Zum Inhalt springen
Zurueck zur Uebersicht
02 · Datenschutz

DSGVO: Acht Jahre alt, immer noch Pflicht

Die Datenschutz-Grundverordnung gilt seit 25.05.2018. Trotzdem haben viele Unternehmen kein vollstaendiges Verarbeitungsverzeichnis, keinen AVV mit allen Dienstleistern, keine dokumentierten Loeschfristen. Bei Pruefung durch die Aufsichtsbehoerde wird es teuer.

DSGVO: Acht Jahre alt, immer noch Pflicht

Worum es geht

Die DSGVO gilt seit dem 25. Mai 2018 und ist die umfassendste Datenschutz-Regulierung in Europa. Sie verpflichtet jeden, der personenbezogene Daten verarbeitet — auch das kleinste Einzelunternehmen mit einer Newsletter-Liste oder einem Kontaktformular. 'Personenbezogen' ist breiter als gedacht: nicht nur Name und E-Mail, auch IP-Adresse, Cookie-IDs, Geraete-Fingerprints, Bilder und Audio-Aufnahmen koennen darunter fallen.

Die DSGVO definiert drei Bloecke: Pflichten der Verantwortlichen (Verarbeitungsverzeichnis Art. 30, Auftragsverarbeitung Art. 28, Datenschutzfolgenabschaetzung Art. 35, technische und organisatorische Massnahmen Art. 32), Rechte der Betroffenen (Auskunft Art. 15, Berichtigung Art. 16, Loeschung Art. 17, Datenuebertragbarkeit Art. 20, Widerspruch Art. 21) und Meldepflichten (Datenpanne binnen 72h an Aufsichtsbehoerde Art. 33). Dazu kommt der Grundsatz 'Privacy by Design / by Default' (Art. 25): Datenschutz muss in die Architektur eingebaut sein, nicht nachtraeglich angeflanscht.

Seit dem Schrems-II-Urteil (2020) ist die Datenuebertragung in die USA ein eigenes Pflichtthema. Standardvertragsklauseln allein reichen nicht — es braucht ein Transfer Impact Assessment. Der Angemessenheitsbeschluss 'EU-US Data Privacy Framework' von 2023 hat fuer zertifizierte US-Anbieter etwas Erleichterung gebracht, ist aber juristisch wieder angegriffen (Schrems III ist absehbar). Bussgelder gehen bis 20 Mio EUR oder 4% des weltweiten Konzernumsatzes — was hoeher ist. Die LfDIs verhaengen seit 2024 deutlich konsequenter.

Wer ist betroffen

  • Jedes Unternehmen oder Einzelunternehmen mit Newsletter, Kontaktformular oder Mitarbeiter-Daten — Schwellen gibt es nicht.
  • Online-Shops, SaaS-Anbieter, App-Betreiber — sobald personenbezogene Daten verarbeitet werden (das ist faktisch immer).
  • Arbeitgeber gegenueber Mitarbeitern (Personalakten, Gehalt, Krankheits-Daten, IT-Logs).
  • Vereine, Stiftungen, NGOs mit Mitgliederlisten oder Spenderdaten.
  • Selbststaendige Berater, Aerzte, Anwaelte, Steuerberater (Mandanten-/Patienten-Daten = oft besondere Kategorien Art. 9).
  • Behoerden, oeffentliche Stellen und Bildungstraeger (zusaetzliche Pflichten aus BDSG und Landesgesetzen).
  • Anbieter ausserhalb der EU, sobald sie EU-Buerger ansprechen oder beobachten (Art. 3 Abs. 2 — extraterritorial).

Was Pflicht ist

  • Verarbeitungsverzeichnis (VVT) gefuehrt und aktuell — fuer jede Art von Verarbeitung, mit Zweck, Rechtsgrundlage, Empfaengern, Loeschfristen.
  • Auftragsverarbeitungsvertrag (AVV) mit allen externen Dienstleistern (Hosting, E-Mail, KI, Analytics, Backup) — schriftlich, vor erstem Datenfluss.
  • Datenschutzerklaerung Art. 13/14-konform: pro Service/Sub-Domain getrennt, mit Verantwortlichem, Zwecken, Empfaengern, Drittlands-Transfer, Rechten.
  • Privacy by Design / by Default (Art. 25): Datenschutz von Anfang an in der Architektur, datenschutzfreundliche Voreinstellungen.
  • Technische und organisatorische Massnahmen (TOM, Art. 32): Verschluesselung, Zugriffskontrolle, Backup, Pseudonymisierung, Incident-Response.
  • Loeschkonzept: Retention-Fristen pro Datenkategorie dokumentiert UND technisch erzwungen (Cron-Job, nicht 'machen wir manuell').
  • Auskunfts- und Loeschverfahren: Antraege binnen 1 Monat beantworten (Art. 15-17), Identitaet pruefen, Datenpaket strukturiert ausliefern.
  • Datenschutzfolgenabschaetzung (DSFA, Art. 35) bei hohem Risiko: Profiling, KI-Scoring, Big-Data-Analysen, biometrische Daten, Beschaeftigten-Monitoring.
  • Meldewege fuer Datenpannen: 72h an Aufsichtsbehoerde (Art. 33), bei hohem Risiko zusaetzlich Betroffene informieren (Art. 34).
  • Drittlands-Transfer (Schrems II): Standardvertragsklauseln 2021 + Transfer Impact Assessment ODER Angemessenheitsbeschluss (z.B. EU-US DPF) ODER Ausnahme nach Art. 49.
  • Datenschutzbeauftragten benennen, wenn >20 Personen automatisiert Daten verarbeiten ODER Kerngeschaeft die Datenverarbeitung ist.

Was ich fuer dich uebernehme

  • EU-Hosting als Default: Scaleway Paris fuer Backend, Supabase EU fuer Datenbank, IONOS Deutschland fuer Frontend — minimiert Drittlands-Risiko ab Tag 1.
  • Verarbeitungsverzeichnis-Vorlage in Markdown im Repo, automatisch synchronisiert mit eingebauten Services (kein 'wo war nochmal die Excel-Datei').
  • AVV-Audit fuer bestehende Dienstleister: pruefen welche AVVs existieren, welche fehlen, welche veraltet sind (Sub-Auftragsverarbeiter, neue SCC 2021).
  • AVV-Templates pro Dienstleister-Typ + zentrale Ablage mit Erinnerung an jaehrliche Pruefung.
  • Datenschutzerklaerungs-Generator: pro Service ein Block, automatisch synchronisiert mit dem Code — wenn neues Tool eingebaut wird, kommt der Erklaerungstext mit.
  • Automatisches Loeschen abgelaufener Daten via Cron-Jobs + Audit-Logs (z.B. Cookie-Consent-Records nach 24 Monaten, Kontaktanfragen nach 12 Monaten).
  • DSGVO-Antrags-Workflow: Admin-UI fuer Auskunft, Loeschung, Berichtigung mit Zeitstempel, Identitaetspruefung und Beleg im Audit-Log.
  • Logging-Konzept das Datensparsamkeit ernst nimmt: keine PII in Klartext-Logs, IP-Hash statt IP-Klartext, kurze Retention-Fristen.
  • Daten-Mapping als Diagramm: welche Daten wo gespeichert sind, wie lange, wer Zugriff hat — Grundlage fuer VVT und DSFA.

Rechtsgrundlage

Verordnung (EU) 2016/679 (DSGVO) · Bundesdatenschutzgesetz (BDSG, Neufassung 2018) · DSK-Kurzpapiere und Beschluesse · EuGH-Urteil 'Schrems II' (C-311/18, 16.07.2020) · EU-Kommissions-Beschluss 2021/914 (neue Standardvertragsklauseln) · EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023) · TDDDG (frueher TTDSG) fuer Cookies — siehe Cookie-Consent-Seite

Haeufige Fragen

Brauche ich als Einzelunternehmer einen Datenschutzbeauftragten?
Erst ab 20 Personen, die regelmaessig automatisiert mit personenbezogenen Daten arbeiten. ODER wenn Datenverarbeitung dein Kerngeschaeft ist (z.B. Marketing-Agentur, Tracking-Anbieter). Als Solo-Entwickler ohne Mitarbeiter typischerweise nicht — aber Verarbeitungsverzeichnis und AVVs musst du trotzdem fuehren.
Reicht ein Server in Deutschland, um DSGVO-konform zu sein?
Hosting in der EU ist eine notwendige, aber nicht hinreichende Bedingung. Du brauchst trotzdem AVV, Loeschkonzept, Datenschutzerklaerung, Auskunftsverfahren etc. Wenn dein Hoster aber Sub-Auftragsverarbeiter in den USA hat (z.B. CDN, Logging-Service) bist du wieder im Drittlandstransfer-Thema — pruefen!
Wie lange darf ich Logs mit IP-Adressen aufbewahren?
IP-Adressen sind personenbezogen. Aufbewahrung nur so lange wie zwingend noetig — typisch 7 Tage fuer Web-Logs, 30 Tage fuer Security-Audits. Laenger nur mit konkreter Rechtsgrundlage (z.B. Beweissicherung bei laufendem Vorfall). Anonymisierte Logs (IP gekuerzt) duerfen laenger bleiben.
Newsletter: reicht Double-Opt-In oder brauche ich noch mehr?
Double-Opt-In (Bestaetigungs-E-Mail mit Klick-Link) ist der Mindeststandard — fehlt er, ist die Einwilligung unwirksam. Zusaetzlich brauchst du: dokumentierten Zeitpunkt + IP der Anmeldung + Bestaetigungs-Klick (im Bestaetigungs-Logs), klare Information ueber Zweck (woruber wird informiert) und Anbieter (z.B. Mailjet, Brevo), Abmelde-Link in JEDER Mail und Trennung von Anmeldung und sonstigen Buttons (kein 'Beim Bestellen werden Sie automatisch fuer den Newsletter angemeldet').
Jemand fordert Auskunft (Art. 15) — was muss ich konkret liefern?
Innerhalb von 1 Monat (Art. 12 Abs. 3, verlaengerbar um 2 Monate bei Komplexitaet): eine strukturierte Kopie aller Daten zur Person, plus Angabe von Zwecken, Kategorien, Empfaengern, Speicherdauer, woher die Daten kommen (falls nicht direkt erhoben), ob automatisierte Entscheidungen erfolgen. Identitaet vorher pruefen (E-Mail vom Konto reicht meist), Auslieferung als JSON/CSV plus erklaerendem Begleittext. Keine Daten Dritter mitschicken (Mitarbeiter, andere Kunden in Konversationen).
Datenpanne passiert — was muss ich in den ersten 72 Stunden tun?
Sofort intern: Vorfall stoppen, Umfang bestimmen (welche Daten, wie viele Personen), Beweise sichern (Logs). Binnen 72h Meldung an die zustaendige Aufsichtsbehoerde (Art. 33) ueber deren Online-Formular — auch wenn nicht alles bekannt ist, Nachmeldung erlaubt. Bei hohem Risiko fuer Betroffene zusaetzlich diese informieren (Art. 34), in einfacher Sprache und mit Hinweis was sie tun koennen. Alles dokumentieren — die Aufsichtsbehoerde verlangt das Pannen-Register.
Tiefere Lesetour
Vertiefung im Blog

Brauchst du Unterstuetzung?

Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Naechstes sinnvoll ist.

Termin vereinbaren
Made in Germany100% DSGVO-konformEU AI Act ReadySicheres HostingBarrierefreiCookie ConsentDaten-Anonymisierung