{
    "post": "dsgvo",
    "category": "lexikon",
    "answers": [
        {
            "question": "Was ist die DSGVO in Kurzform?",
            "answer": "<p>Die <strong>DSGVO</strong> (Datenschutz-Grundverordnung, EU-Verordnung 2016/679) regelt, <strong>wie</strong> <strong>personenbezogene Daten</strong> verarbeitet werden dürfen. Sie gilt seit dem <strong>25. Mai 2018</strong> in der EU und verpflichtet <strong>Verantwortliche</strong> und <strong>Auftragsverarbeiter</strong> zu Transparenz, Zweckbindung, Datenminimierung und dokumentierten Maßnahmen. Im <strong>HR</strong> betrifft das Bewerber-, Beschäftigten- und Stammdaten ebenso wie Zeiten aus der <strong>Zeiterfassung</strong>.</p>"
        },
        {
            "question": "Was ist der Unterschied zwischen DSGVO und BDSG?",
            "answer": "<p>Die <strong>DSGVO</strong> ist <strong>EU-Recht</strong> und setzt einheitliche Grundregeln. In Deutschland ergänzt das <strong>Bundesdatenschutzgesetz (BDSG)</strong> und weitere Gesetze die Umsetzung – etwa zu Beschäftigtenkontexten. Praktisch liest du die DSGVO für Prinzipien und allgemeine Pflichten; im BDSG finden sich oft <strong>spezifischere</strong> Vorgaben. Beides gilt nebeneinander; im Zweifel sind Fachstelle oder Rechtsberatung sinnvoll.</p>"
        },
        {
            "question": "Welche Daten im Unternehmen sind „personenbezogen“?",
            "answer": "<p><strong>Personenbezogene Daten</strong> sind alle Informationen zu einer identifizierten oder identifizierbaren Person – z. B. Name, Personalnummer, <strong>Stempelzeiten</strong>, Bewerbungsunterlagen, Bankdaten oder IP-Adressen, wenn sie zuordenbar sind. Im HR fallen darunter typischerweise Stammdaten, Vertrags- und Abwesenheitsdaten sowie Exporte in die <strong>Lohnabrechnung</strong>. Besondere Kategorien (z. B. Gesundheitsdaten) unterliegen <strong>engeren</strong> Regeln.</p>"
        },
        {
            "question": "Braucht jede Verarbeitung eine Einwilligung der Beschäftigten?",
            "answer": "<p><strong>Nein.</strong> Die DSGVO kennt mehrere <strong>Rechtsgrundlagen</strong> nach Art. 6 Abs. 1 – etwa <strong>Vertrag</strong>, <strong>rechtliche Pflicht</strong> oder <strong>berechtigtes Interesse</strong> nach Abwägung. <strong>Einwilligungen</strong> sind im Arbeitsverhältnis oft kritisch, weil Abhängigkeiten die Freiwilligkeit erschweren. Viele Betriebe stützen sich deshalb auf andere Grundlagen, wo zulässig, und dokumentieren die jeweilige Rechtfertigung – statt pauschaler „Checkbox-Einwilligungen“.</p>"
        },
        {
            "question": "Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?",
            "answer": "<p>Beauftragst du einen <strong>Auftragsverarbeiter</strong> – z. B. Cloud-Hosting oder HR-Software – verlangt <strong>Art. 28 DSGVO</strong> einen <strong>AV-Vertrag</strong> mit Weisungen, Unterauftragsverarbeiter, TOMs und Regeln zu Hilfsmitteln. Er schafft Klarheit, <strong>wer</strong> für welche Verarbeitungshaftung einsteht, und ist die Basis für Prüfungen und <strong>Incident-Management</strong>. Ohne AV bleibt die rechtliche Zuordnung oft unklar.</p>"
        },
        {
            "question": "Was sind technisch-organisatorische Maßnahmen (TOMs)?",
            "answer": "<p><strong>TOMs</strong> sind Maßnahmen zum Schutz personenbezogener Daten – etwa <strong>Zugriffsrechte</strong>, Verschlüsselung, Protokollierung, Backups, Schulungen und physische Zutrittskontrolle. <strong>Art. 32 DSGVO</strong> verlangt ein dem Risiko angemessenes Sicherheitsniveau. Für HR bedeutet das: Rollen in der <strong>Personalakte</strong> und in der Zeiterfassung müssen zur Sensibilität der Daten passen – nicht nur „alle Admin“.</p>"
        },
        {
            "question": "Welche Rechte haben Betroffene gegenüber dem Arbeitgeber?",
            "answer": "<p>Betroffene haben u. a. Rechte auf <strong>Auskunft</strong>, <strong>Berichtigung</strong>, <strong>Löschung</strong>, <strong>Einschränkung</strong>, <strong>Widerspruch</strong> und unter Bedingungen <strong>Datenportabilität</strong>. Für HR brauchst du Zuständigkeiten, interne Fristen und oft ein kleines <strong>Anfrageverfahren</strong>, damit Antworten vollständig und nachvollziehbar sind. Gesetzliche Aufbewahrung kann Löschungen in Einzelfällen aussetzen – dann mit dokumentierter Rechtfertigung.</p>"
        },
        {
            "question": "Was ist der Unterschied zwischen DSGVO und GoBD/Revisionssicherheit?",
            "answer": "<p>Die <strong>DSGVO</strong> klärt, <strong>ob und wie</strong> personenbezogene Daten <strong>recht</strong>mäßig verarbeitet werden (Zwecke, Rechte, TOMs). <strong>GoBD</strong> und <strong>Revisionssicherheit</strong> betreffen vor allem <strong>Nachweisbarkeit und Integrität</strong> von Aufzeichnungen in steuerlich/prüfungsnahen Kontexten. Dieselben Systeme können beides auslösen – die <strong>Fragestellungen</strong> sind aber verschieden; deshalb lohnt die saubere Trennung in Organisation und Dokumentation.</p>"
        },
        {
            "question": "Gilt die DSGVO auch für kleine Betriebe?",
            "answer": "<p><strong>Ja</strong>, der Anwendungsbereich richtet sich nach der <strong>Verarbeitung personenbezogener Daten</strong>, nicht nach Mitarbeiterzahl. Kleinbetriebe haben oft weniger formale Strukturen, müssen aber trotzdem Zwecke, Hinweise und Sicherheit adressieren – etwa wenn Zeiten, Bewerbungen oder Krankmeldungen digital anfallen. Ein fehlender <strong>Datenschutzbeauftragter</strong> entbindet nicht von der Einhaltung der Vorschriften.</p>"
        },
        {
            "question": "Was muss ich bei Zeiterfassung und DSGVO beachten?",
            "answer": "<p><strong>Stempelzeiten</strong> sind personenbezogene Daten: <strong>Transparenz</strong> (was wird erfasst, wie lange, wer sieht es?), <strong>Zweckbindung</strong> und <strong>Minimierung</strong> sind zentral. Technisch helfen rollenbasierte Zugriffe und nachvollziehbare Korrekturen – inhaltlich müssen Hinweise und ggf. <strong>Betriebsvereinbarungen</strong> zu eurem Setup passen. So verknüpfst du <strong>Arbeitszeiterfassung</strong> und Datenschutz ohne widersprüchliche Schattenprozesse.</p>"
        },
        {
            "question": "Wann ist eine Datenschutz-Folgenabschätzung (DSFA) nötig?",
            "answer": "<p>Eine <strong>DSFA</strong> kann bei <strong>hohem Risiko</strong> erforderlich sein – etwa bei umfangreicher Verarbeitung besonderer Kategorien, großflächiger Überwachung oder bestimmten automatisierten Entscheidungen. Für HR-Projekte (neue KI-Tools, umfassende Auswertungen) lohnt die frühe Prüfung mit Datenschutz und ggf. Fachrecht. Sie ersetzt keine Einzelfallbewertung, strukturiert aber Risiken und Gegenmaßnahmen.</p>"
        },
        {
            "question": "Was tun bei einer Datenpanne mit HR-Daten?",
            "answer": "<p>Zuerst intern <strong>klassifizieren</strong>: Welche Daten, welche Betroffenen, welches Risiko? <strong>Art. 33–34 DSGVO</strong> sehen bei bestimmten Vorfällen Fristen für Meldungen an <strong>Aufsichtsbehörden</strong> und ggf. Information der Betroffenen vor. HR sollte Ansprechpartner (IT-Security, Legal) und ein <strong>Incident-Playbook</strong> kennen – etwa bei verlorenem Gerät mit Bewerberlisten. Dokumentation der Maßnahmen ist Teil der <strong>Rechenschaftspflicht</strong>.</p>"
        }
    ]
}