Datenschutz für Unternehmen — DSGVO und BDSG kompakt erklärt
Grundlagen der DSGVO (EU 2016/679) und des BDSG 2018 für den betrieblichen Alltag
| Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für verbindliche Auskunft zu konkreten Datenschutzfragen wenden Sie sich an einen Datenschutzbeauftragten oder Rechtsanwalt. |
Datenschutz bezeichnet den Schutz natürlicher Personen vor dem Missbrauch ihrer personenbezogenen Daten. Seit dem 25. Mai 2018 gilt in der gesamten EU die Datenschutz-Grundverordnung (DSGVO, EU 2016/679) als unmittelbar geltendes Recht — ergänzt in Deutschland durch das neu gefasste Bundesdatenschutzgesetz (BDSG 2018). Beide Regelwerke ersetzen das alte BDSG von 2003 vollständig.
Die sieben Grundprinzipien der DSGVO (Art. 5)
| Prinzip | Bedeutung für Unternehmen |
|---|---|
| Rechtmäßigkeit, Treu und Glauben, Transparenz | Jede Verarbeitung braucht eine Rechtsgrundlage; Betroffene müssen informiert werden (Art. 13/14) |
| Zweckbindung | Daten dürfen nur für den bei der Erhebung angegebenen Zweck genutzt werden |
| Datensparsamkeit | Nur die Daten erheben, die für den Zweck wirklich erforderlich sind |
| Richtigkeit | Unrichtige Daten sind zu berichtigen oder zu löschen |
| Speicherbegrenzung | Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es der Zweck erfordert |
| Integrität und Vertraulichkeit | Technische und organisatorische Maßnahmen (TOM) zum Schutz vor unbefugtem Zugriff |
| Rechenschaftspflicht | Das Unternehmen muss die Einhaltung der DSGVO nachweisen können (Dokumentationspflicht) |
Rechtsgrundlagen für die Datenverarbeitung (Art. 6 DSGVO)
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Im unternehmerischen Alltag sind vor allem diese relevant:
| Rechtsgrundlage | Typischer Anwendungsfall |
|---|---|
| Art. 6 Abs. 1 lit. b — Vertragserfüllung | Kundendaten zur Auftragsabwicklung, Lieferanschrift, Rechnungsdaten |
| Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung | Aufbewahrungspflichten nach HGB/AO (10 Jahre), Meldepflichten |
| Art. 6 Abs. 1 lit. f — Berechtigtes Interesse | B2B-Direktmarketing, Videoüberwachung, Logfiles für IT-Sicherheit |
| Art. 6 Abs. 1 lit. a — Einwilligung | Newsletter, Cookies (soweit nicht technisch notwendig), Werbung an Privatpersonen |
Wichtige Pflichten für Unternehmen
| Pflicht | Rechtsgrundlage | Inhalt |
|---|---|---|
| Informationspflicht | Art. 13/14 | Bei Datenerhebung über Zweck, Verantwortlichen, Rechte und Speicherdauer informieren (Datenschutzerklärung auf Website) |
| Verzeichnis der Verarbeitungstätigkeiten | Art. 30 | Dokumentation aller Verarbeitungen (welche Daten, zu welchem Zweck, wie lange, wer hat Zugriff) — auf Anfrage der Aufsichtsbehörde vorzulegen |
| Auftragsverarbeitungsvertrag (AV-Vertrag) | Art. 28 | Pflicht bei jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Cloud-Provider, Lohnbuchhaltung, E-Mail-Marketing-Tool, Rechenzentrum) |
| Meldepflicht bei Datenpannen | Art. 33/34 | Sicherheitsvorfälle mit Risiko für Betroffene: binnen 72 Stunden an Aufsichtsbehörde melden; ggf. auch Betroffene informieren |
| Technische und organisatorische Maßnahmen (TOM) | Art. 32 | Verschlüsselung, Zugriffskontrolle, Backups, Pseudonymisierung — risikoabhängig zu gestalten und zu dokumentieren |
Datenschutzbeauftragter (DSB): Wann ist er Pflicht?
Nach § 38 BDSG 2018 sind Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (Hinweis: Die alte BDSG-Schwelle von 9 Personen gilt seit 2018 nicht mehr.)
Unabhängig von der Mitarbeiterzahl ist ein DSB in folgenden Fällen Pflicht:
- Kerntätigkeit ist die umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, politische Ansichten — Art. 9 DSGVO)
- Umfangreiche, systematische Überwachung von Personen als Kerntätigkeit
- Behörden und öffentliche Stellen (immer)
Auch ohne gesetzliche Pflicht empfiehlt sich die freiwillige Bestellung eines DSB — insbesondere für Unternehmen, die sensible Kunden- oder Mitarbeiterdaten verarbeiten oder in regulierten Branchen tätig sind. Ein externer DSB bietet dabei den Vorteil, dass er unabhängig agiert, keinen internen Interessenkonflikten unterliegt und sein Mandat flexibel skaliert werden kann.
|
Externer Datenschutzbeauftragter für Ihr Unternehmen: Ralph Lieske ist öffentlich bestellter und vereidigter Sachverständiger für EDV sowie Datenschutzbeauftragter (DSB) und IT-Forensiker im Raum Freiburg / Emmendingen / Waldkirch. Als externer DSB übernimmt er die gesetzlich vorgeschriebenen oder freiwillig bestellten Aufgaben nach DSGVO und BDSG — praxisnah, ohne internen Stellenaufwand. → www.svdsb.de — Datenschutz, IT-Forensik und EDV-Sachverständiger |
Bußgelder: Was droht bei DSGVO-Verstößen?
| Verstoßkategorie | Höchstbußgeld | Beispiele |
|---|---|---|
| Schwerwiegend (Art. 83 Abs. 5) | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes | Verstoß gegen Grundprinzipien (Art. 5), unzulässige Datenübermittlung in Drittländer, Nichtachtung von Betroffenenrechten |
| Weniger schwerwiegend (Art. 83 Abs. 4) | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Kein AV-Vertrag, fehlende TOM, Verletzung der Meldepflicht bei Datenpanne |
Häufige Fragen zum Datenschutz im Unternehmen
| Gilt die DSGVO auch für B2B-Kontakte? | Ja, sobald Sie Daten natürlicher Personen verarbeiten — also auch Ansprechpartner bei Geschäftskunden (Name, E-Mail, Telefon). Reine juristische Personen (GmbH ohne namentliche Kontaktdaten) fallen nicht unter die DSGVO. |
| Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)? | Ein AV-Vertrag (Art. 28 DSGVO) regelt, unter welchen Bedingungen ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten darf. Typische AV-Vertragspartner: Cloud-Anbieter (Microsoft 365, Google Workspace), Newsletter-Tools, Steuerberater mit Aktenzugriff, externe IT-Dienstleister. |
| Was muss ich bei einer Datenpanne tun? | Sobald eine Datenschutzverletzung entdeckt wird, ist binnen 72 Stunden die zuständige Landesdatenschutzbehörde zu informieren (Art. 33 DSGVO). Betroffene Personen sind zusätzlich direkt zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte besteht (Art. 34). Dokumentieren Sie den Vorfall und die ergriffenen Maßnahmen. |
| Wie lange dürfen Kundendaten gespeichert werden? | Das richtet sich nach dem Verarbeitungszweck und gesetzlichen Aufbewahrungsfristen. Rechnungen und Geschäftsbriefe: 10 Jahre nach HGB/AO. Personaldaten: in der Regel bis 3 Jahre nach Ausscheiden (Verjährung). Reine Interessentendaten ohne Geschäftsbeziehung: so kurz wie möglich, maximal bis zum Widerruf des Interesses. |
|
Externer Datenschutzbeauftragter & IT-Forensik Sie benötigen einen externen Datenschutzbeauftragten, Unterstützung bei der DSGVO-Umsetzung oder ein Datenschutz-Gutachten? Ralph Lieske steht als öffentlich bestellter und vereidigter EDV-Sachverständiger, Datenschutzbeauftragter und IT-Forensiker zur Verfügung — regional im Raum Freiburg / Emmendingen / Waldkirch, bundesweit auf Anfrage. → www.svdsb.de — Datenschutz • IT-Forensik • EDV-Sachverständiger |
|
Datenschutzkonforme IT-Infrastruktur Verschlüsselte Speicherlösungen, sichere Server und datenschutzkonforme Hardware finden Sie bei industry-electronics.de — europäische Hersteller, kein CLOUD-Act-Risiko. Beratung unter: +49 (0)7666 / 88499-0 • vertrieb@industry-electronics.de |
Weiterlesen: Backup-Grundlagen und Datensicherung • Hardware-Firewalls und Netzwerksicherheit • Ransomware-Schutz im Unternehmen
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand: 2025/2026. Für verbindliche Datenschutzberatung wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt — z. B. an www.svdsb.de.