HÄUFIG GESTELLTE FRAGEN

Grundlagen der DSGVO

Jede Information, die sich auf eine Person (in der Sprache der DSGVO eine betroffene Person) bezieht und die dazu verwendet werden kann, diese Person direkt oder indirekt zu identifizieren, gilt als personenbezogene Daten. Das kann alles sein, was mit der Person zu tun hat: ein Name, eine Telefonnummer, eine E-Mail-Adresse, ein Foto oder ein Video, eine Adresse oder ein Standort, eine Kontonummer, ein Autokennzeichen, ein Konto in den sozialen Medien usw.


Die DSGVO hat einen abgestuften Ansatz für Bußgelder eingeführt, was bedeutet, dass die Schwere des Verstoßes die Höhe des Bußgeldes bestimmt.  Wer seine Aufzeichnungen nicht in Ordnung hält oder Verstöße nicht an die Behörden meldet, kann mit einer Geldstrafe in Höhe von maximal 2 % seines weltweiten Jahresumsatzes belegt werden. Die maximale Geldstrafe für ein Unternehmen beträgt 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR, je nachdem, welcher Betrag höher ist.


Die DSGVO ist eine Verordnung, was bedeutet, dass die Verordnung als solche in Kraft getreten ist. Daher haben die Verordnungen in jedem Mitgliedsstaat verbindliche rechtliche Wirkung. Richtlinie hingegen bedeutet, dass die Mitgliedsstaaten entscheiden können, wie sie die in der Richtlinie festgelegten Ziele erreichen und in nationales Recht umsetzen wollen.


Ja, jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss die Datenschutz-Grundverordnung einhalten.


Organisationen, die außerhalb der Europäischen Union tätig sind, aber EU-Bürger beschäftigen, müssen die Anforderungen der Datenschutz-Grundverordnung einhalten. Das bedeutet, dass die EU-Bürger ihre Rechte gemäß der DSGVO wahrnehmen können, auch wenn das Unternehmen keine Geschäfte innerhalb der EU tätigt.


Alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die DSGVO einhalten, auch wenn sie nicht auf EU-Gebiet tätig sind.


Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen sich an die DSGVO halten, unabhängig davon, ob eine Zahlung erhoben wird oder nicht.


Artikel 4 (6) der Datenschutz-Grundverordnung legt die Definition für ein „Ablagesystem“ fest. Wenn die personenbezogenen Daten, die das Unternehmen manuell verarbeitet, in strukturierter Form vorliegen und die Verarbeitung in einer Datenbank erfolgt, dann gilt die DSGVO in der Tat. Wenn es sich um eine einmalige Verarbeitung handelt und das Unternehmen keine Datenbank verwendet, dann gilt die DSGVO möglicherweise nicht.

Organisatorische Abläufe

Es gibt eine Checkliste für kleine und mittelständische Unternehmen, die die meisten von ihnen anwenden müssen. Dazu gehören:

  • Das Führen von Verzeichnissen von Verarbeitungstätigkeiten. Seien Sie bereit, den Bericht über die Datenverarbeitungstätigkeiten bei Ihrer örtlichen Aufsichtsbehörde vorzulegen.
  • Beschreiben Sie Ihre Datenschutzrichtlinien und teilen Sie sie mit Ihren Kunden und Partnern. Als absolutes Minimum sollten Sie es auf Ihrer öffentlichen Website veröffentlichen.
  • Verwalten Sie Kundenanfragen auf der Grundlage der „Rechte der betroffenen Personen“, die die Datenschutz-Grundverordnung vorsieht. Es gibt acht Rechte, die in der DSGVO verankert sind: (1) Recht auf Bestätigung, (2) Recht auf Auskunft, (3) Recht auf Berichtigung, (4) Recht auf Löschung, (5) Recht auf Einschränkung der Verarbeitung, (6) Recht auf Datenübertragbarkeit, (7) Recht auf Widerspruch, (8) Rechte in Bezug auf automatisierte Entscheidungen im Einzelfall einschließlich Profiling.
  • Führen Sie eine Liste Ihrer Dienstleister (in der Sprache der DSGVO als Auftragsverarbeiter bezeichnet), die personenbezogene Daten für Sie verarbeiten, und schließen Sie mit jedem von ihnen eine Vereinbarung über die Verarbeitung personenbezogener Daten ab oder ändern Sie diese.

Verwalten Sie Verletzungen des Schutzes personenbezogener Daten und melden Sie diese Ihrer örtlichen Aufsichtsbehörde.


Unternehmen müssen einen Datenschutzbeauftragten (DSB) ernennen, wenn das Unternehmen

  • eine öffentliche Aufsichtsbehörde ist,
  • regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeitet,
  • in großem Umfang sensible personenbezogene Daten verarbeitet.

Wenn Sie keine dieser Tätigkeiten ausüben, müssen Sie keinen DSB ernennen.


Der DSB hat im Allgemeinen zwei Hauptaufgaben. Überwachung der Maßnahmen zur Einhaltung der DSGVO innerhalb der Organisation und Interaktion mit der Aufsichtsbehörde und den betroffenen Personen, deren Daten verarbeitet werden. Der Datenschutzbeauftragte könnte die Organisation auch über andere datenschutzrelevante Angelegenheiten informieren und beraten und das Bewusstsein durch Schulungen der Mitarbeiter schärfen.


Der für die Verarbeitung Verantwortliche ist die Person oder das Unternehmen, die/der den Zweck, die Mittel und die Bedingungen für die Verarbeitung personenbezogener Daten festlegt. Der für die Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen und ist in der Regel eine externe Einheit aus dem Unternehmen des für die Verarbeitung Verantwortlichen.


Jedes Unternehmen (oder jede Person), das/die in Ihrem Auftrag mit personenbezogenen Daten umgeht, wird (in der Sprache der DSGVO) als Auftragsverarbeiter bezeichnet. Beispiele für Auftragsverarbeiter sind Marketingunternehmen, Buchhalter, Zahlungs- und Lieferdienstleister, IT-/Cloud-Anbieter usw.

Sie müssen eine Liste Ihrer externen Dienstleister (Auftragsverarbeiter) und der von ihnen verarbeiteten Daten führen und eine Vereinbarung abschließen/überprüfen, in der die Regeln für den Umgang mit den personenbezogenen Daten Ihres Unternehmens festgelegt sind. Bitte beachten Sie, dass der Zugriff auf die Daten oder die bloße Speicherung der Daten aus Sicht der DSGVO einer Verarbeitung gleichkommt.

Sie sollten einen Auftragsverarbeitungsvertrag (AVV) mit jedem Auftragsverarbeiter unterzeichnet haben. Weitere Informationen über AVVs finden Sie hier.


Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Sie die Aufsichtsbehörde innerhalb von 72 Stunden nach Feststellung der Verletzung informieren.

Die Benachrichtigung muss Informationen darüber enthalten, welche Daten gestohlen wurden oder verloren gegangen sind, wie die Daten geschützt wurden (z. B. Pseudonymisierung) und wie sich die Verletzung auf die Personen auswirken kann, deren Daten betroffen waren (in der Sprache der DSGVO betroffene Personen). Wenn es sich um eine schwerwiegende Verletzung handelt, die Personen in hohem Maße betreffen kann, muss das Unternehmen auch die möglicherweise betroffenen Personen informieren.


Wenn die Datenverarbeitung und die gesammelten Daten zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen können, müssen Unternehmen bewerten, wie sich ihr Verarbeitungsmodell auf natürliche Personen auswirken kann und wie sie diese Prozesse vor externen Bedrohungen schützen können. Diese Folgenabschätzungen sind erforderlich, wenn das Unternehmen folgende Aktivitäten ausführt (Artikel 35):

  1. systematische und umfassende Auswertung personenbezogener Daten mit automatisierten Mitteln;
  2. Verarbeitung umfangreicher Daten besonderer Kategorien oder strafrechtlicher Verurteilungen und Straftaten;
  3. systematische Überwachung eines öffentlich zugänglichen Bereichs (z. B. Kameras mit Blick auf einen öffentlichen Bereich)

Betroffenen Personen

Wenn Sie bestimmte Aktivitäten mit personenbezogenen Daten durchführen (z. B. Online-Marketing), müssen Sie die Einwilligung der betroffenen Personen einholen.

Die Einwilligung muss klar und deutlich eingeholt werden. Sie muss von allen anderen Texten getrennt sein, sie muss klar, frei gegeben und spezifisch sein, so dass die Person weiß, wofür sie sie gibt. Vorgekreuzte Kästchen, Schweigen oder Inaktivität werden von der DSGVO nicht als Einwilligung gewertet; daher müssen Unternehmen eine direkte und formelle Einwilligung einholen.

Außerdem haben Personen das Recht, ihre Einwilligung jederzeit zu widerrufen (Opt-out). Sie müssen es Ihnen so leicht wie möglich machen, dies zu tun.


Gemäß der DSGVO kann die betroffene Person ihre Einwilligung jederzeit widerrufen. Der Widerruf der Einwilligung gilt jedoch nur für die zukünftige Verarbeitung personenbezogener Daten, nicht für Daten, die bereits verarbeitet wurden. Wenn die erhaltene Einwilligung nicht den Anforderungen der DSGVO entspricht, muss die Einwilligung erneut eingeholt werden.


Das Recht auf Vergessenwerden ist das Recht des Einzelnen (der betroffenen Person), von Unternehmen die Löschung oder Anonymisierung seiner personenbezogenen Daten zu verlangen (dies wird in der DSGVO als „Recht auf Vergessenwerden“ oder „Recht auf Löschung“ bezeichnet).

Gemäß der DSGVO „hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen“. Unter „unangemessener Verzögerung“ ist zu verstehen, dass der Antrag auf Löschung spätestens innerhalb eines Monats nach Eingang des Antrags auf Löschung oder nach Erhalt der Identitätsprüfung oder einer Gebühr, sofern eine solche erhoben werden kann, gestellt werden muss.

Die betroffene Person hat das Recht, dass ihre personenbezogenen Daten gelöscht werden, wenn:

  • Die personenbezogenen Daten sind für den ursprünglichen Zweck der Erhebung oder Verarbeitung nicht mehr erforderlich.
  • Das Unternehmen stützt sich auf die Einwilligung einer betroffenen Person als Rechtsgrundlage für die Verarbeitung der Daten und diese Person widerruft ihre Einwilligung.
  • Das Unternehmen beruft sich auf ein berechtigtes Interesse als Rechtsgrundlage, die betroffene Person widerspricht dieser Verarbeitung, und es besteht kein überwiegendes berechtigtes Interesse des Unternehmens, die Verarbeitung fortzusetzen.
  • Das Unternehmen verarbeitet personenbezogene Daten für Direktmarketingzwecke und die betroffene Person widerspricht dieser Verarbeitung.
  • Das Unternehmen hat die personenbezogenen Daten einer betroffenen Person unrechtmäßig verarbeitet.
  • Das Unternehmen muss personenbezogene Daten löschen, um einer gesetzlichen Verpflichtung nachzukommen.

Das Recht, die Daten einer Person zu verarbeiten, kann jedoch in den folgenden Situationen Vorrang vor dem Recht auf Vergessen haben:

  • Die Daten werden verwendet, um das Recht auf freie Meinungsäußerung und Information auszuüben.
  • Die Daten werden verwendet, um einer gesetzlichen Verpflichtung nachzukommen.
  • Die Daten werden verwendet, um eine Aufgabe zu erfüllen, die im lebenswichtigen oder öffentlichen Interesse durchgeführt wird.

Die Daten werden zur Rechtsverteidigung oder zur Geltendmachung anderer Rechtsansprüche verwendet.


Der Einzelne hat das Recht auf Bestätigung davon, wie und warum seine personenbezogenen Daten verarbeitet werden – das sogenannte Recht auf Bestätigung. Die Gründe für die Verarbeitung werden in der Regel bei der Einholung der Einwilligung der betroffenen Person erläutert. Die betroffene Person hat das Recht, auch nach dem geben ihrer Einwilligung informiert zu bleiben. Das bedeutet, dass das Unternehmen in der Lage sein sollte, der betroffenen Person knappe, verständliche, leicht zugängliche, kostenlose und klar geschriebene Informationen über die Verarbeitung zur Verfügung zu stellen.

Welche Informationen müssen Sie zur Verfügung stellen?

  • Den Name und die Kontaktdaten Ihrer Organisation.
  • Den Namen und die Kontaktdaten Ihres Vertreters oder Datenschutzbeauftragten (falls zutreffend).
  • Den Zweck der Verarbeitung.
  • Die Rechtsgrundlage für die Verarbeitung.
  • Die Kategorien der erhaltenen personenbezogenen Daten (wenn die personenbezogenen Daten nicht direkt von der Person erhalten werden).
  • Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
  • Die Einzelheiten der Übermittlung der personenbezogenen Daten an Drittländer oder internationale Organisationen (falls zutreffend).
  • Die Aufbewahrungsfristen für die personenbezogenen Daten.
  • Die Rechte, die Einzelpersonen in Bezug auf die Verarbeitung haben.
  • Das Recht auf Widerruf der Einwilligung (wenn die Einwilligung als Rechtsgrundlage verwendet wird).
  • Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
  • Die Quelle der personenbezogenen Daten (wenn die personenbezogenen Daten nicht direkt von der Person stammen).
  • Die Einzelheiten darüber, ob Personen gesetzlich oder vertraglich verpflichtet sind, die personenbezogenen Daten zur Verfügung zu stellen (falls zutreffend und falls die personenbezogenen Daten von der Person erhoben werden, auf die sie sich beziehen).

Die Einzelheiten über das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling (falls zutreffend).


Das Recht auf Datenübertragbarkeit bedeutet für eine Person, dass sie die Möglichkeit hat, ihre personenbezogenen Daten von einem Dienstleister zu erhalten und sie bei einem anderen für ihre eigenen Zwecke auf einfache und sichere Weise wieder zu verwenden. Sie ermöglicht es, Daten aus einer IT-Umgebung in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format in eine andere zu übertragen, ohne ihre Verwendbarkeit zu beeinträchtigen (sofern technisch möglich).

Gemäß Artikel 16 der DSGVO hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, auch in Form einer ergänzenden Erklärung.

Der für die Verarbeitung Verantwortliche sollte angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Daten korrekt sind, und um die Daten gegebenenfalls zu berichtigen. Der für die Verarbeitung Verantwortliche sollte die von der betroffenen Person vorgebrachten Argumente und Beweise berücksichtigen.

Bei der Verarbeitung von Daten von Kindern unter 16 Jahren für Online-Dienste ist die Einwilligung der Eltern erforderlich.

Digitales Marketing und Direktmarketing basieren auf den Daten, die das Unternehmen gesammelt hat, daher müssen die Marketingaktivitäten der DSGVO entsprechen. Die Einwilligung der betroffenen Personen muss eingeholt werden, und bestehende Einverständniserklärungen müssen überprüft werden. Es gibt mehrere Richtlinien, die bei der Kontaktaufnahme im B2B- und B2C-Bereich beachtet werden müssen. Lesen Sie mehr über Marketing im B2B-Bereich und die Regeln und Ausnahmen für Direktmarketing im Rahmen der DSGVO.

DSGVO-Terminologie

„DSB“ steht für Datenschutzbeauftragter. Die Rolle des Datenschutzbeauftragten (DSB) besteht darin, sicherzustellen, dass die Organisation die personenbezogenen Daten ihrer Mitarbeiter, Kunden, Anbieter oder anderer Personen in Übereinstimmung mit den geltenden Datenschutzbestimmungen verarbeitet. Datenschutzbeauftragte sind für die Überwachung der Datenschutzstrategie eines Unternehmens und deren Umsetzung verantwortlich, um die Einhaltung der Anforderungen der DSGVO sicherzustellen.

Der DSB unterstützt die Organisation bei der Überwachung der internen Compliance, informiert und berät über Datenschutzverpflichtungen, berät in Bezug auf Datenschutz-Folgenabschätzungen (DSFA) und fungiert als Ansprechpartner für betroffene Personen und die Aufsichtsbehörde.