Die DSGVO (Datenschutz-Grundverordnung) gilt seit Mai 2018 – und viele Unternehmen sind sich immer noch unsicher: Was bedeutet DSGVO konkret? Bin ich betroffen? Was muss ich tun?
Dieser Guide erklärt die DSGVO-Grundlagen verständlich, ohne Juristendeutsch. Sie erfahren, welche Pflichten gelten, welche Strafen drohen und wie Sie Ihr Unternehmen DSGVO-konform aufstellen.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) – offiziell: General Data Protection Regulation (GDPR) – ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt.
Kernziele der DSGVO:
- Schutz personenbezogener Daten: Personen in der EU sollen Kontrolle über ihre Daten haben
- Einheitliches Datenschutzniveau: Gleiche Regeln in allen 27 EU-Mitgliedstaaten – mit nationalen Spielräumen durch zahlreiche (je nach Zählweise rund 50 bis 70) sogenannte Öffnungsklauseln
- Transparenz: Unternehmen müssen offen kommunizieren, was sie mit Daten machen
- Verantwortung: Unternehmen haften für Datenschutzverstöße
Seit wann gilt die DSGVO? Seit dem 25. Mai 2018 – mit einer Übergangsfrist von 2 Jahren (ab Veröffentlichung 2016).
Wer ist von der DSGVO betroffen?
Kurz: So gut wie jedes Unternehmen in der EU – egal ob Einzelunternehmer, KMU oder Konzern.
Sie sind betroffen, wenn mindestens EINE Bedingung zutrifft:
- Sie haben eine Niederlassung in der EU (z.B. Büro, Filiale, GmbH mit Sitz in Deutschland)
- Sie verarbeiten Daten von Personen in der EU (z.B. Kunden, Website-Besucher, Newsletter-Abonnenten – unabhängig von deren Staatsangehörigkeit, Art. 3 Abs. 2 DSGVO)
- Sie bieten Waren/Dienstleistungen in der EU an (auch kostenlos, z.B. kostenlose Apps)
- Sie beobachten das Verhalten von Personen in der EU (z.B. Tracking, Cookies, Analytics)
Beispiele:
- Deutsche GmbH mit Website → DSGVO gilt
- Österreichischer Onlineshop → DSGVO gilt
- US-Unternehmen mit EU-Kunden → DSGVO gilt
- Freelancer mit E-Mail-Marketing → DSGVO gilt
- Rein privates Tagebuch ohne Veröffentlichung von Daten Dritter → enge Ausnahme (Haushaltsprivileg), im Zweifel anwaltlich klären
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Beispiele für personenbezogene Daten:
- Direkt identifizierend: Name, E-Mail-Adresse, Telefonnummer, Adresse
- Online-Kennungen: IP-Adresse, Cookie-ID, Geräte-ID (IMEI), Social-Media-Handle
- Physische Merkmale: Geburtsdatum, Geschlecht, Augenfarbe, Fingerabdruck
- Wirtschaftliche Daten: Gehalt, Kreditwürdigkeit, Kaufhistorie
- Besondere Kategorien (sensibel!): Gesundheitsdaten, ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische/biometrische Daten, Sexualleben oder sexuelle Orientierung
Wichtig: Auch indirekt identifizierbare Daten fallen unter die DSGVO – z.B. „IP-Adresse + Zeitstempel" kann eine Person identifizieren.
Die 7 DSGVO-Grundprinzipien
Artikel 5 DSGVO definiert 7 Grundprinzipien, die für jede Datenverarbeitung gelten:
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Sie brauchen eine Rechtsgrundlage für jede Datenverarbeitung (siehe unten) und müssen transparent kommunizieren, was Sie mit den Daten machen.
2. Zweckbindung
Daten dürfen nur für den ursprünglich angegebenen Zweck verarbeitet werden. Beispiel: Wenn Sie eine E-Mail für „Newsletter" erheben, dürfen Sie sie nicht für „Werbeanrufe" nutzen.
3. Datenminimierung
Erheben Sie nur die Daten, die Sie wirklich brauchen. Beispiel: Für einen Newsletter brauchen Sie NUR die E-Mail-Adresse – nicht Name, Adresse, Geburtsdatum.
4. Richtigkeit
Daten müssen aktuell und korrekt sein. Fehlerhafte Daten müssen unverzüglich korrigiert werden.
5. Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es notwendig ist. Beispiel: Bewerbungsunterlagen werden in der Praxis nach Absage meist maximal 6 Monate aufbewahrt (Praxisempfehlung wegen AGG-Klagefrist, keine feste DSGVO-Vorgabe).
6. Integrität und Vertraulichkeit
Sie müssen Daten durch geeignete technische und organisatorische Maßnahmen (TOMs) schützen (z.B. Verschlüsselung, Zugriffskontrolle, Backups).
7. Rechenschaftspflicht
Sie müssen die Einhaltung der DSGVO nachweisen können (z.B. durch ein Verzeichnis von Verarbeitungstätigkeiten – VVT).
Die 6 Rechtsgrundlagen der DSGVO
Sie dürfen Daten nur verarbeiten, wenn mindestens EINE dieser Bedingungen erfüllt ist:
- Einwilligung: Die Person hat freiwillig und informiert zugestimmt (z.B. Cookie-Banner, Newsletter-Anmeldung).
- Vertragserfüllung: Die Daten sind zur Erfüllung eines Vertrags nötig (z.B. Adresse für Warenversand).
- Rechtliche Verpflichtung: Ein Gesetz schreibt die Verarbeitung vor (z.B. Aufbewahrungspflicht für Rechnungen).
- Lebenswichtige Interessen: Zum Schutz des Lebens einer Person (z.B. Notarzt erhält Patientendaten).
- Öffentliches Interesse: Für Aufgaben im öffentlichen Interesse (betrifft meist Behörden).
- Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung Ihrer berechtigten Interessen erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DSGVO; z.B. Direktwerbung an Bestandskunden).
Pflichten für Unternehmen
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Dokumentation aller Datenverarbeitungen.
- Datenschutzerklärung: Transparente Information auf Ihrer Website.
- Technische & Organisatorische Maßnahmen (TOMs): IT-Sicherheit gewährleisten.
- Auftragsverarbeitungsverträge (AVV): Verträge mit Dienstleistern (z.B. Hoster, Newsletter-Tool).
- Datenschutz-Folgenabschätzung (DSFA): Bei risikoreichen Verarbeitungen.
- Meldepflicht bei Datenpannen: Unverzüglich, möglichst binnen 72 Stunden ab Bekanntwerden an die Aufsichtsbehörde – sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt (Art. 33 Abs. 1 DSGVO).
- Datenschutzbeauftragter: In Deutschland zu benennen, sofern in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG). In anderen EU-Staaten (z.B. Österreich) gilt ausschließlich Art. 37 DSGVO (Kerntätigkeit entscheidend).
Rechte der Betroffenen
Betroffene Personen haben unter anderem folgende Rechte:
- Auskunftsrecht (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung („Vergessenwerden") (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Mitteilungspflicht bei Berichtigung/Löschung (Art. 19)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
- Recht bzgl. automatisierter Entscheidungen/Profiling (Art. 22)
Strafen und Bußgelder
Verstöße können teuer werden:
- Bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (bei formellen Verstößen, z.B. fehlender AVV).
- Bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (bei materiellen Verstößen, z.B. Verarbeitung ohne Rechtsgrundlage).
Erste Schritte zur DSGVO-Compliance
- Bestandsaufnahme: Welche Daten verarbeiten Sie wo und warum?
- VVT erstellen: Dokumentieren Sie Ihre Verarbeitungstätigkeiten.
- Datenschutzerklärung prüfen: Ist sie aktuell und vollständig?
- AVVs abschließen: Prüfen Sie alle Ihre Dienstleister.
- Mitarbeiter schulen: Sensibilisieren Sie Ihr Team für den Datenschutz.
DSGVO im Kontext anderer EU-Digitalgesetze (2026)
Die DSGVO ist Teil eines umfassenden EU-Regulierungspakets für die digitale Wirtschaft. Unternehmen müssen zunehmend mehrere Verordnungen gleichzeitig beachten:
- Digital Services Act (DSA): Regelt die Verantwortlichkeit von Online-Plattformen für illegale Inhalte. Gilt seit Februar 2024 vollständig.
- Digital Markets Act (DMA): Sonderregeln für „Gatekeeper" (große Tech-Plattformen). Betrifft die meisten KMU nicht direkt – indirekt aber durchaus, z.B. wenn Sie auf Gatekeeper-Plattformen wie Amazon oder Google verkaufen.
- Data Act: Regelt Datenzugang und -weitergabe (z.B. IoT-Daten). Seit September 2025 anwendbar. Für SaaS relevant: Cloud-Switching-Rechte (Kunden können Anbieter mit max. 2 Monaten Frist wechseln), Datenportabilität, Verbot von Wechselhürden.
- Data Governance Act: Erleichtert freiwillige Datenweitergabe und Datenaltruismus. Seit September 2023 anwendbar.
- EU AI Act: Reguliert KI-Systeme nach Risikostufen. Verbote gelten seit Februar 2025, GPAI-Pflichten (General Purpose AI) seit August 2025, allgemeine Anwendbarkeit (inkl. Transparenzpflichten) ab August 2026; Hochrisiko-KI nach Annex III ab 2027 (per Digital Omnibus voraussichtlich 2. Dezember 2027). → AI Act Guide
Wichtig: Diese Gesetze ergänzen die DSGVO, ersetzen sie aber nicht! Die DSGVO bleibt die Grundlage für jeden Umgang mit personenbezogenen Daten.
FAQ zu DSGVO
Brauche ich einen Datenschutzbeauftragten (DSB)?
Das hängt von Ihren Kerntätigkeiten und Ihrem Standort ab:
Nach DSGVO (Art. 37) – gilt EU-weit: Ein DSB ist Pflicht, wenn Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen oder in der großflächigen Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten) besteht.
Deutschland (§ 38 Abs. 1 BDSG) – Sonderregelung: Ein DSB ist zusätzlich zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Österreich: Es gilt ausschließlich Art. 37 DSGVO – keine „20-Mitarbeiter-Regel". Die Bestellung eines DSB richtet sich allein nach den DSGVO-Kriterien (Kerntätigkeit).
Was ist der Unterschied zwischen DSGVO und ePrivacy-Richtlinie?
DSGVO: Regelt den generellen Umgang mit personenbezogenen Daten.
ePrivacy-Richtlinie: Spezialgesetz für elektronische Kommunikation (regelt z.B. Cookies, Tracking, E-Mail-Werbung). Die geplante ePrivacy-Verordnung als Nachfolgerin der Richtlinie steckt seit 2017 im EU-Gesetzgebungsverfahren fest und ist Stand 2026 noch nicht verabschiedet.
Wie lange darf ich Kundendaten speichern?
Grundregel: Nur so lange wie nötig für den Zweck.
Beispiele:
- Bewerbungen: ca. 6 Monate nach Absage (Praxisempfehlung wegen AGG-Klagefrist, keine feste DSGVO-Vorgabe)
- Rechnungen/Buchungsbelege: 8 Jahre (§ 147 AO / § 257 HGB, seit 01.01.2025; Bücher und Jahresabschlüsse weiterhin 10 Jahre)
- Newsletter-Abos: Bis Widerruf
- Website-Logs: Häufige Praxisempfehlung: 7 Tage (IT-Sicherheit) – manche Aufsichtsbehörden akzeptieren je nach Einzelfall auch längere Fristen
Gilt die DSGVO auch in Österreich und der Schweiz?
Österreich: Ja, die DSGVO gilt direkt als EU-Mitgliedstaat. Zuständige Behörde: Datenschutzbehörde (DSB), dsb.gv.at
Schweiz: Die DSGVO gilt nicht direkt (kein EU-Mitglied), ABER:
- Schweizer Unternehmen mit EU-Kunden/Niederlassung müssen DSGVO beachten
- Die Schweiz hat ein ähnliches Gesetz: DSG (Datenschutzgesetz, SR 235.1), seit 1. September 2023 in Kraft
- DSG ist stark an der DSGVO orientiert (ähnliche Prinzipien, Auskunftsrechte, Meldepflichten)
- Zuständige Behörde: EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter),edoeb.admin.ch