Grundlagen der DSGVO – Umfassender Leitfaden für Unternehmen

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) – im Original: General Data Protection Regulation (GDPR) – ist eine europäische Verordnung zum Schutz personenbezogener Daten. Sie gilt seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar und hat nationale Datenschutzgesetze weitgehend ersetzt oder ergänzt.

Ziel der DSGVO ist es, ein einheitliches Datenschutzniveau in der Europäischen Union zu schaffen. Sie soll sicherstellen, dass personenbezogene Daten geschützt werden und gleichzeitig der freie Datenverkehr innerhalb der EU gewährleistet bleibt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören klassische Daten wie Name, Adresse, E-Mail-Adresse, Telefonnummer, aber auch:

IP-Adressen, Standortdaten, Online-Kennungen (z.B. Cookies), biometrische Daten (z.B. Fingerabdrücke), Fotos, Videos, Gesundheitsdaten, Bankverbindungen, Personalnummern und viele weitere Informationen. Entscheidend ist: Die Person muss identifizierbar sein – entweder direkt oder indirekt durch Kombination mehrerer Informationen.

Sie haben Fragen zur DSGVO-Compliance in Ihrem Unternehmen? Kontaktieren Sie uns per WhatsApp für eine schnelle Ersteinschätzung.

Wer muss die DSGVO beachten?

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten – unabhängig von der Unternehmensgröße. Auch Einzelunternehmer, Freiberufler, Vereine und Kleinbetriebe müssen die Vorschriften beachten.

Räumlicher Anwendungsbereich

Die DSGVO gilt für alle Unternehmen und Organisationen, die in der EU ansässig sind und personenbezogene Daten verarbeiten – unabhängig davon, wo die Verarbeitung stattfindet. Sie gilt auch für Unternehmen außerhalb der EU, wenn diese Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten.

Verantwortlicher vs. Auftragsverarbeiter

Die DSGVO unterscheidet zwischen Verantwortlichem und Auftragsverarbeiter:

Der Verantwortliche (Art. 4 Nr. 7 DSGVO) ist die Stelle, die allein oder gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheidet. Beispiel: Ihr Unternehmen entscheidet, welche Kundendaten erhoben werden und wofür sie verwendet werden – Sie sind der Verantwortliche.

Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Beispiel: Sie beauftragen einen externen IT-Dienstleister mit der Wartung Ihres Servers, auf dem Kundendaten gespeichert sind – der Dienstleister ist Auftragsverarbeiter.

Die sechs Grundprinzipien der DSGVO

Art. 5 DSGVO legt sechs Grundsätze für die Verarbeitung personenbezogener Daten fest. Diese Prinzipien bilden das Fundament der gesamten Verordnung und müssen bei jeder Datenverarbeitung beachtet werden.

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Daten dürfen nur auf rechtmäßiger Grundlage verarbeitet werden (siehe Art. 6 DSGVO). Die Verarbeitung muss für die betroffene Person nachvollziehbar sein – Sie müssen transparent informieren, welche Daten Sie zu welchem Zweck erheben.

2. Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Weiterverarbeitung zu anderen Zwecken ist grundsätzlich unzulässig. Beispiel: Sie erheben E-Mail-Adressen für den Newsletter-Versand – diese dürfen nicht ohne Weiteres für Werbung per Telefon verwendet werden.

3. Datenminimierung

Sie dürfen nur die Daten erheben, die für den jeweiligen Zweck erforderlich sind. Keine „Datensammelwut auf Vorrat”. Beispiel: Für den Versand eines Produkts benötigen Sie Name und Adresse – aber nicht das Geburtsdatum oder die Religionszugehörigkeit.

4. Richtigkeit

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen. Sie müssen geeignete Maßnahmen ergreifen, um die Richtigkeit der Daten sicherzustellen.

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach müssen sie gelöscht werden – es sei denn, es bestehen gesetzliche Aufbewahrungspflichten (z.B. steuerrechtliche Fristen).

6. Integrität und Vertraulichkeit (Datensicherheit)

Sie müssen durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Daten vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt sind. Dazu gehören etwa Verschlüsselung, Zugangskontrollen, regelmäßige Backups und Mitarbeiterschulungen.

Rechtsgrundlagen für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Ohne eine solche Rechtsgrundlage ist die Verarbeitung unzulässig. Die DSGVO nennt sechs mögliche Rechtsgrundlagen:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer Daten gegeben. Die Einwilligung muss freiwillig, informiert, eindeutig und in der Regel schriftlich oder elektronisch nachweisbar sein. Wichtig: Die Einwilligung kann jederzeit widerrufen werden.

Beispiel: Newsletter-Versand, Nutzung von Cookies zu Marketingzwecken, Veröffentlichung von Fotos auf der Website.

2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung ist erforderlich zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen. Dies ist die wichtigste Rechtsgrundlage im geschäftlichen Verkehr.

Beispiel: Speicherung von Kundendaten zur Abwicklung eines Kaufvertrags, Versand einer bestellten Ware, Rechnungsstellung.

3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Beispiel: Aufbewahrung von Rechnungen und Buchungsbelegen aufgrund steuer- und handelsrechtlicher Pflichten.

4. Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen. Dies ist ein Ausnahmetatbestand, der selten greift. Beispiel: Weitergabe von Gesundheitsdaten im Notfall.

5. Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO)

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies betrifft vor allem Behörden und öffentliche Stellen.

6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Die Verarbeitung ist zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Diese Rechtsgrundlage erfordert eine sorgfältige Abwägung.

Beispiel: Direktwerbung an Bestandskunden, Videoüberwachung zur Gebäudesicherung, Bonitätsprüfung vor Vertragsabschluss.

Rechte der betroffenen Personen

Die DSGVO räumt betroffenen Personen umfassende Rechte ein, die Sie als Verantwortlicher erfüllen müssen. Die wichtigsten Rechte sind:

1. Auskunftsrecht (Art. 15 DSGVO)

Betroffene können Auskunft darüber verlangen, welche personenbezogenen Daten Sie über sie verarbeiten. Sie müssen umfassend informieren: welche Daten, zu welchem Zweck, an wen sie weitergegeben werden, wie lange sie gespeichert werden etc.

2. Recht auf Berichtigung (Art. 16 DSGVO)

Sind die Daten unrichtig oder unvollständig, können Betroffene die Berichtigung verlangen. Sie müssen die Daten dann unverzüglich korrigieren.

3. Recht auf Löschung / Vergessenwerden (Art. 17 DSGVO)

Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer Daten verlangen – etwa wenn die Daten nicht mehr erforderlich sind oder die Einwilligung widerrufen wurde. Ausnahmen bestehen z.B. bei gesetzlichen Aufbewahrungspflichten.

4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Betroffene können verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird – etwa wenn die Richtigkeit der Daten bestritten wird oder ein Löschungsanspruch nicht eindeutig ist. Die Daten dürfen dann nur noch gespeichert, aber nicht mehr aktiv verarbeitet werden.

5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

In bestimmten Fällen können Betroffene die Übertragung ihrer Daten an einen anderen Anbieter verlangen – etwa bei Wechsel des Cloud-Anbieters oder Social-Media-Plattform. Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.

6. Widerspruchsrecht (Art. 21 DSGVO)

Betroffene können der Verarbeitung ihrer Daten widersprechen – insbesondere wenn die Verarbeitung auf einem berechtigten Interesse beruht oder zu Direktwerbungszwecken erfolgt. Sie müssen dann die Verarbeitung einstellen, es sei denn, Sie können zwingende schutzwürdige Gründe nachweisen.

Pflichten für Unternehmen

Neben den Grundprinzipien und der Beachtung der Betroffenenrechte müssen Sie als Verantwortlicher zahlreiche konkrete Pflichten erfüllen. Die wichtigsten sind:

1. Informationspflichten (Art. 13, 14 DSGVO)

Sie müssen die betroffenen Personen transparent und umfassend informieren, wenn Sie deren Daten erheben. Dies erfolgt in der Regel über eine Datenschutzerklärung auf Ihrer Website oder ein Informationsblatt. Pflichtangaben sind: Identität des Verantwortlichen, Zweck der Verarbeitung, Rechtsgrundlage, Empfänger der Daten, Speicherdauer, Rechte der Betroffenen und vieles mehr.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Sie müssen ein Verzeichnis führen, das alle Verarbeitungstätigkeiten dokumentiert. Darin listen Sie auf: welche Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, an wen Sie Daten weitergeben, wie lange Sie sie speichern und welche technischen und organisatorischen Maßnahmen Sie treffen.

Dieses Verzeichnis ist Pflicht für alle Unternehmen ab 250 Mitarbeitern. Kleinere Unternehmen sind davon ausgenommen, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte der Betroffenen, ist nicht nur gelegentlich oder umfasst besondere Datenkategorien (z.B. Gesundheitsdaten).

3. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Sie müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören: Verschlüsselung, Pseudonymisierung, Zugangskontrollen, regelmäßige Backups, Firewalls, Mitarbeiterschulungen, Löschkonzepte und vieles mehr.

4. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt, müssen Sie vorab eine Datenschutz-Folgenabschätzung durchführen. Dies betrifft etwa umfangreiche Profilbildung, automatisierte Entscheidungen mit Rechtswirkung oder Videoüberwachung öffentlich zugänglicher Bereiche.

5. Meldung von Datenpannen (Art. 33, 34 DSGVO)

Bei einer Datenpanne (z.B. Hackerangriff, Datenverlust, unbefugter Zugriff) müssen Sie die zuständige Datenschutzbehörde innerhalb von 72 Stunden informieren. In schwerwiegenden Fällen müssen auch die Betroffenen benachrichtigt werden.

💬 WhatsApp-Beratung

Datenschutzbeauftragter: Wann ist er Pflicht?

In bestimmten Fällen müssen Sie einen Datenschutzbeauftragten (DSB) benennen. Dies ist nach Art. 37 DSGVO und § 38 BDSG verpflichtend, wenn:

Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (bis September 2021 lag die Grenze noch bei 10 Personen, wurde aber durch das TTDSG angehoben). Die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern. Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten, rassische/ethnische Herkunft) oder strafrechtlicher Verurteilungen besteht. Geschäftsmäßig Daten zum Zweck der Übermittlung, Markt- oder Meinungsforschung verarbeitet werden.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO im Unternehmen, berät die Geschäftsleitung, schult Mitarbeiter, ist Ansprechpartner für Betroffene und die Datenschutzbehörde und führt Datenschutz-Audits durch. Er genießt einen besonderen Kündigungsschutz und darf bei seiner Tätigkeit nicht benachteiligt werden.

Bußgelder und Sanktionen

Die DSGVO sieht empfindliche Bußgelder bei Verstößen vor. Die Höhe richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Bußgeldkategorien

Die DSGVO unterscheidet zwei Bußgeldkategorien: Verstöße gegen formale Pflichten (z.B. fehlendes Verzeichnis der Verarbeitungstätigkeiten, fehlende Meldung einer Datenpanne) können mit bis zu 10 Millionen Euro oder 2% des Jahresumsatzes geahndet werden. Schwerwiegende materielle Verstöße (z.B. Verarbeitung ohne Rechtsgrundlage, Verletzung der Grundprinzipien, Missachtung von Betroffenenrechten) können mit bis zu 20 Millionen Euro oder 4% des Jahresumsatzes geahndet werden.

Faktoren bei der Bußgeldbemessung

Die Datenschutzbehörden berücksichtigen bei der Bußgeldbemessung unter anderem: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Maßnahmen zur Schadensminderung, frühere Verstöße, Zusammenarbeit mit der Aufsichtsbehörde und die finanzielle Leistungsfähigkeit des Unternehmens.

Zusätzliche Sanktionen

Neben Bußgeldern drohen weitere Sanktionen: Die Datenschutzbehörde kann die Datenverarbeitung untersagen oder einschränken. Betroffene können Schadensersatzansprüche nach Art. 82 DSGVO geltend machen, wenn ihnen durch einen Verstoß ein materieller oder immaterieller Schaden entstanden ist. Verstöße können auch zu Reputationsschäden führen – insbesondere wenn sie öffentlich bekannt werden.

Zusammenfassung und Handlungsempfehlungen

Die DSGVO stellt umfassende Anforderungen an den Umgang mit personenbezogenen Daten. Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mit den richtigen Maßnahmen können Sie Risiken minimieren und die Anforderungen erfüllen.