Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Grundverordnung (DSGVO) – Was Unternehmen in Deutschland beachten müssen

Einführung

Seit dem 25. Mai 2018 gilt europaweit die Datenschutz-Grundverordnung (DSGVO). Sie ersetzt zahlreiche bisherige nationale Datenschutzvorschriften und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG-neu) ergänzt. Die DSGVO stellt strengere Anforderungen an Unternehmen im Umgang mit personenbezogenen Daten.

Die deutschen Datenschutzaufsichtsbehörden prüfen die Einhaltung der neuen Vorschriften. Bei Verstößen drohen erhebliche Geldbußen – je nach Art des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes. Daher ist es für Organisationen entscheidend, sich gut vorzubereiten.

Ziel der DSGVO

Die DSGVO soll vor allem die Rechte betroffener Personen stärken und Unternehmen zu mehr Transparenz, Rechenschaftspflicht und Datenschutz-Sicherheit verpflichten. Organisationen müssen jederzeit nachweisen können, dass sie die gesetzlichen Vorgaben einhalten.

Wichtige Neuerungen für Unternehmen

  1. Rechte der Betroffenen

    • Betroffene haben erweiterte Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.

    • Unternehmen müssen Prozesse schaffen, um diese Anfragen fristgerecht bearbeiten zu können.

  2. Verzeichnis der Verarbeitungstätigkeiten

    • Jedes Unternehmen ist verpflichtet, ein aktuelles Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO).

    • Dieses Verarbeitungsverzeichnis dient als Nachweis gegenüber den Aufsichtsbehörden.

  3. Datenschutz-Folgenabschätzung (DPIA)

    • Bei risikoreichen Verarbeitungen ist eine Datenschutz-Folgenabschätzung durchzuführen.

    • Ergibt die DPIA ein hohes Risiko, kann eine vorherige Konsultation mit der zuständigen Datenschutzaufsichtsbehörde erforderlich sein.

  4. Privacy by Design & Privacy by Default

    • Datenschutz muss bereits bei der Entwicklung von Produkten und Prozessen berücksichtigt werden (Privacy by Design).

    • Standardmäßig dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind (Privacy by Default).

  5. Meldepflicht bei Datenschutzverletzungen

    • Datenpannen sind innerhalb von 72 Stunden an die zuständige Behörde zu melden (Art. 33 DSGVO).

    • In bestimmten Fällen müssen auch die betroffenen Personen informiert werden.

Sanktionen bei Verstößen

  • Bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes bei Verstößen gegen Verfahrenspflichten (z. B. fehlendes Verarbeitungsverzeichnis).

  • Bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes bei schwerwiegenden Verstößen gegen die Grundprinzipien des Datenschutzes (z. B. unrechtmäßige Verarbeitung, Verletzung der Betroffenenrechte).

Fazit für Unternehmen

Für deutsche Unternehmen bedeutet die DSGVO:

  • Datenschutzprozesse dokumentieren und prüfen,

  • Mitarbeiter schulen,

  • technische und organisatorische Maßnahmen umsetzen,

  • Verarbeitungsverzeichnis führen,

  • Betroffenenrechte umsetzen.

Datenschutz ist nicht nur eine gesetzliche Pflicht, sondern auch ein Wettbewerbsfaktor. Verbraucher legen zunehmend Wert darauf, dass ihre Daten sicher und verantwortungsvoll behandelt werden. Wer als Unternehmen frühzeitig in den Datenschutz investiert, stärkt Vertrauen und Kundenbindung – und minimiert rechtliche Risiken.