Datenschutz-Grundverordnung (DSGVO) Zusammenfassung und Checkliste
Die Datenschutz-Grundverordnung der EU (DSGVO) soll den Umgang mit personenbezogenen Daten regeln und ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten vorgeben. Besonders Unternehmen ärgern sich über den zusätzlichen Bürokratie-Aufwand und die teils undurchsichtige Rechtslage, die mit der DSGVO einhergeht. Wir bieten im Folgenden eine Zusammenfassung der DSGVO und stellen für Ihr Unternehmen eine DSGVO-Checkliste auf.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) schafft ein einheitliches Datenschutzrecht in der EU und verpflichtet Unternehmen sowie Website-Betreibende dazu, personenbezogene Daten transparent, zweckgebunden und sicher zu verarbeiten. Im Mai 2016 trat die Datenschutz-Grundverordnung mit einer Übergangsfrist von zwei Jahren in Kraft. Seit dem 25. Mai 2018 gilt sie in allen EU-Staaten als offizielles Datenschutzgesetz, das unmittelbar gilt und bei Widersprüchen mit dem nationalen Recht diesem übergeordnet ist. In Öffnungsklauseln können Mitgliedstaaten Regeln ergänzen. Alle Unternehmen und öffentlichen Stellen, die mit personenbezogenen Daten arbeiten, müssen seither die neuen Regeln der EU zum Datenschutz befolgen und entsprechende Maßnahmen in ihrem Betrieb umsetzen.
Dieser Artikel bietet eine grundlegende DSGVO-Zusammenfassung und erklärt:
- warum die DSGVO als Verordnung sofort verbindlich ist
- welche Ziele und Grundprinzipien dahinterstehen
- und welche Pflichten sich daraus in der Praxis ergeben, von Dokumentation und Betroffenenrechten bis zu technischen und organisatorischen Maßnahmen
- wie die DSGVO in Deutschland durch Öffnungsklauseln und das BDSG ergänzt wird
- welche Rolle Datenschutzbeauftragte spielen und welche zusätzlichen Anforderungen für Websites relevant sind
- Profi-Website in Sekunden dank KI
- Aus tausenden Vorlagen auswählen
- 30 Tage kostenlos testen
DSGVO-Zusammenfassung: Checkliste mit den wichtigsten Maßnahmen
Möchte man mit der Umsetzung der europäischen Datenschutz-Grundverordnung beginnen, gilt zunächst: Die erforderlichen Maßnahmen fallen je nach Unternehmen unterschiedlich aus. Dennoch gibt es eine Reihe an Vorkehrungen, die jedes Unternehmen berücksichtigen sollte. Wir haben diese in einer DSGVO-Checkliste für Sie zusammengefasst.
✓ Verzeichnis der Verarbeitungstätigkeiten führen (inkl. Zwecke, Rechtsgrundlagen, Speicherfristen, Empfänger)
✓ Rechtsgrundlagen prüfen und dokumentieren (Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse)
✓ Datenschutzerklärung aktuell halten (Website, Onlineshop, Tracking, Drittanbieter, Kontaktformulare)
✓ Einwilligungsmanagement umsetzen (Cookie-Banner, Opt-in, Widerrufsmöglichkeit, Protokollierung)
✓ Betroffenenrechte sicherstellen (Auskunft, Löschung, Berichtigung, Widerspruch, Datenübertragbarkeit)
✓ Interne Zuständigkeiten festlegen (Datenschutzkontakt, klare Meldewege für Anfragen und Vorfälle)
✓ Datenschutzbeauftragten benennen, sofern gesetzlich erforderlich, oder Zuständigkeit klar regeln
✓ Auftragsverarbeitungsverträge prüfen und abschließen (z. B. Hosting, Newsletter, Analyse-Tools)
✓ Technische und organisatorische Maßnahmen (TOMs) umsetzen (Zugriffsschutz, Verschlüsselung, Backups)
✓ Datenschutz-Folgenabschätzung durchführen, wenn ein hohes Risiko für Betroffene besteht
✓ Meldeprozesse für Datenschutzverletzungen etablieren (72-Stunden-Frist)
✓ Regelmäßige Überprüfung und Schulung (Mitarbeitende, Tools, rechtliche Entwicklungen)
Durch die DSGVO muss sichergestellt werden, dass personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung geschützt sind. Daher empfehlen wir auch im Zuge der DSGVO den Einsatz eines SSL-Zertifikats für Ihre Website oder Ihren Onlineshop.
Dringlichkeit: Keine Richtlinie, sondern eine Verordnung
Gesetze nehmen auf europäischer Ebene für gewöhnlich einen langen Weg – selbst noch, nachdem sie bereits offiziell in Kraft getreten sind. Denn wird eine neue EU-Richtlinie nach langen Debatten im Parlament in Brüssel beschlossen, so werden den Mitgliedsstaaten oft großzügige Übergangsfristen eingeräumt, um das Gesetz in die nationale Rechtsprechung zu übernehmen. Bis der Umsetzungsdruck auch bei einzelnen Unternehmen ankommt, kann viel Zeit verstreichen.
Neben Richtlinien gibt es aber noch eine zweite Art von EU-Gesetzen: Verordnungen. Sie bieten nahezu keine inhaltlichen und zeitlichen Spielräume. Sie sind sofort und für alle Staaten einheitlich rechtlich bindend. So ist es auch im Falle der DSGVO: Sie ist keine Richtlinie, sondern eine Verordnung. Im Mai 2016 trat diese mit einer Übergangsfrist von zwei Jahren in Kraft. Doch durch den großen Umsetzungsaufwand und die undurchsichtige Rechtslage hatten bis 2023 laut Digitalverband Bitkom nur rund 65 % der deutschen Unternehmen die Regelungen der DSGVO vollständig oder zumindest größtenteils umgesetzt.
DSGVO-Neuerungen sorgen für Ärger bei Unternehmen
Die größten Hürden bestehen für Unternehmen bei der Rechtsunsicherheit und dem Aufwand, der mit der Umsetzung der DSGVO einhergeht. In einer Studie des Digitalverbands Bitkom aus dem Jahr 2025 geben 69 % der teilnehmenden deutschen Unternehmen an, der Aufwand der DSGVO habe weiter zugenommen und für 97 % sei der Aufwand inzwischen sehr hoch oder eher hoch. Laut Studie ist es für die Unternehmen besonders herausfordernd, dass der „Prozess nie abgeschlossen ist“ (86 %), und dass „uneinheitliche Auslegung innerhalb der EU“ (54 %) und in Deutschland selbst (37 %) herrschen.
Der Europäische Gerichtshof (EuGH) hat 2025 im Urteil C-413/23 P geklärt, dass pseudonymisierte Daten nicht automatisch als personenbezogene Daten gelten müssen. Entscheidend ist, ob eine Organisation die Person tatsächlich identifizieren kann oder nicht. So schafft das Urteil mehr Klarheit darüber, wann die DSGVO wirklich anwendbar ist, zum Beispiel bei Daten für Analysen oder KI-Modelle.
Das Ergebnis: Für viele Unternehmen resultiert die komplizierte Rechtslage in Bußgeldverfahren. Betroffene Unternehmen drohen bei Verstößen hohe Bußgelder. Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr können als Strafmaßnahme erhoben werden. Renommierte Unternehmen wie Google sind wegen ihrer Versäumnisse in puncto Datenschutz bereits zur Kasse gebeten worden. Allein Deutschland hat seit Inkrafttreten der Verordnung bis Ende 2024 laut der Kanzlei DLA Piper Bußgelder von insgesamt 89,1 Millionen Euro verhängt.
Die Website dsgvo-portal.de fasst eine Vielzahl von DSGVO-Verstößen und Verletzungen anderer Datenschutzgesetze übersichtlich und detailliert in einer Datenbank zusammen.
Ergänzungen: Öffnungsklauseln und das BDSG
EU-Verordnungen haben Vorrang vor nationalen Gesetzen und gehen bei Widersprüchen vor. Allerdings enthält die Datenschutz-Grundverordnung einige Öffnungsklauseln, die es nationalen Gesetzgebern ermöglichen, bestimmte Datenschutzregeln abzuschwächen oder zu verstärken. Und so ist am 25. Mai 2018 ein weiteres, nationales Datengesetz in Kraft getreten. Das neue Bundesdatenschutzgesetz (BDSG) nutzt den Spielraum, den die DSGVO bietet, und schafft flankierende nationale Regeln für den Datenschutz.
Die europäische Datenschutz-Grundverordnung finden Sie online unter dsgvo-gesetz.de. Auf derselben Seite ist auch das Bundesdatengesetz (BDSG) einsehbar.
Ziele: Europäische Vereinheitlichung des Datenschutzes
Oberstes Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung des europäischen Datenschutzes. Galt auf EU-Ebene zuvor die Datenschutzrichtlinie von 1995, die in jedem EU-Staat unterschiedlich umgesetzt wurde, ist nun weniger Spielraum für nationale Alleingänge.
Ein weiterer wesentlicher Bereich der Datenschutz-Grundverordnung betrifft die tiefgreifenden technologischen Veränderungen der letzten Jahre sowie die noch bevorstehenden Entwicklungen. Ein Beispiel hierfür ist die Erfassung biometrischer Daten, die für bestimmte sicherheitsrelevante Anwendungen zwingend erforderlich geworden ist. Diese sensiblen Daten müssen jedoch stets sicher und transparent verarbeitet werden. Wird jedoch der ursprüngliche Zweck der Erhebung missachtet und die Daten für nicht vereinbarte Zwecke verwendet, greift die europäische Datenschutz-Grundverordnung und setzt klare Grenzen für den Umgang mit solchen Informationen.
Werden personenbezogene Daten von Ihnen öffentlich, können Sie bei Google einen Antrag auf Entfernung stellen. Hier gilt das Recht auf Vergessenwerden.
Grundlegende Prinzipien der DSGVO
Eine Zusammenfassung der Datenschutz-Grundverordnung muss als Erstes auf die Veränderungen eingehen, die mit personenbezogenen Daten zusammenhängen. Denn in diesem Bereich haben die größten Veränderungen durch die europäische Datenschutz-Grundverordnung stattgefunden: Wenngleich nicht in dem Maße wie ursprünglich geplant, wurde der Schutz der Daten von Privatpersonen mit der DSGVO erkennbar gestärkt. Eine ganze Reihe von Paragrafen macht das Sammeln von personenbezogenen Daten nachvollziehbarer und sachgemäßer zu regulieren.
Beispielsweise wurde die Rechenschaftspflicht von Unternehmen (Accountability) ausgeweitet: Seit Inkrafttreten der DSGVO bestehen umfangreichere Dokumentations- und Nachweispflichten darüber, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet. In diesem Sinne bedeutet die Datenschutz-Grundverordnung vor allem Fleißarbeit bei der Dokumentation.
Die wichtigsten Prinzipien im Überblick:
- Verbot mit Erlaubnisvorbehalt: Dieses Prinzip besagt, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, sie ist erlaubt. Dies war schon bisher so und ist nicht unumstritten. Schließlich sind nicht alle Daten gleich wichtig. Das Verbotsprinzip gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug.
- Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür muss zu Beginn der Erhebung der Zweck ausformuliert und die zukünftige Verwendung der Daten dokumentiert werden. Ein Beispiel aus der Arbeitswelt: Daten, die ein Unternehmen für die Erfüllung eines Vertrages erhoben und zu Recht gespeichert hat, dürfen nicht für Werbezwecke verwendet werden. Dies ist ein anderer Zweck, der gesondert rechtfertigungsbedürftig ist. Nachträgliche Zweckänderungen sind nur unter bestimmten Umständen zulässig.
- Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenige Daten wie möglich erheben. Es gilt: So wenig wie möglich, so viel wie nötig. Es darf nicht mehr gesammelt werden, als für die Ausführung des Erhebungszwecks notwendig ist. Damit untersagt dieses Prinzip die „blinde“ Datenerhebung auf Vorrat.
- Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits haben Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte erhalten: Unternehmen müssen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.
- Vertraulichkeit: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu. Dennoch sind diese Maßnahmen in der Datenschutz-Grundverordnung nicht präzise ausformuliert und bieten Auslegungsspielraum. Im Falle eines Datendiebstahls kommt es darauf an, ob die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen waren.
Betroffene: Unternehmen und Datenschutzbeauftragte
Zunächst einmal ist die DSGVO eine gute Basis für Verbraucherinnen und Verbraucher sowie Betroffene von Datenverarbeitung. Denn ihnen gilt der ausgebaute Schutz in der DSGVO. Darüber hinaus betreffen die Regelungen der DSGVO aber auch allgemein die Rechte von Arbeitnehmenden. In diesem Bereich hat der deutsche Gesetzgeber von einer Öffnungsklausel Gebrauch gemacht und weitere Regelungen zum Beschäftigtendatenschutz im BDSG-neu getroffen.
Diese Regeln sind für alle Unternehmen relevant, die Mitarbeitende beschäftigen. Insofern sind zahlreiche Firmen doppelt betroffen: Hinsichtlich des Datenschutzes ihrer Angestellten (Beschäftigungsdatenschutz) und in Bezug auf Kundinnen und Kunden, Lieferanten und Website-Besuchende.
Eine besondere Relevanz hat die DSGVO natürlich für die Berufsgruppe der Datenschutzbeauftragten. Ihre Zahl steigt durch die DSGVO beträchtlich. Denn die Verordnung verpflichtet europaweit öffentliche Stellen sowie Unternehmen zur Benennung eines Datenschutzbeauftragten, wenn ihre Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang besteht oder wenn sie personenbezogene Daten besonderer Kategorien gemäß Art. 9 DSGVO oder Art. 10 DSGVO in großem Umfang verarbeiten. In Deutschland müssen Unternehmen eine mit dem Datenschutz beauftragte Person benennen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).
Auch für Datenschutzbeauftragte (DSB), die bereits in einem Unternehmen angestellt waren, bedeutete die Datenschutz-Grundverordnung eine große Umstellung. Denn ihre Rolle im Unternehmen hat sich grundlegend geändert: Sollten sie zuvor auf die Datenschutz-Konformität hinwirken, so sind sie nun für die Überwachung der Maßnahmen verantwortlich, wodurch natürlich auch ihr Haftungspotenzial gestiegen ist.
Für Datenschutzbeauftragte bedeutet die Verordnung also ausnahmslos eine Menge Arbeit: Sie müssen sich detailliert in die Gesetzeslage einarbeiten. Dennoch hat das einheitliche Gesetz für sie auch positive Seiten: Ihre Expertise ist gefragter denn je und mit den zunehmenden Aufgaben ist auch eine Aufwertung ihrer Position im Unternehmen verbunden.
DSGVO: Auswirkungen für Unternehmen und Website-Betreibende
Auch wenn es keine grundlegende Neuausrichtung des Datenschutzes gibt, hat die europäische Datenschutz-Grundverordnung im Detail viele Veränderungen herbeigeführt. Diese müssen Unternehmen unbedingt berücksichtigen und bereits bei der Konzeption von Arbeitsabläufen mit Personenbezug in ihren Workflow integrieren (Privacy-by-Design-Prinzip). Andernfalls verstoßen sie gegen europäisches Recht. Es folgen die wichtigsten Regelungen, die Unternehmen – insbesondere im Bereich des Onlinehandels – beachten müssen.
Allgemeine Datensicherheit in Unternehmen
-
Datenschutz-Folgenabschätzung (DSFA): Unternehmen sind verpflichtet, Risikoabschätzungen vorzunehmen. Sie müssen festhalten, welche Schutzmaßnahmen zur Risikominimierung unternommen werden. Insbesondere wenn ein Unternehmen Cloud-Dienste sicher verwenden will, ist diese Vorschrift relevant, da hier oft mit größeren Mengen personenbezogener Daten hantiert wird. Noch stärker dürften Unternehmen betroffen sein, die Gesundheitsdaten speichern, gelten diese doch als besonders sensibel und eine Verbreitung der Daten wiegt für die Betroffenen besonders schwer.
-
Arbeitnehmerdaten: Auf den Prüfstein kommt auch, wie ein Unternehmen die Daten seiner Arbeitnehmenden bearbeitet. Die entsprechenden Regelungen in der DSGVO und dem BDSG betreffen also auch Human Resources, die in die Veränderungen miteinbezogen werden müssen.
-
Datenschutzbeauftragte: Für viele Unternehmen ist eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter fortan Pflicht. Dieser überwacht die individuell ausgearbeitete Datenschutzstrategie und die DSGVO-Konformität. Das betrifft nicht bloß Unternehmen, die in großem Umfang mit personenbezogenen Daten arbeiten. Jedes Unternehmen, bei dem mehr als 20 Personen regelmäßig mit personenbezogenen Daten zu tun haben, muss einen Datenschutzbeauftragten bestellen.
-
Meldepflichten: Die Vorgaben der DSGVO zum Vorgehen bei Datenpannen sind deutlich strenger als frühere Regelungen. Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden; im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden.
-
Verantwortlichkeit und Bußgelder: Unternehmen können für Verstöße im Umgang mit den von ihnen erhobenen Daten leichter verantwortlich gemacht werden. Das schließt hohe Geldbußen mit ein.
Im Internet finden Sie viele Ratgeber, die auf den ersten Blick aktuell gehaltene Informationen zur DSGVO und zum BDSG-neu bereitstellen. Doch Vorsicht: Teilweise sind die Inhalte nicht aktualisiert worden. Ein Beispiel: Nach § 38 BDSG müssen Unternehmen Datenschutzbeauftragte stellen, sobald 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auf vielen Seiten wird noch die ältere Fassung des Bundesdatenschutzgesetzes zitiert, in der von 10 Personen die Rede ist.
Sicherheit personenbezogener Daten
- Dokumentationspflicht: Ein Schwerpunkt der Datenschutz-Grundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch „Accountability“ genannt. Unternehmen sind verpflichtet, die Datenschutz-Compliance durch eine hausinterne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechenden Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise sie verarbeitet werden und wann das Unternehmen sie löscht.
- Privacy by Design: Das Prinzip „Privacy by Design“ bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
- Privacy by Default: Diese Vorschrift der Datenschutz-Grundverordnung schreibt vor, dass grundsätzlich die datenschutzfreundlichste Variante technisch voreingestellt sein muss. Das erspart Verbraucherinnen und Verbrauchern, sich durch komplexe technische Einstellungen kämpfen zu müssen, um Beschränkungen der Datenverarbeitung zu erwirken.
- Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers, des Verbrauchers oder der Verbraucherin nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung.
- Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa, weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
- Auskunftsrecht und Recht auf Löschung: EU-Bürgerinnen und -Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können sie bei Unternehmen einfordern, ihre Daten zu löschen. Diesem „Recht auf Vergessenwerden“ muss demnach auch ein Großkonzern wie Google Folge leisten und auf Anfrage Links zu personenbezogenen Informationen aus den Ergebnissen seiner Suchmaschine löschen.
Das TDDDG ist da: Website-Betreibende aufgepasst!
Bisher enthielt die Datenschutz-Grundverordnung kaum explizite Regeln für den Onlinehandel und für Website-Betreibende. Doch nun ist das neue Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) in Deutschland in Kraft getreten. Der Vorgänger des TDDDG trat bereits 2021 unter dem Namen Telekommunikation-Telemedien-Datenschutz-Gesetz in Kraft (TTDSG), wurde jedoch 2024 durch das TDDDG abgelöst. Inhaltlich sind TTDSG und TDDDG jedoch fast identisch. Mit dem Inkrafttreten des TTDSG bzw. TDDDG müssen Website-Betreibende nun deutlich mehr Regelungen und Vorschriften in Sachen Cookie-Tracking und Speicherung personenbezogener Daten beachten.
Zum Hintergrund: Die DSGVO startete als eine Übergangslösung, denn ursprünglich sollte gemeinsam mit der Datenschutz-Grundverordnung und dem BDSG-neu noch eine weitere Neuregelung des Datenschutzes in Kraft treten: die ePrivacy-Verordnung der EU. Im Arbeitsprogramm für 2025 hat die EU-Kommission das Projekt jedoch offiziell zurückgezogen und plant stattdessen einen entsprechenden Artikel für das europäische Digitalrecht. Wann dieses vorgestellt wird, ist aber noch nicht abzusehen. Hierzulande hat man nun mit dem neuen TDDDG einen kleinen Meilenstein erreicht und die auch als „Cookie-Richtlinie“ bekannte EU-Regulierung in nationales Recht umgesetzt.
Website-Betreibende und Verantwortliche im Onlinehandel sollten die Entwicklungen rund um die gestoppte ePrivacy-Verordnung und den neuen Artikel für das europäische Digitalrecht verfolgen. Da dieses keine Grundsätze wie die DSGVO regeln soll, sollen sich die Regelungen auf den Schutz der Privatsphäre im digitalen Alltagsleben beschränken. Hier warten also weitere Neuregelungen auf Website-Betreibende.
Das hat sich mit der DSGVO geändert
Was hat sich mit der Datenschutz-Grundverordnung der EU wirklich geändert? Die wichtigsten Veränderungen für Betreiberinnen und Betreiber von Websites sind folgende:
- Die umfassende Dokumentationspflicht der Datenschutz-Grundverordnung
- Die komplexeren Erlaubnistatbestände
- Die Grundsätze von Privacy by Design und Privacy by Default
- Erweiterte Auskunftsrechte und das Recht auf Löschung
- Das Recht auf Datenübertragbarkeit
- Deutlich umfangreichere Informationspflichten (z. B. für die Datenschutzerklärung einer Website)
- Das Kopplungsverbot bei Einwilligungen
- Sehr hohe Bußgelder
Was sind Datenschutzerklärung und Kopplungsverbot?
Einige Punkte haben wir in den vorherigen Abschnitten bereits erläutert. Die beiden Themen Datenschutzerklärung und Kopplungsverbot werden im Folgenden dargestellt.
Was ist eine Datenschutzerklärung?
Die Datenschutzerklärung ist jener Text, in dem ein Unternehmen seiner Kundschaft die Maßnahmen zum Datenschutz darlegt. Sie ist auf jeder Webseite Pflicht. Auf verschiedenen Websites finden Sie beispielhafte Muster für eine Datenschutzerklärung. Sie ist strikt von der Datenschutzeinwilligung zu unterscheiden, welche das aktive Einverständnis des Nutzenden mit den Datenschutzbedingungen eines Unternehmens meint.
Die wichtigste Neuerung der DSGVO für Website-Betreibende stellen die Vorgaben zu den Datenschutzbestimmungen dar. Bereits laut Telemediengesetz (TMG), welches 2024 vom Digitale-Dienste-Gesetz (DDG) abgelöst wurde, musste jede Website eine Datenschutzerklärung enthalten. Doch während das TMG lediglich vorschrieb, dass Datenschutzerklärungen über Art, Umfang und Zwecke der Erhebung unterrichten sollten, enthält Art. 13 DSGVO, Abs. 2 einen ausführlichen Katalog von Informationen, die eine Datenschutzerklärung enthalten muss. Auch die Form der Datenschutzerklärung wird in der DSGVO deutlicher geregelt: Die Erklärung muss in verständlicher Sprache und inhaltlich nachvollziehbar erfolgen.
Was ist das Kopplungsverbot?
Im Kopplungsverbot wiederum sehen Expertinnen und Experten die größte Restriktion, die sich für die Netzwirtschaft aus der Datenschutz-Grundverordnung ergibt. Nach dem Kopplungsverbot dürfen Website-Betreibende potenziellen Kundschaft nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistung nicht notwendig sind. Ein Beispiel: Fordert man für das Zustandekommen eines Vertrages zugleich die Anmeldung für einen Newsletter, so verstößt man gegen EU-Recht. Oberstes Prinzip der Einwilligung ist die Freiwilligkeit. Bei vielen gekoppelten Einwilligungen dürfte diese jedoch fehlen. Die so eingeholten Einwilligungen sind folglich unwirksam.
Beachten Sie unbedingt auch die Änderungen zu Dokumentationspflichten, Erlaubnisgrundlagen, Speicherung, Auskunftsrechten und zum Recht auf Löschung. Im Einzelnen können auch kommende Neuregelungen Website-Betreibende und Unternehmen betreffen.
Auswirkungen der Datenschutz-Grundverordnung auf Unternehmen und Verbrauchende
Über die möglichen Konsequenzen der Datenschutz-Grundverordnung wird schon seit Jahren heftig diskutiert. Seit dem 25. Mai 2018 scheinen sich nun sowohl einige der positiven als auch einige der negativen Voraussagen zu bewahrheiten. An dieser Stelle finden Sie deshalb eine Kurzübersicht über alle relevanten Entwicklungen, die mit der DSGVO zusammenhängen und Unternehmen oder Verbraucher betreffen:
Versäumte Umsetzung belastet KMUs
Organisationen wie der Digitalverband Bitkom weisen seit Inkrafttreten der DSGVO wiederholt darauf hin, dass die praktische Umsetzung insbesondere für KMUs eine erhebliche Herausforderung darstellt. Viele Unternehmen geben an, mit der fortlaufenden Erfüllung der Datenschutzanforderungen überfordert zu sein, etwa aufgrund unklarer Rechtslagen, begrenzter personeller Ressourcen oder steigender Dokumentationspflichten. Gerade KMU sehen daher weiterhin erheblichen Nachholbedarf bei der DSGVO-konformen Organisation ihrer Geschäftsprozesse.
Auswirkungen auf die internationale Digitalwirtschaft
Die DSGVO sorgt nicht nur hierzulande für Verwirrung, sondern zum Beispiel auch in den USA: Statt ihre eigenen Datenschutzrichtlinien an die neuen europäischen Regelungen anzupassen, blockierten zahlreiche US-Nachrichtenseiten EU-Zugriffe, reduzierten ihr Angebot oder stellen Inhalte nur eingeschränkt bereit. Dieses Phänomen war vor allem in den ersten Monaten nach Einführung der DSGVO zu beobachten und stellte keinen dauerhaften Zustand der internationalen Digitalwirtschaft dar. Mittlerweile haben viele internationale Anbieter ihre Angebote schrittweise angepasst oder EU-Nutzende gezielt ausgeschlossen.
Gleichzeitig hat das Inkrafttreten der DSGVO einen internationalen Diskurs über das Thema Datenschutz angestoßen. Große Internetkonzerne wie Alphabet (Google) und Meta (Facebook, WhatsApp, Instagram) stehen nun seither unter öffentlicher und regulatorischer Beobachtung, da sie in großem Umfang personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten. Der Schutz dieser Daten ist in der EU einheitlich und grundrechtlich verankert, während das Datenschutzrecht in den USA weiterhin fragmentiert und überwiegend auf einzelstaatlichen Gesetzen beruht.
Betrugsmasche: Abmahnung
Eine große „Abmahnwelle“, wie es von vielen Wirtschaftsakteuren lange Zeit befürchtet wurde, gab es infolge des Inkrafttretens der DSGVO nicht. Wesentlich häufiger und in aller Regelmäßigkeit traten jedoch E-Mails mit Mahnungen auf, die angebliche DSGVO-Verstöße oder Zahlungsaufforderungen vortäuschten. Derartige E-Mails enthalten gefährliche Malware im Anhang und sollten deshalb schnell als Spam eingestuft und gelöscht werden.
Die Schonfrist ist längst vorbei: Bußgelder nach DSGVO
Zwar ist die befürchtete Abmahnwelle ausgeblieben, doch bereits wenige Monate nach Inkrafttreten der DSGVO verzeichneten die deutschen Datenschutzaufsichtsbehörden einen deutlichen Anstieg an Beschwerden und Hinweisen auf mögliche Verstöße. Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), fasst es so zusammen: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“
Mehr Klarheit durch Rechtsprechung
Vor und unmittelbar nach Einführung der DSGVO herrschte erhebliche Rechtsunsicherheit. Inzwischen hat die Rechtsprechung in zentralen Fragen für mehr Klarheit gesorgt, auch wenn einzelne Aspekte weiterhin gerichtlich geklärt werden müssen.
- Dürfen direkte Wettbewerber Abmahnungen aufgrund von Datenschutzverstößen in Unternehmen aussprechen? Frühe Entscheidungen wie das Urteil des Landgerichts Würzburg aus dem Jahr 2018 bejahten grundsätzlich die Abmahnbarkeit von DSGVO-Verstößen. Diese Einschätzung wurde später durch Entscheidungen auf europäischer Ebene weiter präzisiert. Heute gilt, dass Wettbewerber unter bestimmten Voraussetzungen Datenschutzverstöße zivilrechtlich geltend machen können.
- Hat die DSGVO Auswirkungen auf die bisherigen Praktiken bei der Verwendung von Bildern? Gerichte wie das Oberlandgericht Köln haben klargestellt, dass das Kunsturhebergesetz weiterhin anwendbar bleibt, insbesondere im journalistischen und meinungsbildenden Kontext, gestützt auf die Öffnungsklausel der DSGVO. Eine pauschale Vorrangstellung der DSGVO gegenüber dem KUG besteht jedoch nicht.
Inzwischen nimmt auch in anderen Teilen der Welt der Datenschutz eine immer größere Rolle im täglichen Umgang mit dem Internet und digitalen Anwendungen ein. So hat beispielsweise die Regierung des US-Bundesstaats Kalifornien den California Consumer Privacy Act verabschiedet. Das Gesetz hat in vielen Punkten Ähnlichkeit mit der DSGVO.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.