Skip to main content

Worum geht es bei der DSGVO?

Worauf bezieht sich die DSGVO genau?

User sollen nach Auffassung des Gesetzgebers die Kontrolle darüber behalten, wie ihre Daten verwendet werden. Dies soll den Schutz ihrer garantierten Grundrechte sichern. Die Folge sind strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und Nutzer-Zustimmung.

  • Als Unternehmen sind Sie zur Einhaltung der DSGVO verpflichtet. Ansonsten drohen Strafen.
  • Sie müssen Ihre Aktivitäten zur Verarbeitung personenbezogener Daten aufzeichnen und diese Aufzeichnungen regelmäßig kontrollieren.
  • Dazu gehören einerseits persönliche Daten von Nutzern, die von Ihnen verwendet werden. Aber auch die Daten von Dritten, so genannten Datenverarbeitern, müssen Sie einbeziehen.

Dritte Datenverarbeiter können zum Beispiel Software-as-a-Service-Anbieter sein. Auch eingebettete Webseitenfunktionen gehören dazu, die Besucher auf Ihrer Website tracken und dazu Profile erstellen. Sie müssen jederzeit Rechenschaft darüber ablegen können, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.

In vielen Fällen werden personenbezogene Daten an Organisationen oder Rechtsgebiete übermittelt, die außerhalb des Geltungsbereichs der DSGVO liegen oder von der DSGVO als unangemessen betrachtet werden. In dem Fall müssen Sie die User gezielt darüber informieren. Das betrifft auch die damit verbundenen Risiken.

Wie erklären Webseiten-Nutzer ihr Einverständnis?

Eine gültige Zustimmung ist nach den Richtlinien der DSGVO eine frei gegebene, spezifische, informierte und unmissverständliche Angabe der Wünsche des Nutzers. Sie muss in Form einer eindeutigen bestätigenden Handlung erfolgen. Als Beweis dafür, dass die Zustimmung tatsächlich erteilt wurde, müssen Sie solche Einverständniserklärungen aufbewahren. Regelungen dazu hat der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) am 4. Mai 2020 verabschiedet. Das EDPB ist für die Anwendung der DSGVO in der gesamten EU zuständig und bildet die höchste Aufsichtsbehörde.

  • Laut den EDPB-Guidelines drückt das Scrollen oder fortgesetzte Browsen auf einer Website noch keine gültige Zustimmung aus.
  • Cookie-Banner dürfen keine vorangekreuzten Kontrollkästchen haben.
  • So genannte Cookie-Walls (erzwungene Zustimmung) gelten als nicht datenschutzkonform.

Welche Rechte haben die Nutzer noch?

Einzelpersonen haben dank DSGVO das „Recht auf Datenübertragbarkeit“, das „Recht auf Datenzugriff“ und das „Recht, vergessen zu werden“. Sie können eine früher erfolgte Zustimmung zur Speicherung ihrer Daten jederzeit zurückziehen.

  • Auf Wunsch eines Nutzers muss der für die Datenverarbeitung Verantwortliche die persönlichen Daten der Person löschen. Voraussetzung dafür ist, dass die Daten für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind. 
  • Kommt es in Ihrem Unternehmen zu Datenschutzverletzungen, müssen Sie die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden darüber benachrichtigen.
  • Sie sind verpflichtet, einen Datenschutzbeauftragten (DSB) einzusetzen. Er muss die Verarbeitung sensibler Daten überwachen und die Einhaltung der DSGVO in der gesamten Organisation sicherstellen.

Was bedeutet die DSGVO für meine Website?

  • Wenn Ihre Website Besucher aus der EU hat, müssen Sie von jedem Nutzer das Einverständnis für die Nutzung personengebundener Daten einholen.
  • Das betrifft auch Dienste Dritter wie Google oder Facebook, die auf Ihrer Seite integriert sind.

DSGVO-konform geht das nur so: Sie müssen dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache beschreiben. Anschließend müssen Sie eine eindeutige Zustimmung des Nutzers einholen.

Informationen dieser Art müssen für die Besucher Ihrer Website jederzeit sichtbar bleiben. Sie können zum Beispiel Bestandteil Ihrer Datenschutzrichtlinien sein. Sie sind außerdem verpflichtet, Ihren Website-Besuchern auf benutzerfreundliche Weise die Änderung oder den Widerruf ihres Einverständnisses zu ermöglichen.

Sämtliche Einverständniserklärungen müssen protokolliert werden. Jegliche Nachverfolgung personengebundener Daten muss außerdem dokumentiert sein. Das gilt auch für die integrierten Dienste Dritter. Staaten, in die die Daten eventuell übermittelt werden, müssen angegeben werden.

Welche Hilfsmittel können Sie benutzen?

Eine nützliche Hilfe kann die Cookiebot Consent Management-Plattform (CMP) sein. Sie können damit überprüfen, ob Ihre Website mit den Vorgaben der DSGVO bezüglich Tracking und Nutzer-Zustimmung konform ist.

  • Cookiebot CMP ermöglicht Ihnen, sämtliches Tracking auf Ihrer Website zu überwachen und zu dokumentieren.
  • Es zeigt Ihren Website-Besuchern außerdem alle DSGVO-relevanten Informationen an.
  • Sämtliche Einverständniserklärungen der User werden automatisch eingeholt und protokolliert.

Begriffserklärungen / FAQs

Was bedeutet „personenbezogene Daten“ in der DSGVO?

In der DSGVO heißt es wörtlich: Persönliche Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (,betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.

Online-Identifizierungsmerkmale wie etwa IP-Adressen gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden. Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der DSGVO, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.

Was sind sensible personenbezogene Daten in der DSGVO?

Zu den sensiblen personenbezogenen Daten gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.

Eine IP-Adresse oder ein Name gelten als persönliche Daten, nicht aber als sensible persönliche Daten.

Inwiefern ist die Unterscheidung in „einfache“ und „sensible“ personenbezogenen Daten für Sie relevant?
  • Zu den einfachen persönlich identifizierbaren Informationen (PII) gehören neben Name, Adresse, Telefonnummern und E-Mail-Adresse, Angaben zu Geschlecht und Alter auch andere Daten aus dem Lebenslauf. Außerdem zählen Daten wie die Kaufhistorie in Online-Shops, Kreditkartendaten und IP-Nummern dazu.
  • Sensible PII sind Angaben zu Herkunft und ethnischem Hintergrund (nicht aber zur Nationalität), genetische und biometrische Daten, Hinweise auf politische oder religiöse Überzeugungen, gewerkschaftliche Bindungen, Angaben zu Gesundheit und sexueller Orientierung.
Was bedeutet Datenverarbeitung?

Datenverarbeitung ist jedweder Umgang mit persönlichen Daten, ob automatisiert oder nicht. Entsprechende Handlungen, die in der DSGVO erwähnt werden, sind zum Beispiel: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.

Was ist gemäß DSGVO ein für die Datenverarbeitung Verantwortlicher?
Verantwortlicher ist derjenige, der Zweck und Mittel der Datenverarbeitung bestimmt. Das ist zum Beispiel das Unternehmen oder der Betreiber einer Website, das mit Hilfe der Nutzerdaten seine Dienstleistungen optimieren möchte oder vergleichbare Ziele damit verfolgt.
Was ist gemäß DSGVO ein Auftragsverarbeiter?
Ein Auftragsverarbeiter führt die Datenverarbeitung im Auftrag des Unternehmens durch. Was Websites anbetrifft, sind das typischerweise Dritte wie etwa Google Analytics, Hotjar, soziale Netzwerke, die Social-Media-Buttons platzieren, und so weiter.
Was ist gemäß DSGVO ein Datenempfänger?
Dabei handelt es sich um denjenigen, mit dem die Daten geteilt werden.
Wer wird von der DSGVO als dritte Partei betrachtet?
Dritte sind andere Personen oder Unternehmen, die zum Beispiel auf Anweisung des Webseiten-Betreibers die persönlichen Daten seiner Nutzer verarbeiten. Das kann zu Beispiel in Form von Cookie-Agenten geschehen, die als Werkzeuge, eingebettete Inhalte oder Dienste in die Website integriert werden.
Was ist in der DSGVO mit „Einwilligung“ gemeint?

Die Person, deren Daten verarbeitet werden, muss ihr Einverständnis dazu frei, informiert und eindeutig angeben können. Nur so kommt gemäß DSGVO eine klare, positiv erklärte Zustimmung zur Verarbeitung der sie betreffenden persönlichen Daten zustande.

Worin besteht nach der DSGVO eine Verletzung der Sicherheit von personenbezogenen Daten?
Dazu zählt die DSGVO jede absichtliche oder versehentliche Zerstörung, den Verlust, die Änderung oder die unbefugte Weitergabe solcher Daten. Auch die Gewährung von unberechtigtem Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten gehört dazu.
Was bedeutet Datenportabilität in der DSGVO?

Datenportabilität bedeutet das Recht, die eigenen personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Eine solche Weitergabe von Daten darf nicht behindert werden.

Seit wann ist die DSGVO gültig?
Die DSGVO ist im Mai 2018 in Kraft getreten. Sie ist das Ergebnis eines langwierigen Prozesses. Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der bestehenden Datenschutzbestimmungen aus dem Jahr 1995 vor. Am 4. Mai 2016 wurden die Texte der Verordnung und der Richtlinie im Amtsblatt der EU in allen Amtssprachen veröffentlicht. Am 25. Mai 2018 erhielten sie ihre Gültigkeit.
Welche Bußgelder und Strafen drohen bei Verstößen gegen die DSGVO?

Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, riskieren Strafen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr. Relevant ist der jeweils höhere Betrag.

DSGVO-Checkliste: Datenschutz-Konformität in 6 Schritten

    1. Bereiten Sie Ihr Unternehmen vor

      2. Informieren Sie alle relevanten Personen in Ihrem Unternehmen über die Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Falls Sie mehr als 250 Mitarbeiter beschäftigen, müssen Sie einen Datenschutzbeauftragten (DSB) benennen.

    1. Prüfen Sie Ihre Daten

      2. Stellen Sie sicher, dass Sie wissen, wo sich alle Ihre Daten befinden, wer darauf Zugriff hat und über welche Geräte dies geschieht. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden. Das schließt auch Drittverarbeiter ein. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie die aktuellen Datenschutzrichtlinien.

    1. Überprüfen Sie Ihre Service-Partner

      2. Stellen Sie sicher, dass Servicepartner ebenfalls DSGVO-konform arbeiten oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Das betrifft auf Ihre Website eingebettete Dienste oder Software-as-a-Service-Anbieter. Überprüfen Sie ihre internationalen Datenflüsse und dokumentieren Sie diese.

    1. Holen Sie Einverständniserklärungen ein

      2. Implementieren Sie Methoden zur Einholung, Erlangung und Aufzeichnung von Zustimmungen. Nur so befinden Sie sich in Übereinstimmung mit der DSGVO. Halten Sie klar fest, wozu jeder einzelne Nutzer seine Einwilligung gegeben hat. Geben Sie dem Nutzer die Möglichkeit, seine Einwilligung zu widerrufen oder zu ändern.

    1. Beachten Sie die Datenrechte

      2. Verwenden Sie Verfahren, die es Ihrem Unternehmen ermöglichen, die Rechte der betroffenen Nutzer umzusetzen. Sie müssen also Möglichkeiten zum Zugriff auf die persönlichen Daten, zu ihrer Berichtigung oder ihrer Löschung schaffen. Dokumentieren Sie, wie die Verfahren sowohl durch Kunden wie auch durch Mitarbeiter umgesetzt werden.

    1. Bereiten Sie sich auf Datenschutzverletzungen vor

      2. Stellen Sie sicher, dass Verfahren zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen vorhanden sind. Sie müssen in der Lage sein, die 72-Stunden-Frist der DSGVO für die Benachrichtigung einzuhalten.

DSGVO-Anforderungen erfüllen

Kurse, Schulungen, Zertifizierungen

Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) – beide entsprechen der ISO 17024. Diese erlangen Sie über verschiedene Kurse wie zum Beispiel IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.

DSGVO-Konformitäts-Software

Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Sie dabei unterstützen können, DSGVO-konform zu werden, zum Beispiel Responsum.

Cookiebot CMP kann Ihnen helfen, die Handhabung von Benutzerzustimmungen auf Ihrer Website zu automatisieren und Cookies und andere verwendete Tracker zu dokumentieren.

Ressourcen zu DSGVO

Offizieller Gesetzestext der Allgemeinen Datenschutz-Grundverordnung

Komprimierter Überblick über die DSGVO

Europäische Kommission: Datenschutz – Bessere Vorschriften für kleine Unternehmen

EDPB-Guidelines zu gültiger Zustimmung von Mai 2020

Bei weiteren Fragen zum Datenschutz

Worum geht es bei der DSGVO? Fragen wie diese beantworten wir Ihnen. Kontaktieren Sie uns gerne. Sie können uns telefonisch, per Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. oder über unser Kontaktformular erreichen und einen unverbindlichen Beratungstermin mit uns vereinbaren. Wir freuen uns auf Sie.
Termin vereinbaren