennbar sein. Das ist vorliegend unproblematisch, weil es für die Kund:innen offensichtlich ist, dass ihre Personendaten bearbeitet werden, wenn sie eine Pizza bestellen.
Es ist somit festzuhalten, dass die Bearbeitung der Kundendaten durch Lorenzo zum Zweck der Auslieferung der Pizza zulässig ist. Allerdings verstösst die Verwendung dieser Daten fürs Marketing gegen den Bearbeitungsgrundsatz der Verhältnismässigkeit. Daher darf Lorenzo die Daten nur fürs Marketing verwenden, sofern ein Rechtfertigungsgrund gegeben ist (→ Siehe Rechtfertigungsgründe weiter unten). Vorliegend empfiehlt es sich, dass Lorenzo eine Einwilligung der Kund:innen für das Marketing einholt.
Rechtfertigungsgründe
Wenn die Bearbeitungsgrundsätze nicht eingehalten sind, kann es vorkommen, dass die Datenbearbeitung trotzdem zulässig ist – nämlich wenn ein sog. Rechtfertigungsgrund vorliegt. Eine Datenbearbeitung ist also nur dann unzulässig, wenn kein gültiger Rechtfertigungsgrund vorliegt. Rechtfertigungsgründe können sein:
Einwilligung:
Erklärung der betroffenen Person mit der Datenbearbeitung einverstanden zu sein.
Gesetzliches Erfordernis:
Eine gesetzliche Regelung erfordert eine Datenbearbeitung.
Überwiegendes privates oder öffentliches Interesse:
Die Interessen des Bearbeiters überwiegen den Interessen der betroffenen Person.
💡 Liegt kein Rechtfertigungsgrund vor, so ist die vorgenommene Datenbearbeitung unzulässig und muss eingestellt werden.
Deine To Dos:
Du kennst nun alle wichtigen Begriffe – Zeit, dass du dir deine Datenschutz-Basis legst: Erstelle ein Bearbeitungsverzeichnis und überprüfe jede Bearbeitung auf ihre Zulässigkeit. Nimm ggf. Anpassungen vor oder stell die unzulässigen Datenbearbeitung ein. Im nächsten Modul geht es um die «Informationspflicht» – stay tuned! 🐝
Offene Fragen oder Verbesserungsvorschläge? Bitte lass uns kurz wissen, wie dir dieses Modul gefallen hat:
Haftungsausschluss:
Die PrivacyBee AG ist bemüht, die Inhalte diese Masterclass richtig, aktuell und vollständig zu halten. Dennoch übernimmt die PrivacyBee AG keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität des bereitgestellten Inhalts dieser Masterclass. Diese Masterclass ersetzt eine individuelle Rechtsberatung nicht und ermöglicht keine hundertprozentige Compliance mit geltendem Recht. Mit Teilnahme an dieser Masterclass erklären Sie sich mit diesem Haftungsausschluss einverstanden.