DSGVO kompakt: Das gilt in 2022

Die heute gültige Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Mit ihr wurden wichtige datenschutzrechtliche Grundlagen festgelegt, die das bis dahin gültige Bundesdatenschutzgesetz aufhoben. Die datenschutzrechtlichen Grundlagen betreffen den Umgang von Betrieben mit gespeicherten personenbezogenen Daten, also ihre Speicherung, Nutzung und Verbreitung.

Was ist die Datenschutzgrundverordnung (DSGVO) und was regelt sie?

Auch gewisse Auskunftsrechte sind in dem Gesetz geregelt. So sind Unternehmen beispielsweise dazu verpflichtet, Kund:innen auf Anfrage Auskunft darüber zu geben, wie ihre Daten im Unternehmen gespeichert und gegebenenfalls auch weitergegeben werden. Diese personenbezogenen Daten können Namen, Geburtstage, Telefonnummern und Adressen sein. Aber auch digitale Datensätze, wie IP-Adressen und Nutzernamen gehören dazu.

Der Ratgeber-Artikel "DSGVO kompakt" dient als Einstieg in die aktuell geltende Datenschutzgrundverordnung. Er gibt Ihnen einen Überblick über die wichtigsten Pflichten und Verbote, die mit der DSGVO einhergehen.

Bitte beachten Sie, dass Sie für die Umsetzung der Verordnung selbst verantwortlich sind. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Datenschutzgrundverordnung in 2020

Wie betrifft die Datenschutzverordnung kleine Unternehmen?

Die DSGVO betrifft alle Unternehmen, unabhängig von der Größe ihrer Datenbank mit Kundendaten. Auch KMU verfügen über vertrauliche Daten, wie Geburtstage und Nachnamen, die unter die DSGVO fallen. Grundsätzlich dürfen Betriebe diese Daten sammeln, sofern sie für die Entstehung des Kundenverhältnisses notwendig sind oder wegen gesetzlicher Vorgaben gespeichert werden müssen. Beispiel: Ein E-Business darf die Daten der Kund:innen zu Garantiezwecke sowie Finanznachweisen speichern. Ebenso dürfen Vergabestellen im Zuge der eVergabe die eingehenden Angebote sowie Daten der Bieter:innen speichern, um die Angebote zu vergleichen. Kleine und mittlere Unternehmen (KMU) sind somit trotz der geringen Größe von der DSGVO betroffen und müssen sich bei der Bearbeitung personenbezogener Daten an den Richtlinien aus der Datenschutz-Grundverordnung orientieren. Bearbeiten in kleinen Unternehmen weniger als zwanzig Personen die vertraulichen Informationen, wird in der Regel jedoch kein:e Datenschutzbeauftragte:r benötigt.

Wie vertraulich sind die gespeicherten Daten?

Regel Nummer 1 der DSGVO im Umgang mit persönlichen Daten ist, dass sie unter keinen Umständen an Dritte weitergegeben werden dürfen - dies gilt sowohl bei großen als auch kleinen Unternehmen! Auch darf auf bereits gespeicherten Daten lediglich eine Person aus dem Betrieb Zugriff haben, dies trifft etwa auf den oder die ausführende:n Handwerker:in zu oder eine:n Sachbearbeiter:in nach einem Kauf eines Produktes auf einer E-Marketplaces-Plattform. Dabei besteht ein Datengeheimnis. Sowohl während des Kundenverhältnisses als auch danach gilt eine Schweigepflicht über die erhobenen Daten.

Außerdem dürfen die Daten in der Regel nur so lange gespeichert werden, bis der Auftrag und somit das Kundenverhältnis erledigt ist. Sollten die Daten länger gespeichert werden, müssen Kund:innen darüber informiert werden und es bedarf einer schriftlichen Genehmigung.

Welche Auskunftsrechte gelten und wer kann davon Gebrauch machen?

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, bei einem Unternehmen anzufragen, ob eigene personenbezogene Daten vorliegen und im Unternehmen verarbeitet werden. Dieser Prozess gliedert sich in zwei Stufen. So muss das Unternehmen als Verantwortlicher zunächst prüfen, ob überhaupt personenbezogene Daten des oder der Auskunftssuchenden verarbeitet werden. Die betroffene Person muss darüber informiert werden, ob das der Fall ist oder nicht. Die zweite Stufe besteht darin, den oder die Betroffene:n darüber aufzuklären, welche dieser Daten wie verarbeitet werden. Das Auskunftsrecht umfasst Angaben über:

  • Verarbeitungszwecke der personenbezogenen Daten
  • Empfänger:innen und Kategorie der Empfänger:innen
  • Speicherdauer und Kriterien der Festlegung
  • Angaben zur Herkunft der Daten, falls diese nicht bei der Person selbst erhoben wurden
  • Informationen zu den Betroffenenrechten bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Verarbeitungsvorgänge bei Weitergabe der Daten an Dritte

Die Auskunft kann gemäß Art. 12 Abs. 1 Sätze 2 und 3 DSGVO entweder schriftlich, elektronisch oder mündlich erfolgen. Die Frist, in der die Auskunft erfolgen muss, liegt außerdem bei höchstens einem Monat. Grundsätzlich gilt, dass die Auskunft unverzüglich erfolgen muss. Länger als einen Monat darf sich das Unternehmen nur in begründeten Ausnahmefällen Zeit lassen.

Die Auskunftsleistung erfolgt unentgeltlich. Lediglich bei angeforderten Kopien oder Dokumenten können Verwaltungskosten verlangt werden. In Ausnahmefällen können Verantwortliche einen Auskunftsantrag außerdem verweigern. Das ist zum Beispiel bei unbegründeten oder exzessiven Anträgen der Fall.

Wann und warum sind Einverständniserklärungen notwendig?

Grundsätzlich legt die DSGVO fest, dass keine personenbezogenen Daten ohne Benachrichtigung und Einwilligung der betroffenen Personen weitergegeben werden dürfen. Das fängt beispielsweise schon damit an, dass im Betrieb ein Kalender mit allen Geburtstagen der Angestellten aushängt. Da hierdurch im Prinzip schon private, personenbezogene Daten weitergegeben werden, muss von allen betroffenen Angestellten vorher eine schriftliche Einwilligung vorliegen. Das gleiche gilt auch für interne Adress- und Telefonbücher.

Werden personenbezogene Daten länger zur Verarbeitung oder zu Werbezwecken behalten, als vereinbart, müssen Betroffene darüber informiert werden und auch hier ihr schriftliches Einverständnis geben. Hier reicht keine kurze Benachrichtigung – es bedarf einer ausführlichen Erklärung darüber, welchem Zweck die Weiterverarbeitung dient und auch, in welchem Umfang die Daten weiterhin verarbeitet werden. Sobald die Person, deren Informationen verwendet werden, eine Löschung der Daten aus der Datenbank wünscht, muss diesem Wunsch Folge geleistet werden.

Was ist ein Datenschutzbeauftragter?

Ein:e Datenschutzbeauftragte:r sorgt im Betrieb dafür, dass der Datenschutzgrundverordnung Folge geleistet wird. Unternehmen und Behörden, die regelmäßig mit sensiblen personenbezogenen Daten arbeiten, müssen regelmäßig eine:n solche:n Datenschutzbeauftragte:n bestellen. Er oder sie fungiert im Betrieb als unabhängiges Kontrollorgan, seine oder ihre Aufgaben sind unter anderem:

  • die Prüfung aller Arbeitsabläufe mit Daten
  • die Überwachung von Prozessen zur Datenschutz-Folgenabschätzung
  • die Schulung von Mitarbeiter:innen in Sachen Datenschutz
  • Zusammenarbeit mit der Aufsichtsbehörde

Wir ein Verstoß oder einen problematischen Umgang mit vertraulichen Daten festgestellt, setzt er oder sie sich mit der Geschäftsführung in Verbindung und berät darüber, wie damit in Zukunft umgegangen werden sollte.

Unternehmen können selbst entscheiden, ob sie eine:n Mitarbeiter:in als interne:n Datenschutzbeauftragte:n einsetzen oder ob sie eine:n externe:n Experten oder Expertin bestellen. Diese:r kann dabei sowohl eine Organisation als auch eine Person sein. Dies gilt für Unternehmen aus ganz Deutschland, egal ob sich der Firmensitz in Lübeck, Augsburg oder Berlin befindet.

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Anders als in öffentlichen Stellen wie Ämtern und Behörden, wo immer ein:e Datenschutzbeauftragte:r bestellt werden muss, gilt das für Unternehmen nicht immer. Die Regelungen dazu, ab wann ein:e Datenschutzbeauftragte:r in einem nicht-öffentlichen Unternehmen Pflicht ist, finden sich in Art. 37 der Datenschutzgrundverordnung (DSGVO) und in § 38 des Bundesdatenschutzgesetzes (BDSG).

So ist eine Bestellung dann notwendig, wenn die Haupttätigkeit der Stelle eine regelmäßige und systematische Überwachung der Betroffenen erforderlich machen oder diese Haupttätigkeit darin besteht, besondere Arten von personenbezogenen Daten zu bearbeiten.

Auch die Anzahl der Mitarbeiter:innen ist ausschlaggebend dafür, ob ein:e Datenschutzbeauftragte:r gemäß BDSG bestellt werden muss. Die Grundregel besagt, dass dies ab einer Menge von zwanzig Mitarbeiter:innen, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, Pflicht ist.

Datentransfer mit Drittstaaten

Innerhalb des europäischen Wirtschaftsraums können Daten frei übertragen werden. Wenn Daten in andere Länder, sogenannte “Drittländer” übertragen werden sollen, muss das in der Datenschutz-Grundverordnung (DSGVO) angemessene Datenschutzniveau auf andere Weise sichergestellt werden. Dies geschieht in der Regel durch sogenannte Standardvertragsklauseln, auch “Standard Contractual Clauses”, kurz “SCC”, gemäß Art. 46 Abs. 2 lit. c DSGVO. Diese werden von der Europäischen Union in Form von Vertragsmustern bereitgestellt. 2021 hat die Kommission neue Vertragsmuster veröffentlicht. Alle Verträge müssen nun auf die neuen SCC umgestellt werden. Alle auf alten Vertragsmustern beruhenden SCC verlieren zum 27.12.2022 ihre Gültigkeit und müssen deswegen bis dahin ersetzt werden. Das bedeutet einen erheblichen Mehraufwand für Unternehmen, die in regem Transfer mit Drittländern stehen.

Auch der Transfer in die USA wird kritischer. Der europäische Gerichtshof hat entschieden, dass der Abschluss von SCC alleine nicht ausreicht, um ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherzustellen. Zu den weiteren Maßnahmen gehört insbesondere die Durchführung eines sogenannten “Transfer Impact Assessments”. Für Unternehmen bedeutet das, dass sie beim Einsatz von US-Leistungen verstärkt prüfen sollten, ob die Zusammenarbeit wirklich zwingend erforderlich ist oder es eine europäische Alternative gibt. Ist die Zusammenarbeit nötig, sollten die Voraussetzungen für einen zuverlässigen Dirttlandtransfers erfüllt und dokumentiert werden. Hier kann in der nächsten Zeit allerdings noch mit Neuerungen gerechnet werden.

Welche Strafen und Bußgelder können auf Betriebe zukommen?

Bei schwerwiegenden datenschutzrechtlichen Vergehen sind die nationalen Aufsichtsbehörden dazu verpflichtet, nach der Datenschutzgrundverordnung Bußgelder zu verhängen. Die Bußgelder gehen meist mit anderen Anordnungen, wie zum Beispiel der Aufforderung zur Beendigung bestimmter Vorgänge oder der Löschung von Daten, einher.

Wie werden die Strafen und Höhen der Bußgelder bestimmt?

Um faire und angepasste Strafen zu verhängen, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. Ausschlaggebend für die Höhe der Strafe sind unter anderem:

  • welcher Schaden entstand
  • ob das Unternehmen mit Absicht handelte
  • wie viele Personen die Datenschutzverletzung betrifft
  • ob das Vergehen schon einmal vorkam
  • wie lange die Datenschutzverletzung anhielt
  • wie kooperativ der oder die Datenschutzbeauftragte des Unternehmens gehandelt hat

Für besonders schlimme Verstöße nach Art. 83 Abs. 5 DSGVO kann die Geldstrafe bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres betragen. Die Behörden wählen immer den höheren der beiden Beträge. Bei kleineren Unternehmen sind auch kleinere Beträge als Bußgelder möglich. Grundsätzlich ist das Ziel der Strafen, die Unternehmen bei schwerwiegenden Fehlern abzuschrecken und so erneute Vergehen zu verhindern.
Um möglichen Strafen aus dem Weg zu gehen und auf der sicheren Seite zu sein, sollte man als Unternehmen immer ordentlich prüfen lassen, ob der Datenschutz in allen Bereichen zureichend eingehalten wird. Bei der Frage, ob Anpassungen und Änderungen in manchen Bereichen notwendig sind, sollte ein:e Anwalt:in konsultiert werden. Geeignete Fachanwält:innen finden sich vor allem in Metropolen wie Köln, Düsseldorf und Hamburg.

Erweiterung um ePrivacy-Verordnung

Mit der ePrivacy-Verordnung soll die Privatsphäre der Bürger:innen bei der Online-Kommunikation gestärkt und der Datenschutz innerhalb der EU intensiver reguliert werden. Sie soll die veraltete ePrivacy-Richtlinie ersetzen und die Datenschutz-Grundverordnung flankieren. Während die DSGVO allgemein gehalten ist, soll die ePrivacy-Verordnung in speziellen Punkten deutlicher werden und somit vorrangig behandelt werden. Das liegt daran, dass die DSGVO nicht ausschließlich für das Internet geschaffen ist und die Verordnung diesem Bereich besser schützt. Die Verordnung wird mehr Unternehmen betreffen als jedes vorangegangene Datenschutzgesetz, denn sie richtet sich an die komplette Online-Branche.

Eine große Änderung soll etwa in Bezug auf die Verwendung von Cookies kommen: Das Ablehnen soll einfacher werden, Cookies dürfen nur dann gesetzt werden, wenn die Nutzerin oder der Nutzer konkret zustimmt und auch bei nicht erfolgter Zustimmung sollen Nutzer:innen künftig alle Inhalte sehen können. Als Cookies bezeichnet man Textinformationen, die von einem Internetbrowser über Nutzer:innen gesammelt werden. Sie dienen dem Browser dazu, Nutzer:innen wiederzuerkennen und Inhalte, wie zum Beispiel die Werbung im Onlinemarketing von Onlineshops an sie anzupassen.

Bereits seit April 2016 wird über die ePrivacy-Verordnung diskutiert - bisher ohne wirklichen Erfolg. Wann die Regelung kommt ist also noch immer unklar, da sich die EU-Mitgliedstaaten bisher auf keine gemeinsame Linie einigen können. Da für die Verordnung in Deutschland eine zweijährige Übergangsfrist vorgesehen ist, muss nicht mit einer plötzlichen Umsetzung gerechnet werden.

Bestehendes Verfahren zu ePrivacy um Unternehmen Planet49

Um solche Cookies im Web geht es auch in einem Fall rund um das Glückspiel-Unternehmen Planet49. Auf vielen Webseiten, auch der von Planet49 ist die Aufforderung an die Nutzer:innen, die Cookies zu akzeptieren, schon mit einem aktiven Haken voreingestellt. Mit nur einem Knopfdruck auf „Akzeptieren“ willigen diese ein, dass Cookies gesammelt werden. Um der Sammlung von Cookies zu widersprechen, müssen Nutzer:innen die Vorauswahl zunächst auf „nicht akzeptieren“ umändern und dann bestätigen.

2013 wurde das Unternehmen deshalb vom deutschen Bundesverband der Verbraucherzentralen (VZBV) auf Unterlassung verklagt. Statt der Möglichkeit, das voreingestellte Häkchen wieder zu entfernen (Opt-Out-Verfahren), sollte das entsprechende Kästchen eigentlich leer sein, damit die Nutzer:innen selbst den Haken bei „akzeptieren“ oder eben „nicht akzeptieren“ setzen (Opt-In-Verfahren).

2014 folgte dann die Verurteilung zur Zahlung von Abmahnkosten und zur Unterlassung durch das Landgericht Frankfurt am Main. Danach hatten die Angeklagten allerdings Erfolg mit einer Berufung und beide Parteien legten die vom Oberlandesgericht in Frankfurt am Main zugelassene Revision ein.

Im Oktober 2019 beantwortete der Europäische Gerichtshof (EuGH) dann allerdings einige offene Fragen, die der Bundesgerichtshof in Karlsruhe 2017 an ihn weiterleitete. So sieht der Europäische Gerichtshof die bisherige Regelung der Planet49 GmbH mit dem Opt-Out-Verfahren datenschutzrechtlich als nicht ausreichend an. “Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“, heißt es vom EuGH. Die Betonung liegt hierbei auf dem Wort „aktiv“. Eine bereits voreingestellte Checkbox mit einem Haken an der richtigen Stelle reiche hier nicht aus.

In dem Urteil heißt es außerdem: “Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten […] keine Einwilligung darstellen.” Am 28. Mai 2020 hat der Bundesgerichtshof die Revision daher zurückgewiesen und das Berufungsurteil und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Um Strafen oder sogar Klagen vorzubeugen, sollte auf einer eigenen Website daher unbedingt darauf geachtet werden, Nutzer:innen aktiv dazu aufzufordern, der Sammlung von Cookies entweder zuzustimmen oder sie abzulehnen.

Häufige Fragen zur DSGVO

Was ist die DSGVO?

Bei der DSGVO handelt es sich um eine Verordnung der EU, die erstmalig einen einheitlichen Datenschutzstandard für die gesamte EU darstellt. Sie soll den europäischen Datenschutz vereinfachen, da zuvor in den verschiedenen Mitgliedstaaten unterschiedliche Datenschutzverordnungen galten.

Was regelt die Datenschutz-Grundverordnung?

Mit der DSGVO wird die Verarbeitung personenbezogener Daten natürlicher Personen durch andere natürliche Personen, Unternehmen oder Organisationen innerhalb der EU geregelt.

Die Verordnung ist nicht für die Verarbeitung personenbezogener Daten von Verstorbenen oder juristischen Personen zuwenden; auch die Datenverarbeitung im persönlichen Bereich ist von der DSGVO ausgenommen.

Für wen gilt die Datenschutz-Grundverordnung?

Die DSGVO gilt für alle Unternehmen und Einrichtungen, die personenbezogene Daten in der EU verarbeitet. Dies gilt sowohl für große Konzerne als auch für ein kleines oder mittleres Unternehmen (KMU). Auch Unternehmen außerhalb der EU sind an die Datenschutz-Grundverordnung gebunden, wenn sie Waren und Dienstleistungen in der EU anbieten. Sie gilt sowohl im B2C- als auch im B2B-Bereich.

Seit wann gilt die DSGVO?

Beschlossen wurde die Datenschutz-Grundverordnung am 14. April 2016 vom EU-Parlament, bereits am 25. Mai 2016 trat die Verordnung in Kraft. Sie wurde allerdings erst zwei Jahre später, am 25. Mai 2018, für alle EU-Staaten verbindlich.

Ab wann ist ein:e Datenschutzbeauftragte:r nötig?

Sobald im Unternehmen mindestens 20 Personen personenbezogene Daten im Unternehmen verarbeiten, ist gemäß § 38 Abs. 1 Satz 1 BDSG ein:e Datenschutzbeauftragte:r zu benennen. Datenschutzbeauftragte können sowohl im Unternehmen selbst beschäftigt sein als auch eine externe Person formen. Auch Organisationen können als Datenschutzbeauftragte fungieren.

Abonnieren Sie jetzt den ibau Newsletter!

Ähnliche Artikel

19.02.2024 15:07 | Lorena Lawniczak Veröffentlicht in: Wissenswertes
Nachhaltige Kundenbeziehungen sind für Ihr Unternehmen das A und O. Nutzen Sie digitale Tools und weitere Tricks, um die Beziehungen zu Ihren Bestandskund:innen im B2B zu optimieren.   [...]
24.07.2023 15:15 | Iris Jansen Veröffentlicht in: Wissenswertes
Die deutschen Krankenhäuser profitieren bisher eher wenig von den Vorteilen, die die Digitalisierung mit sich bringt. Das sollen das neue Krankenhauszukunftgesetz und ein gut gefüllter Fördertopf bald ändern. [...]
20.05.2022 09:10 | Hannah Simons Veröffentlicht in: Wissenswertes
Google My Business ist ein kostenloses Tool, mit dem Unternehmen ihre Onlinepräsenz auf Google, einschließlich der Google-Suche und Google Maps, verwalten können. Im Grunde funktionieren die Google Business Profile wie ein riesiges Branchenbuch und ein Eintrag ist ei [...]
19.04.2022 08:27 | Hannah Simons Veröffentlicht in: Wissenswertes
Unternehmensdatenbanken sind eine Sammelstelle für Informationen zu verschiedenen Firmen. Je nach Umfang und Ziel sind neben den Daten zu Gründungsjahr, Geschäftsführung und Tätigkeiten auch Projekte, Netzwerke und wirtschaftliche Erfolge oder Miserfolge hinterlegt [...]
25.02.2022 13:25 | Hannah Simons Veröffentlicht in: Wissenswertes
Bewertungsportale wie Google, bei denen man Unternehmen online bewerten kann, spielen eine zentrale Rolle im Customer Journey. Eine Untersuchung von BrightLocal aus dem Jahr 2018 hat ergeben, dass 86 Prozent der Konsumierenden Kundenbewertungen lesen und bei 91 Prozent [...]
31.01.2022 11:17 | Hannah Simons Veröffentlicht in: Wissenswertes
Bei der Nativen Integration werden die Informationen, die sich in unterschiedlichen Anwendungen befinden, automatisch miteinander abgeglichen und synchronisiert. [...]
Jacqueline Segeth - Redakteurin bei der ibau GmbH
Jacqueline Segeth

Jacqueline Segeth war von Februar 2019 bis April 2021 bei der ibau GmbH in Münster tätig. Als Redakteurin recherchierte und verfasste sie Ratgeber- und Glossarartikel für unsere Onlinemagazine. Ihre vielseitige und strukturierte Schreibweise erlaubt es ihr, Inhalte verschiedener Themenbereiche strukturiert und verständlich aufzubereiten.