Datenschutz und DSGVO einfach erklärt

Für alle Eiligen hier die wichtigsten Fakten zum Datenschutz auf einen Blick:

• Datenschutz schützt personenbezogene Daten vor unberechtigter Verarbeitung, Missbrauch und Verlust
• DSGVO regelt EU-weit die Verarbeitung personenbezogener Daten für Unternehmen, Vereine und Behörden
• Unternehmen müssen Datenschutzerklärungen erstellen, Einwilligungen einholen und technische Maßnahmen umsetzen
• Betroffene haben Rechte wie Auskunft, Löschung („Recht auf Vergessenwerden“) und Datenübertragbarkeit
• Bei Verstößen drohen Bußgelder bis 20 Mio. € oder 4% des weltweiten Jahresumsatzes

Unter Datenschutz wird der rechtliche Schutz personenbezogener Daten verstanden – also aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es geht dabei nicht nur um spektakuläre Datenskandale, sondern um alltägliche Vorgänge: Kundenbestellungen, Bewerbungen, Newsletter-Anmeldungen, Mitarbeitergespräche, Videoaufzeichnungen, Tracking auf Webseiten oder das Speichern einer IP-Adresse.

Wichtig ist die Abgrenzung zur Datensicherheit. Datensicherheit beschreibt alle technischen und organisatorischen Maßnahmen, mit denen Daten vor Verlust, Manipulation oder unbefugtem Zugriff geschützt werden – Verschlüsselung, Firewalls, Backups, Berechtigungskonzepte. Datenschutz setzt eine Stufe früher an und beantwortet die Fragen: Darf ich diese Daten überhaupt erheben? Für welchen Zweck? Wie lange? Und auf welcher Rechtsgrundlage? Datensicherheit kann hervorragend umgesetzt sein, trotzdem kann ein Verstoß vorliegen, wenn Daten ohne Rechtsgrundlage oder zu weit über den ursprünglichen Zweck hinaus verarbeitet werden.

Für die persönliche Privatsphäre bedeutet das: Jeder kann und sollte aktiv mitentscheiden, wem er welche Informationen anvertraut. Dazu gehören bewusste Einwilligungen (statt gedankenlosem „Alles akzeptieren“), sparsame Preisgabe von Daten bei Gewinnspielen oder kostenlosen Tools und der konsequente Einsatz von starken Passwörtern und Zwei-Faktor-Authentifizierung. Datenschutz ist damit nicht nur eine juristische, sondern auch eine kulturelle Frage des bewussten Umgangs mit Informationen.

Die DSGVO (Datenschutzgrundverordnung) ist eine EU‑Verordnung, die seit dem 25. Mai 2018 gilt und in allen Mitgliedstaaten unmittelbar anwendbar ist. Sie ersetzt nicht nur das frühere Bundesdatenschutzgesetz in weiten Teilen, sondern harmonisiert die Regeln für den Umgang mit personenbezogenen Daten in ganz Europa. Besonders relevant ist, dass die DSGVO extraterritorial wirkt: Auch Unternehmen außerhalb der EU fallen darunter, wenn sie sich an Personen in der EU richten oder deren Verhalten beobachten (z.B. durch Tracking).

Sie gilt für praktisch alle Konstellationen moderner Arbeitswelt: Unternehmen jeder Größe, öffentliche Stellen, Vereine, Schulen, Kanzleien, Praxen, Start-ups, Online-Shops, Handwerksbetriebe, Selbstständige. Immer dann, wenn personenbezogene Daten „verarbeitet“ werden – also erhoben, gespeichert, verändert, übermittelt oder gelöscht werden –, greift die DSGVO. Betroffen sind dabei sowohl „gewöhnliche“ personenbezogene Daten (Name, Kontaktdaten, Kundennummer) als auch besondere Kategorien, etwa Gesundheitsdaten, biometrische Daten, genetische Informationen, politische oder religiöse Überzeugungen. Für letztere gelten nochmals verschärfte Voraussetzungen.

Oft wird unterschätzt, wie weit der Begriff personenbezogener Daten reicht. Klassische Beispiele wie Name, Anschrift, E‑Mail-Adresse oder Telefonnummer sind offensichtlich. Weniger intuitiv ist, dass auch IP‑Adressen, Geräte‑IDs, Standortdaten, Kennzeichen von Fahrzeugen, Personalnummern, Benutzerkennungen in Systemen oder pseudonyme Tracking‑IDs personenbezogen sein können, sobald sie sich mittelbar einer bestimmten Person zuordnen lassen.

Hinzu kommen typische Konstellationen aus dem Berufsalltag: Bewerbungsunterlagen mit Lebenslauf, Zeugnissen und Foto; Lohn- und Gehaltsdaten; Notizen aus Mitarbeitergesprächen; CRM‑Datenbanken mit Kaufhistorie und Supportfällen; Video- und Tonaufnahmen aus Schulungen oder Meetings. Selbst Bilder von Veranstaltungen, auf denen Personen erkennbar sind, werden zu personenbezogenen Daten, wenn sie gespeichert oder veröffentlicht werden. Wer Datenschutz im Griff haben will, muss zunächst akzeptieren, dass praktisch jede moderne Organisation in hohem Umfang personenbezogene Daten verarbeitet.

Die DSGVO arbeitet mit wenigen klaren Grundprinzipien, die sich wie ein roter Faden durch alle Anforderungen ziehen:

• Rechtmäßigkeit, Fairness, Transparenz: Jede Verarbeitung braucht eine Rechtsgrundlage (z.B. Vertrag, Einwilligung, gesetzliche Pflicht) und muss für Betroffene nachvollziehbar beschrieben sein.
• Zweckbindung: Daten dürfen nur für eindeutig festgelegte, legitime Zwecke erhoben werden. Wer E-Mail-Adressen für einen Vertrag benötigt, darf sie nicht automatisch für Werbezwecke verwenden.
• Datenminimierung: Nur so viele Daten wie wirklich erforderlich. „Kann ja mal nützlich sein“ ist kein zulässiger Maßstab.
• Richtigkeit: Unrichtige oder veraltete Daten müssen berichtigt oder gelöscht werden.
• Speicherbegrenzung: Daten dürfen nicht „auf Vorrat“ unbegrenzt aufbewahrt werden; für jede Datenkategorie sind Aufbewahrungsfristen zu definieren.
• Integrität und Vertraulichkeit: Die technische Sicherheit (Passwortkonzepte, Verschlüsselung, Rollen- und Rechtemanagement, physische Sicherung) ist zwingender Bestandteil.
• Rechenschaftspflicht: Unternehmen müssen jederzeit nachweisen können, dass sie diese Prinzipien einhalten – bloßes Behaupten reicht nicht.

Wer diese Grundlogik verstanden hat, kann viele Detailfragen im Alltag eigenständig ableiten.

Für Organisationen wird Datenschutz insbesondere deshalb anspruchsvoll, weil er sich quer durch alle Prozesse zieht. Ganz praktisch gehören zu den Kernpflichten:

• Transparenz schaffen: Auf Webseiten, Formularen und in Verträgen müssen verständliche Datenschutzhinweise stehen. Hier wird erläutert, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wie lange sie gespeichert werden und welche Rechte die betroffenen Personen haben.
• Verzeichnis von Verarbeitungstätigkeiten führen: Unternehmen dokumentieren darin alle relevanten Prozesse – etwa „Bewerbermanagement“, „Lohnabrechnung“ oder „Newsletterversand“ – und halten fest, welche Daten wo gespeichert, an wen übermittelt und wie geschützt werden. Dieses Verzeichnis ist die Grundlage, um gegenüber Aufsichtsbehörden die eigene Compliance belegen zu können.
• Einwilligungen sauber gestalten: Wenn Datenverarbeitungen nicht auf Vertrag oder gesetzliche Pflicht gestützt werden können, ist häufig eine Einwilligung notwendig. Diese muss freiwillig, informiert und eindeutig sein. „Vorangekreuzte“ Kästchen oder unverständliche Klauseln sind unzulässig. Ebenso wichtig ist ein einfach nutzbares Widerrufsrecht.
• Auftragsverarbeitungen regeln: Externe Dienstleister, die im Auftrag Daten verarbeiten (z.B. Cloud-Anbieter, Lohnbüros, Newsletter-Services, IT‑Support), benötigen einen schriftlichen Vertrag, der Pflichten, Sicherheitsstandards und Kontrollrechte regelt. Ohne solche Vereinbarungen drohen schnell Beanstandungen durch Aufsichtsbehörden.
• Technische und organisatorische Maßnahmen (TOM): Dazu zählen Verschlüsselung von Datenträgern, sichere Passwortrichtlinien, regelmäßige Updates, Zugriffsbeschränkungen, Backup-Strategien und Schulungen von Mitarbeitenden. Entscheidend ist, dass das Sicherheitsniveau zur Sensibilität der Daten passt.
• Datenschutzbeauftragte benennen: Bestimmte Organisationen – etwa öffentliche Stellen oder Unternehmen, die besonders viele oder sensible Daten verarbeiten – müssen eine fachkundige Person als Datenschutzbeauftragte:n benennen. Diese überwacht die Einhaltung des Datenschutzes, berät und dient als Ansprechperson für Betroffene und Aufsichtsbehörden.

Die DSGVO hat das Kräfteverhältnis deutlich zugunsten der Betroffenen verschoben. Jede Person kann heute eine Organisation gezielt zur Rechenschaft ziehen:

• Auskunftsrecht: Betroffene dürfen erfahren, welche Daten über sie gespeichert sind, woher sie stammen, an wen sie übermittelt wurden und zu welchen Zwecken sie genutzt werden.
• Recht auf Berichtigung: Unzutreffende oder unvollständige Angaben müssen korrigiert werden.
• Recht auf Löschung („Recht auf Vergessenwerden“): Unter bestimmten Voraussetzungen – etwa bei fehlender Rechtsgrundlage, widerrufener Einwilligung oder Zweckerreichung – können Betroffene verlangen, dass Daten gelöscht werden.
• Recht auf Einschränkung: Statt vollständiger Löschung kann in bestimmten Situationen auch eine Sperrung der Nutzung verlangt werden, etwa während der Prüfung von Einwänden.
• Recht auf Datenübertragbarkeit: Daten, die eine Person selbst bereitgestellt hat (z.B. Profildaten bei einem Dienst), müssen in einem strukturierten, gängigen Format bereitgestellt werden, um sie zu einem anderen Anbieter mitnehmen zu können.
• Widerspruchsrecht: Gegen bestimmte Verarbeitungen, insbesondere Direktwerbung oder Profiling, kann jederzeit Widerspruch eingelegt werden.
• Beschwerderecht: Wer sich in seinen Rechten verletzt sieht, kann sich direkt an die zuständige Datenschutzaufsichtsbehörde wenden – ohne Umweg über Gerichte.

Für Unternehmen bedeutet das: Sie müssen organisatorisch in der Lage sein, solche Anfragen fristgerecht (i.d.R. innerhalb eines Monats) zu beantworten und entsprechende Prozesse zu dokumentieren.

Die hohen Bußgeldrahmen der DSGVO sind bekannt – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. In der Praxis gibt es eine breite Spanne: Von fünfstelligen Beträgen für kleinere Versäumnisse bis hin zu dreistelligen Millionenbußgeldern bei systematischen Verstößen. Entscheidend sind Schwere, Dauer, Vorsatz/Fahrlässigkeit und Kooperation mit der Behörde.

Mindestens ebenso schmerzhaft wie die Bußgelder sind aber oft die Reputationsschäden. Große Datenlecks schaffen es binnen Stunden in die Medien; selbst kleinere Vorfälle verbreiten sich schnell in sozialen Netzwerken. Kunden verlieren Vertrauen, Partner überdenken Kooperationen, Mitarbeitende stellen die Professionalität des Arbeitgebers in Frage. Datenschutz-Verstöße sind deshalb vor allem ein Risiko für Glaubwürdigkeit und Marke – und nicht nur eine finanzielle Gefahr.

Im Tagesgeschäft zeigt sich, wie reif eine Organisation beim Datenschutz wirklich ist. Ein paar Beispiele:

• Newsletter-Marketing: Seriöse Anbieter setzen auf Double-Opt-In, dokumentieren den Einwilligungsvorgang und bieten in jeder Mail eine einfache Abmeldemöglichkeit. Adresslisten aus alten Visitenkartensammlungen oder gekauften Datenbanken ohne klare Rechtsgrundlage sind dagegen ein Klassiker für Beanstandungen.
• Bewerbungsprozesse: Online-Formulare informieren klar über Zweck, Speicherdauer und Löschung. Nach Abschluss des Verfahrens werden Unterlagen abgelehnter Bewerbender innerhalb eines definierten Zeitraums gelöscht, sofern keine Einwilligung für längere Aufbewahrung vorliegt.
• CRM und Kundenhistorie: Mitarbeitende sehen nur die Daten, die sie für ihre Aufgaben brauchen. Reports und Exporte werden geschützt geteilt, Zugriffe protokolliert.
• Website-Tracking: Cookies für reine Funktionalität werden von Marketing- und Tracking-Cookies klar getrennt. Letztere werden erst nach Einwilligung gesetzt; Besucher können differenziert entscheiden.
• Cloud-Nutzung: Vor Auswahl eines Dienstes wird geprüft, wo Daten verarbeitet werden, welche Sicherheitszertifikate vorliegen und ob Standardvertragsklauseln oder andere Garantien für Drittland-Übermittlungen existieren.

Guter Datenschutz ist hier weniger ein kompliziertes Spezialprojekt als ein Set von Gewohnheiten und Standards, die in alle Prozesse eingebaut sind.

Datenschutz ist nicht nur eine rechtliche Pflicht, sondern auch ein wichtiger Schutz vor Cyberkriminalität. Besonders im Geschäftsverkehr stellt E-Mail-Betrug ein erhebliches Risiko dar. Wie Unternehmen sich datenschutzkonform vor Betrugsmaschen wie Phishing und CEO-Fraud schützen können, lesen Sie in unserem Beitrag:
 

Datenschutz bei E-Mail-Betrug im Geschäftsverkehr
 

Viele Datenschutzprobleme entstehen nicht aus böser Absicht, sondern aus Bequemlichkeit und fehlenden Strukturen. Besonders häufig:

• Datenschutzerklärungen sind Jahre alt, unvollständig oder wurden von anderen Seiten kopiert, ohne zu den eigenen Prozessen zu passen.
• Websites setzen Tracking- und Marketing-Cookies, bevor eine wirksame Einwilligung vorliegt, oder verbergen Ablehnoptionen.
• Passwörter werden mehrfach genutzt, geteilt oder nicht regelmäßig aktualisiert; Zugangsrechte bleiben auch nach Austritt von Mitarbeitenden bestehen.
• Es existieren keine definierten Löschkonzepte – Daten werden schlicht „nie“ gelöscht.
• Mitarbeitende erhalten kaum Schulungen und wissen nicht, wie sie mit Auskunftsersuchen oder Datenpannen umgehen sollen.
• Auftragsverarbeitungsverträge fehlen oder werden nicht geprüft, sodass unklar bleibt, was Dienstleister mit den Daten machen dürfen.

Wer diese typischen Fallstricke systematisch angeht, reduziert sein Risiko enorm und schafft gleichzeitig mehr Klarheit im eigenen Datenhaushalt. 

Richtig verstanden ist Datenschutz kein Innovationskiller, sondern ein Qualitätsmerkmal. Unternehmen, die transparent kommunizieren, Daten sparsam und sicher verarbeiten und Betroffenenrechte respektieren, schaffen ein Vertrauensfundament, das sich direkt in Kundenbindung, Arbeitgeberattraktivität und geringerer Krisenanfälligkeit auszahlt.

Die DSGVO liefert dafür den Rahmen – wie ein Betriebssystem, auf dem sich moderne, digitale Geschäftsmodelle rechtssicher betreiben lassen. Entscheidend ist, das Thema nicht als einmaliges Projekt zu sehen, sondern als laufende Aufgabe: Prozesse überprüfen, neue Tools und Services vorab datenschutzrechtlich bewerten, Mitarbeitende regelmäßig schulen und dokumentieren, was man tut. So wird Datenschutz von der gefürchteten Pflicht zur selbstverständlichen Dimension professioneller Unternehmensführung.