Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten natürlicher Personen in der EU. Vereinfacht gesagt fällt unter die DSGVO jede Information, die sich auf eine identifizierte oder identifizierbare lebende Person bezieht, sobald diese Daten ganz oder teilweise automatisiert oder in einem Dateisystem verarbeitet werden. Entscheidend sind also drei Fragen: Welche Daten sind betroffen, welche Tätigkeiten gelten als Verarbeitung und wer unterliegt der Verordnung.
Welche Daten fallen unter die DSGVO?
Geschützt sind personenbezogene Daten, also alle Informationen, die eine Person direkt oder indirekt identifizierbar machen.
Beispiele für personenbezogene Daten
- Name, Anschrift, Telefonnummer und E-Mail-Adresse
- Standortdaten, IP-Adressen und Online-Kennungen (z. B. Cookies)
- Personalausweis-, Sozialversicherungs- oder Kundennummern
- Wirtschaftliche, kulturelle oder soziale Merkmale einer Person
Besondere Kategorien (besonders schützenswerte Daten)
Für bestimmte Daten gelten strengere Regeln nach Artikel 9 DSGVO:
- Rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen
- Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung
- Genetische und biometrische Daten zur eindeutigen Identifizierung
- Daten über Gewerkschaftszugehörigkeit
Was gilt als Verarbeitung?
Die DSGVO greift, sobald personenbezogene Daten verarbeitet werden. Der Begriff ist sehr weit gefasst und umfasst praktisch jeden Umgang mit Daten:
- Erheben, Erfassen und Speichern
- Ordnen, Verändern und Auslesen
- Verwenden, Offenlegen und Übermitteln
- Löschen oder Vernichten
Was fällt nicht unter die DSGVO?
- Anonyme Daten: Informationen, die keiner Person mehr zugeordnet werden können.
- Daten Verstorbener: Die DSGVO schützt nur lebende Personen (nationale Regelungen können abweichen).
- Rein private oder familiäre Tätigkeiten: etwa ein privates Adressbuch ohne beruflichen Bezug.
Für wen gilt die DSGVO?
Die Verordnung gilt für Verantwortliche und Auftragsverarbeiter. Räumlich gilt sie nicht nur für Unternehmen in der EU, sondern auch für Anbieter außerhalb der EU, sofern sie Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Marktortprinzip).
Wie Kertos beim Datenschutz unterstützt
Zu wissen, was unter die DSGVO fällt, ist der erste Schritt. Den Überblick über alle Datenarten, Verarbeitungen und Pflichten dauerhaft zu behalten, ist die eigentliche Herausforderung. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:
- Automatisierte Datenerkennung: personenbezogene Daten und Verarbeitungstätigkeiten werden identifiziert und klassifiziert.
- Verzeichnis von Verarbeitungstätigkeiten: das nach Artikel 30 DSGVO erforderliche Verzeichnis wird strukturiert geführt und aktuell gehalten.
- Betroffenenanfragen: Auskunfts- und Löschanfragen werden automatisiert bearbeitet.
- Externe DPO-Mandate: Kertos stellt auf Wunsch einen externen Datenschutzbeauftragten und übernimmt die fachliche Verantwortung.
Das spiegelt sich in der Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand, eine Kundenzufriedenheit von 98% und Kunden wie AskUI, die die ISO 27001-Zertifizierung in nur 8 bis 10 Wochen erreicht haben. So bleibt der Datenschutz nicht nur verständlich, sondern dauerhaft im Griff.
.svg)
