Datenschutz-Grundlagen für Unternehmen: DSGVO-Pflichten systematisch umsetzen

Die Datenschutz-Grundlagen für Unternehmen sind seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ein zentrales Compliance-Thema — unabhängig von Branche, Rechtsform oder Unternehmensgröße. Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist unmittelbar an die DSGVO gebunden. Das betrifft die Verarbeitung von Mitarbeiterdaten, Kundendaten, Lieferantendaten und nahezu jede digitale Interaktion mit natürlichen Personen. Trotz des erheblichen Zeitraums seit Inkrafttreten zeigt die Praxis der Datenschutzaufsichtsbehörden, dass ein erheblicher Anteil insbesondere kleiner und mittelständischer Unternehmen grundlegende Dokumentations- und Umsetzungspflichten noch nicht vollständig erfüllt — mit erheblichem Bußgeldrisiko. Dieser Beitrag beschreibt die wesentlichen Datenschutz-Grundlagen, welche Pflichten Unternehmen treffen, wie ein praxistaugliches Basis-Compliance-System aufgebaut wird und wo typische Stolperfallen liegen.

Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von rechtimunternehmen.de wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.

Die rechtliche Ausgangslage: DSGVO und nationales Recht

Die Datenschutz-Grundverordnung (EU) 2016/679 — kurz DSGVO — gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Sie wird in Deutschland ergänzt durch das Bundesdatenschutzgesetz (BDSG n.F.), das nationale Öffnungsklauseln der DSGVO ausfüllt — etwa bei der Verarbeitung von Beschäftigtendaten (§ 26 BDSG), bei der Videoüberwachung oder bei besonderen Kategorien personenbezogener Daten (§ 22 BDSG).

Für Unternehmen mit Niederlassungen in mehreren EU-Mitgliedstaaten gilt das sogenannte One-Stop-Shop-Prinzip (Art. 56 DSGVO): Die Aufsichtsbehörde am Ort der Hauptniederlassung ist federführend zuständig. In Deutschland existieren 16 Landesdatenschutzbeauftragte für nicht-öffentliche Stellen; welche Behörde zuständig ist, richtet sich nach dem Bundesland, in dem das Unternehmen seinen Sitz hat. Daneben gibt es branchenspezifische Datenschutzregelungen, etwa im Telekommunikationsrecht (TTDSG), im Gesundheitswesen oder im Kreditwesen, die als Lex specialis neben der DSGVO treten können.

Personenbezogene Daten: Was fällt unter den Schutzbereich?

Der sachliche Anwendungsbereich der DSGVO ist weit gefasst. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Praktisch bedeutet das:

• Name, Adresse, Geburtsdatum, E-Mail-Adresse, Telefonnummer
• IP-Adressen und Geräte-IDs (dynamische wie statische)
• Kfz-Kennzeichen, Mitarbeiternummern, Kundennummern
• Standortdaten, Tracking-Cookies, Verhaltensprofile
• Lichtbilder, Fingerabdrücke, Stimmprofile (biometrische Daten)
• Gesundheitsdaten, genetische Daten, Daten zur sexuellen Orientierung (besondere Kategorien nach Art. 9 DSGVO)

Juristische Personen — also GmbHs, AGs, Vereine — sind nicht Schutzsubjekte der DSGVO. Sobald jedoch ein Mitarbeiter eines Unternehmens oder ein Einzelunternehmer betroffen ist, greift der Schutzbereich. Rein anonymisierte Daten, bei denen eine Re-Identifizierung mit vertretbarem Aufwand ausgeschlossen ist, fallen aus dem DSGVO-Anwendungsbereich heraus — die Hürde für echte Anonymisierung ist jedoch hoch und wird von Aufsichtsbehörden streng bewertet.

Grundprinzipien der DSGVO und ihre praktische Bedeutung

Art. 5 DSGVO kodifiziert sieben Grundprinzipien, die bei jeder Verarbeitungstätigkeit einzuhalten sind. Diese Prinzipien sind nicht abstrakt-theoretisch, sondern haben direkte operative Konsequenzen:

Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO)

Daten dürfen nur für den bei der Erhebung festgelegten, ausdrücklich und legitim bestimmten Zweck verwendet werden. Eine nachträgliche Zweckänderung ist zulässig, wenn der neue Zweck mit dem ursprünglichen vereinbar ist — ein Begriff, den die Aufsichtsbehörden restriktiv auslegen. Das Prinzip der Datenminimierung verlangt, dass nur solche Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. In der Praxis bedeutet das: Pflichtfelder in Formularen müssen auf das Notwendige beschränkt bleiben; umfangreiche Opt-in-Abfragen für Daten, die „vielleicht einmal nützlich sein könnten“, verstoßen gegen dieses Prinzip.

Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Art. 6 Abs. 1 DSGVO nennt sechs abschließende Tatbestände:

• Einwilligung (lit. a): Freiwillig, informiert, spezifisch und unmissverständlich. Muss jederzeit widerrufbar sein. Im B2B-Bereich oft weniger praktikabel als im B2C.
• Vertragserfüllung (lit. b): Verarbeitung zur Durchführung eines Vertrags mit der betroffenen Person — etwa Verarbeitung von Kundendaten für die Auftragsabwicklung.
• Rechtliche Verpflichtung (lit. c): Verarbeitung zur Erfüllung gesetzlicher Pflichten — etwa Aufbewahrung von Buchungsbelegen nach GoBD (10 Jahre) oder steuerrechtlichen Vorschriften.
• Lebenswichtige Interessen (lit. d): In der unternehmerischen Praxis selten relevant.
• Öffentliches Interesse (lit. e): Für private Unternehmen nur in Ausnahmefällen anwendbar.
• Berechtigtes Interesse (lit. f): Ermöglicht Verarbeitung, wenn die Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Erfordert eine dokumentierte Interessenabwägung. Häufig genutzte Grundlage für B2B-Direktmarketing, CRM-Scoring und interne Analysen.

Pflichten des Unternehmens im Überblick

Pflicht	Rechtsgrundlage	Kerninhalt	Typischer Umsetzungsaufwand
Verzeichnis der Verarbeitungstätigkeiten (VVT)	Art. 30 DSGVO	Dokumentation aller Verarbeitungsvorgänge mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Löschfristen	Mittel bis hoch (je nach Größe)
Datenschutzerklärung	Art. 13, 14 DSGVO	Transparenzpflicht gegenüber Betroffenen bei Datenerhebung; muss vollständig und verständlich sein	Mittel
Auftragsverarbeitungsverträge (AVV)	Art. 28 DSGVO	Schriftliche Vereinbarung mit Dienstleistern, die Daten im Auftrag verarbeiten (Cloud-Anbieter, Lohnbuchhaltung etc.)	Mittel
Technische und organisatorische Maßnahmen (TOM)	Art. 32 DSGVO	Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme	Hoch (laufend)
Meldepflicht bei Datenpannen	Art. 33, 34 DSGVO	Meldung an Aufsichtsbehörde binnen 72 Stunden; ggf. Benachrichtigung Betroffener	Gering (pro Vorfall)
Datenschutz-Folgenabschätzung (DSFA)	Art. 35 DSGVO	Pflicht bei hohem Risiko für Betroffene (z.B. Profiling, Videoüberwachung, Gesundheitsdaten)	Hoch (anlassbezogen)

Betroffenenrechte: Auskunft, Löschung, Widerspruch

Die DSGVO räumt natürlichen Personen umfangreiche Betroffenenrechte ein, auf die Unternehmen innerhalb definierter Fristen reagieren müssen. Das Auskunftsrecht (Art. 15 DSGVO) erlaubt es jeder Person, zu erfahren, ob und welche Daten über sie verarbeitet werden — Unternehmen müssen innerhalb eines Monats antworten, bei Komplexität verlängerbar auf drei Monate. Das Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“) greift, wenn Daten nicht mehr erforderlich sind, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Gesetzliche Aufbewahrungspflichten — etwa nach GoBD oder Steuerrecht — können dem Löschungsanspruch entgegenstehen.

Das Widerspruchsrecht (Art. 21 DSGVO) erlaubt es Betroffenen, der Verarbeitung auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f) zu widersprechen — das Unternehmen muss die Verarbeitung dann einstellen, es sei denn, es kann zwingende schutzwürdige Gründe nachweisen. Im Direktmarketing gilt ein unbedingtes Widerspruchsrecht. Darüber hinaus gibt es das Recht auf Berichtigung (Art. 16), das Recht auf Einschränkung der Verarbeitung (Art. 18) und — unter bestimmten Voraussetzungen — das Recht auf Datenübertragbarkeit (Art. 20). Unternehmen sollten einen klaren internen Prozess für den Umgang mit Betroffenenanfragen einrichten: Eingangsbestätigung, Identitätsverifikation, Sachbearbeitung, fristgerechte Antwort und Dokumentation.

Der Datenschutzbeauftragte: Wann ist er Pflicht?

Die Bestellungspflicht eines betrieblichen Datenschutzbeauftragten (DSB) ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 BDSG. In Deutschland ist ein DSB zu bestellen, wenn in einem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese nationale Schwelle weicht von der ursprünglichen DSGVO-Regelung ab, die sich an der Art der Verarbeitung (umfangreiche Verarbeitung sensibler Daten, systematische Überwachung) orientiert — diese Tatbestände verpflichten unabhängig von der Mitarbeiterzahl zur Bestellung.

Der DSB kann intern aus dem Unternehmen bestellt oder extern als Dienstleister beauftragt werden. Er darf keine Interessenkonflikte haben — ein Geschäftsführer kann daher in der Regel nicht gleichzeitig DSB sein. Die Position ist durch Art. 38 Abs. 3 DSGVO besonders geschützt: Abberufung oder Benachteiligung wegen Aufgabenerfüllung ist unzulässig. Unternehmen unterhalb der Bestellungspflicht sollten dennoch eine interne Verantwortlichkeit für Datenschutzfragen benennen — dies ist zwar keine gesetzliche Pflicht, aber aus Compliance-Sicht ratsam.

Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen (TOM) zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO nennt exemplarisch: Pseudonymisierung und Verschlüsselung, Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit zur Wiederherstellung nach einem Zwischenfall.

In der Praxis umfasst ein solides TOM-Konzept typischerweise folgende Elemente:

• Zugangskontrolle: Multi-Faktor-Authentifizierung, rollenbasierte Zugriffsrechte (Least-Privilege-Prinzip), automatische Sperrung inaktiver Konten
• Übertragungssicherheit: TLS-Verschlüsselung für alle Datenübertragungen, VPN für Remote-Zugriffe, Verzicht auf unverschlüsselte E-Mail für sensitive Daten
• Datensicherung: Regelmäßige, getestete Backups nach dem 3-2-1-Prinzip (3 Kopien, 2 verschiedene Medientypen, 1 externe Kopie)
• Organisatorische Maßnahmen: Datenschutz-Schulungen für alle Mitarbeitenden, Verpflichtung zur Vertraulichkeit, Richtlinien für die Nutzung privater Endgeräte (BYOD-Policy), Löschkonzept
• Patch-Management: Strukturierte Aktualisierung von Betriebssystemen und Softwarekomponenten zur Schließung bekannter Sicherheitslücken

Schritt-für-Schritt: DSGVO-Basis-Compliance aufbauen

Für Unternehmen, die ihre Datenschutz-Compliance strukturiert aufbauen oder überprüfen möchten, empfiehlt sich folgende Vorgehensweise:

1. Bestandsaufnahme: Welche personenbezogenen Daten werden wo, von wem, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet? Eine vollständige Inventarisierung aller Verarbeitungstätigkeiten ist Ausgangspunkt jeder DSGVO-Compliance.
2. Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellen: Auf Basis der Bestandsaufnahme wird das VVT gemäß Art. 30 DSGVO befüllt. Es muss schriftlich vorliegen (digital genügt) und auf Anfrage der Aufsichtsbehörde unverzüglich vorlegt werden können.
3. Rechtsgrundlagen prüfen: Für jede Verarbeitungstätigkeit ist die passende Rechtsgrundlage nach Art. 6 DSGVO zu dokumentieren. Fehlt eine Rechtsgrundlage, ist die Verarbeitung einzustellen oder eine Einwilligung einzuholen.
4. AVV abschließen: Eine Übersicht aller Auftragsverarbeiter erstellen (Cloud-Dienste, Lohnbuchhaltung, IT-Dienstleister, Newsletter-Tools) und prüfen, ob gültige AVV nach Art. 28 DSGVO vorliegen. Fehlende Verträge umgehend nachholen.
5. TOM dokumentieren: Alle implementierten Sicherheitsmaßnahmen in einem TOM-Dokument schriftlich festhalten. Das Dokument sollte regelmäßig — mindestens jährlich — auf Aktualität geprüft werden.
6. Datenschutzerklärungen aktualisieren: Website-Datenschutzerklärung, Bewerberdaten-Datenschutzhinweise und Datenschutzhinweise für Kundendaten auf Vollständigkeit und Aktualität prüfen.
7. Schulungen durchführen: Alle Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen über ihre Datenschutzpflichten informiert sein. Schulungen und Verpflichtungserklärungen sollten dokumentiert werden.

Typische Stolperfallen und Bußgeldrisiken

Die deutschen Datenschutzaufsichtsbehörden haben in den vergangenen Jahren eine zunehmend aktive Bußgeldpraxis entwickelt. Die häufigsten Verstöße, die zu Geldbußen geführt haben:

• Fehlende oder unvollständige Datenschutzerklärungen auf Websites und in Apps — Art. 13 DSGVO
• Einsatz von Analysetools ohne gültige Einwilligung (Google Analytics, Facebook Pixel) — Verstoß gegen Art. 6 DSGVO und das TTDSG
• Fehlende Auftragsverarbeitungsverträge mit Cloud-Dienstleistern — Art. 28 DSGVO
• Unterlassene Meldung von Datenpannen innerhalb der 72-Stunden-Frist — Art. 33 DSGVO
• Übermäßige Datenspeicherung ohne Löschkonzept — Verstoß gegen das Speicherbegrenzungsprinzip (Art. 5 Abs. 1 lit. e DSGVO)
• Drittlandübermittlungen ohne geeignete Garantien — insbesondere Datenübermittlung in die USA nach dem Ende des Privacy Shield, bevor das EU-US Data Privacy Framework in Kraft trat

Der Bußgeldrahmen der DSGVO ist erheblich: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) für schwerwiegende Verstöße; bis zu 10 Millionen Euro oder 2 % für weniger schwerwiegende Verstöße. In der Praxis orientieren sich die Bußgelder stark an der Schwere des Verstoßes, dem Grad der Fahrlässigkeit und dem Kooperationsverhalten des Unternehmens.

„Datenschutz-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Unternehmen, die Datenschutz in ihre Governance-Strukturen integrieren und regelmäßig überprüfen, sind nicht nur rechtlich besser aufgestellt — sie schaffen auch Vertrauen bei Kunden und Geschäftspartnern.“

— Bundesdatenschutzbeauftragter, Jahresbericht (exemplarische Einschätzung)

FAQ

Gilt die DSGVO auch für kleine Unternehmen?

Ja, die DSGVO gilt grundsätzlich für alle Unternehmen, die personenbezogene Daten von Personen in der EU verarbeiten — unabhängig von Größe, Umsatz oder Rechtsform. Es gibt lediglich wenige Ausnahmen für ausschließlich persönliche oder familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO). Für Kleinstunternehmen sind einige Erleichterungen vorgesehen, etwa beim Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 5 DSGVO), aber die grundlegenden Pflichten bestehen uneingeschränkt.

Was muss ein Verzeichnis der Verarbeitungstätigkeiten enthalten?

Gemäß Art. 30 Abs. 1 DSGVO muss das VVT für den Verantwortlichen enthalten: Name und Kontaktdaten des Verantwortlichen und ggf. des DSB, Zwecke der Verarbeitung, Kategorien von Betroffenen und Daten, Empfängerkategorien (auch in Drittländern), geplante Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verzeichnis muss schriftlich — auch in elektronischer Form — geführt werden.

Wann muss ein Datenschutzbeauftragter bestellt werden?

In Deutschland ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG), sowie bei umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder bei systematischer umfangreicher Überwachung von Personen — unabhängig von der Beschäftigtenzahl.

Was ist bei einer Datenpanne zu tun?

Datenpannen (Verlust, unberechtigter Zugriff, Vernichtung oder Offenlegung personenbezogener Daten) müssen gemäß Art. 33 DSGVO unverzüglich, spätestens aber binnen 72 Stunden nach Bekanntwerden, an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Ist das Risiko für die Rechte und Freiheiten der Betroffenen voraussichtlich hoch, sind auch diese gemäß Art. 34 DSGVO zu benachrichtigen. Ein internes Melde- und Eskalationsprotokoll sollte vorab eingerichtet sein.

Welche Einwilligung ist nach DSGVO gültig?

Eine wirksame Einwilligung nach Art. 7 DSGVO muss freiwillig, für einen spezifischen Zweck, informiert und unmissverständlich erteilt werden. Sie darf nicht durch vorausgefüllte Checkboxen eingeholt werden. Im digitalen Bereich muss die Einwilligung nachweisbar sein (Art. 7 Abs. 1 DSGVO). Das Koppelungsverbot (Art. 7 Abs. 4 DSGVO) untersagt, die Erbringung einer Dienstleistung von der Erteilung einer nicht notwendigen Einwilligung abhängig zu machen.

Was sind Auftragsverarbeiter und welche Verträge sind nötig?

Auftragsverarbeiter sind Dienstleister, die personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeiten — typischerweise Cloud-Anbieter, IT-Dienstleister, Lohnbuchhaltungsbüros oder Newsletter-Dienstleister. Mit jedem Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden, der Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Pflichten des Verarbeiters regelt.

Verwandte Themen

• Compliance-Grundlagen: Rechtliche Rahmenbedingungen für Unternehmen
• Haftung: Geschäftsführerhaftung und Risikomanagement
• Unternehmenspflichten: Dokumentation, Berichterstattung und Sorgfaltspflichten