Zehnder Governance — Datenschutz Kernschulung

MODUL M01 · ~10 Minuten

Was sind Personendaten?

Definition, Beispiele, Abgrenzung — Grundlage für alles weitere

👥 Alle Mitarbeitenden🌍 Alle Länder⚖️ Art. 4 DSGVO / Art. 5 nDSG / UK GDPR

1. Die Definition

Personendaten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Eine Person ist identifizierbar wenn man sie direkt oder indirekt identifizieren kann — durch Name, Nummer, Standortdaten, Online-Kennung oder andere Merkmale.

Einfache Regel: Kann ich aus dieser Information herausfinden oder ableiten, um wen es sich handelt? Falls ja — es sind Personendaten.

2. Beispiele: Personendaten vs. keine Personendaten

✅ Personendaten	❌ Keine Personendaten (wenn korrekt)
Name, Vorname	Vollständig anonymisierte Statistiken (z.B. "300 Kunden kauften X")
E-Mail-Adresse (auch geschäftlich)	Aggregierte Daten ohne Rückschluss auf Personen
IP-Adresse (in den meisten Fällen)	Unternehmensdaten (z.B. Firmenname ohne Ansprechpartner)
Standortdaten	Daten von Verstorbenen (je nach Jurisdiction)
Kundennummer (wenn zuordenbar)	Vollständig pseudonymisierte Daten — wenn Schlüssel getrennt
Foto, Stimme, Handschrift
Kfz-Kennzeichen
Cookie-ID / Device-ID

3. Besondere Kategorien (erhöhter Schutz)

Diese Datenkategorien sind besonders schützenswert und dürfen grundsätzlich nicht verarbeitet werden — ausser es gibt eine explizite Ausnahme:

Gesundheitsdaten (auch Krankmeldungen, Behinderung)
Genetische und biometrische Daten (Fingerabdruck, Gesichtserkennung)
Rassische und ethnische Herkunft
Politische Meinungen, religiöse/weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
Sexualleben und sexuelle Orientierung
Strafrechtliche Verurteilungen und Straftaten

Wichtig: Schon das Wissen "Person X ist krank" ist ein Gesundheitsdatum — auch wenn Sie den Diagnosedetails nicht kennen.

4. Personendaten am Arbeitsplatz — typische Fälle

Situation	Personendaten betroffen?
E-Mail von Max Muster an Sie	✅ Ja — Absender, Inhalt, Metadaten
Teilnehmerliste Meeting mit Namen	✅ Ja
Excel mit Umsätzen nach Vertriebsmitarbeiter	✅ Ja
Bewerbungsunterlagen	✅ Ja — besonders sensibel
Foto vom Teamanlass	✅ Ja — wenn Personen erkennbar
Anonymer Feedback-Bericht (wirklich anonym)	❌ Nein

5. Praktischer Fall

🔍 Praxisfall

Ihr Kollege sagt: "Ich gebe dem IT-Dienstleister nur die Kundennummern — keine Namen — das sind doch keine Personendaten mehr." Stimmt das?

Nein. Kundennummern sind Personendaten, wenn der Dienstleister (oder Ihr Unternehmen) die Zuordnung zu einer Person herstellen kann — z.B. durch die eigene Datenbank. Erst wenn der Dienstleister keinen Zugang zum Zuordnungsschlüssel hat, könnten es anonymisierte Daten sein. Das muss technisch sichergestellt und dokumentiert sein.

📋 Wissenscheck M01

1. Eine E-Mail-Adresse wie [email protected] — ist das ein Personendatum?

Nein, Firmen-E-Mails sind keine Personendaten Ja, wenn sie auf eine bestimmte Person schliessen lässt (z.B. [email protected]) Nur wenn der Name explizit enthalten ist

2. Welche Datenkategorie ist eine «besondere Kategorie» mit erhöhtem Schutz?

Adressdaten Gesundheitsdaten Kaufhistorie

3. Wann sind Daten «anonym» im Rechtssinn?

Wenn der Name entfernt wurde Wenn niemand mehr — auch nicht mit Zusatzwissen — die Person identifizieren kann Wenn eine Kundennummer statt dem Namen verwendet wird

MODUL M02 · ~12 Minuten

Wann gilt Datenschutzrecht?

DSGVO, nDSG, UK GDPR, CCPA, PIPL — wer ist betroffen, wann gilt was

👥 Alle🌍 Alle Länder

1. Räumlicher Anwendungsbereich — wer muss was einhalten?

Gesetz	Gilt wenn...	Sanktion (max.)
EU DSGVO	Unternehmen in EU/EWR tätig ODER verarbeitet Daten von EU-Ansässigen (Marktortprinzip Art. 3)	€20 Mio / 4% globaler Umsatz
CH nDSG	Unternehmen in CH tätig ODER Auswirkungen auf CH-Ansässige (Auswirkungsprinzip)	CHF 250'000 (Personalstrafe!)
UK GDPR	Unternehmen in UK tätig ODER verarbeitet Daten von UK-Ansässigen	£17.5 Mio / 4% globaler Umsatz
CCPA/CPRA	Bestimmte Schwellenwerte + Daten von Kaliforniern	$7'500/Verstoss (intentional)
PIPL China	Verarbeitung von Daten chinesischer Staatsangehöriger in China	CNY 50 Mio / 5% Umsatz

Wichtig für internationale Unternehmen: Mehrere Gesetze können gleichzeitig gelten. Ein Schweizer KMU mit EU-Kunden muss DSGVO UND nDSG einhalten.

2. Das Marktortprinzip — auch ohne EU-Niederlassung

Die DSGVO gilt auch für Unternehmen ausserhalb der EU, wenn sie:

Waren oder Dienstleistungen an EU-Ansässige anbieten (auch kostenlose), oder
das Verhalten von EU-Ansässigen beobachten (z.B. Tracking)

Beispiel: Ein US-Unternehmen das eine App in Deutsch anbietet und Preise in Euro nennt — unterliegt der DSGVO, auch ohne EU-Büro.

3. Sachlicher Anwendungsbereich — was ist erfasst?

Automatisierte Verarbeitung von Personendaten (Computer, Apps, Datenbanken)
Nicht-automatisierte Verarbeitung wenn in einem Dateisystem geordnet (z.B. physische Personalakten)
Nicht erfasst: Rein private, haushaltsführende Verarbeitung (Freundeliste im Handy)
Nicht erfasst: Verstorbene Personen (in den meisten Jurisdiktionen)
Nicht erfasst: Juristische Personen (Firmen) — aber natürliche Ansprechpartner schon

4. Rollen: Wer ist was?

Rolle	Definition	Beispiel
Verantwortlicher (Controller)	Entscheidet über Zweck und Mittel der Verarbeitung	Ihr Unternehmen das Kundendaten verarbeitet
Auftragsverarbeiter (Processor)	Verarbeitet Daten im Auftrag des Verantwortlichen	Cloud-Anbieter, Lohnbüro, Callcenter
Gemeinsam Verantwortliche	Zwei Verantwortliche entscheiden gemeinsam	Gemeinsame Marketingkampagne zweier Firmen
Betroffene Person	Natürliche Person deren Daten verarbeitet werden	Ihr Kunde, Ihr Mitarbeiter

Als Auftragsverarbeiter trägt der Verantwortliche die Hauptverantwortung. Der Auftragsverarbeiter haftet für eigene Verstösse gegen den Auftrag.

📋 Wissenscheck M02

1. Ein Schweizer KMU verkauft an deutsche Kunden. Welches Datenschutzrecht gilt?

Nur nDSG Nur DSGVO Beide — nDSG und DSGVO (Marktortprinzip)

2. Ihr Cloud-Anbieter speichert Ihre Kundendaten. Welche Rolle hat er?

Eigenständiger Verantwortlicher Auftragsverarbeiter Betroffene Person

3. In der CH ist die maximale Sanktion eine Personalstrafe von bis zu...

CHF 50'000 CHF 250'000 CHF 1 Mio

MODUL M03 · ~10 Minuten

Anonymisierung vs. Pseudonymisierung

Was ist der Unterschied — und warum ist er entscheidend?

👥 Alle🌍 Alle Länder

1. Anonymisierung — kein Datenschutz mehr nötig

Anonymisierung liegt vor wenn Personendaten so verändert wurden, dass die Person weder direkt noch indirekt identifiziert werden kann — auch nicht mit Zusatzwissen, auch nicht mit vernünftigem Aufwand.

Echte Anonymisierung = kein Datenschutzrecht anwendbar. Keine Rechtsgrundlage nötig, keine Betroffenenrechte, keine Löschfristen.

Achtung: Echter Anonymisierung ist technisch sehr anspruchsvoll. "Ich habe den Namen entfernt" reicht fast nie. Re-Identifizierung durch Kombination von Restdaten ist oft möglich.

2. Pseudonymisierung — Datenschutz bleibt anwendbar

Pseudonymisierung bedeutet: direkt identifizierende Merkmale werden durch ein Pseudonym (Kürzel, Nummer) ersetzt. Der Schlüssel zur Rückidentifizierung existiert aber noch.

Pseudonymisierte Daten sind weiterhin Personendaten. Datenschutzrecht gilt. Aber das Risiko ist reduziert — und die DSGVO belohnt das (z.B. als Schutzmassnahme).

3. Der Vergleich

Merkmal	Anonymisierung	Pseudonymisierung
Personenbezug	Keiner mehr	Vorhanden (mit Schlüssel)
Datenschutzrecht	❌ Nicht anwendbar	✅ Weiterhin anwendbar
Rechtsgrundlage nötig?	Nein	Ja
Rückidentifizierung	Nicht möglich (theoretisch)	Mit Schlüssel möglich
Risiko bei Datenpanne	Kein Datenschutzrisiko	Reduziertes Risiko
Beispiel	"300 Kunden kauften X" (ohne Rückschluss)	Kunden-ID "K-4792" statt Name (Schlüssel in getrennter DB)

4. Techniken und ihre Grenzen

Namensersetzung: Pseudonymisierung — Name bleibt in anderem System vorhanden
Datenaggregation: Kann Anonymisierung sein — wenn Gruppen gross genug (k-Anonymität)
Datenverschlüsselung: Keine Anonymisierung — Schlüssel ermöglicht Rückidentifizierung
Datenlöschung: Echte Anonymisierung nur wenn alle Kopien gelöscht und keine Rückschlüsse möglich

5. Praxisfall

🔍 Praxisfall

Ihre Datenabteilung will Kundendaten für Analysen nutzen. Sie ersetzt die Namen durch IDs (ID-123, ID-456). Die Zuordnungstabelle liegt in einem separaten System. Ist jetzt Datenschutzrecht anwendbar?

Ja — es handelt sich um Pseudonymisierung, nicht Anonymisierung. Ihr Unternehmen hat noch den Schlüssel (Zuordnungstabelle). Datenschutzrecht bleibt anwendbar. Aber: Das ist trotzdem empfehlenswert — es reduziert das Risiko und wird von Datenschutzbehörden positiv bewertet.

📋 Wissenscheck M03

1. Pseudonymisierte Daten unterliegen dem Datenschutzrecht. Richtig oder falsch?

Falsch — ohne Namen kein Datenschutz Richtig — der Schlüssel ermöglicht Rückidentifizierung

2. Was unterscheidet Anonymisierung von Pseudonymisierung?

Bei Anonymisierung ist Rückidentifizierung nicht mehr möglich — auch nicht mit Schlüssel Anonymisierung entfernt nur den Namen Pseudonymisierung eliminiert alle Personenbezüge

MODUL M04 · ~10 Minuten

Die 7 Datenschutzprinzipien

Rechtmässigkeit · Zweckbindung · Minimierung · Richtigkeit · Speicherbegrenzung · Integrität · Rechenschaft

👥 Alle🌍 Alle Länder⚖️ Art. 5 DSGVO / Art. 6 nDSG / UK GDPR

Die 7 Grundsätze im Überblick

#	Prinzip	Was bedeutet das konkret?	Beispiel Verstoss
1	Rechtmässigkeit	Es braucht eine Rechtsgrundlage (Einwilligung, Vertrag, gesetzl. Pflicht, berechtigtes Interesse)	Newsletter ohne Einwilligung versenden
2	Zweckbindung	Daten dürfen nur für den erhobenen Zweck genutzt werden	Bewerberdaten für Marketingzwecke nutzen
3	Datenminimierung	Nur Daten erheben die tatsächlich für den Zweck nötig sind	Formular das Geburtsdatum verlangt obwohl nicht nötig
4	Richtigkeit	Daten müssen korrekt und aktuell sein	Veraltete Adressen die nie aktualisiert werden
5	Speicherbegrenzung	Daten nur so lange aufbewahren wie nötig	Kundendaten 20 Jahre ohne Grund aufbewahren
6	Integrität & Vertraulichkeit	Angemessene Sicherheitsmassnahmen implementieren	Kundendaten unverschlüsselt auf Laptop
7	Rechenschaftspflicht	Nachweisen können dass alle Prinzipien eingehalten werden	Kein Verarbeitungsverzeichnis, keine Schulungsnachweise

Zweckbindung in der Praxis

Wenn Sie Daten für Zweck A erhoben haben, dürfen Sie diese nicht einfach für Zweck B nutzen. Ausnahmen: Zweck B ist mit Zweck A kompatibel, oder Sie haben eine neue Rechtsgrundlage.

🔍 Praxisfall

Sie haben eine Kundendatenbank für Vertragsabwicklung. Ihr Marketingteam fragt ob es diese Daten für ein Gewinnspiel nutzen darf. Ist das erlaubt?

Nein — nicht automatisch. Vertragsabwicklung und Gewinnspiel sind unterschiedliche Zwecke. Das Marketing braucht eine eigene Rechtsgrundlage, typischerweise eine neue Einwilligung der Kunden für den Gewinnspiel-Zweck.

📋 Wissenscheck M04

1. Sie erheben Kundendaten für die Rechnungsstellung. Dürfen Sie diese für Werbe-E-Mails nutzen?

Ja, Kunden haben zugestimmt als sie Kunden wurden Nein — Rechnungsstellung und Werbung sind unterschiedliche Zwecke. Neue Rechtsgrundlage nötig. Ja, solange Daten nicht weitergegeben werden

2. Welches Prinzip sagt: "Nur die Daten erheben die wirklich nötig sind"?

Zweckbindung Datenminimierung Integrität

MODUL M05 · ~12 Minuten

Rechtsgrundlagen

Wann darf man Daten verarbeiten? Die 6 Rechtsgrundlagen erklärt

👥 Alle🌍 Alle Länder⚖️ Art. 6 DSGVO / Art. 31 nDSG

Grundsatz: Verboten mit Erlaubnisvorbehalt

Datenschutzrecht funktioniert nach dem Prinzip: Verarbeitung von Personendaten ist verboten, ausser es gibt eine Rechtsgrundlage. Ohne Rechtsgrundlage = rechtswidrig.

Rechtsgrundlage	Wann passend	Typische Fälle	Falle
1. Einwilligung	Freiwillig, informiert, eindeutig, widerrufbar	Newsletter, Cookies, Fotos	Im Arbeitsverhältnis oft nicht freiwillig!
2. Vertragserfüllung	Notwendig zur Vertragsabwicklung	Lieferadresse, Lohnzahlung, Kundenkonto	Darf nicht ausgedehnt werden
3. Gesetzliche Pflicht	Gesetz schreibt Verarbeitung vor	Buchführung, Meldewesen, AML	Nur was das Gesetz verlangt
4. Lebenswichtige Interessen	Notfall, Gefahr für Leben	Medizinischer Notfall	Sehr eng auszulegen
5. Öffentliches Interesse	Behörden, öffentliche Aufgaben	Volksschulen, Behörden	Selten für private Unternehmen
6. Berechtigtes Interesse	Unternehmensinteresse überwiegt Betroffeneninteresse	IT-Sicherheit, direkte Werbung, interne Analyse	Interessenabwägung zwingend dokumentieren

Berechtigtes Interesse — die komplexeste Grundlage

Art. 6 Abs. 1 lit. f DSGVO. Drei Bedingungen müssen alle erfüllt sein:

Es gibt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten
Die Verarbeitung ist zur Wahrung dieses Interesses notwendig
Die Interessen der betroffenen Person überwiegen nicht

Eine Interessenabwägung muss schriftlich dokumentiert werden. "Es ist unser berechtigtes Interesse" ohne Abwägung ist kein valides Argument gegenüber Behörden.

Praxisfall

🔍 Praxisfall

Ihr Unternehmen will Mitarbeitenden-E-Mails nach dem Austritt noch 6 Monate überwachen um potenzielle Datenlecks zu erkennen. Welche Rechtsgrundlage würden Sie wählen?

Potenziell "Berechtigtes Interesse" (IT-Sicherheit). Aber: Einwilligung scheidet im Arbeitsverhältnis oft aus. Eine Interessenabwägung ist zwingend — das Sicherheitsinteresse des Unternehmens vs. das Persönlichkeitsrecht des ausgetretenen Mitarbeiters. Ergebnis ist nicht eindeutig, rechtliche Beratung empfohlen. Alternativen wie technische Lösung (keine E-Mails nach Austritt weiterleiten) sind datenschutzfreundlicher.

📋 Wissenscheck M05

1. Welche Rechtsgrundlage gilt für die Lohnabrechnung Ihrer Mitarbeitenden?

Einwilligung Vertragserfüllung Berechtigtes Interesse

2. Was ist beim berechtigten Interesse zwingend zu dokumentieren?

Nur die Bezeichnung "berechtigtes Interesse" Die Interessenabwägung zwischen Unternehmens- und Betroffeneninteressen Ein Einwilligungsformular der Betroffenen

MODUL M06 · ~10 Minuten

Einwilligung — und ihre Grenzen

Wann ist Einwilligung valide? Einwilligung im Arbeitsverhältnis.

👥 Alle🌍 Alle Länder⚖️ Art. 7 DSGVO / Art. 31 nDSG

Anforderungen an eine gültige Einwilligung

Anforderung	Was das bedeutet	Häufiger Fehler
Freiwillig	Keine Nachteile bei Ablehnung	Dienstleistung verweigern wenn keine Einwilligung
Informiert	Zweck, Verantwortlicher, Rechte müssen klar sein	Allgemeine "Ich stimme zu" Checkboxen
Eindeutig / aktiv	Aktive Handlung nötig (Klick, Unterschrift)	Vorausgewählte Checkboxen
Spezifisch	Für jeden Zweck separat	Gebündelt mit AGB
Widerrufbar	Jederzeit, genauso einfach wie Erteilung	Komplizierter Abmeldeweg
Nachweisbar	Datum, IP, Version dokumentiert	Kein Nachweis bei Streit

Einwilligung im Arbeitsverhältnis — besondere Vorsicht

Das Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer macht echte Freiwilligkeit schwierig. Ein Arbeitnehmer der "Nein" sagt hat möglicherweise Nachteile zu befürchten.

Faustregel: Einwilligung im Arbeitsverhältnis nur nutzen wenn der Arbeitnehmer einen echten Vorteil erhält (z.B. Foto im Intranet) und ablehnen wirklich keine Nachteile hat. Für alles Notwendige: Vertragserfüllung oder gesetzliche Pflicht nutzen.

Situation	Rechtsgrundlage	Einwilligung?
Lohnzahlung	Vertragserfüllung	❌ Nicht nötig
Arbeitszeiterfassung	Gesetzliche Pflicht	❌ Nicht nötig
Foto im Intranet	Einwilligung	✅ Freiwillig möglich
GPS-Tracking Mitarbeiterfahrzeug	Berechtigtes Interesse (+ Einschränkung nötig)	⚠️ Nicht als Hauptgrundlage

📋 Wissenscheck M06

1. Was macht eine vorausgewählte Checkbox bei einem Newsletter-Formular ungültig?

Nichts, wenn der Nutzer sie abwählen kann Fehlende aktive Handlung — Einwilligung muss aktiv erteilt werden Das ist nur in Deutschland ein Problem

2. Warum ist Einwilligung im Arbeitsverhältnis problematisch?

Weil Arbeitnehmer kein Datenschutzrecht haben Wegen des Machtungleichgewichts — echte Freiwilligkeit ist fraglich Weil Arbeitnehmer nie einwilligen würden

MODUL M07 · ~10 Minuten

Datenminimierung & Need-to-Know

Nur was nötig ist — am Arbeitsplatz und in der Technik

👥 Alle🌍 Alle Länder

1. Das Need-to-Know Prinzip

Jeder Mitarbeitende darf nur die Personendaten einsehen die er für seine Aufgabe tatsächlich benötigt. "Ich könnte das vielleicht mal brauchen" ist kein Zugangsrecht.

Rolle	Zugang JA	Zugang NEIN
Verkaufsberater	Kontaktdaten, Kaufhistorie des eigenen Kunden	Bankdaten, Gesundheitsinfos, andere Kunden
HR-Sachbearbeiter	Lohn, Vertrag, Absenzen der zugewiesenen MA	Gesundheitsdiagnosen (nur Fähigkeit zur Arbeit relevant)
IT-Support	Systemzugänge wenn Support-Ticket vorliegt	E-Mail-Inhalte ohne konkreten Grund
Management	Aggregierte Berichte	Einzelne Mitarbeiter-Performance ohne Anlass

2. Datenminimierung in der Praxis

Formulare: Nur Pflichtfelder die wirklich nötig sind. Kein "Nice to have".
E-Mails: Keine Personendaten in CC wenn nicht nötig
Excel-Sheets: Keine Spalten mit Personendaten die nicht verwendet werden
Präsentationen: Echte Daten durch anonymisierte/fiktive ersetzen wenn möglich
Besprechungen: Patientenname in Fallbesprechung wirklich nötig? Fallnummer reicht oft.

Datenminimierung schützt auch das Unternehmen: Weniger Daten = kleinerer Schaden bei Datenpanne.

3. Praxisfall

🔍 Praxisfall

Ein Mitarbeiter im Kundendienst sendet eine Kundenliste mit allen Daten (Name, E-Mail, Adresse, Kaufhistorie, Kreditlimit) per E-Mail an einen Kollegen, weil der "mal schauen will wie das aussieht". Probleme?

Mehrere: 1. Zweckbindung verletzt — "mal schauen" ist kein Verarbeitungszweck. 2. Need-to-Know verletzt — der Kollege hatte keinen Bedarf. 3. Potenziell Datenpanne wenn per unverschlüsselter E-Mail. 4. Kreditlimit könnte besondere Schutzbedürftigkeit auslösen. Lösung: Daten nur auf Anfrage mit klarem Zweck teilen, nur relevante Felder, intern über gesicherte Systeme.

📋 Wissenscheck M07

1. Was bedeutet "Need-to-Know" am Arbeitsplatz?

Alle Mitarbeitenden dürfen alle Daten einsehen Jeder darf nur die Daten einsehen die er für seine konkrete Aufgabe benötigt Management darf alle Daten jederzeit einsehen

2. Ein Formular fragt nach Geburtsdatum obwohl nur die Volljährigkeit relevant ist. Was ist das Problem?

Kein Problem, das Datum wird ja nicht gespeichert Verstoss gegen Datenminimierung — ein Ja/Nein zur Volljährigkeit wäre ausreichend Nur relevant wenn unter 18-Jährige das Formular nutzen

MODUL M08 · ~10 Minuten

Löschung & Aufbewahrungsfristen

Wann müssen Daten weg? Aufbewahrungspflichten vs. Löschpflichten

👥 Alle🌍 Alle Länder

1. Die Grundregel: So kurz wie möglich

Datenschutzrecht fordert: Daten nur so lange aufbewahren wie der Zweck es erfordert. Danach: löschen oder anonymisieren.

Aber Achtung: Andere Gesetze schreiben Aufbewahrung vor. Datenschutz und Aufbewahrungspflicht stehen manchmal in Spannung.

2. Typische Aufbewahrungsfristen

Datenkategorie	Typische Frist	Rechtsgrundlage
Buchführungsbelege, Rechnungen	10 Jahre	Gesetzliche Pflicht (OR/HGB/Companies Act)
Arbeitsverträge, Lohnunterlagen	10 Jahre nach Austritt	Sozialversicherung, Steuerrecht
Abgelehnte Bewerbungen	Max. 6 Monate	Diskriminierungsschutz (DSGVO)
Kundendaten nach Vertragsende	3–10 Jahre (Verjährung)	Vertraglicher Zweck
E-Mails mit Personendaten	Zweckgebunden (oft 1–3 Jahre)	Zweckbindungsprinzip
Website-Logs mit IP-Adressen	Max. 7 Tage (Empfehlung)	Datenminimierung
Cookie-Einwilligungen	3 Jahre (Nachweis)	Rechenschaftspflicht

3. Löschung in der Praxis

Sicheres Löschen: "In den Papierkorb" reicht nicht. Dateivernichtung oder zertifiziertes Löschen
Alle Kopien: Backups, Archiv, E-Mail-Anhänge, USB-Sticks
Drittparteien informieren: Wenn Daten weitergegeben wurden — Löschung auch dort
Dokumentation: Wann gelöscht, durch wen, welche Daten

Wenn gesetzliche Aufbewahrungspflicht und Löschanfrage kollidieren: Aufbewahrungspflicht geht vor — aber Betroffene muss informiert werden und Verarbeitung soll auf das Minimum beschränkt werden.

📋 Wissenscheck M08

1. Ein abgelehnter Bewerber fordert Löschung seiner Daten. Wann muss spätestens gelöscht werden?

Nach 2 Jahren Nach 6 Monaten ab Absage Sofort nach Anfrage

2. Rechnungen müssen wie lange aufbewahrt werden?

3 Jahre 5 Jahre 10 Jahre (gesetzliche Buchführungspflicht)

MODUL M09 · ~10 Minuten

Das Verarbeitungsverzeichnis (VVT)

Was ist es? Wer ist verantwortlich? Wann muss es aktualisiert werden?

👥 Alle, besonders Process Owner⚖️ Art. 30 DSGVO / Art. 12 nDSG / UK GDPR Art. 30

1. Was ist das Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis (Record of Processing Activities / ROPA) ist eine dokumentierte Übersicht aller Tätigkeiten im Unternehmen bei denen Personendaten verarbeitet werden. Es ist die Grundlage für alle Datenschutzpflichten.

Pflicht: DSGVO Art. 30 — für fast alle Unternehmen. nDSG Art. 12 — Schweiz. UK GDPR Art. 30 — UK. Ausnahme DSGVO: Unternehmen <250 MA wenn nur gelegentliche Verarbeitung ohne Risiko — in der Praxis gilt es für fast alle.

2. Was muss dokumentiert werden?

Pflichtangabe	Beispiel
Name des Verantwortlichen	Musterfirma AG, Max Muster (DPO)
Zweck der Verarbeitung	Lohnabrechnung, Kundenverwaltung, Newsletter
Kategorien betroffener Personen	Mitarbeitende, Kunden, Interessenten
Kategorien der Personendaten	Name, E-Mail, Lohndaten, Kaufhistorie
Empfänger (auch Drittländer)	Lohnbüro CH, Cloud-Anbieter USA
Aufbewahrungsfristen	Lohndaten 10 Jahre, Bewerbungen 6 Monate
Technische Sicherheitsmassnahmen	Verschlüsselung, Zugriffsrechte, Backup

3. Wer ist verantwortlich? — Nicht nur der DPO!

Der DPO (Datenschutzbeauftragter) ist nicht allein verantwortlich. Der DPO koordiniert und berät — aber jeder Process Owner (Abteilungsleiter, Projektverantwortlicher) ist verantwortlich für seine Prozesse im VVT.

Ihre Pflicht als Mitarbeitender: Wenn Sie einen neuen Prozess starten der Personendaten verarbeitet — melden Sie das dem DPO / Datenschutzteam damit das VVT aktualisiert werden kann.

Beispiele für meldepflichtige neue Prozesse
Einführung eines neuen CRM-Systems
Start eines Newsletters oder einer Marketingkampagne
Neues HR-Tool mit Mitarbeiterdaten
Kundenbefragung / Umfrage
Video-Überwachung im Büro
Integration eines neuen KI-Tools (Copilot, ChatGPT API, etc.)

📋 Wissenscheck M09

1. Ihre Abteilung führt ein neues SaaS-Tool ein das Kundendaten verarbeitet. Was müssen Sie tun?

Nichts — das ist Sache des DPO Den DPO / Datenschutzteam informieren damit das VVT aktualisiert und ein AVV geprüft wird Abwarten bis die jährliche Datenschutzprüfung kommt

2. Wer trägt die Verantwortung für die Richtigkeit des Verarbeitungsverzeichnisses?

Allein der DPO Nur die IT-Abteilung Das Management als Verantwortlicher, unterstützt durch Process Owner und DPO

MODUL M10 · ~10 Minuten

Informationspflichten & Datenschutzerklärung

Wer muss wen wann worüber informieren?

👥 Alle⚖️ Art. 13/14 DSGVO / Art. 19 nDSG

1. Grundsatz: Transparenz zuerst

Bevor oder spätestens zum Zeitpunkt der Erhebung müssen Betroffene informiert werden. Nicht nachher. Nicht auf Anfrage. Sondern aktiv, verständlich, vollständig.

2. Was muss kommuniziert werden?

Pflichtinhalt	Typische Form
Wer ist Verantwortlicher (Name, Kontakt)	Datenschutzerklärung auf Website
Kontakt DPO / Datenschutzberater	Datenschutzerklärung
Zweck der Verarbeitung	Datenschutzerklärung / Formularhinweis
Rechtsgrundlage	Datenschutzerklärung
Empfänger / Drittländer	Datenschutzerklärung
Aufbewahrungsdauer	Datenschutzerklärung
Betroffenenrechte (Auskunft, Löschung etc.)	Datenschutzerklärung
Beschwerderecht bei Behörde	Datenschutzerklärung

3. Information VOR der Einwilligung

Einwilligung kann nur gültig sein wenn die Person vorher informiert wurde. Reihenfolge: erst informieren, dann um Einwilligung bitten.

❌ Falsch: Newsletter-Checkbox ohne Hinweis was die Einwilligung umfasst.
✅ Richtig: "Ich möchte den Newsletter erhalten. [Link zur Datenschutzerklärung] — ich kann mich jederzeit abmelden."

4. Mitarbeitende informieren

Auch Mitarbeitende haben ein Recht auf Information über die Verarbeitung ihrer Daten. Eine Mitarbeiter-Datenschutzerklärung (Employee Privacy Notice) ist bei Stellenantritt auszuhändigen.

Tipp: Mitarbeitende bei Onboarding schriftlich informieren und Bestätigung des Erhalts dokumentieren.

📋 Wissenscheck M10

1. Wann müssen Betroffene über die Datenverarbeitung informiert werden?

Auf Anfrage der betroffenen Person Bei oder vor Erhebung der Daten — aktiv und proaktiv Erst bei einer Datenpanne

2. Was muss eine gültige Einwilligung voraussetzen?

Nur einen Klick auf "Ich stimme zu" Vorangehende, verständliche Information über Zweck und Umfang Eine Unterschrift auf Papier

MODUL M11 · ~10 Minuten

Wer trägt die Verantwortung?

Controller · DPO · Process Owner — Rollen und Verantwortlichkeiten

👥 Alle⚖️ Art. 37–39 DSGVO / Art. 10 nDSG

1. Der Verantwortliche (Controller)

Das Unternehmen ist der Hauptverantwortliche. Es entscheidet über Zweck und Mittel der Datenverarbeitung und haftet für die Einhaltung aller Datenschutzpflichten.

Verantwortung kann nicht auf den DPO delegiert werden. Der DPO berät — die Verantwortung bleibt beim Management.

2. Der DPO / Datenschutzberater — was er ist und was nicht

DPO IST:	DPO IST NICHT:
Berater und interner Auditor	Allein verantwortlich für Compliance
Anlaufstelle für Behörden und Betroffene	Sündenbock bei Verstössen
Schulungskoordinator	Entscheider über Datenverarbeitungen
Unabhängig — keine Weisungsgebundenheit	Operativer Datenschutzumsetzer

EU DSGVOUK GDPR

DPO Pflicht wenn: öffentliche Stelle, oder umfangreiche systematische Überwachung, oder besondere Datenkategorien grossmassstäblich verarbeitet.

CH nDSG

Kein Pflicht-DSB in der Schweiz. Aber: Datenschutzberater (DSB) freiwillig ernennen reduziert Risiken und vereinfacht EDÖB-Kommunikation.

3. Der Process Owner — Ihre Rolle

Jeder Mitarbeitende der Prozesse mit Personendaten verantwortet ist ein Process Owner mit Datenschutzverantwortung:

Neue Verarbeitungen dem DPO melden
Datenschutzfreundliche Standardeinstellungen wählen
Lieferanten nur mit AVV nutzen
Datenpannen sofort intern melden
Schulungen absolvieren und dokumentieren

📋 Wissenscheck M11

1. Eine Datenpanne passiert. Wer ist hauptverantwortlich?

Der DPO allein Das Unternehmen (Verantwortlicher / Controller) und sein Management Der betroffene Mitarbeiter der den Fehler gemacht hat

2. Ist ein DPO in der Schweiz (nDSG) Pflicht?

Ja, für alle Unternehmen Nein — kein Pflicht-DSB, aber empfohlen Nur für Unternehmen über 250 Mitarbeitende

MODUL M12 · ~12 Minuten

Datenpannen erkennen und melden

72-Stunden-Frist, interne Meldewege, was ist meldepflichtig?

👥 Alle⚖️ Art. 33/34 DSGVO / Art. 24 nDSG

1. Was ist eine Datenpanne?

Jede Verletzung der Sicherheit die zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung, unbefugten Offenlegung oder unbefugtem Zugang zu Personendaten führt.

Beispiele für Datenpannen	Panne?
Laptop mit Kundendaten gestohlen (unverschlüsselt)	✅ Ja — meldepflichtig
E-Mail mit Kundenliste an falschen Empfänger	✅ Ja — prüfen ob meldepflichtig
Ransomware-Angriff auf Server mit Personendaten	✅ Ja — wahrscheinlich meldepflichtig
Laptop gestohlen, vollverschlüsselt, kein Datenzugang möglich	⚠️ Panne ja, aber ggf. nicht meldepflichtig
Internes Dokument versehentlich gelöscht, Backup vorhanden	⚠️ Prüfen — oft nicht meldepflichtig

2. Die 72-Stunden-Frist

EU DSGVOUK GDPR

Meldung an Aufsichtsbehörde innerhalb 72 Stunden nach Bekanntwerden — wenn Risiko für Betroffene besteht. Die Frist läuft ab dem Moment wo das Unternehmen von der Panne weiss.

CH nDSG

Meldung an EDÖB so rasch wie möglich — Art. 24 nDSG gilt ab September 2023. Hohe Risikopannen müssen unverzüglich gemeldet werden.

Was viele nicht wissen: Die Frist beginnt wenn das Unternehmen die Panne entdeckt — nicht wenn die IT-Abteilung sie dokumentiert hat. Langsame interne Meldewege = Frist gerissen.

3. Ihr Meldeprozess

Sofort intern melden — an DPO / Datenschutzteam, auch wenn unsicher
Nicht selbst handeln — keine Kommunikation nach aussen ohne DPO-Freigabe
Dokumentieren — was ist passiert, wann, wer weiss es, welche Daten betroffen
DPO bewertet — Meldepflicht an Behörde? Benachrichtigung Betroffener?

Lieber zu früh melden als zu spät. Eine interne Meldung die sich als nicht meldepflichtig herausstellt schadet nichts. Eine nicht gemeldete meldepflichtige Panne kann CHF 250'000 / €20 Mio kosten.

📋 Wissenscheck M12

1. Ein Mitarbeiter sendet versehentlich eine Kundenliste an externe Empfänger. Was tun?

Abwarten und hoffen dass es niemand bemerkt Sofort den DPO / Datenschutzteam informieren Die Empfänger bitten die E-Mail zu löschen und den Vorfall intern als erledigt vermerken

2. Ab wann läuft die 72-Stunden-Meldepflicht unter der DSGVO?

Ab dem Zeitpunkt der Datenpanne Ab dem Zeitpunkt wo das Unternehmen von der Panne weiss (Bekanntwerden) Ab dem Zeitpunkt der vollständigen internen Dokumentation

MODUL M13 · ~12 Minuten

Sanktionen & Praxisfälle

Was kostet Datenschutz-Verstoss? Reale Fälle aus der Praxis.

👥 Alle🌍 Alle Länder

1. Sanktionen nach Jurisdiktion

Gesetz	Max. Sanktion	Besonderheit
EU DSGVO	€20 Mio oder 4% globaler Umsatz (was höher)	Behörden können auch ohne Schaden bussen
CH nDSG	CHF 250'000 — Personalstrafe	Strafbar ist die natürliche Person (Manager, DPO) nicht das Unternehmen!
UK GDPR	£17.5 Mio oder 4% globaler Umsatz	ICO verhängt auch gegen Privatpersonen
CCPA/CPRA	$7'500/intentialer Verstoss, $2'500/fahrlässig	Auch Klassen-Sammelklagen möglich
PIPL China	CNY 50 Mio / 5% Jahresumsatz	Plattformsperren möglich

nDSG-Besonderheit: In der Schweiz wird die natürliche Person bestraft — nicht das Unternehmen. D.h. der Geschäftsführer, der DPO oder der verantwortliche Manager können persönlich mit bis zu CHF 250'000 gebüsst werden.

2. Reale Bussgeldfälle

Fall	Busse	Grund
Meta (Facebook) — Irland 2023	€1.2 Mrd	Unzulässige Datentransfers EU→USA
Amazon — Luxemburg 2021	€746 Mio	Cookie-Consent-Verstösse
Google — Frankreich 2022	€150 Mio	Ablehnen von Cookies zu schwierig
H&M — Deutschland 2020	€35 Mio	Unzulässige Mitarbeiterüberwachung
Schweizer Postdienstleister 2024	CHF 80'000	Unzureichende Datensicherheit

3. Praxisfälle — Was hätten Sie getan?

🔍 Fall 1: Der vergessene USB-Stick

Ein Mitarbeiter verliert einen USB-Stick mit 5'000 Kundendatensätzen (Namen, E-Mails, Kaufhistorie). Stick war nicht verschlüsselt. Was muss das Unternehmen tun?

1. Interne Meldung sofort. 2. Datenpanne dokumentieren. 3. Behördenentscheid: Hohes Risiko → Meldung an Aufsichtsbehörde innerhalb 72h (DSGVO) / so rasch wie möglich (nDSG). 4. Betroffene informieren wenn hohes Risiko für ihre Rechte. 5. Massnahme: USB-Sticks künftig verschlüsseln oder verbieten. Lehre: Verschlüsselung hätte die Meldepflicht möglicherweise entfallen lassen.

🔍 Fall 2: Der Einkäufer und das neue Tool

Ihre Einkaufsabteilung führt ohne Rücksprache ein neues Lieferantenportal ein. Das Portal läuft beim US-Anbieter SoftCorp Inc., der kein DPF-zertifiziert ist. Lieferanten (natürliche Personen) müssen sich registrieren. Was ist schiefgelaufen?

Mehrere Verstösse: 1. Kein AVV mit SoftCorp abgeschlossen (Art. 28 DSGVO). 2. Kein TIA für den Transfer EU→USA (Schrems II). 3. Keine Information der Lieferanten (Art. 13 DSGVO). 4. VVT nicht aktualisiert. Lösung: AVV nachholen, TIA erstellen, Datenschutzerklärung für das Portal ergänzen, VVT aktualisieren — und in Zukunft Datenschutz vor Einführung neuer Tools prüfen.

📋 Wissenscheck M13

1. In der Schweiz (nDSG) — wer wird bei einem Datenschutzversoss gebüsst?

Das Unternehmen — bis CHF 250'000 Die natürliche Person (Manager, DPO) — bis CHF 250'000 Nur der DPO

2. Welcher der folgenden Verstösse führte zu einer EU-Busse?

Zu langsame Beantwortung von Betroffenenanfragen Unzulässige Datentransfers EU→USA (Meta, €1.2 Mrd) Fehlende Datenschutzerklärung auf der Website

ABSCHLUSSTEST · 15 Fragen

Datenschutz Kernschulung — Abschlusstest

Mindestens 80% (12/15) erforderlich für Zertifikat

⏱ ~10 Minuten🎓 Zertifikat bei Bestehen

🎓

ZEHNDER GOVERNANCE

Zertifikat über die erfolgreiche Teilnahme

Datenschutz & KI Kernschulung — M01 bis M13

Hiermit wird bestätigt, dass

___________________________

die Datenschutz Kernschulung erfolgreich abgeschlossen hat.

—

Ergebnis Abschlusstest

✅ BESTANDEN

Datum: · Zehnder Governance, Beinwil am See

Module: M01 Personendaten · M02 Anwendungsbereich · M03 Anonymisierung · M04 Prinzipien · M05 Rechtsgrundlagen · M06 Einwilligung · M07 Minimierung · M08 Löschung · M09 VVT · M10 Information · M11 Verantwortung · M12 Datenpannen · M13 Sanktionen · EU AI Act

📦 SCORM-Datei herunterladen

Optionale Vertiefung: Ländermodule CH · UK · USA · China · Rollenmodule S02–S13

LÄNDERMODUL CH · OPTIONAL

🇨🇭 Schweiz — nDSG Besonderheiten

Was gilt zusätzlich / anders im revidierten Datenschutzgesetz der Schweiz?

Wichtigste nDSG-Unterschiede zur DSGVO

Thema	DSGVO (EU)	nDSG (CH)
Sanktion	Unternehmensbusse bis €20 Mio / 4%	Personalstrafe bis CHF 250'000 (natürl. Person!)
DPO Pflicht	Teilweise Pflicht	Kein Pflicht-DSB — Datenschutzberater empfohlen
Aufsichtsbehörde	Nationale DPAs (EDPB)	Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Meldepflicht Panne	72h an DPA	Unverzüglich an EDÖB bei hohem Risiko
Betroffenenrechte	Art. 15–22 DSGVO	Art. 25–28 nDSG — ähnlich, leichte Abweichungen
Datenschutz-Folgenabschätzung	Art. 35 DSGVO	Art. 22 nDSG — ähnliche Anforderungen
Drittlandtransfers	Art. 44–49 DSGVO	Art. 16–17 nDSG — CH SCCs möglich, TIA erforderlich
In Kraft	25.05.2018	01.09.2023

Wichtigstes für Schweizer Unternehmen: Die Personalstrafe trifft Manager persönlich — nicht das Unternehmen. Und: Schweizer Unternehmen die EU-Kunden haben müssen trotzdem die DSGVO einhalten (Marktortprinzip).

📋 Kurzcheck CH

Wer zahlt die nDSG-Busse bei Verstoss?

Das Unternehmen Die natürliche Person (Manager, Verantwortliche:r)

LÄNDERMODUL UK · OPTIONAL

🇬🇧 UK — UK GDPR & IDTA

Was gilt nach dem Brexit für Datentransfers und UK-Datenschutz?

UK GDPR — weitgehend DSGVO-äquivalent

Nach dem Brexit hat UK die DSGVO als UK GDPR übernommen. Inhaltlich weitgehend identisch, aber separate Rechtsordnung mit eigener Aufsichtsbehörde (ICO).

Thema	UK GDPR
Behörde	Information Commissioner's Office (ICO)
Max. Busse	£17.5 Mio oder 4% globaler Umsatz
Drittlandtransfers aus UK	UK IDTA (International Data Transfer Agreement) statt EU SCCs
EU→UK Transfer	EU-Angemessenheitsbeschluss 2021 — kein TIA nötig
UK→EU Transfer	UK-Angemessenheitsbeschluss für EU — kein IDTA nötig

Wichtig: UK→Drittland (z.B. USA, China) erfordert UK IDTA statt EU SCCs. Wer von der EU und von UK aus überträgt braucht beide Mechanismen.

📋 Kurzcheck UK

Welcher Mechanismus gilt für Transfers aus UK in Drittstaaten?

EU SCCs 2021 UK IDTA Kein Mechanismus nötig

LÄNDERMODUL USA · OPTIONAL

🇺🇸 USA — CCPA/CPRA Grundlagen

Was gilt für US-Konsumenten? CCPA/CPRA im Überblick.

Kein allgemeines Bundesdatenschutzgesetz

USA hat kein allgemeines Datenschutzgesetz auf Bundesebene. Sektorale Gesetze (HIPAA Gesundheit, FERPA Bildung, COPPA Kinder). Wichtigstes Verbraucherschutzgesetz: CCPA/CPRA (Kalifornien).

CCPA/CPRA	Details
Gilt wenn	>$25 Mio Umsatz OR >100'000 Konsumenten OR >50% aus Datenverkauf
Rechte der Konsumenten	Auskunft, Löschung, Opt-Out Datenverkauf, Nicht-Diskriminierung, Berichtigung
"Do Not Sell My Info"	Pflichtlink auf Website wenn Daten "verkauft" werden
Busse	$7'500/intentionaler Verstoss, $2'500/fahrlässig + Sammelklagen
Behörde	California Privacy Protection Agency (CPPA)

📋 Kurzcheck USA

CCPA gilt für welche Unternehmen?

Alle Unternehmen weltweit mit US-Kunden Unternehmen die bestimmte Schwellenwerte überschreiten und Daten von Kaliforniern verarbeiten

LÄNDERMODUL CN · OPTIONAL

🇨🇳 China — PIPL Grundlagen

Was gilt für Verarbeitung von Daten chinesischer Staatsangehöriger?

PIPL — Personal Information Protection Law

In Kraft seit 1. November 2021. Gilt für Verarbeitung von Personendaten chinesischer Staatsangehöriger — auch durch ausländische Unternehmen wenn Auswirkung auf China-Ansässige.

Thema	PIPL
Rechtsgrundlagen	Ähnlich DSGVO: Einwilligung, Vertragserfüllung, gesetzl. Pflicht, lebenswichtige Interessen, öffentliches Interesse
Ausgehende Transfers aus China	CAC-Sicherheitsbewertung ODER PRC Standard Contracts ODER CAC-Zertifizierung
Datenlokalisierung	Pflicht für kritische Infrastruktur und wichtige Daten
Staatlicher Zugriff	Behörden können ohne richterliche Kontrolle zugreifen
Busse	CNY 50 Mio / 5% Jahresumsatz + Plattformsperren

Für Transfers EU→China: EU SCCs + TIA + E2E-Verschlüsselung. Transfer wenn möglich vermeiden oder auf Minimum reduzieren.

📋 Kurzcheck China

Gilt PIPL auch für ausländische Unternehmen?

Nein — nur für chinesische Unternehmen Ja — wenn Verarbeitung von Daten China-Ansässiger mit Auswirkung auf China

MODUL KI · OPTIONAL · ~20 Minuten

Künstliche Intelligenz am Arbeitsplatz

KI-Tools verantwortungsvoll nutzen · EU AI Act · Datenschutz bei KI

👥 Alle Mitarbeitenden🌍 Alle Länder⚖️ EU AI Act 2024/1689 · Art. 4 KI-Kompetenz

1. KI-Kompetenzpflicht — seit Februar 2025

Der EU AI Act (Verordnung 2024/1689) schreibt seit Februar 2025 vor: Unternehmen müssen sicherstellen, dass ihre Mitarbeitenden das nötige Mass an KI-Kompetenz haben um KI-Systeme verantwortungsvoll zu nutzen.

Art. 4 EU AI Act: Provider und Nutzer von KI-Systemen müssen für ausreichende KI-Kompetenz des Personals sorgen. Diese Schulung ist Teil der Erfüllung dieser Pflicht.

2. Was ist KI? — Einfache Definition

Ein KI-System ist ein maschinenbasiertes System das aus Eingaben Ergebnisse wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte generiert — auf eine Art die reale oder virtuelle Umgebungen beeinflusst.

KI-Tool	Was es tut	Im Alltag
ChatGPT, Claude, Gemini	Text generieren, beantworten, zusammenfassen	E-Mails, Berichte, Recherche
Microsoft Copilot	Office-Produktivität, Code, Dokumente	Word, Excel, Teams, Outlook
GitHub Copilot	Code schreiben und vervollständigen	Softwareentwicklung
KI-Bildgeneratoren (Midjourney, DALL-E)	Bilder aus Text erstellen	Marketing, Design
KI in HR-Tools	CV-Screening, Kandidatenranking	Recruiting — Hochrisiko!

3. Datenschutzrisiken bei KI-Tools

Wenn Sie Personendaten in ein KI-Tool eingeben, verlassen diese Daten Ihr Unternehmen — und landen beim KI-Anbieter. Das ist ein Datentransfer der Datenschutzrecht unterliegt.

Niemals in KI-Tools eingeben:
• Namen + medizinische Informationen von Patienten oder Kunden
• Vertrauliche Personaldaten (Lohn, Leistungsbeurteilungen, Disziplinarfälle)
• Vollständige Kundendatensätze oder CRM-Exporte
• Bankdaten, Passwörter, Zugangsdaten
• Interna die als vertraulich klassifiziert sind

Situation	Erlaubt?	Warum
"Schreib mir eine E-Mail-Vorlage für Kundenbeschwerden"	✅ Ja	Keine Personendaten
"Fasse diesen Arztbericht von Frau Müller zusammen"	❌ Nein	Gesundheitsdaten, kein AVV
"Analysiere diese Kundenliste" (mit echten Namen)	❌ Nein	Personendaten ohne Rechtsgrundlage
"Hilf mir diesen anonymisierten Fallbericht strukturieren"	✅ Ja (wenn wirklich anonym)	Keine Personendaten
Copilot für interne Präsentation ohne Kundendaten	✅ Ja (wenn AVV vorhanden)	Microsoft hat Enterprise AVV

AVV-Pflicht: Auch für KI-Tools braucht es einen Auftragsverarbeitungsvertrag (AVV) wenn Personendaten verarbeitet werden könnten. Prüfen Sie ob Ihr Unternehmen einen AVV mit dem KI-Anbieter hat.

4. EU AI Act — Was ist verboten?

Seit 2. Februar 2025 sind bestimmte KI-Praktiken absolut verboten:

Absolut verboten (Art. 5 EU AI Act):
• Social Scoring durch staatliche Stellen
• Manipulation durch subliminale Techniken
• Ausnutzung von Schwächen vulnerabler Personen
• Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (enge Ausnahmen)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Biometrische Kategorisierung (politisch, religiös, sexuell)

5. KI-Risikoklassen — Welche betreffen mich?

Risikoklasse	Beispiele	Pflichten
Unacceptable Risk	Social Scoring, Emotionserkennung Arbeitsplatz	Absolut verboten
High Risk	CV-Screening, Kreditentscheid, medizinische Diagnose	Umfangreiche Pflichten ab Aug. 2026
Limited Risk	Chatbots, KI-generierte Texte/Bilder	Transparenzpflicht (kenntlich machen)
Minimal Risk	Spam-Filter, Rechtschreibprüfung	Keine spezifischen Pflichten

Transparenzpflicht: Wenn Sie mit einem Chatbot interagieren oder KI-generierte Inhalte erhalten — der Nutzer muss darüber informiert werden. KI-generierte Texte/Bilder müssen als solche gekennzeichnet werden.

6. Hochrisiko-KI im HR — Besondere Vorsicht

KI-Tools die bei Einstellungsentscheiden, Leistungsbeurteilungen oder Beförderungen helfen gelten als Hochrisiko-KI. Ab August 2026 greifen umfangreiche Pflichten:

Menschliche Aufsicht und Überprüfung zwingend
Betroffene müssen informiert werden
Recht auf Erklärung der Entscheidung
Logging und Audit-Trail erforderlich

Praxistipp: KI als Unterstützung für den Menschen nutzen — nicht als alleinigen Entscheider. Der Mensch muss immer die finale Entscheidung treffen und verantworten.

7. Praktischer Fall

🔍 Praxisfall

Ihre HR-Kollegin nutzt ChatGPT um Bewerbungsunterlagen zu analysieren. Sie kopiert CV-Texte inkl. Namen, Adresse und Foto-Beschreibungen hinein. Probleme?

Mehrere: 1. Personendaten werden an OpenAI übermittelt — Transfer ohne AVV und ohne Information der Bewerber. 2. Bewerberdaten sind besonders sensibel. 3. Wenn das Tool Entscheidungen beeinflusst: möglicherweise Hochrisiko-KI mit Pflichten. 4. Mögliche DSGVO-Verletzung. Lösung: Daten anonymisieren bevor Eingabe in KI-Tool (Namen, Adressen entfernen) — oder ein Enterprise-KI-Tool mit AVV nutzen das keine Daten für Training verwendet.

8. Checkliste — KI verantwortungsvoll nutzen

✅ Keine Personendaten ohne AVV in externe KI-Tools
✅ KI-generierte Inhalte als solche kennzeichnen
✅ KI-Outputs immer kritisch prüfen — Halluzinationen möglich
✅ Bei HR-Entscheidungen: KI nur als Hilfe, Mensch entscheidet
✅ Verbotene KI-Praktiken kennen und melden wenn Sie solche sehen
✅ Neue KI-Tools dem DPO melden bevor Einsatz mit Personendaten
✅ KI-Nutzung dokumentieren wenn Personendaten verarbeitet werden

📋 Wissenscheck KI-Modul

1. Sie wollen Kundendaten für eine Analyse in ChatGPT eingeben. Was ist falsch daran?

Nichts — ChatGPT ist sicher Personendaten verlassen das Unternehmen ohne AVV und ohne Rechtsgrundlage Nur ein Problem wenn mehr als 1000 Kunden betroffen

2. Was ist seit Februar 2025 absolut verboten?

KI-Chatbots auf Unternehmenswebsites Emotionserkennung am Arbeitsplatz KI zur Textkorrektur

3. HR nutzt KI zum CV-Screening. Was gilt ab 2026?

Keine besonderen Regeln — KI darf frei entscheiden Hochrisiko-KI-Pflichten: menschliche Aufsicht, Transparenz, Logging Nur wenn mehr als 50 Bewerbungen verarbeitet werden

Kein Zugang

1. Die Definition

2. Beispiele: Personendaten vs. keine Personendaten

3. Besondere Kategorien (erhöhter Schutz)

4. Personendaten am Arbeitsplatz — typische Fälle

5. Praktischer Fall

1. Räumlicher Anwendungsbereich — wer muss was einhalten?

2. Das Marktortprinzip — auch ohne EU-Niederlassung

3. Sachlicher Anwendungsbereich — was ist erfasst?

4. Rollen: Wer ist was?

1. Anonymisierung — kein Datenschutz mehr nötig

2. Pseudonymisierung — Datenschutz bleibt anwendbar

3. Der Vergleich

4. Techniken und ihre Grenzen

5. Praxisfall

Die 7 Grundsätze im Überblick

Zweckbindung in der Praxis

Grundsatz: Verboten mit Erlaubnisvorbehalt

Berechtigtes Interesse — die komplexeste Grundlage

Praxisfall

Anforderungen an eine gültige Einwilligung

Einwilligung im Arbeitsverhältnis — besondere Vorsicht

1. Das Need-to-Know Prinzip

2. Datenminimierung in der Praxis

3. Praxisfall

1. Die Grundregel: So kurz wie möglich

2. Typische Aufbewahrungsfristen

3. Löschung in der Praxis

1. Was ist das Verarbeitungsverzeichnis?

2. Was muss dokumentiert werden?

3. Wer ist verantwortlich? — Nicht nur der DPO!

1. Grundsatz: Transparenz zuerst

2. Was muss kommuniziert werden?

3. Information VOR der Einwilligung

4. Mitarbeitende informieren

1. Der Verantwortliche (Controller)

2. Der DPO / Datenschutzberater — was er ist und was nicht

3. Der Process Owner — Ihre Rolle

1. Was ist eine Datenpanne?

2. Die 72-Stunden-Frist

3. Ihr Meldeprozess

1. Sanktionen nach Jurisdiktion

2. Reale Bussgeldfälle

3. Praxisfälle — Was hätten Sie getan?

Wichtigste nDSG-Unterschiede zur DSGVO

UK GDPR — weitgehend DSGVO-äquivalent

Kein allgemeines Bundesdatenschutzgesetz

PIPL — Personal Information Protection Law

1. KI-Kompetenzpflicht — seit Februar 2025

2. Was ist KI? — Einfache Definition

3. Datenschutzrisiken bei KI-Tools

4. EU AI Act — Was ist verboten?

5. KI-Risikoklassen — Welche betreffen mich?

6. Hochrisiko-KI im HR — Besondere Vorsicht

7. Praktischer Fall

8. Checkliste — KI verantwortungsvoll nutzen