Hinweis: Dieser Beitrag gibt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt.

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 verbindlich. Acht Jahre später ist sie keine Neuheit mehr, aber für viele Unternehmen noch immer kein gelebter Alltag. Die Bußgeldbescheide europäischer Aufsichtsbehörden zeigen: Fehlende oder lückenhafte Umsetzung wird konsequent geahndet, auch bei kleinen Betrieben. Dieser Beitrag fasst zusammen, worum es geht, wen die Verordnung betrifft und welche Pflichten konkret anfallen.

Was ist die DSGVO?

Die DSGVO (Verordnung (EU) 2016/679) ist ein europäisches Gesetz zum Schutz personenbezogener Daten. Sie regelt, wie Unternehmen, Behörden und Organisationen Daten von natürlichen Personen erheben, speichern, verarbeiten und weitergeben dürfen. Der offizielle Text ist im Amtsblatt der EU auf EUR-Lex abrufbar.

Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizierbar machen: Name, E-Mail-Adresse, IP-Adresse, Kundennummer, Standortdaten, aber auch Fotos und Gesundheitsdaten.

Für wen gilt die DSGVO?

Die Verordnung gilt für jedes Unternehmen, das:

in der EU oder im Europäischen Wirtschaftsraum (EWR) ansässig ist, oder
Daten von Personen verarbeitet, die sich in der EU aufhalten, auch wenn das Unternehmen selbst außerhalb der EU sitzt.

Es gibt keine Untergrenze nach Mitarbeiterzahl. Ein Handwerksbetrieb mit drei Angestellten, eine Arztpraxis mit 15 Mitarbeitenden, ein IT-Dienstleister mit 80 Personen: alle fallen unter die DSGVO, sobald sie Kundendaten, Mitarbeiterdaten oder Bewerberdaten verarbeiten.

Welche Pflichten entstehen konkret?

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Artikel 30 DSGVO verlangt von den meisten Unternehmen ein schriftliches Verzeichnis, das dokumentiert, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden. Das VVT ist kein einmaliges Projekt, sondern muss aktuell gehalten werden, etwa wenn neue Software eingeführt oder ein Dienstleister gewechselt wird.

Technische und organisatorische Maßnahmen (TOMs)

Artikel 32 DSGVO schreibt vor, ein dem Risiko angemessenes Schutzniveau durch geeignete TOMs sicherzustellen. In der Praxis bedeutet das:

Verschlüsselung sensibler Daten (auf Datenträgern und bei der Übertragung)
Zugriffskontrolle: nur berechtigte Personen dürfen auf bestimmte Daten zugreifen
Regelmäßige Datensicherung und getestete Wiederherstellung
Sicherheitsupdates und Patch-Management
Pseudonymisierung, wo möglich

TOMs sind kein einmaliges Abhaken. Sie müssen regelmäßig überprüft und an neue Bedrohungslagen angepasst werden. Der Beitrag zu DSGVO und Datenschutz in Unternehmen geht auf einzelne Maßnahmen tiefer ein.

Betroffenenrechte

Die DSGVO räumt Personen, deren Daten verarbeitet werden, konkrete Rechte ein:

Auskunftsrecht (Art. 15): Jeder kann fragen, welche Daten ein Unternehmen über ihn gespeichert hat.
Recht auf Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden.
Recht auf Löschung (Art. 17): Unter bestimmten Voraussetzungen müssen Daten gelöscht werden (“Recht auf Vergessenwerden”).
Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in einem gängigen Format herausgegeben werden können.

Anfragen müssen grundsätzlich innerhalb von 30 Tagen beantwortet werden. Wer keine Prozesse dafür hat, riskiert nicht nur Bußgelder, sondern auch Vertrauensverlust bei Kunden.

Meldepflicht bei Datenpannen

Artikel 33 DSGVO schreibt vor, dass eine Verletzung des Schutzes personenbezogener Daten (also ein Datenleck, ein Ransomware-Angriff mit Datenzugriff, ein verlorenes unverschlüsseltes Notebook) der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden gemeldet werden muss.

72 Stunden sind wenig. Wer keinen Notfallplan hat, verschenkt diese Zeit mit interner Abstimmung. Ist die betroffene Person durch die Panne voraussichtlich einem hohen Risiko ausgesetzt (etwa bei Gesundheits- oder Bankdaten), muss auch sie direkt informiert werden.

DSGVO und NIS2: Was hat sich bis 2026 verändert?

Die DSGVO selbst wurde nicht grundlegend geändert. Was sich geändert hat, ist das Umfeld: Mit der NIS2-Richtlinie (seit Oktober 2024 in nationales Recht umgesetzt) kommen für viele Unternehmen ab einer bestimmten Größe und Branche zusätzliche Cybersicherheitspflichten hinzu, die sich mit den DSGVO-Anforderungen an TOMs überschneiden.

Für KMU im Gesundheitswesen, in der Versorgungsinfrastruktur oder in IT-Dienstleistungen gilt: DSGVO-Compliance und NIS2-Compliance sind keine getrennten Projekte. Wer saubere TOMs hat, ist für NIS2 besser aufgestellt. Wer beide Regelwerke ignoriert, trägt ein doppeltes Haftungsrisiko.

Wo fange ich an?

Für viele KMU ist der sinnvolle Einstieg:

Verarbeitungsverzeichnis anlegen: Welche Daten, welcher Zweck, welche Rechtsgrundlage?
Dienstleister prüfen: Welche externen Anbieter verarbeiten Daten im Auftrag? Auftragsverarbeitungsverträge (AVV) abschließen.
TOMs dokumentieren: Was schützt die Daten heute? Lücken erkennen und schließen.
Notfallplan für Datenpannen: Wer wird wann informiert? Wer meldet an die Behörde?
Datenschutzbeauftragter: Ab bestimmten Schwellenwerten ist ein DSB Pflicht. Intern oder extern.

Wenn Sie als Unternehmen die technische Seite des Datenschutzes absichern wollen, also Verschlüsselung, Zugriffskontrolle, Backup und Monitoring, können wir das gemeinsam angehen. Mehr dazu unter Cybersecurity und Datensicherung.

Rechtliche Inhalte allgemein gehalten, juristisch zu prüfen. Kein Ersatz für Rechtsberatung durch einen qualifizierten Datenschutzbeauftragten oder Fachanwalt.