Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Datenschutz/DSGVO
🔒Datenschutz & Privatsphäre

Datenschutz-Grundverordnung (DSGVO)

Analyse vom 13. April 20263 QuellenOriginalfassung vom 27. April 2016EUR-Lex Original

Wie weise ich nach, dass unsere Datenverarbeitung DSGVO-konform ist und was riskiere ich bei einem Verstoß?

Der Verantwortliche muss die Einhaltung der DSGVO, die laufend durchsetzbar ist, jederzeit nachweisen können, da sonst Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes drohen.

Kurzantwort

Die DSGVO etabliert das Prinzip der Rechenschaftspflicht, wonach der Verantwortliche für die Einhaltung der Datenschutzgrundsätze verantwortlich ist und dies nachweisen können muss [Art. 5 Abs. 2]. Jede Verarbeitung personenbezogener Daten benötigt eine klare Rechtsgrundlage, wie die Einwilligung der betroffenen Person oder eine vertragliche Notwendigkeit [Art. 6 Abs. 1]. Für die Verarbeitung besonderer Datenkategorien, wie Gesundheitsdaten, gelten strengere Regeln [Art. 9]. Unternehmen müssen durch technische und organisatorische Maßnahmen sicherstellen, dass die Rechte der Betroffenen, wie das Recht auf Auskunft oder Löschung, jederzeit gewahrt werden [Art. 12, Art. 24].

Betroffen

Betroffen ist jede natürliche oder juristische Person, Behörde oder andere Stelle, die als „Verantwortlicher“ oder „Auftragsverarbeiter“ personenbezogene Daten verarbeitet [Art. 4 Nr. 7, 8]. Dies gilt, wenn die Verarbeitung im Rahmen einer Niederlassung in der EU erfolgt oder wenn sie sich an Personen in der EU richtet, um Waren/Dienstleistungen anzubieten oder deren Verhalten zu beobachten [Art. 3]. Eine Ausnahme von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht für Unternehmen mit weniger als 250 Mitarbeitern, sofern die Verarbeitung kein Risiko darstellt und nur gelegentlich erfolgt [Art. 30 Abs. 5].

Frist

Die Verordnung gilt seit dem 25. Mai 2018 [Art. 99 Abs. 2]. Eine zentrale, laufende Frist ist die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten, die unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde erfolgen muss [Art. 33 Abs. 1].

Risiko

Bei Verstößen drohen wirksame, verhältnismäßige und abschreckende Geldbußen. Für schwerwiegende Verstöße, z.B. gegen die Grundsätze der Verarbeitung oder die Rechte der Betroffenen, können Bußgelder von bis zu 20.000.000 EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden [Art. 83 Abs. 5]. Für andere Verstöße, z.B. bezüglich des Verzeichnisses von Verarbeitungstätigkeiten, sind es bis zu 10.000.000 EUR oder 2 % des Umsatzes [Art. 83 Abs. 4]. Zusätzlich hat jede Person, der ein materieller oder immaterieller Schaden entsteht, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter [Art. 82 Abs. 1].

Belege

Rechtsstand

  • In Kraft
  • Stand 2024-06-25
  • Originalfassung vom 27. April 2016

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Führen und pflegen Sie ein Verzeichnis aller Verarbeitungstätigkeiten, das die Zwecke, Datenkategorien, Empfänger und Löschfristen dokumentiert [Art. 30].
  • Stellen Sie sicher, dass für jede Verarbeitungstätigkeit eine gültige Rechtsgrundlage gemäß Artikel 6 vorliegt und dokumentiert ist.
  • Schließen Sie Verträge zur Auftragsverarbeitung (AVV) mit allen Dienstleistern ab, die personenbezogene Daten in Ihrem Auftrag verarbeiten, und stellen Sie sicher, dass diese die Anforderungen von Artikel 28 erfüllen.

Compliance

  • Implementieren Sie einen Prozess zur Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden [Art. 33].
  • Führen Sie bei Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durch [Art. 35].
  • Benennen Sie einen Datenschutzbeauftragten (DSB), falls Ihre Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen oder die Verarbeitung sensibler Daten erfordert [Art. 37].

IT / Security

  • Implementieren Sie geeignete technische und organisatorische Maßnahmen (TOMs) wie Pseudonymisierung und Verschlüsselung, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten [Art. 32 Abs. 1].
  • Stellen Sie die Fähigkeit sicher, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme dauerhaft zu gewährleisten [Art. 32 Abs. 1 lit. b].
  • Entwickeln und testen Sie ein Verfahren, um die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen [Art. 32 Abs. 1 lit. c].

Product / Engineering

  • Verankern Sie die Grundsätze „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) in allen Entwicklungsphasen [Art. 25].
  • Stellen Sie sicher, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (Datenminimierung) [Art. 25 Abs. 2, Art. 5 Abs. 1 lit. c].
  • Gestalten Sie Benutzeroberflächen so, dass Informationen transparent bereitgestellt und Einwilligungen in klarer und einfacher Sprache eingeholt werden können [Art. 12 Abs. 1, Art. 7].

Wichtige Begriffe

Verantwortlicher
Die natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Er trägt die Hauptverantwortung für die Einhaltung der DSGVO [Art. 4 Nr. 7].
Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er handelt ausschließlich auf Weisung des Verantwortlichen und muss hinreichende Garantien für die Datensicherheit bieten [Art. 4 Nr. 8].
Verarbeitung
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Speichern, Verändern, Auslesen, Übermitteln oder Löschen. Dies kann automatisiert oder manuell erfolgen [Art. 4 Nr. 2].
Pseudonymisierung
Die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher, separat aufbewahrter Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Sie ist eine wichtige Maßnahme zur Risikominimierung [Art. 4 Nr. 5].
Verletzung des Schutzes personenbezogener Daten
Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Solche Vorfälle sind oft meldepflichtig [Art. 4 Nr. 12].
Einwilligung
Jede freiwillig, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihre Zustimmung zur Verarbeitung ihrer Daten signalisiert [Art. 4 Nr. 11].
?

Häufige Fragen

Was genau sind 'personenbezogene Daten'?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören nicht nur Namen oder Adressen, sondern auch Online-Kennungen wie IP-Adressen, Standortdaten oder besondere Merkmale wie genetische oder wirtschaftliche Informationen [Art. 4 Nr. 1].
Wann ist die Verarbeitung von Daten rechtmäßig?
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine von sechs Bedingungen erfüllt ist. Die wichtigsten sind: die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung oder die Wahrung berechtigter Interessen des Verantwortlichen [Art. 6 Abs. 1].
Was sind 'besondere Kategorien personenbezogener Daten'?
Dies sind besonders sensible Daten, deren Verarbeitung grundsätzlich untersagt ist. Dazu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben hervorgehen [Art. 9 Abs. 1].
Was bedeutet das 'Recht auf Vergessenwerden'?
Das 'Recht auf Vergessenwerden' ist das Recht einer betroffenen Person, vom Verantwortlichen die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Gründe zutreffen, z.B. wenn die Daten für den ursprünglichen Zweck nicht mehr notwendig sind oder die Einwilligung widerrufen wird [Art. 17 Abs. 1].
Muss mein Unternehmen einen Datenschutzbeauftragten (DSB) benennen?
Eine Pflicht zur Benennung eines DSB besteht für Behörden, sowie für Unternehmen, deren Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht oder in der umfangreichen Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten) [Art. 37 Abs. 1].
Was ist der Unterschied zwischen einem 'Verantwortlichen' und einem 'Auftragsverarbeiter'?
Der 'Verantwortliche' ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet [Art. 4 Nr. 7]. Der 'Auftragsverarbeiter' verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen und ist an dessen Weisungen gebunden [Art. 4 Nr. 8].

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau
12
Gap-Checks
2
SOPs
3
Vorlagen
Entscheidungen

1. Gap-Analyse Checkliste

!

Führen Sie ein vollständiges und aktuelles Verzeichnis aller Verarbeitungstätigkeiten (VVT) gemäß den Anforderungen des Art. 30 DSGVO?

Art. 30|Rechenschaftspflicht & Dokumentation
!

Ist für jede einzelne Verarbeitungstätigkeit eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO dokumentiert?

Art. 6|Rechtmäßigkeit der Verarbeitung
!

Haben Sie für alle eingesetzten Auftragsverarbeiter (z.B. Cloud-Anbieter, externe Lohnbuchhaltung) einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO abgeschlossen?

Art. 28|Verantwortlicher & Auftragsverarbeiter

2. SOP-Vorlagen

SOP: Meldung von Verletzungen des Schutzes personenbezogener DatenArt. 33, 34

Zweck: Diese SOP stellt eine fristgerechte und DSGVO-konforme Erkennung, Bewertung, Meldung und Dokumentation von Datenschutzverletzungen sicher.

Geltungsbereich: Diese SOP gilt für alle Mitarbeiter, Auftragsverarbeiter und Systeme des Unternehmens, die mit der Verarbeitung personenbezogener Daten in Berührung kommen.

Schritte:
  1. 1

    Jeder Mitarbeiter, der eine (mögliche) Datenschutzverletzung feststellt, meldet diese unverzüglich über den definierten internen Kanal (z.B. E-Mail, Ticket-System) an den Datenschutzbeauftragten (DSB) oder das zuständige Datenschutzteam.

    Verantwortlich: Alle Mitarbeiter | Output: Interne Meldung des Vorfalls mit allen bekannten Details.

  2. 2

    Der DSB/das Datenschutzteam bestätigt den Eingang, beginnt mit der Untersuchung und bewertet den Vorfall. Es wird geprüft, ob tatsächlich eine Datenschutzverletzung vorliegt und welches Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (niedrig, normal, hoch).

    Verantwortlich: Datenschutzbeauftragter (DSB) / Datenschutzteam | Output: Erste Risikobewertung und Klassifizierung des Vorfalls.

  3. 3

    Auf Basis der Risikobewertung wird entschieden, ob eine Meldepflicht an die Aufsichtsbehörde besteht (jedes Risiko, das nicht niedrig ist) und ob eine Benachrichtigungspflicht gegenüber den Betroffenen besteht (hohes Risiko).

    Verantwortlich: Datenschutzbeauftragter (DSB) | Output: Entscheidung über Melde- und Benachrichtigungspflichten.

  4. 4

    Falls eine Meldepflicht besteht, wird die Meldung an die zuständige Aufsichtsbehörde vorbereitet und übermittelt. Dies muss schnellstmöglich, spätestens aber binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen.

    Verantwortlich: Datenschutzbeauftragter (DSB) / Rechtsabteilung | Output: Fristgerechte Meldung an die Aufsichtsbehörde.

  5. 5

    Falls ein hohes Risiko für Betroffene besteht, werden diese unverzüglich über die Verletzung, deren wahrscheinliche Folgen und die ergriffenen Maßnahmen informiert.

    Verantwortlich: DSB / Unternehmenskommunikation | Output: Benachrichtigung der betroffenen Personen.

  6. 6

    Alle Fakten zur Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen werden in einem internen Verzeichnis lückenlos dokumentiert.

    Verantwortlich: Datenschutzbeauftragter (DSB) | Output: Vollständige interne Dokumentation des Vorfalls.

  7. 7

    Nach Abschluss des Vorfalls werden die Ursachen analysiert und Maßnahmen zur zukünftigen Vermeidung ähnlicher Vorfälle definiert und umgesetzt (Lessons Learned).

    Verantwortlich: DSB / IT-Sicherheit / Management | Output: Umgesetzte Verbesserungsmaßnahmen.

Prüffrequenz: Jährlich sowie nach jedem meldepflichtigen Vorfall.

3. Textbausteine

Klausel zur Auftragsverarbeitung (zur Aufnahme in Verträge)Art. 28 Abs. 3

Anwendungsfall: Diese Klausel kann als Grundlage für einen Vertrag zur Auftragsverarbeitung (AVV) oder als Anhang zu einem Hauptvertrag mit einem Dienstleister (Auftragsverarbeiter) verwendet werden.

1. Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie die Rechte und Pflichten des Verantwortlichen sind in [Anlage X/dem Hauptvertrag] festgelegt. 2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. 3. Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind. 4. Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Eine Beschreibung der TOMs findet sich in [Anlage Y]. 5. Der Auftragsverarbeiter nimmt weitere Auftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen in Anspruch. Es gelten die Bedingungen des Art. 28 Abs. 2 und 4 DSGVO. 6. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte der betroffenen Personen. 7. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO. 8. Nach Abschluss der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben. 9. Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Überprüfungen, einschließlich Inspektionen, und wirkt daran mit.

Platzhalter: [Anlage X/dem Hauptvertrag], [Anlage Y]

+9 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.