Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Datenschutz DSGVO

Datenschutz DSGVO

Datenschutz DSGVO Datenschutzbeauftragter
Datenschutz DSGVO Datenschutzbeauftragter

Rechtswirksame Umsetzung der DSGVO

Wir unterstützen Sie bei der rechtswirksamen Umsetzung der Datenschutz-Grundverordnung (DSGVO). Gerade kleine und mittelständische Unternehmen sind oft unvorbereitet und haben die Beauftragung eines internen oder externen Datenschutzbeauftragten auf die lange Bank geschoben. Seit dem 25. Mai 2018 gilt jedoch: Unternehmen mit mehr als 20 Mitarbeitern, die personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen.

Einheitlicher Datenschutzstandard

Seit der Reform am 25. Mai 2018 gilt in allen EU-Mitgliedstaaten ein einheitlicher Datenschutzstandard. In Deutschland bestehen zwar traditionell hohe Anforderungen, die Reform bringt aber vor allem formelle Anpassungen, weniger inhaltliche Verschärfungen.

Rechte von Betroffenen

Personen, deren Daten verarbeitet werden, haben umfassende Rechte. Dazu zählen u. a. das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung. Ziel ist, dass Betroffene Einfluss auf den Umgang mit ihren Daten haben.

Pflichten für Unternehmen

Unternehmen, die personenbezogene Daten nutzen, gelten als Verantwortliche. Sie müssen die formalen Anforderungen der DSGVO erfüllen, Dokumentationen vorhalten und stehen für Datenpannen gerade. Die Rechtsgrundlagen finden sich in den Artikeln 12 bis 22 DSGVO sowie den ergänzenden §§ 32 bis 37 BDSG.

Wir sind bundesweit als Datenschutz-Dienstleister aktiv und unterstützen Sie beim Aufbau eines wirksamen Datenschutz-Managementsystems. So erfüllen Sie nicht nur die gesetzlichen Vorgaben, sondern schaffen Vertrauen bei Kunden, Partnern und Mitarbeitern.

Aktuelle Änderungen im Datenschutz 2025

Auch 2025 bleibt die Datenschutz-Grundverordnung (DSGVO) das zentrale Regelwerk in Europa. Grundlegende Reformen sind bisher nicht in Kraft getreten. Dennoch ergeben sich durch neue Gesetze, EU-Richtlinien, Rechtsprechung und geplante Anpassungen wichtige Entwicklungen für Unternehmen. Die folgenden Punkte sollten Sie im Blick behalten:

Keine grundlegende Reform der DSGVO

Die DSGVO gilt weiterhin unverändert. Anpassungen erfolgen aktuell vor allem durch Urteile des Europäischen Gerichtshofs und durch Leitlinien der Aufsichtsbehörden (EDSA, DSK).

Geplante Anpassungen für KMU

Die EU-Kommission arbeitet an Erleichterungen für kleine und mittlere Unternehmen. Vorgesehen ist u. a. eine Reduzierung der Dokumentationspflichten (z. B. Verzeichnis von Verarbeitungstätigkeiten), wenn kein hohes Risiko besteht. Umsetzung ab 2025/2026 denkbar.

NIS2-Richtlinie

Seit Oktober 2024 muss die NIS2-Richtlinie in nationales Recht umgesetzt werden. Ab 2025 gelten damit verschärfte Sicherheits- und Meldepflichten – u. a. für Energie, Gesundheit, Logistik, IT-Dienstleister. Datenschutz und IT-Sicherheit wachsen dadurch noch enger zusammen.

EU Data Act (ab September 2025)

Der EU Data Act regelt die Nutzung und Weitergabe von Daten in B2B-, B2C- und B2G-Beziehungen. Er ergänzt die DSGVO und betrifft alle Unternehmen, die datenbasierte Geschäftsmodelle betreiben. Ziel: fairer Zugang und Kontrolle über gemeinsam genutzte Daten.

ePrivacy-Verordnung

2025 soll die lang erwartete ePrivacy-Verordnung verabschiedet werden. Sie ergänzt die DSGVO um spezielle Regeln für elektronische Kommunikation, insbesondere für Cookies, Tracking, Marketing und Kommunikationsdienste.

Rechtsprechung & Leitlinien

2024/2025 haben Urteile und Leitlinien erneut Klarheit gebracht, u. a. zu: Einwilligungen bei Cookies, Profiling & KI, internationale Datentransfers (USA/EU Data Privacy Framework) und Schadensersatz bei DSGVO-Verstößen.

Kosten für Datenschutz und QM System
Kosten für Datenschutz und QM System

DSGVO und ihre Bedeutung

Die Datenschutz-Grundverordnung (DSGVO) ist die wichtigste EU-weite Regelung zum Schutz personenbezogener Daten. Sie legt verbindliche Vorgaben für die Verarbeitung und den Schutz dieser Daten fest und betrifft Unternehmen unabhängig von ihrer Größe – von Start-ups über Freiberufler bis hin zu Konzernen. Verstöße können zu empfindlichen Bußgeldern und langfristigem Reputationsverlust führen.

Grundsätze der DSGVO (Art. 5)

Die Grundsätze der DSGVO ähneln denen des Bundesdatenschutzgesetzes (BDSG), wurden jedoch verschärft und vereinheitlicht. Unternehmen müssen diese umgehend umsetzen, um rechtliche Risiken und Bußgelder zu vermeiden.

📌 Rechtmäßigkeit & Transparenz
Daten dürfen nur auf klarer Rechtsgrundlage und nachvollziehbar verarbeitet werden.
📌 Zweckbindung
Daten dürfen nur für eindeutig festgelegte Zwecke erhoben und verarbeitet werden.
📌 Datenminimierung
Nur so viele Daten wie nötig dürfen erhoben werden.
📌 Richtigkeit
Daten müssen korrekt und aktuell sein.
📌 Integrität & Vertraulichkeit
Daten sind durch geeignete Maßnahmen vor Missbrauch und unbefugtem Zugriff zu schützen.
📌 Rechenschaftspflicht
Unternehmen müssen die Einhaltung der DSGVO jederzeit nachweisen können.

Wer muss die DSGVO beachten?

Die DSGVO gilt für alle Unternehmen, Behörden und Organisationen, die personenbezogene Daten verarbeiten – unabhängig von der Größe. Ausnahmen gelten nur für rein private Tätigkeiten (z. B. Adressverwaltung im Familienkreis). Beispiele:

🛒 Online-Handel
Shops und Plattformen wie Ebay müssen DSGVO-Vorgaben einhalten.
🏢 Kleinunternehmer
Auch Freiberufler und kleine Betriebe sind verpflichtet, Datenschutzkonzepte einzuhalten.
🌍 Alle Branchen
Von Arztpraxen bis zu Konzernen – die DSGVO betrifft jeden, der Daten verarbeitet.

Unsere Schritt-für-Schritt-Anleitung zu einem rechtskonformen Datenschutz

Mit diesen 10 Schritten setzen Sie die Anforderungen der DSGVO in Ihrem Unternehmen systematisch um. Jede Stufe baut aufeinander auf und schafft die Grundlage für einen sicheren und nachhaltigen Datenschutz.

1. Ist-Analyse durchführen

Erfassen Sie Datenflüsse, Systeme und Zuständigkeiten. Dokumentieren Sie, wo und wie personenbezogene Daten verarbeitet werden.

2. Datenschutzorganisation aufbauen

Benennen Sie einen Datenschutzbeauftragten (intern oder extern), definieren Sie Rollen und Verantwortlichkeiten im Unternehmen.

3. Verzeichnis von Verarbeitungstätigkeiten erstellen

Nach Art. 30 DSGVO Pflicht: Dokumentieren Sie Zwecke, Rechtsgrundlagen, Kategorien von Daten und TOMs. Halten Sie das Verzeichnis aktuell.

4. Rechtmäßigkeit sicherstellen

Prüfen Sie Rechtsgrundlagen, holen Sie Einwilligungen (z. B. Double-Opt-In) ein und erfüllen Sie Informationspflichten (z. B. Datenschutzerklärungen).

5. Technische und organisatorische Maßnahmen (TOMs)

Sorgen Sie für Zutritts- und Zugriffskontrollen, Verschlüsselung, Backups und Notfallpläne.

6. Auftragsverarbeitung prüfen

Identifizieren Sie externe Dienstleister, schließen Sie AV-Verträge nach Art. 28 DSGVO ab und kontrollieren Sie deren Sicherheitsmaßnahmen.

7. Schulung und Sensibilisierung

Führen Sie regelmäßige Schulungen durch, fördern Sie Awareness (Phishing, Social Engineering) und benennen Sie Ansprechpersonen.

8. Datenschutz-Folgenabschätzung (DSFA)

Führen Sie bei risikoreichen Verarbeitungen eine DSFA durch und stimmen Sie sich bei offenen Fragen mit der Aufsichtsbehörde ab.

9. Datenschutzerklärung für Webseiten & Apps

Stellen Sie transparente Informationen bereit, nutzen Sie rechtskonforme Cookie-Banner und machen Sie DSB-Kontaktdaten zugänglich.

10. Strafen und Sanktionen vermeiden

Vermeiden Sie Bußgelder (bis 20 Mio. € oder 4 % Umsatz) durch lückenlose Dokumentation, laufende Überwachung und Optimierung.

Auskunftsrecht (Art. 15 DSGVO)

Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen in der Regel von Kunden an Betriebe gestellt.

Alt-Datenbestände

Auch alte Datenbestände, sogenannte Alt-Bestände, die vor dem 25. Mai 2018 erhoben wurden, fallen unter die Anforderungen der DSGVO. Wurden die Daten vor diesem Datum rechtmäßig erhoben und verarbeitet, ergeben sich keine großen Änderungen. Diese wurden vorher im Bundesdatenschutzgesetz (BDSG) geregelt, das vielfach mit der DSGVO übereinstimmt. Um diesen hohen Datenschutzstandard zu gewährleisten, hat die EU die Bußgelder bei Zuwiderhandlungen erheblich erhöht – diese können bis zu 4 % des Jahresumsatzes betragen.

Erhebung, Verarbeitung und Speicherung von Daten

Ein zentraler Aspekt des Datenschutzes ist die korrekte Erhebung, Verarbeitung und Speicherung personenbezogener Daten. Dabei gilt der Grundsatz der Datensparsamkeit: Es dürfen nur Daten erhoben werden, die für den angegebenen Zweck tatsächlich notwendig sind. Betroffene müssen stets über den Zweck der Datenerhebung sowie ihre Rechte informiert werden. Dies betrifft unmittelbar Webseiten, Online-Shops, Newsletter-Anmeldungen und Kontaktformulare.

Privacy by Design

Um Datenschutz von Beginn an richtig umzusetzen, empfiehlt sich das Prinzip Privacy by Design. Datenschutzaspekte werden dabei bereits in der Planungsphase neuer Dienste, Produkte und Tools berücksichtigt und fest in deren Architektur verankert. Das minimiert nachträgliche, oft teure Anpassungen und senkt das Risiko von Datenschutzverstößen erheblich.

Technische und organisatorische Maßnahmen (TOM)

Ein verantwortungsvoller Umgang mit personenbezogenen Daten erfordert technische und organisatorische Maßnahmen (TOM). Dazu gehören Verschlüsselung, Zugriffsbeschränkungen, regelmäßige Backups, sichere Passwörter und ein sauberes Rechte- und Rollenkonzept. Unternehmen sollten ein Datenschutz- und Sicherheitskonzept erstellen, das Prozesse dokumentiert und Zuständigkeiten klar regelt. Oft ist es vorgeschrieben oder sinnvoll, einen Datenschutzbeauftragten zu bestellen, der die Einhaltung aller Vorgaben überwacht.

Betroffenenrechte und Reaktion der Unternehmen

Verbraucher haben nach DSGVO umfassende Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit sowie das Widerspruchsrecht bei bestimmten Verarbeitungen. Unternehmen sollten klare Prozesse schaffen, um schnell und datenschutzkonform auf Anfragen zu reagieren. Transparente Kommunikation und geschulte Mitarbeiter erhöhen die Kundenzufriedenheit und senken das Risiko von Verstößen.

Reputationsfaktor Datenschutz

Datenschutz ist eng mit der Außenwirkung eines Unternehmens verknüpft. Wer den Schutz personenbezogener Daten vernachlässigt, riskiert nicht nur hohe Strafen, sondern auch Reputationsschäden. Umgekehrt kann ein vorbildlicher Umgang mit Daten zum Vertrauensfaktor im Wettbewerb werden. Kunden und Partner erwarten heute ein hohes Maß an Sicherheit und Transparenz – wer dies gewährleistet, profitiert langfristig von einer positiven Wahrnehmung am Markt.

Datenschutzbeauftragter

In Ihrem Unternehmen sind mehr als 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt? Wenn Sie diese Frage mit „JA“ beantworten, ist die Benennung eines internen oder externen Datenschutzbeauftragten (DSB) verpflichtend. Wir unterstützen Sie beim Aufbau eines Datenschutz-Management-Systems.

Die Anforderungen an den betrieblichen Datenschutzbeauftragten ergeben sich aus den Artikeln 37 bis 39 DSGVO sowie § 38 BDSG.

Aufgaben des Datenschutzbeauftragten

Die primäre Aufgabe eines Datenschutzbeauftragten nach Art. 39 DSGVO ist die Unterrichtung und Beratung der Verantwortlichen oder Auftragsverarbeiter sowie der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO und BDSG.

Darüber hinaus überwacht der Datenschutzbeauftragte die Einhaltung der DSGVO, insbesondere bei der Verarbeitung personenbezogener Daten.

Wann ist ein Datenschutzbeauftragter zu benennen?

Die Benennung eines DSB ist nicht freiwillig, sondern wird im § 38 BDSG geregelt. Ein Datenschutzbeauftragter ist zwingend erforderlich, wenn:

👥 Mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
📑 Besondere Kategorien von Daten verarbeitet werden, z. B. rassische oder ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen.
🧬 Genetische oder biometrische Daten zur eindeutigen Identifizierung von Personen verarbeitet werden.
🏥 Gesundheitsdaten verarbeitet werden. (Siehe auch Art. 9 DSGVO.)

Das Bundesdatenschutzgesetz (BDSG)

Das BDSG regelt den Datenschutz sowohl für den öffentlichen Bereich (Bundes- und Landesbehörden) als auch für den privaten Bereich (Unternehmen, Vereine). Es gilt immer dann, wenn keine spezielleren Datenschutzregelungen in anderen Bundesgesetzen Anwendung finden.

Geltungsbereich

Das BDSG gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, der Länder sowie durch nicht-öffentliche Stellen (z. B. Unternehmen, Vereine). Ausgenommen sind Datenverarbeitungen zu rein persönlichen oder familiären Zwecken (§ 1 Abs. 2 BDSG).

Zweckbindung

Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie ursprünglich erhoben wurden (§ 28 Abs. 1 Satz 2 BDSG). Der Zweck muss bereits vor der Erhebung festgelegt sein und darf nur durch Gesetz oder mit Einwilligung geändert werden. Die Verarbeitung ist dabei nach Art, Umfang und Dauer strikt auf den Erhebungszweck begrenzt.

Auskunftsrechte der Betroffenen

Betroffene müssen jederzeit nachvollziehen können, wer welche Daten erhebt, verarbeitet oder nutzt. Das BDSG sichert dies durch umfassende Auskunftsansprüche, u. a. in §§ 4, 6b, 33 und 34 BDSG. Unternehmen sind damit verpflichtet, Transparenz über Datenverarbeitungen zu gewährleisten.

Technische und organisatorische Maßnahmen (TOMs)

Die Anlage zu § 9 BDSG enthält einen Katalog technischer und organisatorischer Maßnahmen (TOMs), die insbesondere bei der Auftragsdatenverarbeitung umzusetzen sind. Dazu gehören:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Verfügbarkeitskontrolle

Besondere Bedeutung kommt der Verschlüsselung zu. Diese sollte stets dem aktuellen Stand der Technik entsprechen, um Datensicherheit zu gewährleisten.

Datenschutzgrundverordnung

Die DSGVO (Datenschutzgrundverordnung) ist nicht das Bundesdatenschutzgesetz BDSG. Waren früher schon ab 10 Mitarbeiter Unternehmen verpflichtet einen DSB zu benennen, so wurde die Schwelle im Juni 2019 von 10 auf 20 Mitarbeiter erhöht.

Insofern, dass diese sich auch ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigten. Die Spielregeln bleiben die gleichen. Auch wenn kein DSB mehr unter 20 Mitarbeiter gefordert ist, muss das Unternehmen die DSGVO einhalten.

Wie kann man die teilweise hohen Strafzahlungen bei Verstößen umgehen? Eigentlich nur wenn im Unternehmen ein DSB die Einhaltung der DSGVO überwacht und die Geschäftsleitung und Mitarbeiter auf Verstöße aufmerksam macht und diese umgehend beseitigt.

Fazit

Datenschutz sollte als kontinuierlicher Prozess verstanden werden, der sich den dynamischen Anforderungen der digitalen Welt anpasst. Regelmäßige Schulungen der Mitarbeiter, permanente Sicherheits- und Risikoanalysen sowie die stetige Aktualisierung bestehender Konzepte bilden das Fundament für einen verlässlichen, zukunftssicheren und gesetzeskonformen Unternehmensauftritt.

Wer diese Maßnahmen gewissenhaft umsetzt, profitiert von einem besseren Risikomanagement, umgeht potenzielle Bußgelder und stärkt das Vertrauen von Kunden und Geschäftspartnern – mit positivem Einfluss auf den langfristigen Geschäftserfolg.

Kostenloses Erstgespräch vereinbaren

Nutzen Sie die Gelegenheit für ein unverbindliches Erstgespräch. Gemeinsam analysieren wir Ihre aktuelle Situation und entwickeln einen Fahrplan für Ihren rechtskonformen Datenschutz.

📩 Jetzt per E-Mail anfragen ➡ Mehr über unsere Leistungen

FAQs zum Datenschutz

Die wichtigsten Fragen und Antworten rund um die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

1Was versteht man unter personenbezogenen Daten?

Unter personenbezogenen Daten fallen sämtliche Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dazu zählen Name, Adresse, E-Mail-Adresse, Geburtsdatum oder auch IP-Adresse.

2Wann ist ein Datenschutzbeauftragter vorgeschrieben?

a) Kern­tätigkeit mit umfangreicher Überwachung: verpflichtend, wenn die Hauptaufgabe des Unternehmens in der systematischen Überwachung von Personen liegt (z. B. Detekteien, Sicherheitsfirmen).

b) Umfangreiche Verarbeitung besonderer Kategorien: Gesundheitsdaten oder andere besonders schützenswerte Daten nach Art. 9 DSGVO.

c) Ab 20 Beschäftigten: Sobald 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Hinweis: Auch bei weniger Mitarbeitern kann die Benennung eines DSB sinnvoll sein, um Bußgelder zu vermeiden.

3Welche Konsequenzen drohen bei DSGVO-Verstößen?

Die DSGVO sieht Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Zusätzlich drohen erhebliche Reputationsschäden.

4Wie können Kunden ihre Rechte geltend machen?

Betroffene können Auskunft, Berichtigung oder Löschung ihrer Daten verlangen oder der Verarbeitung widersprechen. Unternehmen müssen schnell reagieren. Erfolgt keine Reaktion, können sich Verbraucher an die zuständige Aufsichtsbehörde wenden.

5Wie wichtig sind regelmäßige Sicherheitsprüfungen?

Sicherheits- und Risikoanalysen sind essenziell, um Schwachstellen frühzeitig zu erkennen. Nur durch ständige Aktualisierung der technischen und organisatorischen Maßnahmen bleibt ein hohes Schutzniveau erhalten.

6Was kostet ein Datenschutzbeauftragter?

Unser DSGVO-Paket mit Schulungen und Dokumentationen bieten wir ab 180 € im Monat an. Achtung: Wird ein DSB trotz Pflicht nicht bestellt, können Bußgelder bis zu 10 Mio. Euro oder 2 % des Umsatzes verhängt werden.

7Wer kann zum Datenschutzbeauftragten benannt werden?

Interner oder externer DSB
Fachliche Qualifikation im Datenschutzrecht und IT-Bereich muss vorhanden sein
Kein Interessenkonflikt: Geschäftsführer, IT-Leitung oder HR dürfen nicht gleichzeitig DSB sein

8Was ist eine Auftragsverarbeitung?

Auftragsverarbeitung bedeutet die Weitergabe personenbezogener Daten an Dienstleister, die sie im Auftrag verarbeiten. Das Unternehmen bleibt verantwortlich.

Beispiele: Cloud-Anbieter, Steuerberater.

9Brauche ich eine Datenschutzerklärung für meine Webseite?

Sobald Sie Tools wie Tracking, Newsletter oder Formulare einsetzen, ist eine Datenschutzerklärung Pflicht. Sie muss Informationen zu Zweck, Rechtsgrundlage, Empfängern, Speicherdauer und DSB-Kontaktdaten enthalten.

10Welche Strafen und Sanktionen gibt es nach DSGVO und BDSG?

– Bis zu 10 Mio. € oder 2 % Umsatz: z. B. bei mangelhafter Kooperation oder fehlenden Sicherheitsmaßnahmen
– Bis zu 20 Mio. € oder 4 % Umsatz: z. B. bei Verstößen gegen Verarbeitungsgrundsätze oder unerlaubten Datenübermittlungen

Zusätzlich: Verwarnungen, Anordnungen zur Löschung, Einschränkungen der Verarbeitung.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel