Datenschutz & Datensicherheit

DSGVO-Basis v1.0 (2026-01-22)
Arnold Schmidt
Lernziele Ablauf Rechtsgrundlagen Rollen & Dienstleister Privacy by Design TOMs Datenpanne Betroffenenrechte Kurztest

Lernziele (nach 60 Minuten sollte das sitzen)

  • Personenbezogene Daten erkennen (auch indirekt: Kundennr., IP, Mitarbeiter-ID).
  • Grundprinzipien anwenden (Zweckbindung, Minimierung, Vertraulichkeit, Speicherbegrenzung).
  • Rechtsgrundlage verstehen: Verarbeitung braucht einen „Grund“ (Vertrag, Pflicht, Interesse, Einwilligung).
  • Alltagsregeln Datensicherheit (Passwörter/MFA, Phishing, Screen Lock, Exporte/Listen).
  • Datenpannen richtig handeln: sofort intern melden, nicht vertuschen (72h-Thema klärt zuständiges Team).
  • Betroffenenanfragen routen (Auskunft/Löschung) statt selbst „irgendwas“ zu antworten.

60-Minuten-Ablauf (Timeboxing)

  • 0–5 Einstieg: Warum betrifft es jeden?
  • 5–15 Basics + personenbezogene Daten + Grundsätze
  • 15–25 Rechtsgrundlagen + Rollen + Praxisbeispiele
  • 25–40 Datensicherheit/TOMs: 10 Alltagsregeln
  • 40–50 Datenpanne/Incident-Flow + Mini-Übung
  • 50–55 Betroffenenrechte + Routing im Betrieb
  • 55–60 Kurztest + Bestätigung/Nachweis
Realistisch: Eine Schulung allein macht nicht „automatisch DSGVO-konform“ – aber sie ist ein Pflicht-Baustein. Entscheidend ist: Inhalte + Teilnahme + Test/Bestätigung dokumentieren.

Worum geht’s?

Datenschutz schützt personenbezogene Daten (Daten, die eine Person direkt oder indirekt identifizieren). Datensicherheit schützt diese Daten vor Verlust, Diebstahl, Manipulation und unberechtigtem Zugriff.

Beispiele personenbezogener Daten
  • Name, Adresse, E-Mail, Telefon
  • Kundenkonto / Kundennummer (wenn zuordenbar)
  • Belege/Bon-Daten mit Personenbezug
  • Mitarbeiterdaten (z. B. Einsatzplan, Personal-Nr.)
Was heißt das im Alltag?
  • Nur erfassen/teilen, was wirklich nötig ist
  • Nur in freigegebenen Systemen speichern
  • Fehler passieren – wichtig ist sofortiges Melden

DSGVO-Grundsätze (Merkzettel)

Diese Punkte helfen dir, in 10 Sekunden zu entscheiden, ob etwas „sauber“ ist.

1) Zweckbindung
  • Daten nur für den klaren Zweck nutzen
  • Keine „Nebenbei“-Nutzung ohne Klärung
Beispiel Kundenliste nicht für private/andere Zwecke verwenden.
2) Datenminimierung
  • Nur Daten erfassen, die wirklich gebraucht werden
  • Keine „Sammelwut“ (z. B. unnötige Notizen)
Beispiel Für einen Rückruf reicht i. d. R. Telefonnummer – nicht Geburtsdatum.
3) Vertraulichkeit
  • Nur berechtigte Personen sehen die Daten
  • Kein Versand über private Mail/Messenger
Beispiel Screenshot mit Kundendaten nicht in private Chats.
4) Speicherbegrenzung
  • So kurz wie möglich speichern
  • Exporte/Listen nach Nutzung löschen
Beispiel Excel-Export für Inventur: nach Abschluss löschen.
5) Transparenz & Richtigkeit
  • Keine „heimliche“ Datennutzung
  • Falsche Daten korrigieren (wenn entdeckt)

Rechtsgrundlagen: „Warum dürfen wir das verarbeiten?“

Faustregel: Wenn man nicht erklären kann, warum man diese Daten braucht, ist das ein Warnsignal.

Häufige Gründe im Alltag
  • Vertrag/Anbahnung (Kauf, Lieferung, Support)
  • Rechtliche Pflicht (z. B. Aufbewahrung/Steuer)
  • Berechtigtes Interesse (mit Abwägung)
  • Einwilligung (freiwillig, widerrufbar, dokumentiert)
Wichtig zur Einwilligung
  • Nicht „Standard“ für alles
  • Muss widerrufbar sein
  • Nachweis/Dokumentation erforderlich
  • Keine Kopplung ohne Not (Freiwilligkeit)

Rollen & Dienstleister: Verantwortlicher vs. Auftragsverarbeiter

Verantwortlicher
Entscheidet über Zweck und Mittel der Verarbeitung.
  • legt Prozesse fest
  • definiert Zugriffe/Rollen
  • ist Ansprechpartner nach außen
Auftragsverarbeiter (Dienstleister)
Verarbeitet nur im Auftrag (z. B. Hosting/IT-Wartung/Cloud).
  • braucht i. d. R. AV-Vertrag
  • keine „Schnell mal Daten an Helfer“ ohne Freigabe
  • Zugriffe nur kontrolliert (Ticket/Freigabe)

Privacy by Design (Art. 25) – in Prozessen & IT

Standard: datensparsam, minimaler Zugriff, Rollen sauber trennen. Logging ja – aber ohne unnötige Klartext-Personendaten.

Im PK-WS-POS/Kassen-Umfeld
  • Rollen & Rechte: Kasse ≠ Admin ≠ Support (Least Privilege)
  • Supportzugriff: nur per Ticket/Freigabe, nachvollziehbar
  • Exporte/Reports: nur wenn nötig, Zugriff begrenzen, Löschdatum
  • Aufbewahrung/Löschung: definierte Fristen + Löschläufe
„Do not“ Klassiker
  • Kundendaten in private Messenger/Private Mail
  • Screenshots mit Klarnamen in Gruppen-Chats
  • Geteilte Logins („geht schneller“)
  • „Mal eben“ komplette Tabellen exportieren und liegen lassen

Datensicherheit: 10 goldene Regeln

Das sind die Dinge, die die meisten Vorfälle verhindern.

Zugriff & Geräte
  • Bildschirm sperren: Win + L
  • Keine gemeinsamen Accounts / keine Passwortweitergabe
  • Geräte nicht unbeaufsichtigt lassen
Passwörter & MFA
  • Einzigartige, lange Passwörter
  • MFA nutzen, wo verfügbar
  • Passwörter nicht in Klartext notieren
E-Mail & Phishing
  • Druck/Dringlichkeit ist ein Warnsignal
  • Absender/Domain prüfen
  • Im Zweifel: Rückfrage über bekannten Kanal
Regel Stop → Prüfen → Melden
Dateien, Exporte, Ausdrucke
  • Daten nur in freigegebenen Systemen speichern
  • Exporte/Listen: Zweck + Zugriff + Löschdatum
  • Drucke: nicht liegen lassen, korrekt vernichten
Merksatz: „Wenn ich es nicht auf einen Firmen-Laufwerksordner legen dürfte, darf ich es auch nicht in Messenger/privat schicken.“

Technische & organisatorische Maßnahmen (TOMs) – was „angemessen“ praktisch heißt

Zugriff & Nachvollziehbarkeit
  • Rechte regelmäßig prüfen (Rollen-Review)
  • Protokollierung: Admin-Aktionen / kritische Änderungen
  • Logs schützen: Zugriff begrenzen, keine unnötigen Klartextdaten
Verschlüsselung & Übertragung
  • Transport: HTTPS/TLS (auch intern, wo sinnvoll)
  • Datenträger/Backups verschlüsseln
  • Keine unverschlüsselten Exporte auf USB/Privatgeräte
Verfügbarkeit (Backups)
  • Backups sind nur gut, wenn Restore getestet wird
  • Zugriff auf Backups streng (sonst „Datenschatz“)
  • Backup-Aufbewahrung passend zur Datenklasse
Patch- & Schwachstellenmanagement
  • Security-Updates zeitnah (OS, Browser, Server, PHP-Libs)
  • Abkündigungen im Blick (PHP 7.4 ist EOL → Risiko dokumentieren)
  • Regelmäßige Überprüfung: „Wirksamkeit prüfen“
Merksatz: „Nicht perfekt – aber angemessen, wirksam und überprüfbar.“

Mini-Übungen (damit es hängen bleibt)

Antwort erst überlegen – dann aufklappen.

  • Ich schicke mir Kundendaten an meine private Mail, um zuhause weiterzuarbeiten.
    Antwort anzeigen
    ❌ Nein. Nur freigegebene Systeme/Prozesse nutzen.
  • Ich exportiere eine Liste für eine Aufgabe, lege sie im Team-Share mit Zugriffsbeschränkung ab und lösche sie nach Erledigung.
    Antwort anzeigen
    ✅ Ja – wenn wirklich nötig + Zugriff begrenzt + Löschdatum.
  • Ich nutze den Login vom Kollegen, geht schneller.
    Antwort anzeigen
    ❌ Nein. Keine geteilten Logins/Passwörter.
  • Ich sperre den Bildschirm, wenn ich kurz weg bin.
    Antwort anzeigen
    ✅ Ja. Win+L / Geräte sperren.
  • Ich klicke auf „Paketproblem“-Link und prüfe später.
    Antwort anzeigen
    ❌ Nein. Stop → Prüfen → Melden.

Szenario
Eine E-Mail mit Kundenliste ging an einen falschen Empfänger.
Fragen (als Gruppe)
  • Was ist der erste Schritt?
  • Welche Infos sammeln wir? (welche Daten, wie viele, wann, Empfänger, Ursache)
  • Welche Sofortmaßnahmen? (Rückruf/Löschung verlangen, IT informieren, Konto sichern)
Standard-Flow (Auflösung)
  1. Sofort melden (IT/Datenschutzkontakt).
  2. Eindämmen: Empfänger kontaktieren, Löschung verlangen, Zugang sperren/Passwortwechsel.
  3. Dokumentieren: Was/Wann/Wieviele/Welche Daten/Welches System.
  4. Nichts „bereinigen“, was Spuren zerstört (Logs).

Datenpanne / Sicherheitsvorfall: Was tun?

Eine Datenpanne ist z. B. ein Fehlversand, ein verlorenes Gerät, ein kompromittiertes Passwort oder ein unberechtigter Zugriff. Wichtig: sofort melden – nicht abwarten.

Sofortmaßnahmen
  • IT/Datenschutzkontakt informieren
  • Passwort ändern / Zugang sperren lassen
  • Empfänger kontaktieren (bei Fehlversand)
  • Keine „Bereinigung“ ohne Rücksprache (Logs!)
Welche Infos brauchen wir?
  • Was ist passiert? Wann? Wie entdeckt?
  • Welche Datenarten? Wieviele Betroffene?
  • Welche Systeme/Benutzer betroffen?
  • Welche Maßnahmen wurden schon ergriffen?
Warum so schnell? Je nach Risiko kann eine Meldung an Aufsichtsbehörden erforderlich sein. Das klärt das zuständige Team – du meldest nur den Vorfall.

Betroffenenrechte (Auskunft/Löschung)

Kunden/Mitarbeiter können Fragen stellen wie: „Welche Daten haben Sie über mich?“ oder „Bitte löschen Sie meine Daten.“

Wichtig im Alltag
  • Nie „aus dem Bauch“ antworten oder Daten einfach herausgeben
  • Anfrage an den internen Prozess/Ansprechpartner weiterleiten
  • Identität prüfen lassen (sonst Gefahr: Daten an falsche Person)

Hinweis zur Dokumentation

Für den Schulungsnachweis speichern wir nur die erforderlichen Angaben: Name, Schulungsnummer, Schulungsversion und Zeitstempel.

Schulung bestätigen
Durch Bestätigung erklärst du, dass du die Inhalte zur Kenntnis genommen hast.