DSGVO: Acht Jahre alt, immer noch Pflicht
Die Datenschutz-Grundverordnung gilt seit 25.05.2018. Trotzdem haben viele Unternehmen kein vollständiges Verarbeitungsverzeichnis, keinen AVV mit allen Dienstleistern, keine dokumentierten Löschfristen. Bei Prüfung durch die Aufsichtsbehörde wird es teuer.

Worum es geht
Die DSGVO gilt seit dem 25. Mai 2018 und ist die umfassendste Datenschutz-Regulierung in Europa. Sie verpflichtet jeden, der personenbezogene Daten verarbeitet — auch das kleinste Einzelunternehmen mit einer Newsletter-Liste oder einem Kontaktformular. 'Personenbezogen' ist breiter als gedacht: nicht nur Name und E-Mail, auch IP-Adresse, Cookie-IDs, Geräte-Fingerprints, Bilder und Audio-Aufnahmen können darunter fallen.
Die DSGVO definiert drei Blöcke: Pflichten der Verantwortlichen (Verarbeitungsverzeichnis Art. 30, Auftragsverarbeitung Art. 28, Datenschutzfolgenabschätzung Art. 35, technische und organisatorische Maßnahmen Art. 32), Rechte der Betroffenen (Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17, Datenübertragbarkeit Art. 20, Widerspruch Art. 21) und Meldepflichten (Datenpanne binnen 72h an Aufsichtsbehörde Art. 33). Dazu kommt der Grundsatz 'Privacy by Design / by Default' (Art. 25): Datenschutz muss in die Architektur eingebaut sein, nicht nachträglich angeflanscht.
Seit dem Schrems-II-Urteil (2020) ist die Datenübertragung in die USA ein eigenes Pflichtthema. Standardvertragsklauseln allein reichen nicht — es braucht ein Transfer Impact Assessment. Der Angemessenheitsbeschluss 'EU-US Data Privacy Framework' von 2023 hat für zertifizierte US-Anbieter etwas Erleichterung gebracht, ist aber juristisch wieder angegriffen (Schrems III ist absehbar). Bußgelder gehen bis 20 Mio EUR oder 4% des weltweiten Konzernumsatzes — was höher ist. Die LfDIs verhängen seit 2024 deutlich konsequenter.
Wer ist betroffen
- Jedes Unternehmen oder Einzelunternehmen mit Newsletter, Kontaktformular oder Mitarbeiter-Daten — Schwellen gibt es nicht.
- Online-Shops, SaaS-Anbieter, App-Betreiber — sobald personenbezogene Daten verarbeitet werden (das ist faktisch immer).
- Arbeitgeber gegenüber Mitarbeitern (Personalakten, Gehalt, Krankheits-Daten, IT-Logs).
- Vereine, Stiftungen, NGOs mit Mitgliederlisten oder Spenderdaten.
- Selbstständige Berater, Ärzte, Anwälte, Steuerberater (Mandanten-/Patienten-Daten = oft besondere Kategorien Art. 9).
- Behörden, öffentliche Stellen und Bildungsträger (zusätzliche Pflichten aus BDSG und Landesgesetzen).
- Anbieter außerhalb der EU, sobald sie EU-Bürger ansprechen oder beobachten (Art. 3 Abs. 2 — extraterritorial).
Was Pflicht ist
- Verarbeitungsverzeichnis (VVT) geführt und aktuell — für jede Art von Verarbeitung, mit Zweck, Rechtsgrundlage, Empfängern, Löschfristen.
- Auftragsverarbeitungsvertrag (AVV) mit allen externen Dienstleistern (Hosting, E-Mail, KI, Analytics, Backup) — schriftlich, vor erstem Datenfluss.
- Datenschutzerklärung Art. 13/14-konform: pro Service/Sub-Domain getrennt, mit Verantwortlichem, Zwecken, Empfängern, Drittlands-Transfer, Rechten.
- Privacy by Design / by Default (Art. 25): Datenschutz von Anfang an in der Architektur, datenschutzfreundliche Voreinstellungen.
- Technische und organisatorische Maßnahmen (TOM, Art. 32): Verschlüsselung, Zugriffskontrolle, Backup, Pseudonymisierung, Incident-Response.
- Löschkonzept: Retention-Fristen pro Datenkategorie dokumentiert UND technisch erzwungen (Cron-Job, nicht 'machen wir manuell').
- Auskunfts- und Löschverfahren: Anträge binnen 1 Monat beantworten (Art. 15-17), Identität prüfen, Datenpaket strukturiert ausliefern.
- Datenschutzfolgenabschätzung (DSFA, Art. 35) bei hohem Risiko: Profiling, KI-Scoring, Big-Data-Analysen, biometrische Daten, Beschäftigten-Monitoring.
- Meldewege für Datenpannen: 72h an Aufsichtsbehörde (Art. 33), bei hohem Risiko zusätzlich Betroffene informieren (Art. 34).
- Drittlands-Transfer (Schrems II): Standardvertragsklauseln 2021 + Transfer Impact Assessment ODER Angemessenheitsbeschluss (z.B. EU-US DPF) ODER Ausnahme nach Art. 49.
- Datenschutzbeauftragten benennen, wenn >20 Personen automatisiert Daten verarbeiten ODER Kerngeschäft die Datenverarbeitung ist.
Was ich für dich übernehme
- EU-Hosting als Default: Scaleway Paris für Backend, Supabase EU für Datenbank, IONOS Deutschland für Frontend — minimiert Drittlands-Risiko ab Tag 1.
- Verarbeitungsverzeichnis-Vorlage in Markdown im Repo, automatisch synchronisiert mit eingebauten Services (kein 'wo war nochmal die Excel-Datei').
- AVV-Audit für bestehende Dienstleister: prüfen welche AVVs existieren, welche fehlen, welche veraltet sind (Sub-Auftragsverarbeiter, neue SCC 2021).
- AVV-Templates pro Dienstleister-Typ + zentrale Ablage mit Erinnerung an jährliche Prüfung.
- Datenschutzerklärungs-Generator: pro Service ein Block, automatisch synchronisiert mit dem Code — wenn neues Tool eingebaut wird, kommt der Erklärungstext mit.
- Automatisches Löschen abgelaufener Daten via Cron-Jobs + Audit-Logs (z.B. Cookie-Consent-Records nach 24 Monaten, Kontaktanfragen nach 12 Monaten).
- DSGVO-Antrags-Workflow: Admin-UI für Auskunft, Löschung, Berichtigung mit Zeitstempel, Identitätsprüfung und Beleg im Audit-Log.
- Logging-Konzept das Datensparsamkeit ernst nimmt: keine PII in Klartext-Logs, IP-Hash statt IP-Klartext, kurze Retention-Fristen.
- Daten-Mapping als Diagramm: welche Daten wo gespeichert sind, wie lange, wer Zugriff hat — Grundlage für VVT und DSFA.
Rechtsgrundlage
Verordnung (EU) 2016/679 (DSGVO) · Bundesdatenschutzgesetz (BDSG, Neufassung 2018) · DSK-Kurzpapiere und Beschlüsse · EuGH-Urteil 'Schrems II' (C-311/18, 16.07.2020) · EU-Kommissions-Beschluss 2021/914 (neue Standardvertragsklauseln) · EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023) · TDDDG (früher TTDSG) für Cookies — siehe Cookie-Consent-Seite
Häufige Fragen
- Brauche ich als Einzelunternehmer einen Datenschutzbeauftragten?
- Erst ab 20 Personen, die regelmäßig automatisiert mit personenbezogenen Daten arbeiten. ODER wenn Datenverarbeitung dein Kerngeschäft ist (z.B. Marketing-Agentur, Tracking-Anbieter). Als Solo-Entwickler ohne Mitarbeiter typischerweise nicht — aber Verarbeitungsverzeichnis und AVVs musst du trotzdem führen.
- Reicht ein Server in Deutschland, um DSGVO-konform zu sein?
- Hosting in der EU ist eine notwendige, aber nicht hinreichende Bedingung. Du brauchst trotzdem AVV, Löschkonzept, Datenschutzerklärung, Auskunftsverfahren etc. Wenn dein Hoster aber Sub-Auftragsverarbeiter in den USA hat (z.B. CDN, Logging-Service) bist du wieder im Drittlandstransfer-Thema — prüfen!
- Wie lange darf ich Logs mit IP-Adressen aufbewahren?
- IP-Adressen sind personenbezogen. Aufbewahrung nur so lange wie zwingend nötig — typisch 7 Tage für Web-Logs, 30 Tage für Security-Audits. Länger nur mit konkreter Rechtsgrundlage (z.B. Beweissicherung bei laufendem Vorfall). Anonymisierte Logs (IP gekürzt) dürfen länger bleiben.
- Newsletter: reicht Double-Opt-In oder brauche ich noch mehr?
- Double-Opt-In (Bestätigungs-E-Mail mit Klick-Link) ist der Mindeststandard — fehlt er, ist die Einwilligung unwirksam. Zusätzlich brauchst du: dokumentierten Zeitpunkt + IP der Anmeldung + Bestätigungs-Klick (im Bestätigungs-Logs), klare Information über Zweck (woruber wird informiert) und Anbieter (z.B. Mailjet, Brevo), Abmelde-Link in JEDER Mail und Trennung von Anmeldung und sonstigen Buttons (kein 'Beim Bestellen werden Sie automatisch für den Newsletter angemeldet').
- Jemand fordert Auskunft (Art. 15) — was muss ich konkret liefern?
- Innerhalb von 1 Monat (Art. 12 Abs. 3, verlängerbar um 2 Monate bei Komplexität): eine strukturierte Kopie aller Daten zur Person, plus Angabe von Zwecken, Kategorien, Empfängern, Speicherdauer, woher die Daten kommen (falls nicht direkt erhoben), ob automatisierte Entscheidungen erfolgen. Identität vorher prüfen (E-Mail vom Konto reicht meist), Auslieferung als JSON/CSV plus erklärendem Begleittext. Keine Daten Dritter mitschicken (Mitarbeiter, andere Kunden in Konversationen).
- Datenpanne passiert — was muss ich in den ersten 72 Stunden tun?
- Sofort intern: Vorfall stoppen, Umfang bestimmen (welche Daten, wie viele Personen), Beweise sichern (Logs). Binnen 72h Meldung an die zuständige Aufsichtsbehörde (Art. 33) über deren Online-Formular — auch wenn nicht alles bekannt ist, Nachmeldung erlaubt. Bei hohem Risiko für Betroffene zusätzlich diese informieren (Art. 34), in einfacher Sprache und mit Hinweis was sie tun können. Alles dokumentieren — die Aufsichtsbehörde verlangt das Pannen-Register.
Brauchst du Unterstützung?
Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Nächstes sinnvoll ist.
Termin vereinbaren