![](https://cdn.prod.website-files.com/6465174b7da314983eeb8c01/64807fee5ea350dc6929a0bd_DSGVO.webp)
![](https://cdn.prod.website-files.com/6465174b7da314983eeb8c01/64807fee5ea350dc6929a0bd_DSGVO.webp)
Volljurist und Compliance-Experte
August 30, 2024
12 min
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
Die DSGVO ist eine EU-Verordnung zur Regelung des Datenschutzes seit 2018.
Privacy by Design und Privacy by Default sind zwei Schlüsselprinzipien der DSGVO.
Unternehmen müssen unter bestimmten Bedingungen einen Datenschutzbeauftragten bestellen.
Bei Verstoß gegen die DSGVO drohen Unternehmen hohe Geldbußen.
In diesem Artikel rund um die DSGVO erfahren Sie alles Wichtige rund um die Datenschutz-Grundverordnung.
Unter anderem:
Die DSGVO ist die EU-Datenschutzgrundverordnung. Sie ist eine Vorschrift, die einheitlich in der ganzen EU gilt. Weitere Bezeichnungen für sie sind: EU-DSGVO, General Data Protection Regulation (GDPR) oder Datenschutzgrundverordnung. Sie regelt, wie Unternehmen und Behörden mit den personenbezogenen Daten ihrer Besucher, Kunden oder Nutzer umgehen sollen. Sie gilt seit dem 25. Mai 2018.
Zum Thema Datenschutz gab es innerhalb der EU sehr unterschiedliche Regelungen und Standards. Mit der DSGVO wurde 2018 ein einheitliches Regelwerk geschaffen. Ziel ist es, den Datenschutz in der EU einheitlich zu regeln, um abweichende Regelungen in den verschiedenen EU-Ländern zu vermeiden.
Stattdessen gilt nun in der gesamten EU ein einheitliches Datenschutzniveau mit durchgängigen gesetzlichen Regelungen. Die DSGVO regelt den Schutz der personenbezogenen Daten auf der einen und den Schutz des freien Binnenmarktes und des freien Datenverkehrs in der EU auf der anderen Seite. In Deutschland gelten auch weitere Datenschutzgesetze: so das neue Bundesdatenschutzgesetz Deutschland (BDSG-neu), das TMG und das TKG. Diese dienen als Erweiterung und Konkretisierung der DSGVO.
Die DSGVO hat zwei Anwendungsbereiche: den sachlichen und den räumlichen. Der sachliche Anwendungsbereich (merke: Geht es hier zur Sache? Also geht es hier um Daten?) bestimmt, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nicht automatisierten Verarbeitung Daten in einem Dateisystem gespeichert werden sollen.
Der räumliche Anwendungsbereich der DSGVO (merke: Sind die Daten räumlich, also in der EU betroffen?) ergibt sich bei der Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet.
Im Gegensatz zur alten EU-Datenschutzrichtlinie müssen die Vorschriften der DSGVO nicht separat in nationale Gesetze der Mitgliedsstaaten übertragen werden. Sie gilt für alle Länder gleichermaßen. Lediglich die nationalen Gesetze, wie in Deutschland das BDSG-neu, müssen geprüft und gegebenenfalls angepasst werden.
Darüber hinaus sind laut DSGVO auch Unternehmen aus Drittländern betroffen, sofern deren Datenverarbeitung die personenbezogenen Daten von EU-Bürgern betrifft. Die Auskunftsrechte der betroffenen Personen wurden ausgeweitet, und eine Einwilligungserklärung kann und darf jederzeit ohne Angabe von Gründen widerrufen werden.
Ein weiterer Unterschied: Unternehmen müssen sich bei falschen oder veralteten Daten darum kümmern, dass auch Dritte über die Löschung oder Korrektur in Kenntnis gesetzt werden. Im Falle eines Verstoßes gegen die DSGVO drohen erheblich höhere Geldbußen als bei der alten Richtlinie.
Es gibt in der DSGVO zwei wichtige Prinzipien, die insbesondere für Softwaredesigner und Webdesigner relevant sind: Privacy by Design und Privacy by Default.
Datenschutz ist kompliziert. Es gibt zahlreiche Punkte zu beachten. Das Konzept der DSGVO beachtet viele wichtige Gesichtspunkte. Daraus resultieren zahlreiche Aufgaben für Unternehmen, dieses Konzept auch umzusetzen. Die Grundsätze sind:
Für den Betroffenen muss immer ersichtlich sein, aus welchem Grund und für welchen Zweck seine personenbezogenen Daten verarbeitet werden. Eine heimliche Verarbeitung ist somit unzulässig.
Der Zweck der Verarbeitung muss bei der Verarbeitung personenbezogener Daten vor der Erhebung der Daten festgelegt werden. Eine nachträgliche Änderung des Zwecks ist nicht zulässig. Es muss gewährleistet werden, dass keine zweckentfremdete Verarbeitung der erhobenen Daten stattfindet.
Es dürfen bei der Datenverarbeitung nur so viele Daten gesammelt werden wie für den jeweiligen Verarbeitungszweck unbedingt notwendig. Es gilt der Grundsatz: So viele Daten wie nötig, so wenige Daten wie möglich. Dadurch soll der Betroffene vor einer übermäßigen Preisgabe personenbezogener Daten geschützt werden.
Personenbezogene Daten müssen nicht nur richtig und aktuell sein, sondern auch aus zuverlässigen Quellen stammen. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden.
Personenbezogene Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Es sei denn, der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen. Solange die Aufbewahrungsfrist läuft, werden die Daten nicht gelöscht, aber für eine weitere Nutzung gesperrt. Es gilt: Gelöschte Daten sind die sichersten Daten. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt werden.
Personenbezogene Daten müssen sicher und vertraulich behandelt werden. Unbefugte dürfen keinen Zugang zu ihnen haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
Ein Unternehmen muss gegenüber Aufsichtsbehörden nachweisen können, alle Vorgaben der DSGVO einzuhalten. Daher müssen die getroffenen rechtlichen, technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes genauestens dokumentiert werden.
Dies bedeutet, dass entsprechende Dokumente, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahrt und archiviert werden, damit diese im Ernstfall unverzüglich griffbereit sind.
Grundsätzlich ist das Thema Datenschutzbeauftragter für alle Unternehmen relevant, die mit personenbezogenen Nutzer- und Kundendaten zu tun haben.
Die Datenschutzgrundverordnung (DSGVO) und das neue BDSG schreiben per Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen zutrifft:
Nach der DSGVO hat der Datenschutzbeauftragte folgende Aufgaben: Er ist erster Ansprechpartner für die Anfragen von verantwortlichen Behörden. Zudem ist er verpflichtet, Unternehmen über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung der Datenschutzgesetze zu überwachen.
Auch führt er das Verarbeitungsverzeichnis und berät und unterstützt Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Der Datenschutzbeauftragte ist Ansprechpartner für Geschäftsführung, Mitarbeitende sowie Vertrieb und Marketing in allen Fragen im Umgang mit Nutzer- und Kundendaten.
Grundsätzlich kann jeder Datenschutzbeauftragter werden. Er muss über die Qualifikation und das Fachwissen zur Wahrnehmung seiner gesetzlich vorgesehenen Aufgaben verfügen. Konkrete Kenntnisse und Ausbildungen sind jedoch nicht vorgesehen – weder in der DSGVO noch im BDSG-neu.
Es ist dennoch nützlich, wenn ein zertifizierter Datenschutzbeauftragter benannt wird, der seine Datenschutzkenntnisse mit einem Zertifikat (etwa vom TÜV) belegen kann. Es kann auch ein externer Datenschutzbeauftragter von SECJUR genutzt werden, der stets alle Grundsätze der DSGVO beachtet.
Schon die Anforderungen an eine Einwilligung, die oft einzuholen ist, sind anspruchsvoll: Die Einwilligung der betroffenen Personen ist die Möglichkeit, eine rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten. Sie muss in erster Linie freiwillig, bestimmt, in informierter Weise, ausdrücklich und unmissverständlich sein. Ein Einwilligungsbewusstsein sowie eine gewisse Einsichtsfähigkeit werden darüber hinaus ebenfalls vorausgesetzt.
Zu den Daten besonderer Kategorien gehören: Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Aber auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Diese Daten benötigen einen besonderen Schutz. Sie dürfen grundsätzlich nicht verarbeitet werden. Eine der möglichen Ausnahmen: Die Person hat ausdrücklich ihre Einwilligung erteilt.
Unternehmen sind dazu verpflichtet, ihren Kunden auf Verlangen Informationen über die gespeicherten Daten zuzusenden. Dazu gehören: Zweck der Datenverarbeitung, Kategorien personenbezogener Daten, Empfänger oder Kategorien von Empfängern der Daten, Übermittlungen personenbezogener Daten in ein Drittland, geplante Speicherdauer oder Kriterien für die Festlegung und Beschwerde.
Nutzer können verlangen, dass unwahre Daten entsprechend berichtigt oder ergänzt werden.
Das Recht auf Löschung tritt dann ein, wenn der Zweck für die Verarbeitung der Daten weggefallen ist, der Nutzer seine Einwilligung widerrufen hat und ein Recht auf Datenverarbeitung nicht bestand.
EU-Bürger können von Suchmaschinenbetreibern wie Google unter bestimmten Voraussetzungen verlangen, dass ihre Suchergebnisse nicht mehr angezeigt werden. Die DSGVO verankert diesen Anspruch nicht nur gegenüber Google, Bing und Co., sondern gegen jede Stelle, die personenbezogene Daten verarbeitet.
Betroffene haben zudem das Recht, der Datenverarbeitung für Direktwerbung zu widersprechen und unter bestimmten Voraussetzungen diese einzuschränken.
Nutzer können ihre personenbezogenen Daten zu einem anderen Anbieter mitnehmen beziehungsweise von einem Anbieter verlangen, dass er seine personenbezogenen Daten an einen anderen weitergibt.
Normalerweise hat ein Unternehmen gemäß DSGVO all diese Punkte umzusetzen. Statt dies langwierig und einzeln anzugehen, können Sie auch einfach den Datenschutz-as-a-Service von SECJUR nutzen, der das automatisiert für Sie erledigt.
Eine Datenschutzverletzung liegt in jeder Verletzung der Sicherheit vor. Diese führt unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Beispielsweise kann dies der Fall sein, wenn Hacker im Rahmen eines Cyber-Angriffs personenbezogene Daten abgreifen oder wenn Datenträger mit personenbezogenen Daten verloren gehen oder gestohlen werden.
Verantwortliche sind grundsätzlich verpflichtet, eine Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde zu melden und auch betroffene Personen zu benachrichtigen. Es gibt dabei jedoch eine Ausnahme: Eine Meldung an die Datenschutzaufsichtsbehörde kann unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung an die Datenschutzaufsichtsbehörde muss folgenden Inhalt haben: eine Beschreibung der Art der Verletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung.
Verantwortliche müssen die Verletzung binnen 72 Stunden, nachdem sie ihnen bekannt wurde, melden.
Auch hier ist SECJUR hilfreich, denn das Datenschutzmodul von SECJUR erkennt automatisiert Datenschutzvorfälle, die sie dann mit dem Experten- und Juristenteam von SECJUR besprechen und lösen können.
Eine Datenschutzerklärung thematisiert die Verarbeitung von Informationen und Daten durch eine Organisation. Dazu gehören personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, IP-Adresse. Die Datenschutzerklärung ist abzugrenzen von der Einwilligung im Datenschutz. Bei der Einwilligung geht es darum, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten zulässt, weil das Gesetz die Datenverarbeitung nicht erlaubt.
Der Inhalt richtet sich danach, wie genau Unternehmen mit den personenbezogenen Daten der Nutzer umgehen. Im allgemeinen Teil der Erklärung sollten Nutzer darüber informiert werden, was die Datenschutzerklärung ist. Zudem muss angegeben werden, wer für die Erklärung verantwortlich ist und wer der Datenschutzbeauftragte ist.
Im besonderen Teil der Datenschutzerklärung muss deutlich gemacht werden, zu welchem Zweck und auf welcher Rechtsgrundlage die Verarbeitung der Daten erfolgt. Die Nutzer müssen außerdem über die Rechte informiert werden. Zudem gehören in die Erklärung: Informationen zur Datenverarbeitung, zur Datenübertragung an andere und zur Erforderlichkeit.
Es gibt diverse Muster oder Vorlagen für eine Datenschutzerklärung. Der Nachteil dabei ist jedoch, dass damit keine konkret auf eine Website ausgerichtete Erklärung erstellt werden kann. Stattdessen können Sie einfach den Datenschutz-as-a-Service von SECJUR nutzen, der das automatisiert für Sie erledigt.
Unternehmen müssen, wenn sie personenbezogene Daten verarbeiten, sicherstellen, dass diese geschützt werden. Dies geschieht mit der Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um unterschiedliche Vorkehrungen, die von Verantwortlichen im Unternehmen getroffen werden müssen. Hierzu gehört unter anderem, die Verfügbarkeit der personenbezogenen Daten und deren Verschlüsselung zu gewährleisten.
Auch wichtig ist die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM.
Hierzu sollte ein Datenschutzbeauftragter im Unternehmen bestellt oder ein externer Datenschutzbeauftragter von SECJUR genutzt werden. Mit dem DCO (Digital Compliance Office) von SECJUR können alle Richtlinien und Vorgaben zur DSGVO ganz einfach automatisiert überwacht und eingehalten werden.
Der Bußgeldkatalog der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor. Die Aufsichtsbehörde darf aber auch Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen. Maßgeblich ist hierbei der höhere der beiden Werte.
Den Internetriesen Google erwischte es in der Vergangenheit bereits. Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld in Höhe von 50 Millionen Euro gegen Google und sanktionierte damit einen rechtswidrigen Einrichtungsprozess auf dem Betriebssystem Android.
Die CNIL bemängelte, dass Nutzer des Betriebssystems Android wichtige Datenschutzinformationen nicht oder nur schwer einsehen können. So könnten sie zum Beispiel nur schwer herausfinden, wie lange Google die Nutzerdaten speichert und wie es diese weiterverarbeitet.
Man merkt, wie komplex Datenschutz und seine Aufgaben im unternehmerischen Alltag sein können. Die Einhaltung der DSGVO ist gesetzlich vorgeschrieben. Es ist unverzichtbar, dass ein Unternehmen mit der Verantwortung in der EU sich bei der Verarbeitung von personenbezogenen Daten mit den zahlreichen Punkten der DSGVO auseinandersetzt und diese umsetzt. Wie das erfolgen soll, haben Sie hier erfahren.
Datenschutz kommt nicht nur der Bevölkerung, sondern auch personenbezogenen Daten im Unternehmen zugute, die diese Daten in sicheren Händen Dritter wissen wollen.
SECJUR bietet im Digital Compliance Office (DCO), unserer Compliance-Plattform, auch ein Datenschutz-Modul nach Maßstäben der DSGVO an – damit wird Compliance für Unternehmen digital viel einfacher gemacht. Der große Vorteil unseres Datenschutzmoduls: Mit diesem Modul werden automatisiert wichtige Vorgaben und Gesetze erfüllt, Datenschutzvorfälle können direkt nach Gesetzesvorgaben eruiert werden und Sie profitieren von der persönlichen Betreuung durch unser erfahrenes Datenschutzexperten- und Juristenteam.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
ISO 27001 Anforderungen verstehen: Wir bieten einen umfassenden Blick auf die Implementierung. Unser Artikel beleuchtet die zentralen ISO 27001 Anforderungen für Informationssicherheitsmanagementsysteme (ISMS). Von der Bedeutung der ISO 27001 als Goldstandard bis hin zu konkreten Schritten für die Zertifizierung decken wir alles ab. Erfahren Sie, wie Unternehmen von der ISO 27001 profitieren können, von erhöhtem Stakeholder-Vertrauen bis zu verbesserten internen Prozessen und Risikomanagement.
Die NIS2 Richtlinie markiert einen entscheidenden Schritt der Stärkung der Cybersicherheit in der Europäischen Union. Angesichts steigender Cyberbedrohungen setzt sie klare Standards. Auf Unternehmen kommen erhebliche finanzielle Investitionen zu. Die Richtlinie fördert Zusammenarbeit zwischen Mitgliedstaaten, stärkt Resilienz und trägt zur Bewältigung großflächiger Cybersicherheitsvorfälle bei. Zugleich stehen der EU Herausforderungen bevor, die eine regelmäßige Anpassung der Cybersicherheitsstrategie erfordern.
Wie startet man den ISMS Aufbau? Von der Risikobewertung bis zur kontinuierlichen Verbesserung – welche Schritte sind entscheidend? In diesem Artikel lesen Sie, warum ein starkes ISMS nicht nur eine Notwendigkeit, sondern auch eine Chance ist, Ihr Unternehmen vor digitalen Gefahren zu schützen. Welcher ISMS Standard ist am besten für Ihr Unternehmen geeignet und ermöglicht Ihnen Wettbewerbsvorteile?