Kontakt
Kontakt
Recht & Datenschutz

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist die seit 2018 EU-weit verbindliche Regelung für die Verarbeitung personenbezogener Daten. Sie verpflichtet jede verantwortliche Stelle zu Transparenz, Rechtsgrundlage, Datensparsamkeit und technisch-organisatorischen Schutz-Maßnahmen.

Die DSGVO ist der zentrale Rechtsrahmen für die digitale Verarbeitung personenbezogener Daten in Europa. Sie betrifft jede Website, die mehr ist als ein rein privates Tagebuch – also faktisch jeden geschäftsmäßigen Internet-Auftritt.

In einfachen Worten

Die DSGVO regelt den Umgang mit personenbezogenen Daten in Europa. Sie definiert weit, was als personenbezogenes Datum gilt: nicht nur Name oder E-Mail-Adresse, sondern auch IP-Adresse, Cookie-Kennungen, Bestell-Historie und vergleichbare Informationen, über die eine Person identifizierbar wird. Wer solche Daten verarbeitet, benötigt eine klare Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse), muss transparent über die Verarbeitung informieren und die Daten technisch wie organisatorisch angemessen schützen. Die Bußgeld-Obergrenze ist in Artikel 83 DSGVO geregelt und liegt bei bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist. Hinzu kommen zivilrechtliche Schadensersatz-Ansprüche Betroffener und das Abmahn-Risiko durch Wettbewerber und Verbraucherzentralen.

Wozu brauche ich das?

Jede Website verarbeitet personenbezogene Daten – sei es über Server-Protokolle, Kontaktformulare, Analyse-Werkzeuge oder eingebundene externe Dienste. DSGVO-Konformität ist keine optionale Maßnahme, sondern gesetzliche Pflicht, auch für die kleinste Visitenkarten-Website. Verstöße führen zu Abmahnungen mit erheblichen Pauschal-Forderungen pro Vorfall, im schwereren Fall zu behördlichen Bußgeldern und Schadensersatz-Ansprüchen Betroffener.

Beispiel aus der Praxis

Eine typische Fundstelle bei einer Datenschutz-Prüfung im Mittelstand: ein Webanalyse- oder Tracking-Werkzeug ohne Einwilligung aktiv, kein Vertrag zur Auftragsverarbeitung mit dem Newsletter-Dienstleister, eine veraltete Datenschutzerklärung, die nicht mit den tatsächlich eingesetzten Werkzeugen übereinstimmt. Eine saubere Aufarbeitung adressiert mehrere Ebenen parallel: ein rechtskonformes Einwilligungs-Werkzeug auf der Website, vollständige Verträge zur Auftragsverarbeitung mit allen externen Dienstleistern, eine aktualisierte Datenschutzerklärung im Abgleich mit dem tatsächlichen Einsatz und ein internes Verarbeitungs-Verzeichnis. Die anwaltliche Bewertung der Rechtsgrundlagen und die Erstellung der Datenschutzerklärung erfolgt in Zusammenarbeit mit einem Datenschutz-Berater oder Fachanwalt; die technische Umsetzung auf der Website ist Aufgabe der umsetzenden Agentur.

Wirtschaftlicher Nutzen

DSGVO-Konformität ist gesetzliche Pflicht ohne unmittelbaren Umsatz-Hebel. Der wirtschaftliche Nutzen entsteht primär aus der Vermeidung von Bußgeldern, Abmahnungen und Schadensersatz-Ansprüchen. Hinzu kommt ein zunehmend relevanter B2B-Aspekt: Geschäftspartner verlangen verstärkt Nachweise über die Datenschutz-Aufstellung – fehlt diese, scheitern Geschäfts-Aufnahmen bereits im Lieferanten-Auswahl-Prozess. Eine saubere Aufstellung wird damit vom reinen Kosten-Vermeidungs- zum strategischen Eignungs-Faktor.

Typische Fehler

  • Datenschutzerklärung aus einem Generator unverändert übernommen, ohne die tatsächlich eingesetzten Werkzeuge darin zu benennen – häufiger Abmahn-Grund.
  • Keine Verträge zur Auftragsverarbeitung mit externen Dienstleistern abgeschlossen – Standard-Pflicht bei jedem externen Werkzeug, das personenbezogene Daten verarbeitet.
  • Newsletter-Anmeldungen ohne dokumentiertes Double-Opt-In-Verfahren – jeder Versand ohne nachweisbare Einwilligung ist datenschutzrechtlich angreifbar.
  • Kein Verarbeitungs-Verzeichnis geführt – ist nach Artikel 30 DSGVO ab dem ersten Beschäftigten verpflichtend.
  • Personenbezogene Daten an Anbieter außerhalb der EU übermittelt, ohne die nach dem Schrems-II-Urteil erforderlichen zusätzlichen Schutz-Maßnahmen zu prüfen.

Worauf achten?

  • Datenschutzerklärung individuell an die tatsächlich eingesetzten Werkzeuge angepasst, nicht nur als Generator-Text übernommen.
  • Verträge zur Auftragsverarbeitung mit allen externen Dienstleistern abgeschlossen und dokumentiert.
  • Verarbeitungs-Verzeichnis nach Artikel 30 DSGVO geführt – Pflicht ab dem ersten Beschäftigten oder ab regelmäßiger Verarbeitung sensibler Daten.
  • TOM (Technische und organisatorische Maßnahmen) dokumentiert – als Nachweis gegenüber Aufsichtsbehörden und Geschäftspartnern.
  • Bei Anbietern außerhalb der EU besonders sorgfältig prüfen – seit dem Schrems-II-Urteil erfordert die Drittstaaten-Übermittlung dokumentierte zusätzliche Schutz-Maßnahmen.

Häufig gestellte Fragen

Wofür steht DSGVO?

Datenschutz-Grundverordnung. Englisch GDPR (General Data Protection Regulation). Die Verordnung ist seit dem 25. Mai 2018 EU-weit verbindlich anwendbar und regelt einheitlich den Umgang mit personenbezogenen Daten in den Mitgliedstaaten.

Welche Bußgelder drohen bei Verstößen?

Artikel 83 DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor – je nachdem, welcher Betrag höher ist. Hinzu kommen zivilrechtliche Schadensersatz-Ansprüche Betroffener.

Was sind personenbezogene Daten?

Alle Informationen, über die eine natürliche Person identifizierbar wird – direkt oder indirekt. Dazu zählen Name, E-Mail-Adresse, IP-Adresse, Cookie-Kennungen, Bestell-Historie, Standort-Daten und Profil-Kombinationen, die eine Identifizierung ermöglichen.

Was bedeutet das Schrems-II-Urteil?

Das EuGH-Urteil von 2020 hat den damaligen EU-US-Datenschutz-Rahmen für unwirksam erklärt. Übermittlungen personenbezogener Daten in Drittstaaten ohne angemessenes Datenschutz-Niveau erfordern seither dokumentierte zusätzliche Schutz-Maßnahmen. Auch nach dem nachfolgenden Datenschutz-Rahmen bleibt die Drittstaaten-Übermittlung sensibel und sollte sorgfältig geprüft werden.

Ab wann ist ein Verarbeitungs-Verzeichnis Pflicht?

Nach Artikel 30 DSGVO ab dem ersten Beschäftigten – oder unabhängig davon, sobald Verarbeitungen nicht nur gelegentlich erfolgen oder besondere Kategorien personenbezogener Daten betreffen. Für die meisten Unternehmen ist das Verzeichnis damit faktisch verbindlich.

Zurück zu Recht & Datenschutz