Also was genau macht die DSGVO den eigentlich anders?

Zunächst hat die DSGVO Anwendungsvorrang vor dem BDSG hat. Das bedeutet: die Regelungen des BDSG gelten nur dann, wenn die DSGVO nicht greift. Selbst einige individuelle Datenschutzvorschriften des Bundes gehen dem BDSG gegenüber vor. Darüber hinaus gilt sie EU weit und das es speziell für viele Anforderungen des Onlinehandels optimiert wurde. Genau an diesen Stellen steigt man dann schon mal ganz gerne aus, da einem sofort klar wird, das man das zwar verstehen könnte, dafür aber einen erhöhten Zeitaufwand haben wird, wenn man sich in die Tiefen der beiden Verordnungen + übergeordnete Gesetze einzulesen möchte. Man denkt sich: „Ärgerlich, wieder muss ich einen zusätzlichen externen Mitarbeiter beschäftigen oder einstellen, der einem bei dieser Aufgabe unterstützt „. Mal abgesehen davon, dass jedes Unternehmen ja einen Datenschutzbeauftragten haben muss. Allerdings erst ab 20 Mitarbeiter.

Aber was ist mit mir? Was mach ich jetzt, der – wie die Tausend andere Unternehmen in Deutschland- weniger als 20 Mitarbeiter hat und daher keinen eigenen Datenschutzbeauftragten?

Na klar, auch nichts Neues – ich selbst bin`s mal wieder, der das machen muss und die Verantwortung tragen wird. Gut, dann probiere ich das erst mal alleine aus (um Kosten zu sparen) und möchte sehen wie weit ich komme, bevor ich extra jemanden engagiere.

Gedacht, getan. Online Recherche. Erst einmal habe ich versucht zu verstehen, was eigentlich personenbezogene Daten genau sind, die da in meinem Unternehmen geschützt werden sollen. Habe ich die? Verarbeite ich die?

Schließlich sagt uns jeder Sales Consultant: „Für den Verkauf ist es gut, ein möglichst umfassendes Bild vom Kunden zu haben. Je mehr Daten…je besser!“

Also welche Daten genau sind schützenswerte oder besonders schützenswerte personenbezogene Daten? Welche Daten der Kunden müssen nun wie geschützt werden? In der Tat gibt die Datenschutz-Grundverordnung (DSGVO) allen Unternehmen, Institutionen und Freiberuflern hierfür den wesentlichen Rahmen und Vorgaben.
Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; ( Artikel 4 Abs. 1 DSGVO)

Mhmmmm, okay, aber das ist sehr allgemein ausgedrückt….Alles kann, nichts muss oder? Da können nur konkrete Beispiele helfen, die ich dann auch gesucht habe. Hier ein paar meiner Fundstücke aus dem alltäglichen Berufsleben eines Leben eines Online Shop Besitzers:

Personenbezogenen Daten sind u.a.:

(Fortsetzung folgt)