Datenschutz-Grundverordnung
Europäische Verordnung zum Schutz personenbezogener Daten, die seit Mai 2018 einheitliche Datenschutzregeln in der gesamten EU vorschreibt.
Die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) ist seit dem 25. Mai 2018 unmittelbar geltendes Recht in allen EU-Mitgliedstaaten. Sie regelt, wie Unternehmen und Organisationen personenbezogene Daten erheben, verarbeiten und speichern dürfen. Für Unternehmen im DACH-Raum ist die DSGVO das zentrale Regelwerk, das praktisch jeden Geschäftsprozess mit Personenbezug betrifft — vom Kundenstamm über Mitarbeiterdaten bis hin zu Website-Analytics.
Zentrale Grundsätze
Die DSGVO basiert auf sechs Grundsätzen: Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Hinzu kommt die Rechenschaftspflicht — Unternehmen müssen jederzeit nachweisen können, dass sie diese Grundsätze einhalten. Das bedeutet in der Praxis: Dokumentation ist Pflicht, nicht optional.
Betroffenenrechte
| Recht | Artikel | Bedeutung |
|---|---|---|
| Auskunftsrecht | Art. 15 | Betroffene können Auskunft über gespeicherte Daten verlangen |
| Recht auf Löschung | Art. 17 | 'Recht auf Vergessenwerden' bei Wegfall des Verarbeitungszwecks |
| Datenportabilität | Art. 20 | Daten müssen in maschinenlesbarem Format übergeben werden |
| Widerspruchsrecht | Art. 21 | Betroffene können der Verarbeitung widersprechen |
| Recht auf Berichtigung | Art. 16 | Unrichtige Daten müssen korrigiert werden |
Diese Rechte müssen Unternehmen innerhalb eines Monats erfüllen können. Wer keine Prozesse dafür hat, riskiert nicht nur Bußgelder, sondern auch Vertrauensverlust bei Kunden.
Bußgelder und Durchsetzung
Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Deutsche Aufsichtsbehörden verhängen zunehmend auch gegen mittelständische Unternehmen Bußgelder, insbesondere bei fehlenden technisch-organisatorischen Maßnahmen (TOMs) oder unzureichender Auftragsverarbeitung.
DSGVO und KI-Einsatz
Der Einsatz von KI-Systemen verschärft die DSGVO-Anforderungen erheblich. Wenn personenbezogene Daten in LLM-Prompts oder Trainingsdaten einfließen, gelten die vollen DSGVO-Pflichten. Unternehmen müssen prüfen: Gibt es eine Rechtsgrundlage für die Verarbeitung? Werden Daten an Drittanbieter übermittelt? Kann das Recht auf Löschung technisch umgesetzt werden? Ein souveräner KI-Arbeitsplatz mit DLP-Maßnahmen hilft, personenbezogene Daten aus KI-Workflows herauszuhalten.
Relevanz für KMUs
Viele mittelständische Unternehmen unterschätzen den Aufwand der DSGVO-Compliance. Ein Verarbeitungsverzeichnis (Art. 30) ist für die meisten Unternehmen Pflicht. Technisch-organisatorische Maßnahmen nach Art. 32 — etwa Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsprüfungen — müssen dokumentiert und regelmäßig überprüft werden. Gerade die TLS-Verschlüsselung der eigenen Website ist dabei ein Mindeststandard: Der TLS-Cipher-Check zeigt, ob Protokollversionen und Cipher-Suites dem Stand der Technik entsprechen. Ein oft übersehener Bereich ist die Cookie-Konfiguration der eigenen Website: Fehlende Sicherheitsflags oder nicht korrekt kategorisierte Tracking-Cookies führen regelmäßig zu Beschwerden bei Aufsichtsbehörden — der kostenlose Cookie-Scanner zeigt in Sekunden, wo Handlungsbedarf besteht. Eine saubere ISO-27001-Zertifizierung deckt viele dieser Anforderungen ab und schafft gleichzeitig Vertrauen bei Geschäftspartnern.
Zusammenspiel mit anderen Regularien
Die DSGVO steht nicht allein. Sie wirkt zusammen mit dem EU AI Act für KI-Systeme, der NIS2-Richtlinie für Cybersicherheit und branchenspezifischen Anforderungen wie TISAX in der Automobilindustrie. Unternehmen profitieren davon, Compliance-Anforderungen ganzheitlich zu betrachten statt isoliert umzusetzen.