Back to Top

PHNETZ - Internetagentur

Marketing für Ihren Erfolg

DSGVO

DSGVO – Datenschutz‑Grundverordnung (EU‑Verordnung 2016/679)

 

Was ist die DSGVO?

Die Datenschutz‑Grundverordnung (DSGVO) ist eine Rechtsvorschrift der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten natürlicher Personen und gilt für alle Unternehmen, Behörden und Organisationen, die Daten von EU‑Bürgern verarbeiten – unabhängig davon, wo diese Unternehmen ihren Sitz haben.

 

Kerndefinitionen

Begriff
Definition
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E‑Mail, IP‑Adresse).
Verarbeitung
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Ändern, Weitergeben, Löschen).
Verantwortlicher
Natürliche oder juristische Person, die über Zweck und Mittel der Verarbeitung entscheidet.
Auftragsverarbeiter
Eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Einwilligung
Freiwillige, spezifische, informierte und ausdrückliche Zustimmung der betroffenen Person zur Datenverarbeitung.
Betroffene Person
Person, deren personenbezogene Daten verarbeitet werden.

Grundprinzipien der DSGVO

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    • Daten dürfen nur auf einer validen Rechtsgrundlage verarbeitet werden (z. B. Einwilligung, Vertrag, berechtigtes Interesse).
     
  2. Zweckbindung
    • Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
     
  3. Datenminimierung
    • Nur die für den Zweck nötigen Daten dürfen verarbeitet werden.
     
  4. Richtigkeit
    • Daten müssen korrekt und bei Bedarf aktualisiert sein.
     
  5. Speicherbegrenzung
    • Daten dürfen nicht länger als nötig gespeichert werden.
     
  6. Integrität und Vertraulichkeit
    • Angemessene Sicherheit (technisch und organisatorisch) muss gewährleistet sein.
     
  7. Rechenschaftspflicht
    • Der Verantwortliche muss die Einhaltung nachweisen können (Dokumentation, Audits).
 

Rechte der betroffenen Personen

Recht
Beschreibung
Auskunftsrecht
Betroffene können eine Bestätigung über die Verarbeitung und eine Kopie ihrer Daten verlangen.
Recht auf Berichtigung
Unrichtige Daten müssen korrigiert werden.
**Recht auf Löschung („Recht auf Vergessenwerden“) **
Daten müssen gelöscht werden, wenn kein Rechtsgrund mehr zur Verarbeitung besteht.
Recht auf Einschränkung der Verarbeitung
Verarbeitung kann temporär eingeschränkt werden (z. B. bei Rechtsstreit).
Recht auf Datenübertragbarkeit
Daten in einem strukturierten, gängigen Format erhalten und zu einem anderen Verantwortlichen übertragen.
Widerspruchsrecht
Betroffene können aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit widersprechen.
Recht auf Beschwerde
Beschwerde bei einer Aufsichtsbehörde (z. B. BfDI in Deutschland).

Pflichten für Unternehmen

  1. Datenschutz‑Folgenabschätzung (DSFA) – Bei hohem Risiko für die Rechte der Betroffenen (z. B. umfangreiche Profilbildung).
  2. Verzeichnis von Verarbeitungstätigkeiten – Dokumentation aller Datenverarbeitungen.
  3. Datenschutz‑By‑Design & By‑Default – Datenschutz bereits bei System‑Entwicklung integrieren.
  4. Meldung von Datenpannen – Innerhalb von 72 Stunden an die Aufsichtsbehörde melden, ggf. betroffene Personen informieren.
  5. Auftragsverarbeitungsvertrag (AVV) – Vertragliche Regelungen mit allen externen Dienstleistern, die Daten verarbeiten.
  6. Datenschutz‑Beauftragter (DSB) – Bei umfangreicher Verarbeitung, Kerntätigkeit im Bereich Datenschutz oder öffentliche Stelle.
  7. Schulung & Sensibilisierung – Regelmäßige Mitarbeiterschulungen zu Datenschutzthemen.
 

Bußgelder & Sanktionen

  • Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nach Schwere) bei Verstößen gegen die Grundprinzipien.
  • Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei Verstößen gegen Betroffenen‑Rechte, Auftragsverarbeiter‑Pflichten, Meldungspflichten usw.
 

Praxis‑Checkliste für kleine & mittlere Unternehmen (KMU)

Aufgabe
Kurzbeschreibung
Datenschutz‑Audit
Bestandsaufnahme: Welche Daten werden erhoben, wo gespeichert, wer hat Zugriff?
Rechtsgrundlage prüfen
Für jede Verarbeitung eine gültige Rechtsgrundlage definieren (Einwilligung, Vertrag, berechtigtes Interesse).
Einwilligungs‑Management
Opt‑in‑Formulare mit klarer Zweckangabe, Widerrufbarkeit implementieren.
Datenschutz‑Erklärung (Privacy‑Policy)
Transparent und leicht verständlich, inkl. Cookies‑Hinweis.
Technische Sicher­heit
Verschlüsselung (TLS, At‑Rest‑Verschlüsselung), regelmäßige Updates, Zugriffskontrollen.
Vertragliche AVVs
Alle Dienstleister (Hosting, SaaS, E‑Mail‑Provider) mit AVV ausstatten.
Mitarbeiter‑Schulung
Basis‑Datenschutz‑Training, Phishing‑Awareness, Umgang mit Kunden‑Daten.
Incident‑Plan
Vorgehensweise bei Datenpannen (Wer, was, wann melden).
Löschkonzept
Regelmäßige Löschung nicht mehr benötigter Daten (z. B. Log‑Files nach 30 Tagen).
Dokumentation
Datenschutz‑Impact‑Assessment, Verzeichnis der Verarbeitung, DSB‑Nachweis.

Internationale Datenübermittlung

  • Standardvertragsklauseln (SCCs), Binding Corporate Rules (BCRs) oder EU‑US‑Privacy‑Shield (bis 2020 gültig; seitdem ersetzt durch neue Regelungen) sind nötig, wenn Daten in Drittländer außerhalb der EU/​EWR übertragen werden.
 

Zusammenfassung

Die DSGVO stellt einen einheitlichen, strengen Rahmen für den Schutz personenbezogener Daten in der EU dar. Sie fordert von Unternehmen:

  • Transparenz, Rechenschaft und Sicherheit bei allen Datenverarbeitungen.
  • Rechte der Betroffenen zu achten und zu ermöglichen.
  • Risiken frühzeitig zu identifizieren (DSFA) und bei Verstößen schnell zu reagieren (Meldung innerhalb 72 Stunden).
 

Die Einhaltung der DSGVO schützt nicht nur vor hohen Bußgeldern, sondern stärkt das Vertrauen von Kunden und Partnern in die verantwortungsvolle Handhabung ihrer Daten.

 

Kontakt

Adresse
Robert‑Bosch‑Straße 8, 86551 Aichach

Telefon
📞 +49 (0)8251 8628574

E‑Mail
✉️ service@phnetz.de