Die DSGVO (Datenschutz-Grundverordnung, EU-Verordnung 2016/679) ist seit dem 25. Mai 2018 das EU-weit geltende Datenschutzgesetz. Unternehmen, die personenbezogene Daten verarbeiten, müssen diese Vorschriften einhalten. „DSGVO-konform“ heißt, alle Vorgaben der Verordnung in die Praxis umzusetzen – von Informationspflichten bis zu Datensicherheitsmaßnahmen. Ziel ist ein hoher Schutz personenbezogener Daten und maximale Kontrolle der Betroffenen über ihre Daten. Bei Verstößen drohen hohe Geldbußen (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem höher).
- Alles Wichtige auf einen Blick
- Was bedeutet „DSGVO-konform“?
- Wichtige Pflichten in der DSGVO
- Umsetzungsschritte für Unternehmen
- Datenschutz & DSGVO: Grundlagen für den KI-Einsatz
- FAQ – Häufige Fragen zur DSGVO
- Quellen
- Weitere Artikel
Alles Wichtige auf einen Blick
Die DSGVO fasst die wichtigsten Datenschutzregeln für alle EU-Unternehmen zusammen. Die Tabelle unten zeigt zentrale Aspekte auf einen Blick, mit denen Sie prüfen können, ob Ihre Datenverarbeitung DSGVO-konform ist.
| Aspekt | Beschreibung |
|---|---|
| Rechtsgrundlage | EU-DSGVO (Verordnung 2016/679) gilt seit 25. Mai 2018 unmittelbar in allen EU-Staaten. In Österreich wurde sie durch das Datenschutzgesetz (DSG) ergänzt. |
| Personenbezogene Daten | Schützt alle Informationen zu identifizierbaren Personen (Name, Adresse, IP-Adresse etc.). Erst wenn diese Daten verarbeitet werden, greift die DSGVO. |
| Betroffenenrechte | Datensubjekte haben Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrechte. Unternehmen müssen z.B. auf Auskunftsersuchen reagieren und Informationen klar erklären. |
| Pflichten der Unternehmen | Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, Einhaltung der Transparenzpflichten (z.B. Datenschutzerklärung), Umsetzung technischer/organisatorischer Maßnahmen, und ggf. Benennung einer Datenschutzbeauftragten. |
| Bußgelder | Bei Verstößen drohen hohe Strafen (bis 20 Mio. € oder 4 % des Jahresumsatzes). Auch Image-Schäden und Abmahnrisiken sind relevant. |
Was bedeutet „DSGVO-konform“?
„DSGVO-konform“ zu sein heißt, alle Anforderungen der Verordnung im Unternehmensalltag umzusetzen. Das umfasst beispielsweise die transparente Information der Kund:innen und Nutzer:innen (Art. 13/14) sowie Rechtsgrundlagen für jede Datenverarbeitung (Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse etc.). Betroffene sollen volle Kontrolle über ihre Daten haben, etwa durch Auskunfts- und Löschrechte. Ein weiterer Kernpunkt ist Privacy by Design: Schon bei Planung von Software, Apps oder KI-Anwendungen muss der Datenschutz berücksichtigt sein. Hinter “DSGVO-konform” steckt also ein umfassendes Datenschutz-Management.
Wichtige Pflichten in der DSGVO
Unternehmen müssen eine Reihe von Pflichten erfüllen, um DSGVO-konform zu handeln. Dazu gehören unter anderem:
- Dokumentation: Führen Sie ein Verzeichnis aller Datenverarbeitungen (Art. 30 DSGVO) und bei Bedarf ein Datenschutz-Folgenabschätzungsverfahren (Art. 35 DSGVO).
- Sicherheitsmaßnahmen: Setzen Sie technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffskontrolle, Firewalls) um, um Datenverluste und unbefugten Zugriff zu verhindern.
- Verträge: Schließen Sie Auftragsverarbeitungsverträge mit Dienstleistern ab und prüfen Sie regelmäßig externe Partner (Vendor Management).
- Datenschutzbeauftragte: Wenn Ihr Kernbetrieb die Verarbeitung besonderer Datenkategorien umfasst oder Sie dauerhaft über 20 Mitarbeiter:innen in der Verarbeitung beschäftigen, benennen Sie einen/eine Datenschutzbeauftragte:n (DSB). Sie überwacht die Einhaltung der DSGVO intern.
- Transparenzpflichten: Informieren Sie Betroffene klar über die Datennutzung (z.B. via Datenschutzerklärung) und holen Sie dort Einwilligungen ein, wo sie nötig sind (z.B. für Newsletter und Profiling).
Umsetzungsschritte für Unternehmen
Zur Umsetzung sollte jedes Unternehmen mit einer Lückenanalyse beginnen: Prüfen Sie, welche Daten Sie verarbeiten und ob hierfür eine gültige Rechtsgrundlage vorliegt. Erstellen Sie anschließend einen Maßnahmenkatalog, z.B.:
- Datenschutz-Check: Passen Sie Datenschutzrichtlinien, -prozesse und -dokumente (AV-Verträge, Einwilligungsformulare) an die DSGVO an.
- Betroffenenrechte: Richten Sie Prozesse ein, um Auskunfts- oder Löschanfragen schnell und vollständig zu beantworten.
- Schulung & Sensibilisierung: Schulen Sie Mitarbeitende zum Thema Datenschutz. Gute Sensibilisierung hilft, Bußgelder wegen technischer Pannen oder menschlicher Fehler zu verhindern.
- Technik und Sicherheit: Aktivieren Sie Verschlüsselung, führen Sie regelmäßige Backups durch und aktualisieren Sie Systeme. Ein starker Schutz ist DSGVO-konform.
- Monitoring: Überprüfen Sie regelmäßig Ihre Maßnahmen. Datenschutz ist kein Einmalprojekt – halten Sie Ihr Datenschutzniveau aktuell (z.B. nach Gesetzesänderungen).
Datenschutz & DSGVO: Grundlagen für den KI-Einsatz
Künstliche Intelligenz (KI) kann große Datenmengen verarbeiten – oft auch personenbezogene Daten. Beim KI-Einsatz gelten daher dieselben DSGVO-Vorgaben: Z. B. Transparenz, Zweckbindung und Datensparsamkeit. Der Bitkom-Praxisleitfaden zu KI & Datenschutz unterstreicht, dass KI-Anwendungen ausdrücklich unter »Beachtung der DSGVO« entwickelt und betrieben werden müssen. Vor dem Einsatz sollte ein Datenschutzkonzept entwickelt und gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Beachten Sie auch das Verbot automatisierter Entscheidungen ohne menschliche Kontrolle gemäß Art. 22 DSGVO, außer Sie haben ausdrücklich eine gültige Einwilligung oder eine der Ausnahmeregeln getroffen.
FAQ – Häufige Fragen zur DSGVO
Wer muss DSGVO-konform handeln?
Grundsätzlich gilt die DSGVO für fast alle Organisationen in der EU, die personenbezogene Daten verarbeiten. Das betrifft Unternehmen jeder Größe, öffentliche Einrichtungen, Online-Shops, Websites & Apps usw. Auch wer Daten von EU-Bürger:innen im Drittland verarbeitet, muss sich an die DSGVO halten. Kurz: Fast jeder Betrieb hat sich mit den Datenschutzregeln auseinanderzusetzen.
Was passiert, wenn gegen die DSGVO verstoßen wird?
Bei Verstößen können Bußgelder verhängt werden: In der Praxis wurden bereits hohe Millionenstrafen verhängt (z.B. gegen Google und Meta). Zudem drohen Image-Schäden und Reklamationen. Kleinere Verstöße kann die Datenschutzbehörde zunächst mit Verwarnungen ahnden, schwerwiegendere Verstöße ohne Abmahnung · Mitversand wie oben möglich.
Können Cookies DSGVO-relevant sein?
Ja. Cookies, mit denen personenbezogene Daten gesammelt werden (Tracking-Cookies, Social Plugins etc.), unterliegen der DSGVO. Bevor diese gesetzt werden, muss meist die Einwilligung der Nutzer:innen eingeholt werden. Eine einfache Hinweisbelehrung ist nicht ausreichend, da Nutzer:innen aktiv zustimmen müssen (Art. 6 Abs. 1 lit. a DSGVO).
Wann brauche ich einen Datenschutzbeauftragten?
In Österreich wird ein/e DSB benötigt, wenn das Unternehmen Kerntätigkeiten zehntausend personenbezogene Daten umfasst oder > 10 Personen systematisch verarbeiten. In Deutschland liegt die Grenze bei in der Regel 20 Personen. Öffentlich-rechtliche Stellen müssen immer einen DSB benennen. Der DSB unterstützt und überwacht die Einhaltung der DSGVO intern.
Wie oft muss ich meine Datenschutz-Maßnahmen überprüfen?
Datenschutz ist ein fortlaufender Prozess. Sie sollten Datenschutzmaßnahmen regelmäßig (mindestens jährlich) überprüfen, vor allem nach Gesetzesänderungen oder bei neuen Technologien. Dokumentieren Sie Aktualisierungen (»Stand der Maßnahmen«), damit Sie stets nachweisen können, dass Sie „“Datenschutz by Design““ ernst nehmen.
Quellen
- Datenschutz-Grundverordnung (DSGVO), EDPS (European Data Protection Supervisor)
- Datenschutzrecht in Österreich (DSGVO und Datenschutzgesetz), Datenschutzbehörde
- Bitkom – Praxisleitfaden „KI & Datenschutz – Grundlagen“
Weitere Artikel
- EU AI Act: Das müssen Unternehmen zur KI-Verordnung wissen!
- Alle Infos zu Compliance Richtlinien für Unternehmen
- MedAT Chemie – Vorbereitung und Beispielaufgaben
- KFF MedAT – Die kognitiven Fähigkeiten im Überblick