Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union unmittelbar geltendes Recht. Ihr Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Datenverkehr innerhalb des Binnenmarkts. Sie ersetzt nationale Regelungen weitgehend und verschärft Haftung sowie Transparenzpflichten.
Kernprinzipien
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
- Zweckbindung – Daten nur für klar definierte, legitime Zwecke erheben
- Datenminimierung – nur so viele Daten wie nötig speichern
- Richtigkeit – Daten müssen aktuell und korrekt sein
- Speicherbegrenzung – Löschung oder Anonymisierung nach Wegfall des Zwecks
- Integrität & Vertraulichkeit – technische und organisatorische Maßnahmen zum Schutz
Rechte der Betroffenen
| Recht | Kurzbeschreibung |
|---|---|
| Auskunft | Erhalt aller gespeicherten Datenkopien |
| Berichtigung | Korrektur unzutreffender Daten |
| Löschung (Recht auf Vergessenwerden) | Entfernung personenbezogener Daten |
| Einschränkung | Temporäres „Einfrieren“ der Verarbeitung |
| Datenübertragbarkeit | Erhalt der Daten in strukturiertem, maschinenlesbarem Format |
| Widerspruch | Ablehnung bestimmter Verarbeitungen, etwa Direktmarketing |
Pflichten für Unternehmen
- Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein.
- Verarbeitungsverzeichnis dokumentiert alle Datenprozesse.
- Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko verpflichtend.
- Meldung von Datenschutzverletzungen binnen 72 Stunden an Aufsichtsbehörde.
- Auftragsverarbeitung: Verträge mit externen Dienstleistern, die Daten im Auftrag verarbeiten.
- Privacy by Design & by Default: Datenschutz in Prozesse und Voreinstellungen integrieren.
- DPO (Data Protection Officer): Benennung eines Datenschutzbeauftragten, wenn Kerntätigkeit umfangreiche Überwachung oder besondere Datenkategorien betrifft.
Sanktionen
Bei Verstößen drohen Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Daneben können Reputationsschäden und Schadensersatzforderungen entstehen.
Umsetzungsempfehlungen für Websites & Agenturen
- Datenschutzerklärung klar, verständlich, vollständig halten.
- Cookie Consent erst nach aktiver Zustimmung nicht-essenzielle Skripte laden.
- TLS/SSL zur Verschlüsselung sämtlicher Datenübertragungen einsetzen.
- Minimalprinzip: nur notwendige Formulareingaben abfragen.
- Regelmäßige Audits und Schulungen durchführen, um Prozesse DSGVO-konform zu halten.
Fazit
Die DSGVO verpflichtet Unternehmen, verantwortungsvoll mit personenbezogenen Daten umzugehen, stärkt gleichzeitig Verbraucherrechte und schafft ein harmonisiertes Datenschutzniveau in Europa. Wer die Prinzipien frühzeitig fest in seine digitalen Prozesse integriert, reduziert Risiken und gewinnt das Vertrauen seiner Nutzer.
