DSGVO einfach erklärt – verständlicher Überblick für Unternehmen & Websites

Die Datenschutz-Grundverordnung betrifft praktisch jedes Unternehmen, jede Website und jeden Verein in Europa. Doch was genau steckt hinter dieser Verordnung, die seit 2018 für so viel Aufregung sorgt? In diesem Leitfaden erfahren Sie alles Wichtige zur DSGVO in verständlicher Sprache, ohne juristischen Fachjargon.

DSGVO kurz erklärt – der Schnellüberblick

Die Datenschutz Grundverordnung DSGVO ist ein europäisches Gesetz, das den Umgang mit personenbezogenen Daten regelt. Seit dem 25. Mai 2018 gilt die DSGVO unmittelbar in allen Mitgliedstaaten der Europäischen Union, ohne dass nationale Gesetze sie erst umsetzen müssen.

Die Verordnung betrifft nahezu jedes Unternehmen, jede Website und viele Organisationen. Auch Firmen außerhalb der EU müssen sich daran halten, wenn sie Daten von EU-Bürgern verarbeiten oder diesen Waren und Dienstleistungen anbieten.

• Die DSGVO ist seit dem 25.05.2018 das zentrale Datenschutzgesetz in der EU und ersetzt frühere nationale Regelungen weitgehend
• Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO in Deutschland, ersetzt sie aber nicht
• Personenbezogene Daten umfassen alle Informationen, die eine Person identifizierbar machen – von Namen über IP-Adressen bis zu Standortdaten
• Sieben Grundsätze bilden das Fundament jeder datenschutzkonformen Verarbeitung
• Bürger haben weitreichende Rechte: Auskunft, Berichtigung, Löschung und Datenübertragbarkeit
• Unternehmen müssen technische und organisatorische Maßnahmen treffen und diese dokumentieren
• Bei Datenpannen gilt eine 72-Stunden-Meldefrist an die Aufsichtsbehörde

Was ist die DSGVO? – Bedeutung und Ziel

Eine EU-Verordnung ist ein Rechtsakt, der unmittelbar in allen Mitgliedstaaten gilt. Im Unterschied zu einer Richtlinie muss sie nicht erst in nationales Recht umgewandelt werden. Die DSGVO – als EU-Verordnung – hat damit Vorrang vor nationalen Datenschutzgesetzen.

Die Abkürzung DSGVO steht für „Datenschutz-Grundverordnung”, im Englischen bekannt als General Data Protection Regulation (GDPR). Mit ihrer Einführung hat sie die alte Richtlinie 95/46/EG sowie viele nationale Vorschriften abgelöst und ein einheitliches Datenschutzrecht innerhalb der EU geschaffen.

Die Ziele der Datenschutzgrundverordnung lassen sich einfach zusammenfassen:

• Schutz personenbezogener Daten: Die Grundrechte und Freiheiten natürlicher Personen sollen bei jeder Datenverarbeitung gewahrt bleiben
• Einheitliche Regeln in der EU: Unternehmen und Organisationen finden in allen Mitgliedstaaten dieselben Vorgaben vor
• Stärkung der Bürgerrechte: Menschen sollen die Kontrolle über ihre eigenen Daten zurückgewinnen
• Freier Datenverkehr: Gleichzeitig soll der Austausch von Daten innerhalb der europäischen Wirtschaft nicht unnötig behindert werden

In Deutschland ergänzt das BDSG (Bundesdatenschutzgesetz) die DSGVO an bestimmten Stellen. Dies geschieht über sogenannte Öffnungsklauseln, die es nationalen Gesetzgebern erlauben, spezifische Bereiche zu konkretisieren. Das BDSG ersetzt die DSGVO jedoch nicht: Die europäische Verordnung bleibt der maßgebliche Rahmen.

Für wen gilt die DSGVO? (räumlicher und persönlicher Anwendungsbereich)

Der Geltungsbereich der DSGVO ist in Artikel 3 geregelt und folgt zwei wesentlichen Prinzipien.

Das Niederlassungsprinzip besagt: Alle Unternehmen und Organisationen mit Sitz oder Niederlassung in der EU unterliegen der DSGVO unabhängig davon, wo ihre Server stehen oder wo die eigentliche Datenverarbeitung stattfindet. Ein deutsches Unternehmen, das Daten auf Servern in den USA speichert, muss sich dennoch an die DSGVO halten.

Das Marktortprinzip erweitert den Anwendungsbereich noch deutlich: Auch Firmen ohne EU-Sitz müssen die DSGVO beachten, wenn sie:

• Waren oder Dienstleistungen an Personen in der EU anbieten (auch kostenlos)
• Das Verhalten von Personen in der EU beobachten, etwa durch Tracking auf einer Website

Ein US-amerikanischer Online-Shop, der an deutsche Kunden verkauft, unterliegt damit genauso der DSGVO wie ein Schweizer Unternehmen, das Nutzer auf seiner Website mit Analysetools trackt.

Die Verordnung betrifft dabei:

• Privatwirtschaftliche Unternehmen jeder Größe
• Öffentliche Stellen und Behörden
• Vereine und gemeinnützige Organisationen
• Selbstständige und Freiberufler

Rein private und familiäre Tätigkeiten fallen hingegen nicht unter die DSGVO. Ihr persönliches Adressbuch oder private Urlaubsfotos für den Familienkreis sind von den Bestimmungen ausgenommen.

Welche Daten sind „personenbezogene Daten”?

Die DSGVO definiert personenbezogene Daten in Artikel 4 als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist nicht, ob jemand die Person tatsächlich identifiziert, sondern ob dies grundsätzlich möglich wäre.

Klassische Beispiele für personenbezogene Daten:

• Name, Adresse, Telefonnummer
• E-Mail-Adresse
• Geburtsdatum
• Kontodaten und Kreditkartennummern
• Kfz-Kennzeichen
• Gesundheits- und Gehaltsdaten
• Fotos, auf denen Personen erkennbar sind

Digitale personenbezogene Daten:

• IP-Adresse
• Cookie-IDs und Geräte-Kennungen
• Standortdaten vom Gerät
• Online-Kundennummern
• Profil-IDs in Shops oder Social Media
• Nutzungsverhalten auf einer Website

Ein wichtiger Unterschied besteht zwischen anonymisierten und pseudonymisierten Daten:

Anonymisierte Daten sind so verändert, dass kein Rückschluss auf eine Person mehr möglich ist. Sie fallen nicht unter die DSGVO.

Pseudonymisierte Daten ersetzen direkte Identifikatoren durch Codes oder Nummern (etwa Kundennummer statt Name). Der Personenbezug kann jedoch mit zusätzlichen Informationen wiederhergestellt werden. Diese Daten unterliegen weiterhin vollständig der DSGVO und müssen entsprechend geschützt werden.

Die 7 Grundsätze der DSGVO einfach erklärt

Artikel 5 der DSGVO legt sieben Grundprinzipien fest, die jede Verarbeitung personenbezogener Daten erfüllen muss. Diese Grundsätze der DSGVO bilden das Fundament jeder Datenschutz-Strategie von der Website über das CRM-System bis zum Bewerbermanagement.

Unternehmen müssen die Einhaltung dieser Grundsätze nicht nur gewährleisten, sondern auch dokumentieren und jederzeit nachweisen können.

Rechtmäßigkeit, Fairness und Transparenz

Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage existiert und die Verarbeitung für Betroffene nachvollziehbar sowie fair abläuft.

Eine Rechtsgrundlage kann sein:

• Einwilligung: Der Nutzer stimmt aktiv zu (z. B. Newsletter-Anmeldung mit Checkbox)
• Vertragserfüllung: Die Datenverarbeitung ist zur Erfüllung eines Vertrags notwendig (z. B. Lieferadresse bei Online-Bestellung)
• Gesetzliche Pflicht: Das Gesetz verlangt die Verarbeitung (z. B. Steuerdaten)
• Berechtigtes Interesse: Das Unternehmen hat ein legitimes Interesse, das die Rechte der Betroffenen nicht überwiegt

Unternehmen müssen in klarer, verständlicher Sprache kommunizieren, welche Daten sie zu welchem Zweck und wie lange verarbeiten. Eine Datenschutzerklärung auf der Website, Hinweise bei Formularen und aussagekräftige Cookie-Banner gehören zum Standard. Versteckte Klauseln im Kleingedruckten widersprechen diesem Prinzip.

Zweckbindung

Daten dürfen nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben und genutzt werden.

Ein typisches Beispiel: Eine E-Mail-Adresse, die ein Kunde bei einer Bestellung angibt, darf ohne zusätzliche Einwilligung nicht für Werbezwecke verwendet werden. Der ursprüngliche Zweck war die Bestellabwicklung, nicht das Marketing.

Bei Zweckänderungen ist in der Regel eine neue Information oder Einwilligung der betroffenen Personen erforderlich. Unternehmen sollten ihre Verarbeitungszwecke klar definieren und im Verzeichnis der Verarbeitungstätigkeiten dokumentieren.

Datenminimierung

Die Grundidee lässt sich auf eine einfache Formel bringen: So wenig Daten wie möglich, so viel wie nötig.

Bei einer Newsletter-Anmeldung etwa reicht die E-Mail-Adresse völlig aus. Geburtsdatum und Telefonnummer sind in den meisten Fällen nicht erforderlich und sollten daher nicht abgefragt werden.

Praktische Empfehlungen:

• Formulare regelmäßig prüfen: Welche Felder sind wirklich notwendig?
• Optionale Felder kritisch hinterfragen
• Alte, nicht mehr benötigte Datenbestände bereinigen

Datenminimierung ist nicht nur datenschutzfreundlich, sondern vereinfacht auch Prozesse und reduziert Speicher- sowie Verwaltungsaufwand.

Richtigkeit der Daten

Personenbezogene Daten müssen sachlich richtig und, wenn nötig, aktuell sein. Fehlerhafte oder veraltete Informationen können zu falschen Entscheidungen führen und das Vertrauen der Betroffenen beschädigen.

Typische Anwendungsfälle:

• Aktualisierung von Adressdaten bei Kunden nach Umzug
• Korrektur falscher Stammdaten in CRM- oder HR-Systemen
• Bereinigung von Dubletten in Datenbanken

Nach Artikel 16 DSGVO haben Betroffene ein Recht auf Berichtigung fehlerhafter Daten. Unternehmen sollten daher einfache Korrekturmöglichkeiten bereitstellen, etwa eine Self-Service-Funktion im Kundenkonto oder eine gut erreichbare Kontaktadresse.

Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie sie für den festgelegten Zweck benötigt werden. Eine unbegrenzte Datenspeicherung „auf Vorrat” ist nicht zulässig.

Konkrete Beispiele:

• Bewerbungsunterlagen nach einer Absage: typischerweise 3–6 Monate aufbewahren, dann löschen
• Rechnungsdaten: wegen gesetzlicher Aufbewahrungsfristen in der Regel 10 Jahre
• Newsletter-Abonnenten: bei Abmeldung zeitnah aus dem Verteiler entfernen

Unternehmen sollten interne Löschfristen und Routinen festlegen. Eine jährliche Bestandsbereinigung in allen relevanten Systemen hilft, die Speicherbegrenzung einzuhalten. Nach Ablauf der Fristen müssen Daten gelöscht oder so anonymisiert werden, dass kein Personenbezug mehr besteht.

Integrität und Vertraulichkeit (Sicherheit)

Dieser Grundsatz verlangt, dass Daten vor unbefugtem Zugriff, Verlust oder unbeabsichtigter Veränderung geschützt werden. Datensicherheit ist damit kein optionales Extra, sondern eine Kernpflicht.

Typische technische Maßnahmen:

• Starke Passwörter und Zwei-Faktor-Authentifizierung
• Verschlüsselung von Daten bei Übertragung und Speicherung
• Regelmäßige Software-Updates und Sicherheits-Patches
• Zugriffsrechte nach dem „Need-to-know”-Prinzip
• Sichere Backup-Strategien

Organisatorische Maßnahmen:

• Regelmäßige Schulungen für Mitarbeitende
• Klare Berechtigungskonzepte
• Richtlinien zum Umgang mit mobilen Geräten und USB-Sticks
• Regelungen für Home-Office und Remote-Arbeit

Artikel 32 DSGVO verlangt „angemessene” Sicherheit. Was angemessen ist, hängt vom Risiko, Umfang und der Sensibilität der verarbeiteten Daten ab.

Rechenschaftspflicht

Unternehmen müssen nicht nur die Regeln einhalten, sondern auch jederzeit nachweisen können, dass sie das tun. Diese Beweislast liegt beim Unternehmen, nicht bei der Aufsichtsbehörde.

Typische Nachweisdokumente:

• Verzeichnis von Verarbeitungstätigkeiten
• Dokumentation eingeholter Einwilligungen
• Interne Datenschutzrichtlinien
• Schulungsnachweise der Mitarbeitenden
• Protokolle durchgeführter Datenschutz-Folgenabschätzungen

Diese Dokumentation ist im Falle einer behördlichen Prüfung oder nach einem Datenschutzvorfall entscheidend. Wer seine Compliance nicht nachweisen kann, steht im Zweifel schlecht da unabhängig davon, ob tatsächlich ein Verstoß vorlag.

Wichtige Rechte der betroffenen Personen

Die DSGVO gibt Bürgern umfassende Rechte, um die Kontrolle über ihre eigenen Daten zurückzuerlangen. Diese Betroffenenrechten sind für Unternehmen verbindlich und müssen innerhalb festgelegter Fristen erfüllt werden.

Recht auf Auskunft (Art. 15 DSGVO)

Jede Person darf wissen, welche Daten ein Unternehmen über sie gespeichert hat, zu welchem Zweck diese verarbeitet werden und an wen sie weitergegeben wurden. Unternehmen müssen diese Auskunft in der Regel innerhalb eines Monats erteilen.

Recht auf Berichtigung (Art. 16 DSGVO)

Fehlerhafte oder unvollständige Daten müssen auf Verlangen korrigiert oder ergänzt werden.

Recht auf Löschung / „Recht auf Vergessenwerden” (Art. 17 DSGVO)

Unter bestimmten Voraussetzungen können Betroffene verlangen, dass ihre Daten gelöscht werden. Dies kann sein, wenn der ursprüngliche Zweck entfallen ist oder eine Einwilligung widerrufen wurde. Ein typisches Beispiel: Die Löschung eines alten Online-Profils, das nicht mehr genutzt wird.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene können verlangen, ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten, um sie zu einem anderen Anbieter mitzunehmen. Dies erleichtert etwa den Wechsel des E-Mail-Anbieters oder Mobilfunkvertrags.

Widerspruchsrecht und Widerruf der Einwilligung

Gegen Verarbeitung auf Basis berechtigter Interessen kann Widerspruch eingelegt werden. Bei Direktwerbung ist dieser Widerspruch immer wirksam. Eine einmal erteilte Einwilligung kann jederzeit widerrufen werden mit Wirkung für die Zukunft.

Unternehmen sollten leicht auffindbare Kontaktwege und idealerweise Online-Formulare bereitstellen, über die Betroffene ihre Rechte geltend machen können.

Pflichten für Unternehmen – was konkret zu tun ist

Die DSGVO verlangt von Unternehmen technische und organisatorische Maßnahmen (TOM), um datenschutzkonform zu handeln. Die wichtigsten Pflichten im Überblick:

Verzeichnis von Verarbeitungstätigkeiten

Jedes Unternehmen muss dokumentieren, welche personenbezogenen Daten es verarbeitet. Dieses Verzeichnis funktioniert wie eine „Inventarliste” und enthält für jede Verarbeitung:

• Zweck der Verarbeitung
• Kategorien betroffener Personen und Daten
• Rechtsgrundlage
• Empfänger der Daten
• Geplante Löschfristen

Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss benannt werden, wenn:

• Die Kerntätigkeit des Unternehmens die umfangreiche, regelmäßige Überwachung von Personen erfordert
• Besondere Kategorien von Daten (z. B. Gesundheitsdaten) in großem Umfang verarbeitet werden
• In Deutschland: mindestens 20 Personen ständig mit der Verarbeitung personenbezogener beschäftigt sind

Der Datenschutzbeauftragte berät das Unternehmen, überwacht die Einhaltung der DSGVO und ist Ansprechpartner für Behörden und Betroffene.

Informationspflichten

Unternehmen müssen transparent informieren:

• Datenschutzerklärung auf der Website
• Hinweise bei Formularen und Kontaktanfragen
• Information von Kunden, Mitarbeitenden und Bewerbern über die Datenverarbeitung

Datenschutz-Folgenabschätzung

Bei Verarbeitungen mit hohem Risiko für Betroffene ist eine systematische Risikoanalyse erforderlich. Typische Fälle sind umfangreiches Profiling, Videoüberwachung sensibler Bereiche oder der Einsatz neuer Technologien.

Eine solche Datenschutz-Folgenabschätzung muss hohe Standards einhalten und ist für Unternehmen oft mit großem Aufwand verbunden. Hier kann die Einbindung eines externen Experten sich besonders lohnen.

Auftragsverarbeitung

Werden externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt (z. B. Cloud-Anbieter, Newsletter-Tools), ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Dieser muss unter anderem Angaben zum Zweck, Umfang und der Verantwortlichkeit der Datenverarbeitung enthalten.

Weitere technische und organisatorische Maßnahmen

Unternehmen müssen angemessene Sicherheitsmaßnahmen implementieren, darunter:

• Pseudonymisierung und Verschlüsselung
• Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit
• Regelmäßige Überprüfung der Wirksamkeit

Regelmäßige Schulungen für Mitarbeitende und klare interne Richtlinien, etwa zum Umgang mit E-Mails, USB-Sticks oder dem Versand von Kundendaten, runden die Compliance-Maßnahmen ab.

Was passiert bei Verstößen? – Bußgelder und Meldungen

Die DSGVO sieht empfindliche Sanktionen bei Verstößen vor. Aufsichtsbehörden können Bußgelder verhängen von:

• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für weniger schwere Verstöße
• Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwere Verstöße

Maßgeblich ist jeweils der höhere Betrag. Bei der Bemessung berücksichtigen die Behörden Faktoren wie:

• Art, Schwere und Dauer des Verstoßes
• Vorsatz oder Fahrlässigkeit
• Maßnahmen zur Schadensbegrenzung
• Kooperationsbereitschaft mit der Behörde
• Frühere Verstöße

Meldepflicht bei Datenpannen

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten unrechtmäßig offengelegt, verändert oder vernichtet werden. Typische Beispiele:

• Datenleck durch Hackerangriff
• Verlorener Laptop mit unverschlüsselten Kundendaten
• Versehentlich veröffentlichte Mitarbeiterlisten
• Fehlgeleitete E-Mails mit sensiblen Anhängen

Solche Vorfälle müssen in der Regel innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Bei hohem Risiko für die Betroffenen müssen auch diese selbst informiert werden in klarer und verständlicher Sprache.

Gute Vorbereitung zahlt sich aus: Wer Prozesse für den Ernstfall etabliert hat, kann schneller reagieren und Schäden sowie Bußgelder begrenzen. Im Ernstfall hilft auch hier ein externer Experte beim Krisenmanagement.

DSGVO einfach umsetzen – praktische Tipps zum Abschluss

Die DSGVO ist komplex, lässt sich aber mit systematischem Vorgehen handhabbar machen. Niemand erwartet Perfektion von heute auf morgen – entscheidend ist der kontinuierliche Verbesserungsprozess.

Starten Sie mit einer Bestandsaufnahme:

• Welche personenbezogenen Daten verarbeiten Sie?
• Wo werden diese Daten gespeichert?
• Zu welchem Zweck und auf welcher Rechtsgrundlage?
• Wie lange bewahren Sie die Daten auf?

Gehen Sie schrittweise vor:

• Datenschutzerklärungen und Einwilligungstexte prüfen und aktualisieren
• Verträge mit Dienstleistern (Auftragsverarbeitung) überprüfen
• Sicherheitsniveau durch technische und organisatorische Maßnahmen erhöhen
• Löschkonzepte entwickeln und umsetzen

Etablieren Sie Datenschutz als laufenden Prozess:

Kontinuierliche Überprüfung ist wichtiger als eine vermeintlich perfekte Einmal-Lösung. Datenschutz sollte ein fester Bestandteil der Unternehmensorganisation werden.

Regelmäßige Schulungen, jährliche Überprüfungen und eine offene Fehlerkultur helfen dabei, dauerhaft compliant zu bleiben und auf neue Anforderungen reagieren zu können.

Eine gute DSGVO-Umsetzung stärkt das Vertrauen von Kunden, Mitarbeitenden und Geschäftspartnern. In einer Welt, in der Datenpannen und Datenmissbrauch regelmäßig Schlagzeilen machen, wird verantwortungsvoller Umgang mit Daten zum echten Wettbewerbsvorteil.Sie möchten sich bei der Compliance mit der DSGVO professionell beraten lassen? Als Anwalt für Datenschutzrecht und externer Datenschutzbeauftragter stehe ich Ihnen gerne mit Rat und Tat zur Seite.