Login ibau Xplorer
Hier loggen Sie sich beim ibau Xplorer ein, unserer Auftragsplattform die Sie bei Ihrer Arbeit mit öffentlichen Ausschreibungen und Bauprojekten unterstützt.
Login ibau Xplorer next
Hier finden Sie den Login zu unserem neuen ibau Xplorer, der Ihnen auch den Direktzugriff auf Leistungsverzeichnisse ermöglicht.
Login InfoBau Xplorer
Hier loggen Sie sich beim InfoBau Xplorer ein, unserer Auftragsplattform speziell für den Tiefbau mit öffentlichen Ausschreibungen, Bauprojekten sowie Submissionsergebnissen.
Hilfe zum Login Präsentation Support
  1. Sie befinden sich hier: Startseite
  2. Akademie
  3. Wissenswertes
  4. DSGVO Ratgeber: Datenschutz sicher umsetzen

DSGVO Ratgeber: Datenschutz sicher umsetzen

23.05.2025 10:40 | Geschrieben von: ibau Redaktion | Erstveröffentlichung: 04.02.2022 09:20 | Veröffentlicht in: Wissenswertes

Da heute fast jede digitale Interaktion mit der Verarbeitung personenbezogener Daten einhergeht, ist ein verlässlicher rechtlicher Rahmen umso wichtiger. Die Datenschutz-Grundverordnung (DSGVO) der EU setzt genau hier an: Sie verpflichtet Unternehmen zum verantwortungsvollen Umgang mit Daten und stärkt zugleich die Rechte der Nutzer:innen. 

Das Wichtigste zum DSGVO Ratgeber in Kürze

  • Die DSGVO ist seit 2018 das einheitliche Datenschutzgesetz der EU – es legt Regeln für die Verarbeitung personenbezogener Daten fest, stärkt Betroffenenrechte und verpflichtet Unternehmen/Behörden zu klaren Schutzmaßnahmen
  • Gilt für alle, die Daten von Personen in der EU verarbeiten – unabhängig vom Unternehmenssitz (Marktortprinzip) – und bildet zusammen mit der Richtlinie (EU) 2016/680 für Polizei/Justiz den EU-Rahmen für Datenschutz
  • Verarbeitung nur auf Rechtsgrundlage (Einwilligung, Vertrag, Rechtspflicht, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen)
  • Grundsätze nach Art. 5 DSGVO: Rechtmäßigkeit/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht
  • Datentransfers in Drittländer nur bei angemessenem Schutzniveau oder Garantien (SCCs, BCRs; USA via Data Privacy Framework)
  • Sanktionen bei Verstößen gegen den Datenschutz: Bußgelder bis 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes, behördliche Anordnungen, Schadensersatz und Reputationsschäden
  • Praxisfokus: Privacy by Design/Default, transparente Informationspflichten, regelmäßige Audits/Schulungen; in Vergabeverfahren nur erforderliche Daten, sichere Übertragung und AV-Verträge
DSGVO: Nahaufnahme von Tastatur mit DSGVO Banner © Sergey Nivens / stock.adobe.com

In einer Welt, in der Daten zum wertvollsten Gut geworden sind, wird der Schutz unserer persönlichen Informationen zur zentralen Herausforderung. Ob beim Surfen im Internet, bei der Nutzung von Apps oder beim Online-Banking: Fast jede digitale Aktivität hinterlässt Spuren in Form von personenbezogenen Daten. Besonders Unternehmen, die mit diesen Daten arbeiten, stehen vor der Aufgabe, den rechtlichen Anforderungen zum Schutz dieser Daten gerecht zu werden. Die Datenschutz-Grundverordnung der Europäischen Union schafft einen verbindlichen Rechtsrahmen, der regelt, wie personenbezogene Daten verarbeitet werden dürfen. Dieser Ratgeber gibt eine praxisorientierte Einführung in die DSGVO und ihre praktischen Auswirkungen. Sie erfahren unter anderem, welche Grundsätze bei der Datenverarbeitung zu beachten sind, welche Rechte die DSGVO den betroffenen Personen einräumt, wie Sie die Einwilligung Ihrer Kundinnen und Kunden korrekt einholen und was bei einem Datentransfer außerhalb der EU zu beachten ist. Außerdem werfen wir einen Blick auf häufige Fehler und die potenziellen Strafen, die bei Verstößen gegen den Datenschutz drohen können.

  1. Was ist die DSGVO?
  2. Rechtsgrundlagen und zentrale Begriffe der DSGVO
  3. Rechtliche Vorgaben für den Datentransfer ins außereuropäische Ausland
  4. Einwilligung nach der DSGVO – Anforderungen und Praxis-Tipps
  5. Welche Strafen und Konsequenzen sind beim Verstoß gegen den Datenschutz möglich?
  6. Datenschutz im Vergabeverfahren – das Wichtigste im Überblick
  7. Fazit

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO, englisch: General Data Protection Regulation – GDPR) ist das zentrale Datenschutzgesetz der Europäischen Union. Sie wurde im Jahr 2016 beschlossen und gilt seit dem 25. Mai 2018 verbindlich in allen EU-Mitgliedstaaten. Gemeinsam mit der Richtlinie (EU) 2016/680, die speziell für Polizei und Justiz gilt, bildet sie den gemeinsamen rechtlichen Rahmen für den Datenschutz in der EU.

Die Bedeutung der DSGVO liegt vor allem in der Vereinheitlichung der Vorschriften zur Verarbeitung personenbezogener Daten in der EU, sowohl im privaten als auch im öffentlichen Sektor. Sie verfolgt insbesondere den Schutz der Privatsphäre und die Wahrung der informationellen Selbstbestimmung der betroffenen Personen. Gleichzeitig soll der freie Datenverkehr im Binnenmarkt der EU gewährleistet werden. Durch die Einführung einheitlicher Datenschutzstandards stärkt die DSGVO die Rechte der betroffenen Personen und definiert klare Pflichten für Unternehmen und Organisationen, die personenbezogene Daten verarbeiten.

Mit anderen Worten: Die DSGVO schafft klare, einheitliche Regeln für den Umgang mit personenbezogenen Daten. Besonders hervorzuheben ist, dass sie erstmals einen verbindlichen Datenschutzstandard für die gesamte EU etabliert hat. Unabhängig davon, ob ein Unternehmen in Madrid, München oder Mailand ansässig ist – die Vorschriften zur Datenverarbeitung sind überall gleich. Dies stärkt nicht nur die Rechte der Bürger:innen, sondern fördert auch mehr Rechtssicherheit im digitalen Binnenmarkt der EU.

Zu den wichtigsten Elementen der DSGVO zählen laut Bundesministerium für Wirtschaft und Klimaschutz (BMWK):

Europaweit einheitliches Datenschutzniveau

Anstelle vieler unterschiedlicher nationaler Gesetze sorgt die DSGVO für eine einheitliche, europaweite Regelung des Datenschutzes.

Pseudonymisierung

Die Identifizierbarkeit von Personen kann verringert werden, etwa in der Forschung oder Statistik, um Datenschutzrisiken zu minimieren und die Anonymität zu wahren.

Vielfältige Rechtsgrundlagen für Datenverarbeitung

Die Verarbeitung von personenbezogenen Daten ist nicht mehr ausschließlich auf die Einwilligung der betroffenen Personen angewiesen. Stattdessen können auch Verträge, rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Aufgaben oder berechtigte Interessen als Grundlage dienen.

Privilegierung für Forschung und Statistik

Für die Verarbeitung von Daten zu wissenschaftlichen, historischen oder statistischen Zwecken gibt es unter bestimmten Voraussetzungen Erleichterungen, um den Forschungsprozess zu fördern.

Mehr Transparenz und Kontrolle für Betroffene

Betroffene Personen erhalten klarere Informationen über die Verwendung ihrer Daten, können einfacher Kontakt zu den Verantwortlichen aufnehmen und haben stärkere Rechte zur Kontrolle ihrer Daten.

Verpflichtende Umsetzung im Unternehmen

Unternehmen sind verpflichtet, Datenschutzbeauftragte zu benennen, technische und organisatorische Maßnahmen umzusetzen, Datenschutz-Folgenabschätzungen durchzuführen und die Datenverarbeitung detailliert zu dokumentieren.

Die DSGVO ist kein starres Gesetz. Alle vier Jahre wird sie von der Europäischen Kommission evaluiert. Dabei prüft sie, ob die Verordnung noch zeitgemäß ist und ob Änderungen nötig sind. Die Ergebnisse werden in einem Bericht an das EU-Parlament und den Rat veröffentlicht. Auch die Mitgliedstaaten bringen sich aktiv ein, etwa durch Rückmeldungen über Herausforderungen in der Umsetzung.

DSGVO: Symbole von Justitia und Paragraph-Zeichen © Sebastian Duda / stock.adobe.com

Rechtsgrundlagen und zentrale Begriffe der DSGVO

Im Zentrum der Datenschutz-Grundverordnung stehen die personenbezogenen Daten. Art. 1 Abs. 2 der DSGVO stellt klar: Ziel der Verordnung ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Rechts auf den Schutz personenbezogener Daten. Ohne deren Definition ergibt das gesamte Regelwerk keinen Sinn. Denn nur wenn klar ist, was überhaupt geschützt werden soll, können daraus Rechte und Pflichten abgeleitet werden.

Laut Art. 4 Abs. 1 der DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das bedeutet: Sobald eine Person durch die Informationen direkt oder indirekt erkennbar ist, handelt es sich um personenbezogene Daten. Beispiele für personenbezogene Daten:

  • Name, Geburtsdatum, Anschrift
  • Telefonnummer, E-Mail-Adresse
  • IP-Adresse, Standortdaten
  • Kontonummer, Steuernummer, Sozialversicherungsnummer
  • Gesundheitsdaten, biometrische Merkmale, Fotos von Personen

Personenbezogene Daten können viel über eine Person verraten. Sie betreffen ihre Privatsphäre, ihre Sicherheit und oft auch ihre Würde. Deshalb ist es entscheidend, wer Zugriff auf diese Informationen hat und was damit passiert. Besonders sensible Daten – wie z. B. Angaben zur Gesundheit, Religion oder sexuellen Orientierung – unterliegen einem zusätzlichen Schutz. Die DSGVO nennt sie „besondere Kategorien personenbezogener Daten“ und erlaubt deren Verarbeitung nur unter sehr strengen Bedingungen (Art. 9 DSGVO). Ein zentrales Betroffenenrecht im Zusammenhang mit personenbezogenen Daten ist das Auskunftsrecht nach Art. 15 DSGVO: Jede Person kann von einem Unternehmen oder einer Behörde verlangen, Auskunft darüber zu erhalten, ob und welche Daten über sie verarbeitet werden und zu welchem Zweck.

Voraussetzungen für die rechtmäßige Verarbeitung von personenbezogenen Daten

Die DSGVO verbietet die Verarbeitung personenbezogener Daten nicht grundsätzlich, stellt sie jedoch unter klare rechtliche Bedingungen. Eine Verarbeitung ist laut Art. 6 DSGVO nur zulässig, wenn mindestens eine von sechs Rechtsgrundlagen vorliegt:

  • Einwilligung der betroffenen Person

    Muss freiwillig, informiert, eindeutig und nachweisbar erfolgen

  • Vertragserfüllung

    Wenn die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, etwa bei Online-Bestellungen oder Dienstleistungsverträgen

  • Erfüllung einer rechtlichen Verpflichtung

    Wenn eine gesetzliche Pflicht besteht, Daten zu verarbeiten, beispielsweise Aufbewahrungspflichten für Steuerunterlagen

  • Wahrung lebenswichtiger Interessen

    Beispielsweise bei medizinischen Notfällen, wenn die betroffene Person nicht selbst einwilligen kann

  • Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt

    Gilt für Behörden und Einrichtungen mit hoheitlichen Aufgaben

  • Berechtigte Interessen des Verantwortlichen oder eines Dritten

    Wenn die Interessen des Verantwortlichen die Grundrechte der betroffenen Person nicht überwiegen, beispielsweise zur Betrugsprävention

DSGVO oder BDSG: Wann greift welches Gesetz?

Die Datenschutz-Grundverordnung bildet den einheitlichen Datenschutzrahmen in der gesamten Europäischen Union. Doch neben diesem EU-weiten Regelwerk existiert in Deutschland weiterhin auch das Bundesdatenschutzgesetz (BDSG) – was auf den ersten Blick für Verwirrung sorgen kann. Was also unterscheidet die beiden Regelwerke? Und wann greift welches?

Da die DSGVO eine Verordnung der Europäischen Union ist, bedeutet das: Sie gilt unmittelbar in allen Mitgliedstaaten, ohne dass sie erst in nationales Recht umgesetzt werden muss. Das BDSG hingegen ist ein nationales Gesetz, das dort Anwendung findet, wo die DSGVO öffentliche Spielräume lässt, in sogenannten „Öffnungsklauseln“. Das BDSG ergänzt die DSGVO etwa in folgenden Bereichen:

  • Regelungen zur Datenverarbeitung im Beschäftigungskontext (beispielsweise Arbeitnehmerdaten)
  • Benennungspflicht eines Datenschutzbeauftragten für alle Unternehmen, die mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigen
  • Verarbeitung zu wissenschaftlichen oder statistischen Zwecken
  • Maßnahmen zur Datenverarbeitung durch öffentliche Stellen

Klar ist, dass die DSGVO Vorrang hat – denn sie ist europäisches Recht und steht damit über nationalem Recht wie dem BDSG. Das bedeutet, soweit die DSGVO eine abschließende Regelung trifft, darf das BDSG nicht davon abweichen. Für Unternehmen und Verantwortliche in Deutschland heißt das: Sie müssen bei der Verarbeitung von persönlichen Daten sowohl die Regeln der DSGVO als auch die Vorgaben des BDSG einhalten, um rechtlich korrekt zu handeln.

DSGVO Grundsätze – Wie müssen personenbezogene Daten verarbeitet werden?

Nachdem geklärt ist, wann personenbezogene Daten verarbeitet werden dürfen, stellt sich die nächste zentrale Frage: Wie müssen diese Daten verarbeitet werden, um DSGVO konform zu handeln? Die Antwort liefert Art. 5 der Datenschutz-Grundverordnung. Er legt die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten fest. Diese Prinzipien bilden das ethische und rechtliche Fundament jeder Datenverarbeitung im Sinne der DSGVO. Die sieben DSGVO Grundsätze im Überblick:

1. Rechtmäßigkeit, Verarbeitung nach Treue und Glauben, Transparenz: Die Verarbeitung muss auf einer rechtlichen Grundlage beruhen und für die betroffene Person transparent und nachvollziehbar sein.

2. Zweckbindung: Daten dürfen nur für den angegebenen, legitimen Zweck erhoben werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

3. Datenminimierung: Es dürfen nur so viele Daten verarbeitet werden, wie für den jeweiligen Zweck erforderlich. Datenverarbeitung „auf Vorrat“ widerspricht diesem Grundsatz.

4. Richtigkeit: Die verarbeiteten Daten müssen sachlich korrekt und aktuell sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.

5. Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden.

6. Integrität und Vertraulichkeit: Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.

7. Rechenschaftspflicht: Der oder die Verantwortliche muss in der Lage sein, die Einhaltung aller oben genannten Grundsätze nachzuweisen. Dokumentation und interne Prozesse spielen hier eine zentrale Rolle.

Ansicht der 7 Grundsätze der DSGVO
Mobile Ansicht der 7 Grundsätze der DSGVO

Was bedeutet DSGVO-konforme Datenverarbeitung für die Praxis in Unternehmen?

DSGVO konformes Handeln bedeutet mehr, als nur eine Einwilligung einzuholen. Die oben genannten Grundsätze müssen vom ersten bis zum letzten Schritt einer Datenverarbeitung eingehalten werden – von der Datenerhebung über die Speicherung bis hin zur Löschung. Unternehmen sollten also auf Folgendes achten:

  • Datenschutz bereits bei der Planung („Privacy by Design“)
  • Technische und organisatorische Schutzmaßnahmen
  • Transparenzpflichten gegenüber betroffenen Personen
  • Regelmäßige Schulungen und Audits
  • Dokumentation der Verarbeitungstätigkeiten

Wer unterliegt der DSGVO? Verantwortlichkeit und Geltungsbereich

Die Europäische Kommission betont, dass die DSGVO für alle gilt, die personenbezogene Daten von Menschen in der EU verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat. Dies umschließt also konkret:

  • Unternehmen mit Sitz in der EU: Sobald personenbezogene Daten im Rahmen einer Tätigkeit innerhalb der EU verarbeitet werden, unabhängig davon, wo technisch gesehen die Verarbeitung stattfindet.
  • Unternehmen außerhalb der EU: Wenn Waren oder Dienstleistungen an Personen in der EU angeboten werden (egal ob kostenpflichtig oder kostenlos) oder deren Verhalten beobachtet wird (beispielsweise durch Webtracking), gilt die DSGVO ebenfalls. Beispiel: Ein Online-Shop mit Sitz in den USA, der Produkte in die EU verkauft und Kundendaten erfasst, muss DSGVO konform handeln.

Dieses sogenannte Marktortprinzip stellt sicher, dass Datenschutz nicht an Grenzen endet. Auch kleine und mittlere Unternehmen (KMU) müssen die DSGVO einhalten, allerdings mit einigen Ausnahmen, etwa bei der Pflicht zur Benennung eines oder einer Datenschutzbeauftragten. Sie sind dann von einigen Pflichten der DSGVO ausgenommen, wenn die Verarbeitung nicht zu den Kerntätigkeiten des Unternehmens gehört und die Tätigkeit kein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt. Beispiele: Ein E-Business darf die Daten der Kund:innen zu Garantiezwecke sowie Finanznachweisen speichern. Ebenso dürfen Vergabestellen im Zuge der eVergabe die eingehenden Angebote sowie Daten der Bieter:innen speichern, um die Angebote zu vergleichen.

Wann und wo gilt die DSGVO?

Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden, also zum Beispiel erhoben, gespeichert, weitergegeben oder gelöscht werden. Dabei ist es egal, ob das automatisch durch Software geschieht oder manuell, etwa in einer strukturierten Dateiablage. Entscheidend ist, dass die Informationen sich auf eine identifizierbare Person beziehen und in einem geordneten System gespeichert sind oder werden sollen. Mit anderen Worten: Sobald personenbezogene Daten in irgendeiner Weise organisiert verarbeitet werden, etwa in einer Kundendatenbank, einer Excel-Tabelle oder einer Bewerbermappe, ist die DSGVO anwendbar.

Rechtliche Vorgaben für den Datentransfer ins außereuropäische Ausland

Die Datenschutz-Grundverordnung sorgt innerhalb der EU für einheitliche Datenschutzstandards. Sobald personenbezogene Daten jedoch in sogenannte Drittländer, also Staaten außerhalb der EU, übermittelt werden sollen, wird es komplizierter. Hier setzt die DSGVO (Art. 44 bis 50) strenge Regeln.

Grundsatz:

Bevor Daten in ein Drittland fließen, muss geprüft werden, ob dort ein vergleichbares Schutzniveau wie in der EU herrscht. Ist das nicht der Fall, sind zusätzliche Schutzmaßnahmen notwendig. Der einfachste Weg: Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Datenschutzniveau bietet (Angemessenheitsbeschluss nach Art. 45 DSGVO), dürfen Daten ohne weitere besondere Vorkehrungen übermittelt werden. Beispiele für Länder mit Angemessenheitsbeschluss sind Japan, Schweiz, Argentinien oder Neuseeland.

DSGVO: Datenübertragung ins EU-Ausland © PhilipGordb / stock.adobe.com

Was, wenn es keinen Angemessenheitsbeschluss gibt?

Dann dürfen Unternehmen Daten nur unter besonderen Voraussetzungen übertragen. Diese Maßnahmen sind in Art. 46 Abs. 1 DSGVO geregelt. Mögliche Schutzmaßnahmen sind zum Beispiel:

  • Standardvertragsklauseln (SCCs): von der EU-Kommission vorgegebene Vertragsmuster, die den rechtssicheren Transfer personenbezogener Daten aus der EU in Drittländer gewährleisten sollen. Sie verpflichten Datenexporteure und -importeure zur Einhaltung eines angemessenen Datenschutzniveaus gemäß der DSGVO.
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) für Unternehmensgruppen: unternehmensinterne Datenschutzregeln, die den konzerninternen Datentransfer personenbezogener Daten in Länder außerhalb des EWR rechtlich absichern. Sie müssen von einer Datenschutzbehörde genehmigt werden und gewährleisten ein angemessenes Datenschutzniveau innerhalb der gesamten Unternehmensgruppe.

Fehlen sowohl ein Angemessenheitsbeschluss als auch geeignete Schutzmaßnahmen, kann ein Datentransfer dennoch unter bestimmten Bedingungen zulässig sein – etwa, wenn die betroffene Person ausdrücklich einwilligt oder wenn zwingende öffentliche Interessen dies erforderlich machen (Art. 49 DSGVO).

Wichtiger Hintergrund:

Der Europäische Gerichtshof hat im sogenannten „Schrems II“ Urteil 2020 den damaligen Angemessenheitsbeschluss für die USA („Privacy Shield“) gekippt. Als Reaktion darauf hat die EU-Kommission 2021 neue, flexiblere Standardvertragsklauseln eingeführt. Diese decken verschiedene Konstellationen ab, etwa den Datentransfer zwischen einem EU-Unternehmen und einem Dienstleister im Ausland. Außerdem gibt es seit Juli 2023 das neue „Data Privacy Framework“. US-Unternehmen, die sich danach zertifizieren lassen, gelten als datenschutzkonform. Für Datenübermittlungen an solche Unternehmen ist weder eine Einzelfallprüfung noch der Abschluss von Standardvertragsklauseln nötig.

Einwilligung nach der DSGVO – Anforderungen und Praxis-Tipps

Bereits in einem früheren Abschnitt haben wir uns mit den rechtlichen Grundlagen befasst, die eine Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO ermöglichen. In diesem Kapitel widmen wir uns nun einer dieser Grundlagen genauer: der Einwilligung. Sie spielt besonders in Bereichen wie E-Mail-Marketing, Nutzeranalysen oder dem Einsatz externer Dienste eine wichtige Rolle, also überall dort, wo keine andere rechtliche Grundlage greift. Eine rechtmäßige Einwilligung muss dabei mehrere Kriterien erfüllen. Hier sind die wichtigsten Aspekte, die bei einer Einwilligung beachtet werden müssen:

1. Aktive und unmissverständliche Willensbekundung: Die Einwilligung muss durch eine bewusste, aktive Handlung der betroffenen Person erfolgen. Ein einfaches Ankreuzen eines Kästchens, das bereits vorausgewählt ist, oder das bloße Weiternutzen eines Dienstes sind keine gültigen Formen der Einwilligung. Es muss ein klares, aktives Signal der Zustimmung gegeben werden, beispielsweise durch das Setzen eines Häkchens oder das Klicken auf eine Schaltfläche.

2. Freiwilligkeit der Einwilligung: Die Einwilligung muss freiwillig erteilt werden. Das bedeutet, dass die betroffene Person eine echte Wahl hat – sie muss die Möglichkeit haben, ihre Einwilligung jederzeit ohne Nachteile zu verweigern oder zurückzuziehen.

3. Informiertheit der betroffenen Person: Bevor jemand seine Einwilligung gibt, muss er oder sie genau wissen, worauf sie sich einlässt. Die betroffene Person muss darüber informiert werden, wer die Daten verarbeitet, zu welchen Zwecken die Daten genutzt werden und welche Art von Daten verarbeitet wird. Ebenso muss der Hinweis auf das Recht zum jederzeitigen Widerruf der Einwilligung klar verständlich sein.

4. Dokumentation und Nachweisbarkeit: Obwohl die DSGVO keine bestimmte Form für die Einwilligung vorschreibt, muss diese dokumentiert und nachweisbar sein. Im Falle von Prüfungen durch die Aufsichtsbehörde oder im Streitfall muss die verantwortliche Person belegen können, dass die Einwilligung korrekt erteilt wurde. Das kann durch das Erstellen von Protokollen oder das Abspeichern von Bestätigungen geschehen.

5. Widerruf der Einwilligung: Die Einwilligung kann jederzeit widerrufen werden – und der Widerruf muss genauso einfach sein wie die Erteilung. Der Widerruf gilt jedoch nur für zukünftige Verarbeitungen, nicht für bereits erfolgte.

Häufige Fehler

In der Praxis kommen bei der Gestaltung von Einwilligungen des Öfteren typische Fehler vor. Zu den häufigsten Fehlern zählen unklare oder zu allgemein formulierte Einwilligungstexte, die den Betroffenen nicht ausreichend über Zweck und Umfang der Datenverarbeitung informieren. Ebenfalls problematisch ist die Voreinstellung von Einwilligungsfeldern (sogenannte „Opt-out“ Lösungen), die nach der DSGVO unzulässig sind. Eine wirksame Einwilligung erfordert immer eine aktive Handlung („Opt-in“). Ein weiterer gängiger Fehler ist es, die Einwilligung von der Erfüllung eines Vertrages abhängig zu machen, obwohl diese nicht für die Vertragserfüllung notwendig ist (Koppelungsverbot). Auch eine einfache Möglichkeit zum Widerruf der Einwilligung muss gegeben sein, denn sonst liegt ein Verstoß gegen die Transparenz- und Kontrollpflichten der DSGVO vor.

Praxis-Tipps für Unternehmen

Damit Unternehmen auf der sicheren Seite sind, sollten sie Einwilligungen klar, transparent und benutzerfreundlich einholen. Die Sprache muss einfach und verständlich sein, und die verschiedenen Zwecke der Datenverarbeitung müssen eindeutig voneinander getrennt werden. Betroffene müssen über ihre Rechte informiert werden, etwa über ihr Auskunftsrecht sowie das Recht auf Berichtigung, Löschung und Widerspruch. Auch der Widerruf der Einwilligung sollte ebenso unkompliziert sein wie ihre Erteilung – ein gut sichtbarer „Abmelden“-Link ist hier eine einfache Lösung. Zudem muss jede Einwilligung sorgfältig dokumentiert werden, um im Falle einer Kontrolle nachweisen zu können, wann und unter welchen Bedingungen die Zustimmung erteilt wurde.

Welche Strafen und Konsequenzen sind beim Verstoß gegen den Datenschutz möglich?

Verstöße gegen die DSGVO, etwa durch unsachgemäße Verarbeitung personenbezogener Daten, können vielfältige Folgen haben, darunter:

  • Bußgelder
  • Arbeitsrechtliche Konsequenzen
  • Schadensersatzforderungen
  • Strafrechtliche Folgen
  • Abmahnungen durch Wettbewerber:innen
  • Reputationsschäden
DSGVO: Person erläutert rechtliche Konsequenzen © Freedomz / stock.adobe.com

Bußgelder sind sowohl bei geringfügigen als auch bei schweren Verstößen möglich. Die Bußgelder gehen meist mit anderen Anordnungen, wie zum Beispiel der Aufforderung zur Beendigung bestimmter Vorgänge oder der Löschung von Daten, einher. Um faire und angepasste Strafen zu verhängen, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. Ausschlaggebend für die Höhe der Strafe sind die im Art. 83 Abs. 2 aufgeführten Kriterien, darunter:

  • Schwere, Dauer und Verschulden des Verstoßes
  • Schadensbegrenzung und Kooperation mit Behörden
  • Technische und organisatorische Schutzmaßnahmen
  • Vorstrafen im Datenschutzbereich
  • Sensibilität der betroffenen Daten
  • Offenlegung und Umsetzung behördlicher Vorgaben

Bei schweren Verstößen gegen die Datenschutzverordnung drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies gilt beispielsweise bei Verstößen gegen grundlegende Prinzipien wie die Verarbeitung ohne gültige Einwilligung oder bei der unrechtmäßigen Weitergabe personenbezogener Daten an Drittländer.

Ein Beispiel: H&M wurde wegen der unzulässigen, jahrelangen Speicherung sensibler Daten seiner Beschäftigten in Nürnberg zu einem Bußgeld von über 35 Millionen Euro verurteilt. Erfasst wurden private Details wie Krankheiten und familiäre Probleme, die für Führungskräfte einsehbar waren und zur Profilbildung dienten. Dies stellte einen klaren Verstoß gegen Art. 6 Abs. 1 DSGVO dar. Bei kleineren Unternehmen sind auch kleinere Beträge als Bußgelder möglich. Der DSGVO-Bußgeldrahmen ist nicht abschließend – Mitgliedstaaten können laut Art. 84 eigene Sanktionen festlegen, solange sie wirksam, verhältnismäßig und abschreckend sind. Für die Durchsetzung ist die nationale Aufsichtsbehörde zuständig. Neben Geldbußen können auch weitere Maßnahmen drohen, etwa ein Verbot oder eine Einschränkung der Datenverarbeitung.

Um Bußgelder zu vermeiden, sollten Unternehmen regelmäßig ihren Datenschutz prüfen lassen. Bei Unsicherheiten helfen Fachanwält:innen – besonders in Metropolen wie Düsseldorf, Hamburg oder Frankfurt am Main finden sich kompetente Ansprechpartner. Zur praktischen Umsetzung der DSGVO setzen viele Unternehmen auf Datenschutzmanager:innen. Anders als gesetzlich vorgeschriebene Datenschutzbeauftragte (DSB) sind Datenschutzmanager:innen operativ tätig: Er oder sie sorgt für die Einhaltung datenschutzrechtlicher Vorgaben im Alltag, koordiniert Prozesse, unterstützt bei Audits und schult Mitarbeitende. Die Rolle ist besonders in mittleren und großen Unternehmen sinnvoll, um Datenschutz strukturiert in die Unternehmenspraxis zu integrieren.

Datenschutz im Vergabeverfahren – das Wichtigste im Überblick

Im Rahmen von öffentlichen Ausschreibungen stellt die Datenschutz-Grundverordnung ebenfalls klare Anforderungen an die Verarbeitung personenbezogener Daten. Auftraggeber:innen müssen unter anderem sicherstellen, dass Daten nur im notwendigen Umfang erhoben, sicher übertragen und betroffene Personen umfassend informiert werden. Auch bei internationalen Vergaben und dem Einsatz von Subunternehmer:innen gelten besondere datenschutzrechtliche Pflichten, etwa durch den Abschluss von Auftragsverarbeitungsverträgen. Viele praktische Fragen, beispielweise zum Umgang mit Referenzen oder Eignungsnachweisen, behandelt unser ausführlicher Beitrag „Datenschutz im Vergabeverfahren“. Dort finden sich auch konkrete Hinweise zum Schutz personenbezogener Daten in der eVergabe sowie zu möglichen Sanktionen bei Verstößen. Wer sich darüber hinaus einen Überblick verschaffen möchte, welche DSGVO-Pflichten ganz allgemein auf öffentliche Auftraggeber:innen zukommen – beispielsweise zu Informationspflichten, rechtlichen Grundlagen oder zur Bedeutung relevanter Beschlüsse –, wird in unserem Artikel „DSGVO für Auftraggeber:innen“ fündig.

Fazit

Die Datenschutz-Grundverordnung ist längst ein unverzichtbarer Bestandteil moderner Unternehmens- und Verwaltungspraxis. Sie stellt sicher, dass personenbezogene Daten innerhalb der EU geschützt werden, während gleichzeitig der freie Datenverkehr gewährleistet bleibt. Die DSGVO betrifft nicht nur Unternehmen innerhalb der EU, sondern auch solche, die mit europäischen Bürger:innen interagieren. Der Schutz personenbezogener Daten erfordert ein durchdachtes Datenschutzmanagement, klare Prozesse und regelmäßige Sensibilisierung der Mitarbeitenden. Wichtig ist es, bereits bei der Erhebung von Daten auf Rechtmäßigkeit und Transparenz zu achten, nur die wirklich notwendigen Daten zu verarbeiten und geeignete technische sowie organisatorische Schutzmaßnahmen umzusetzen. Eine wirksame Einwilligung, der richtige Umgang mit internationalen Datentransfers sowie die sorgfältige Dokumentation der Datenverarbeitungsprozesse sind unverzichtbare Bestandteile eines DSGVO konformen Vorgehens. Unternehmen sollten zudem regelmäßig ihre Datenschutzvereinbarungen und internen Prozesse überprüfen und bei Bedarf anpassen. Wer die Anforderungen der DSGVO ignoriert oder nur halbherzig umsetzt, riskiert erhebliche Konsequenzen: hohe Bußgelder, Reputationsverluste und rechtliche Auseinandersetzungen sind die häufigsten Folgen. Schon kleinere Versäumnisse können zu teuren Datenschutzverstößen führen. Es lohnt sich daher, in eine nachhaltige Datenschutzstrategie zu investieren.

Häufige Fragen zur DSGVO

Regel Nummer 1 der DSGVO im Umgang mit persönlichen Daten ist, dass sie unter keinen Umständen an Dritte weitergegeben werden dürfen - dies gilt sowohl bei großen als auch kleinen Unternehmen! Auch darf auf bereits gespeicherten Daten lediglich eine Person aus dem Betrieb Zugriff haben, dies trifft etwa auf den oder die ausführende:n Handwerker:in zu oder eine:n Sachbearbeiter:in nach einem Kauf eines Produktes auf einer E-Marketplaces-Plattform. Dabei besteht ein Datengeheimnis. Sowohl während des Kundenverhältnisses als auch danach gilt eine Schweigepflicht über die erhobenen Daten. Außerdem dürfen die Daten in der Regel nur so lange gespeichert werden, bis der Auftrag und somit das Kundenverhältnis erledigt ist. Sollten die Daten länger gespeichert werden, müssen Kund:innen darüber informiert werden und es bedarf einer schriftlichen Genehmigung.

Datenschutzbeauftragte sorgen dafür, dass ein Unternehmen oder eine Behörde die Datenschutz-Grundverordnung einhält. Er oder sie überwacht, dass personenbezogene Daten korrekt verarbeitet werden, und berät das Unternehmen zu datenschutzrechtlichen Fragen. Kerntätigkeiten eines Datenschutzbeauftragten bzw. einer Datenschutzbeauftragten sind:

  • Überprüfung von Datenverarbeitungsprozessen
  • Überwachung der Datenschutz-Folgenabschätzung
  • Schulung der Mitarbeitenden
  • Zusammenarbeit mit der Aufsichtsbehörde

Ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte ist erforderlich, wenn:

  • öffentliche Stellen oder Behörden Daten verarbeiten (außer Gerichte in ihrer Funktion)
  • Kerntätigkeiten des Unternehmens eine regelmäßige, systematische Überwachung von Personen umfassen
  • besondere Datenkategorien wie Gesundheitsdaten oder strafrechtliche Daten verarbeitet werden
  • mindestens 20 Mitarbeiter:innen regelmäßig mit automatisierter Verarbeitung personenbezogener Daten arbeiten (gemäß § 38 BDSG)

Die ePrivacy-Verordnung sollte ursprünglich die Datenschutzregeln für elektronische Kommunikation in der EU modernisieren und an die Datenschutz-Grundverordnung anpassen. Im Fokus standen dabei der Schutz der Privatsphäre bei Messengern, das Tracking im Internet sowie der Umgang mit Cookies und anderen Technologien auf Endgeräten. Nach jahrelangen, ergebnislosen Verhandlungen hat die EU-Kommission das Gesetzesvorhaben jedoch im Februar 2025 offiziell zurückgezogen. Stattdessen plant sie nun ein umfassendes „Digital Package“, das Ende 2025 vorgestellt werden soll. Dieses neue Gesetzespaket soll bestehende digitale Regelungen vereinfachen, harmonisieren und einen klaren, einheitlichen Rechtsrahmen für Unternehmen und Behörden schaffen, insbesondere im Bereich des Datentransfers.

Abonnieren Sie jetzt den ibau Newsletter!

Ähnliche Artikel

Mit der richtigen Unternehmensdatenbank neue Kunden gewinnen
23.09.2024 13:51 | Hannah Simons Veröffentlicht in: Wissenswertes
Gruppe an Mitarbeitern nutzt Unternehmensdatenbanken zur Neukundengewinnung
Unternehmensdatenbanken sind das Mittel der Wahl zur Marktbeobachtung und Neukundengewinnung. Erfahren Sie, warum! 
KI im Handwerk – effizienter arbeiten mit neuen Technologien
28.08.2024 13:53 | Lorena Lawniczak Veröffentlicht in: Wissenswertes
Baustelle im Abendlicht die durch KI im Handwerk unterstützt wird
KI ist schon lange kein Fremdwort mehr. Und dennoch sehen viele Handwerker:innen darin kein Potenzial für Ihren Betrieb. Wir zeigen Ihnen die Chancen einer KI-Implementierung und wie Sie diese erfolgreich umsetzen. 
Vertrieb automatisieren – so gewinnen Sie neue Kundschaft!
31.07.2024 11:13 | Lorena Lawniczak Veröffentlicht in: Wissenswertes
Person am PC automatisiert den Vertrieb
Aufwändige E-Mails schreiben, Meetings planen und Kundendaten verwalten – die größten Zeitfresser im Vertrieb. Mit einer Automatisierung des Vertriebs erledigen Sie das alles ohne Aufwand und in kürzester Zeit. So bleibt Ihnen mehr Zeit für das eigentliche Ziel: neue…
Vertriebsteam aufbauen: So gelingt die Vertriebsorganisation
26.02.2025 13:30 | ibau Redaktion Veröffentlicht in: Wissenswertes
Vertriebsteam aufbauen: Sales Mitarbeiter mit Headset telefoniert
Vertriebsteams sind wie ein gut geöltes Uhrwerk: Jedes Zahnrad muss zusammenarbeiten, um das gesamte System am Laufen zu halten. Doch wie stellt man sicher, dass alles reibungslos funktioniert? Ein Vertriebsteam aufzubauen, ist mehr als nur Personalplanung. Es…
Trigger Events im Sales – den richtigen Zeitpunkt erkennen!
19.11.2024 16:27 | Lorena Lawniczak Veröffentlicht in: Wissenswertes
Beim Verkauf von Produkten und Dienstleistungen stellt das Timing einen wesentlichen Erfolgsfaktor dar. Trigger Events können Ihrem Vertrieb signalisieren, wenn ein Kunde oder eine Kundin Bedarf hat und Ihnen somit neue Verkaufschancen bieten. 
Drohende Insolvenzen am Bau frühzeitig erkennen
27.09.2024 16:04 | Hannah Simons Veröffentlicht in: Wissenswertes
Baustelle ohne Bautätigkeit wegen Insolvenz
Die Baubranche erlebt im letzten Jahr ein Insolvenzwelle ungekannten Ausmaßes, von der sogar Mega-Player der Branche betroffen sind. Wie können Unternehmen Insolvenzen der Auftraggeber frühzeitig erkennen und welche Möglichkeiten haben sie? 
ibau Redaktion

Auf Basis der Erfahrung seit 1957, täglicher Recherche, Analyse von Ausschreibungen und Vergaben im öffentlichen und gewerblichen Sektor veröffentlicht die ibau Redaktion Ratgeber-Inhalte, um Sie über verschiedene Fragen und Problemstellungen rund um Ausschreibungen und Vergaben aufzuklären.

Aufträge nach Dienstleistungen
Aufträge nach Lieferleistungen
Aufträge nach Bauleistungen
Aufträge nach Bundesland
Aufträge nach Städten