top of page

DSGVO

  • OFFIZ Content Team
  • 12. Nov.
  • 3 Min. Lesezeit
Bausteine

Die DSGVO (Datenschutz-Grundverordnung, engl. GDPR) regelt seit 2018, wie personenbezogene Daten in der EU rechtmäßig verarbeitet werden. Dieser Leitfaden erklärt, für wen die DSGVO gilt, welche Pflichten Unternehmen haben, welche Rechte Betroffene genießen – und wie die praxisnahe Umsetzung gelingt.


Inhaltsverzeichnis


Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung von personenbezogenen Daten vereinheitlicht. Ziele sind:

  • Schutz der Privatsphäre und informationellen Selbstbestimmung,

  • Transparenz in der Datenverarbeitung,

  • Rechenschaftspflicht für Verantwortliche,

  • einheitliche Regeln für alle EU-Mitgliedstaaten.


Kernbegriffe:

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, E-Mail, IP, Kundennummer).

  • Verarbeitung: Jeder Umgang mit Daten – vom Erheben bis zum Löschen.

  • Verantwortlicher / Auftragsverarbeiter: Wer über Zwecke und Mittel entscheidet (Verantwortlicher) bzw. im Auftrag handelt (Auftragsverarbeiter).


Für wen gilt die DSGVO?

Die DSGVO gilt:

  • Unternehmens- und branchenübergreifend – vom Start-up über den Online-Shop bis zum Konzern, einschließlich Vereinen und Freiberufler:innen.

  • Ortunabhängig (Marktortprinzip): Auch Nicht-EU-Unternehmen müssen sie beachten, wenn sie Waren/Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (z. B. Tracking).

  • Für B2B & B2C: Es kommt auf die Datenart, nicht auf die Kundengruppe an.

Ausnahmen sind eng gefasst (z. B. rein persönliche/haus­halts­bezogene Tätigkeiten).


Zentrale Pflichten für Unternehmen

Die wichtigsten Anforderungen im Überblick:


1) Rechtsgrundlagen & Datensparsamkeit

  • Verarbeiten Sie Daten nur, wenn eine Rechtsgrundlage besteht: Einwilligung, Vertragserfüllung, rechtliche Pflicht, berechtigtes Interesse, Schutz lebenswichtiger Interessen, öffentliche Aufgabe.

  • Datenminimierung: Erheben Sie nur, was wirklich nötig ist; definieren Sie Löschfristen.


2) Transparenz & Informationspflichten

  • Datenschutzhinweise klar, verständlich und vollständig (Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer, Rechte).

  • Cookie-/Tracking-Banner nur, wenn tatsächlich zustimmungspflichtige Technologien eingesetzt werden; Einwilligungen müssen freiwillig, informiert, spezifisch und widerrufbar sein.


3) Betroffenenrechte ermöglichen

  • Prozesse für Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit etablieren.

  • Fristen einhalten (in der Regel 1 Monat).


4) Technische & organisatorische Maßnahmen (TOM)

  • Sicherheit nach Stand der Technik: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Backups, Protokollierung.

  • Privacy by Design & by Default: Datenschutz in Produkt-/Prozessdesign und Voreinstellungen.


5) Nachweis & Dokumentation

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) führen.

  • Auftragsverarbeitungsverträge (AVV) mit Dienstleistern schließen.

  • Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko.

  • Meldepflichten bei Datenpannen: In der Regel innerhalb von 72 Stunden an die Aufsichtsbehörde; ggf. Benachrichtigung der Betroffenen.


6) Organisation & Verantwortung

  • Datenschutzbeauftragte:n (DSB) benennen, wenn erforderlich (z. B. umfangreiche, regelmäßige Überwachung oder besondere Kategorien von Daten).

  • Schulungen und Policies für Mitarbeitende; klare Rollen, Berechtigungen und Eskalationswege.


7) Internationale Datenübermittlungen

  • Übermittlungen in Drittländer nur mit geeigneten Garantien (z. B. Standardvertragsklauseln); prüfen Sie Zusatzmaßnahmen und Datensitz.


Arbeit am Laptop

Rechte betroffener Personen

Betroffene haben u. a. Anspruch auf:

  • Auskunft über verarbeitete Daten, Zwecke, Empfänger, Speicherdauern.

  • Berichtigung unrichtiger Daten und Löschung („Recht auf Vergessenwerden“).

  • Einschränkung der Verarbeitung und Widerspruch (z. B. gegen Direktwerbung).

  • Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format.

  • Beschwerde bei einer Datenschutzaufsichtsbehörde.

Unternehmen müssen die Identität prüfen, Anfragen dokumentieren und fristgerecht beantworten.


Praxis: Umsetzung, Bußgelder & Tipps


Schritt-für-Schritt-Plan

  1. Ist-Analyse: Datenbestände, Systeme, Tools, Empfänger, Rechtsgrundlagen.

  2. VVT erstellen/aktualisieren und Löschkonzept festlegen.

  3. Rechtsgrundlagen prüfen, Einwilligungen sauber gestalten (Opt-in, Protokollierung).

  4. TOM umsetzen: Verschlüsselung, Rollen & Rechte, sichere Passwörter/MFA.

  5. AVV mit allen Dienstleistern (Cloud, Newsletter, Analytics) abschließen.

  6. Transparenz: Datenschutzhinweise & Cookie-Banner rechtssicher gestalten.

  7. Betroffenenprozesse einüben; Vorlagen und Ticketsystem nutzen.

  8. DSFA bei hohem Risiko; Ergebnisse dokumentieren.

  9. Vorfallmanagement: Incident-Playbook, Meldewege, 72-Stunden-Timer.

  10. Schulung & Awareness als Daueraufgabe verankern.


Bußgelder & Risiken

  • Bei Verstößen drohen Geldbußen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist).

  • Zusätzlich: Reputationsschäden, behördliche Auflagen, Abmahnungen und Schadensersatzansprüche.


Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Für konkrete Fälle wenden Sie sich an Fachjurist:innen oder Ihre Aufsichtsbehörde.

 
 
bottom of page