Rechtliche Anforderungen an die DSGVO und GoBD erfüllen – was gehört dazu?

Die GoBD und die DSGVO stellen an Unternehmen seit einer gewissen Weile ziemlich hohe Anforderungen. Diese Anforderungen dienen einerseits dazu, personenbezogene Daten vor unberechtigten Zugriffen optimal zu schützen, andererseits dienen sie dem Schutz der Daten. Auf den Punkt gebracht, sollen die elektronische Datenverarbeitung weiter in den Vordergrund rücken, gleichzeitig aber auch Verarbeitungsprozesse transparent gemacht werden. Die elektronische Datenverarbeitung muss gegen unberechtigte Zugriffe stets nach dem aktuellen Stand der Technik geschützt werden.

Welche Daten sind konkret bei der Anwendung der DSGVO betroffen?

Typische personenbezogene Daten sind:Keine personenbezogenen Daten und somit kein Bestandteil des Datenschutzes sind:
AnschriftTechnologiedaten
Geburtsdatumbetriebswirtschaftliche Daten
Alterstrategische Daten
Nationalitätanonymisierten Daten
Bankverbindung
Daten über Angehörige
Einkommen oder Vermögen
Besteuerung einer Person
Werturteile, wenn man sich hierdurch ein Bild von einer Person machen kann (z.B. guter Mitarbeiter, schlechter Kunde)
Gesundheitsdaten oder biometrische Daten einer Person
Bild oder Video einer Person

Daten über juristische Personen (Firmendaten) sind somit grundsätzlich nicht vom Datenschutzrecht erfasst. Eine Ausnahme stellen sehr kleine Firmen dar, die aus einer oder wenigen Personen bestehen.

Wann und wie lange dürfen personenbezogene Daten gespeichert werden?

Personenbezogene Daten dürfen nur für einen bestimmten, von vornherein festgelegten und rechtmäßigen Zweck erhoben werden (z.B. Durchführung eines Gewinnspiels oder eines Bewerbungsprozesses). Diese Daten dürfen grundsätzlich nur für diesen Zweck genutzt werden (Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO). Eine Datenverarbeitung zu anderen Zwecken ist nur ausnahmsweise unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO möglich.

Welche Rechte stehen der betroffenen Person zu?

  • Recht auf Information & Auskunft (Art. 13, 14 DSGVO & Art. 15 DSGVO)
    • Welche personenbezogenen Daten werden im Unternehmen verarbeitet?
    • Für welche Zwecke werden die personenbezogenen Daten verarbeitet und auf welcher Rechtsgrundlage?
    • An welche Verantwortliche wurden personenbezogene Daten übermittelt? Auch in Staaten außerhalb der EU?
    • Wie lange werden die personenbezogenen Daten gespeichert?
  • Recht auf Berichtigung (Art. 16 DSGVO)
    • Inkorrekt gespeicherte personenbezogene Daten müssen korrigierbar sein.
  • Recht auf Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Daten müssen komplett aus dem System gelöscht werden, wenn:
      • Die personenbezogenen Daten für die Zwecke, für welche sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind und es keine gesetzliche Aufbewahrungsfrist besteht.
      • Die betroffene Person ihre Einwilligung zur Datenverarbeitung widerruft und keine andere Rechtsgrundlage für die Datenverarbeitung besteht.
      • Die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    • Betroffene können unter bestimmten Voraussetzungen verlangen, dass dem Unternehmen bereitgestellte personenbezogene Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung gestellt oder diese Daten einem anderen Verantwortlichen/Unternehmen übermittelt werden.
  • Grundsatz der Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. f. DSGVO
    • Gewährleistung einer angemessenen Datensicherheit, insbesondere Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
  • Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO
    • Die Beachtung von Lösch- bzw. Aufbewahrungsfristen
  • Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO
    • Die Sicherstellung, dass nur Informationen abgelegt werden, die für den Verwendungszweck notwendig sind.

Welche Informationen sollten daher in einem Unternehmen bezüglich verarbeiteter personenbezogener Daten hinterlegt sein?

  • Welche personenbezogenen Daten werden im Unternehmen verarbeitet und gespeichert?
    • Beispiel: Name, Adresse oder Bankverbindung.
  • Zu welchem Zweck wurden diese Daten erhoben und werden diese verarbeitet?
    • Bsp.: Vertragserfüllung, Vertragsanbahnung, Werbung, Meinungsumfrage, Qualitätsmanagement, Buchhaltung.
  • Woher stammen die Daten/wie ist das Unternehmen an die Daten gekommen?
    • Bsp.: Vom Betroffenen, Daten wurden zugekauft.
  • Wer hat Zugriff auf die Daten?
    • Bsp.: Personalabteilung, Geschäftsleitung.
  • An welche Empfänger oder Kategorien von Empfängern werden/wurden personenbezogene Daten übermittelt? Handelt es sich hierbei um Stellen im EU-Ausland?