Was die DSGVO für Sie persönlich bedeutet
Die DSGVO (in der Schweiz: nDSG, das revidierte Datenschutzgesetz - inhaltlich sehr ähnlich) klingt nach Juristen-Thema. In Wahrheit betrifft sie jeden Schreibtisch: jede Adressliste, jede Kunden-E-Mail, jede Auswertung mit Namen ist eine Verarbeitung personenbezogener Daten im Sinne des Gesetzes. Die DSGVO verlangt nicht Perfektion - aber Bewusstsein, Datenminimierung und Reaktionsfähigkeit.
Personenbezogene Daten breit denken
Name, E-Mail, IP-Adresse, Foto, Standort, Gehalt, Krankheitsdaten - alles davon. Auch in Excel, in Slack, in Notizen.
Datenminimierung als Reflex
Brauchen Sie wirklich Name + Adresse + Geburtsdatum? Oder reicht eine anonyme ID? Weniger Daten = weniger Risiko.
Vorfälle in 72 Stunden
Datenleck oder Verlust eines Gerätes mit Personendaten = sofort dem Datenschutz melden. Die DSGVO setzt eine 72-Stunden-Meldefrist.
Was sind „personenbezogene Daten" wirklich?
Alles, was eine Person identifiziert oder identifizierbar macht. Nicht nur Klar-Daten:
- Direkt: Name, E-Mail, Telefon, Adresse, Geburtsdatum, Foto
- Indirekt: IP-Adresse, Geräte-ID, Kundennummer, Online-Verhalten
- Besonders sensibel: Gesundheit, Religion, politische Meinung, Gewerkschaftszugehörigkeit, biometrische Daten - hier gelten strengere Regeln.
Auch eine Excel-Liste mit Kundennamen ist „Verarbeitung". Auch eine Slack-Nachricht „Frau Müller hat angerufen wegen X". Auch ein Foto auf der Firmen-Website.
Die sechs Grundsätze (kurz)
- Rechtmäßigkeit: Es gibt einen Rechtsgrund (Vertrag, Einwilligung, gesetzliche Pflicht).
- Zweckbindung: Daten nur für den Zweck nutzen, für den sie erhoben wurden. Marketing-Daten nicht plötzlich für Bonitäts-Prüfung.
- Datenminimierung: Nur erheben, was wirklich gebraucht wird.
- Richtigkeit: Daten aktuell halten, falsche korrigieren.
- Speicherbegrenzung: Nicht ewig aufheben. Löschfristen definieren.
- Integrität & Vertraulichkeit: Schutz vor Verlust und unbefugtem Zugriff.
Die fünf Reflexe für den Alltag
1. Bevor Sie Personendaten verschicken
- Brauche ich wirklich alle Felder?
- Ist der Empfänger berechtigt?
- Ist der Kanal sicher (verschlüsselte Mail, Firmen-Cloud - nicht WeTransfer)?
2. Beim Anlegen neuer Listen / Trackings
- Datenschutz vorher einbeziehen, nicht nachher.
- Zweck schriftlich festhalten („wofür sammeln wir das?").
- Löschfrist gleich definieren.
3. Bei einer Datenanfrage von außen „Bitte schicken Sie mir alle Daten zu meiner Person" - das ist das Auskunftsrecht. Nicht selbst beantworten. Sofort an den Datenschutzbeauftragten weiterleiten. Es gibt eine 1-Monats-Frist.
4. Bei einem Vorfall Laptop gestohlen, E-Mail mit Personendaten an falschen Empfänger, USB-Stick verloren - das sind potenzielle Verletzungen. Sofort melden: 72 Stunden sind sportlich knapp.
5. Beim Aufräumen Alte Kundendaten in Inbox, Excel-Listen von 2019, Schubladen voller Visitenkarten - regelmäßig durchgehen und löschen / vernichten, was nicht mehr gebraucht wird.
Eine Mitarbeiterin schickt eine Liste mit Mitarbeiter-Gehältern versehentlich an einen externen Empfänger statt einen internen. Dauer der Übertragung: 2 Sekunden. Was richtig getan wurde: Innerhalb von 15 Minuten Meldung an Datenschutz und IT. Empfänger telefonisch kontaktiert mit Bitte um Löschung und schriftlicher Bestätigung. Aufsicht informiert.
Was hätte den Vorfall verhindert: Kein Empfänger-Vorschlag im E-Mail-Programm, Verschlüsselung bei Personal-Daten, Vier-Augen-Prinzip beim Versand.
Was Sie nicht selbst entscheiden müssen
- Ob etwas eine meldepflichtige Verletzung ist.
- Ob eine Anfrage ein Auskunftsrecht ist.
- Ob ein neues Tool DSGVO-konform ist.
Für all das gibt es den Datenschutzbeauftragten (DSB) bzw. die IT-Sicherheit. Im Zweifel: fragen. Es ist immer der bessere Reflex als „wird schon nicht so schlimm sein".
Die einfache Regel
Daten von Personen sind kein Inventar - sie sind Vertrauen, das Sie verwalten. Je weniger Sie davon halten und je sicherer Sie es lagern, desto weniger kann schiefgehen.