Going Public

DSGVO Pflichten verstehen und umsetzen - Alles, was Unternehmen über die Datenschutz-Grundverordnung wissen müssen

Datenschutz betrifft uns alle – privat wie beruflich. Seit dem 25. Mai 2018 ist mit der Datenschutz-Grundverordnung (DSGVO) ein EU-weites Datenschutzgesetz in Kraft, das klare Regeln für den Umgang mit personenbezogenen Daten schafft.
Für Unternehmen bedeutet das: neue Pflichten, mehr Verantwortung und potenziell hohe Bußgelder bei Verstößen.

Doch was genau steckt hinter der DSGVO? Welche Daten sind betroffen? Und was müssen Unternehmen konkret tun, um rechtssicher zu handeln?

In diesem Beitrag geben wir einen klar verständlichen Überblick zur DSGVO für Unternehmen, zeigen die wichtigsten Pflichten, typische Stolperfallen – und wie Sie diese vermeiden.

Inhaltsverzeichnis

  1. Was ist die DSGVO? – Eine einfache Erklärung
  2. Warum die DSGVO für Unternehmen so wichtig ist
  3. Die wichtigsten DSGVO Pflichten im Überblick
  4. Wie Unternehmen die DSGVO richtig umsetzen
  5. Häufige Fehler bei der DSGVO – und wie Sie diese vermeiden
  6. FAQ zur Datenschutz-Grundverordnung
  7. Weiterführende Links und Quellen
  8. Fazit: DSGVO als Chance für mehr Vertrauen
  9. Autor:innenprofil & Vertrauen
  10. Quellenverzeichnis & Stichwörter

Was ist die DSGVO? – Eine einfache Erklärung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten vereinheitlicht. Ziel ist es, die Privatsphäre von Bürgerinnen und Bürgern zu stärken und Unternehmen klare Spielregeln für die Verarbeitung von Daten zu geben.


Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, mit denen eine Person direkt oder indirekt identifizierbar ist, z. B.:

  • Name, Adresse, Telefonnummer
  • E-Mail-Adresse
  • IP-Adressen
  • Standortdaten
  • Kunden- oder Mitarbeiterdaten

Geltungsbereich der DSGVO

Die DSGVO gilt für:

  • alle Unternehmen innerhalb der EU, unabhängig von Größe oder Branche
  • nicht-europäische Unternehmen, sofern sie Daten von EU-Bürgerinnen und -Bürgern verarbeiten
  • Damit betrifft sie praktisch jedes Unternehmen, das personenbezogene Daten verarbeitet – vom Einzelunternehmen bis zum internationalen Konzern.

Ziel der DSGVO

  • Schutz der Privatsphäre
  • Transparenz im Umgang mit Daten
  • Kontrolle für Betroffene über ihre Daten
  • Harmonisierung des Datenschutzes innerhalb der EU

Warum die DSGVO für Unternehmen so wichtig ist

Viele Unternehmen sehen die DSGVO zunächst als lästige Pflicht. Tatsächlich bietet sie aber auch Chancen: Wer den Datenschutz ernst nimmt, baut Vertrauen auf – bei Kundinnen und Kunden, Geschäftspartnern und Mitarbeitenden.

Konsequenzen bei Verstößen

Die DSGVO sieht bei Verstößen drastische Strafen vor:

  • Bußgelder bis zu 20 Millionen Euro oder
  • bis zu 4 % des weltweiten Jahresumsatzes

Beispiele:

  • Ein Online-Händler speichert Kundendaten unverschlüsselt → Datenschutzverstoß
  • Ein Unternehmen hat kein Verzeichnis der Datenverarbeitung → Ordnungswidrigkeit

Vorteile für DSGVO-konforme Unternehmen

  • Rechtssicherheit
  • Wettbewerbsvorteil durch Vertrauen
  • Schutz vor Datenpannen
  • Transparenz gegenüber Betroffenen

Die wichtigsten DSGVO Pflichten im Überblick

Die DSGVO enthält klare Pflichten für Unternehmen. Die wichtigsten:

1. Rechenschaftspflicht

Unternehmen müssen nachweisen können, dass sie die DSGVO einhalten.

2. Informationspflicht

Betroffene müssen klar und verständlich darüber informiert werden:

  • Welche Daten werden erhoben?
  • Zu welchem Zweck?
  • Wie lange werden sie gespeichert?

3. Einwilligung zur Datenverarbeitung

Verarbeitung ist nur mit gültiger Einwilligung erlaubt – diese muss:

  • freiwillig,
  • eindeutig,
  • widerrufbar sein.

4. Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen dokumentieren, welche Daten sie wie verarbeiten.

5. Datenschutz-Folgenabschätzung

Bei riskanten Datenverarbeitungen muss geprüft werden, ob Risiken für Betroffene bestehen.

6. Meldung von Datenschutzverletzungen

Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.

7. Rechte der Betroffenen

Betroffene haben das Recht auf:

  • Auskunft
  • Berichtigung
  • Löschung („Recht auf Vergessenwerden“)
  • Datenübertragbarkeit
  • Widerspruch

Wie Unternehmen die DSGVO richtig umsetzen

Schritt-für-Schritt-Anleitung

  1. Ist-Analyse durchführen
    Welche Daten werden verarbeitet? Wo? Wie lange? Warum?

  2. Datenschutzbeauftragte:r ernennen
    Ab einer gewissen Größe oder Art der Datenverarbeitung ist dies Pflicht.

  3. Verzeichnis der Verarbeitungstätigkeiten anlegen
    Einfaches Excel-Dokument reicht oft aus.

  4. Rechtstexte überarbeiten
    z. B. Datenschutzerklärung, Cookie-Banner, Formulare

  5. Einwilligungen dokumentieren
    Nur schriftlich oder digital nachvollziehbare Einwilligungen sind gültig.

  6. Mitarbeitende schulen
    Datenschutz fängt im Alltag an: E-Mails, Passwörter, Drucker, Bildschirmsperren etc.

  7. Verträge mit Auftragsverarbeitern prüfen
    z. B. Cloud-Anbieter, Webhoster → Vertrag zur Auftragsverarbeitung (AVV) notwendig

Häufige Fehler bei der DSGVO – und wie Sie diese vermeiden

 

  • ❗ Unvollständige Datenschutzerklärungen
    → Vorlage nutzen, z. B. von https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

  • ❗ Fehlender Cookie-Banner oder falsche Einbindung
    → Nur technisch notwendige Cookies ohne Zustimmung erlaubt

  • ❗ Keine Einwilligung für Newsletter
    → Nur mit aktiver Zustimmung (Double Opt-In)

  • ❗ Keine Schulung der Mitarbeitenden
    → Risiko durch Unwissenheit und menschliche Fehler

  • ❗ Keine Prüfung externer Dienstleister
    → Auch externe Anbieter müssen DSGVO-konform arbeiten

 

Fragen und Antworten

  • Die Nichtbeachtung der DSGVO ist kein Kavaliersdelikt, sondern kann gravierende Folgen haben – sowohl rechtlich als auch wirtschaftlich. Wer als Unternehmen die Regelungen ignoriert oder fahrlässig handelt, riskiert unter anderem:

    • Hohe Bußgelder: Je nach Schwere des Verstoßes drohen Strafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
      Beispiel: Ein international tätiger Konzern kann so Millionenbeträge verlieren, aber auch kleine Unternehmen wurden bereits mit fünfstelligen Summen belegt.

    • Abmahnungen und Unterlassungsklagen: Wettbewerber oder Verbraucherschutzverbände können DSGVO-Verstöße abmahnen. Es drohen nicht nur Kosten für die Abmahnung, sondern auch gerichtliche Auseinandersetzungen.

    • Vertrauensverlust: Datenpannen und fehlende Transparenz führen schnell zu Imageverlust, Kundenabwanderung und schlechter Presse. Besonders in Zeiten von Datenschutz-Sensibilität ist das fatal.

    • Behördliche Prüfungen: Datenschutzbehörden können Prüfungen anordnen, Einsicht in Dokumentationen verlangen und vor Ort Kontrollen durchführen.

    Kurz gesagt: Ignorieren ist keine Option – die Risiken sind zu hoch, die Umsetzungspflichten zu konkret und die Aufsichtsbehörden wachsam.

  • Ja, die DSGVO gilt ausnahmslos für alle Unternehmen, unabhängig von Größe, Rechtsform oder Branche. Also auch für:

    • Einzelunternehmen

    • Start-ups

    • Online-Shops

    • Vereine und Freiberufler:innen

    Es gibt keine pauschale Ausnahme für „Kleinstunternehmen“, auch wenn sich einige Erleichterungen ergeben können, z. B.:

    • Bei weniger als 250 Mitarbeitenden entfällt die Pflicht zum umfassenden Verzeichnis der Verarbeitungstätigkeiten – es sei denn, es werden regelmäßig sensible Daten verarbeitet oder ein Risiko für Rechte und Freiheiten der Betroffenen besteht.

    • Kleine Unternehmen müssen nicht zwingend einen Datenschutzbeauftragten benennen – aber sie müssen die DSGVO trotzdem vollumfänglich einhalten.

    Besonders im E-Commerce, bei Kundenkommunikation oder bei der Verarbeitung von Mitarbeiterdaten gelten alle Pflichten uneingeschränkt.

    💡 Tipp: Auch kleine Unternehmen profitieren von einem sauberen Datenschutzkonzept, weil es Vertrauen schafft und Risiken minimiert.

  • Ob ein Unternehmen oder eine Organisation eine:n Datenschutzbeauftragte:n benennen muss, hängt von bestimmten Faktoren ab:

    Pflicht zur Benennung besteht bei:

    1. Mindestens 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten. Das gilt z. B. für Unternehmen mit Kundendaten, CRM-Systemen oder Lohnabrechnungen.

    2. Wenn sensible Daten verarbeitet werden, z. B.:

      • Gesundheitsdaten

      • Religionszugehörigkeit

      • biometrische Daten

    3. Wenn die Verarbeitung besonders überwachungsintensiv ist, z. B. bei Videoüberwachung oder bei der systematischen Bewertung von Personen (Scoring, Profiling).

    4. Wenn die Verarbeitung im Auftrag Dritter erfolgt, z. B. als IT-Dienstleister oder Cloud-Anbieter.

    Was macht ein:e Datenschutzbeauftragte:r?

    • Beratung und Schulung von Mitarbeitenden
    • Kontrolle der Einhaltung der DSGVO
    • Kommunikation mit Aufsichtsbehörden
    • Dokumentation und Prüfung von Prozessen
    • Unterstützung bei Datenschutz-Folgenabschätzungen

    💡 Tipp: Der oder die Datenschutzbeauftragte kann intern oder extern sein. Kleine Unternehmen greifen oft auf externe Dienstleister zurück, was rechtlich völlig zulässig und oft effizienter ist.

  • Ja, eine regelmäßige Schulung der Mitarbeiterinnen und Mitarbeiter ist nicht nur sinnvoll, sondern laut DSGVO sogar verpflichtend – zumindest indirekt. Denn Unternehmen tragen die volle Verantwortung dafür, dass alle Personen, die mit personenbezogenen Daten arbeiten, mit den Grundprinzipien der DSGVO vertraut sind.

    Das betrifft insbesondere:

    • Mitarbeiterinnen und Mitarbeiter im Kundenservice, Vertrieb, Personalwesen oder Marketing
    • IT-Fachkräfte
    • Führungskräfte
    • sowie alle anderen, die mit personenbezogenen Daten umgehen

    Wie oft sollten Schulungen stattfinden?

    • Grundschulung bei Eintritt ins Unternehmen oder bei DSGVO-Umstellungen
    • Auffrischung mindestens einmal jährlich oder bei relevanten Änderungen (z. B. neuer Datenschutzbeauftragter, neue Tools, neue Prozesse)
    • Anlassbezogen, z. B. nach einer Datenpanne oder nach Einführung eines neuen Systems

    Was sollte eine DSGVO-Schulung beinhalten?

    • Grundlagen des Datenschutzes und rechtlicher Rahmen
    • Rechte der Betroffenen
    • Was sind personenbezogene Daten?
    • Technische und organisatorische Maßnahmen
    • Verhalten im Alltag (z. B. E-Mail, Passwortsicherheit, mobiles Arbeiten)
    • Meldepflichten bei Datenschutzvorfällen

    Empfohlene DSGVO-Schulung 

    Für alle, die in der Finanzbranche tätig sind (z. B. als Versicherungs- oder Finanzberater:innen), empfehlen wir die kompakte und praxisnahe Online-Schulung der Akademie für Finanzberatung:

    DSGVO & Datenschutz – WBThek® Online-Kurs

    Vorteile dieser Schulung:

    • speziell zugeschnitten auf die Finanzdienstleistungsbranche
    • kompakt und praxisnah
    • vollständig online und flexibel abrufbar
    • inklusive Teilnahmezertifikat zur Nachweisführung gegenüber Aufsichtsbehörden