DSGVO erklärt: Was die Datenschutz-Grundverordnung ist und wo sie gilt

Vier Buchstaben, sieben Jahre alt, und immer noch die meistgemiedene Pflichtlektüre in deutschen Büros. Die DSGVO regelt seit 2018, wie europäische Unternehmen mit personenbezogenen Daten umgehen. Sie ist kein deutsches Gesetz, kein optionales Gütesiegel und kein vorübergehender Trend. Sie gilt in jedem EU-Staat unmittelbar, betrifft jede Praxis, jeden Handwerksbetrieb, jeden Online-Shop und auch viele Anbieter außerhalb der EU. Dieser Artikel erklärt ruhig, was hinter den Buchstaben steht, wo die Verordnung greift, welche Rechte Bürger haben, welche Pflichten Unternehmen tragen und an welchen Punkten kleine Betriebe in der Praxis tatsächlich anecken.

Was die DSGVO eigentlich ist

Die Datenschutz-Grundverordnung trägt das offizielle Aktenzeichen Verordnung (EU) 2016/679. Sie wurde am 27. April 2016 vom Europäischen Parlament und vom Rat der Europäischen Union beschlossen und ist seit dem 25. Mai 2018 unmittelbar in jedem EU-Mitgliedstaat anwendbar. Unmittelbar heißt hier: Es brauchte kein deutsches Umsetzungsgesetz, damit sie gilt. Was in der Verordnung steht, ist seit jenem Stichtag in Berlin, Paris, Rom und Helsinki gleichermaßen geltendes Recht. Deutschland hat lediglich das Bundesdatenschutzgesetz (BDSG) angepasst, um nationale Spielräume auszufüllen, etwa beim Beschäftigtendatenschutz oder bei der Bestellung von Datenschutzbeauftragten.

Die Verordnung löste die ältere EU-Datenschutzrichtlinie von 1995. Damals gab es weder Smartphones noch Cloud-Speicher noch generative KI. Die alte Richtlinie musste in nationales Recht umgesetzt werden, mit dem Ergebnis, dass jeder EU-Staat eine etwas andere Variante hatte. Wer in mehreren Ländern arbeitete, hatte 27 verschiedene Regelwerke. Die DSGVO sollte das vereinheitlichen, und im Großen ist ihr das gelungen.

Im Kern beantwortet die Verordnung zwei Fragen: Wann darf jemand personenbezogene Daten verarbeiten, und welche Rechte haben die Menschen, deren Daten verarbeitet werden? Alles andere — Meldepflichten, Bußgelder, Auftragsverarbeitung, Drittlandtransfer — ergibt sich aus diesen zwei Grundfragen.

Wo die DSGVO geografisch gilt

Räumlich gilt die DSGVO in allen 27 EU-Mitgliedstaaten plus den drei EWR-Staaten Norwegen, Island und Liechtenstein. Das ist die einfache Antwort. Die wirklich interessante Antwort steht in Artikel 3 Absatz 2 und heißt Marktortprinzip: Auch Anbieter, die ihren Sitz außerhalb der EU haben, müssen die Verordnung beachten, sobald sie ihre Waren oder Dienstleistungen Menschen in der EU anbieten oder deren Verhalten beobachten.

Das ist mehr als juristische Formalie. Es bedeutet: Eine kalifornische Software-Firma, die ein Konto-Anmeldeformular hostet, fällt unter die DSGVO, sobald deutsche Kunden sich anmelden können. Ein japanischer Online-Shop mit deutscher Sprachversion, deutscher Preisangabe in Euro und Versand nach Deutschland fällt darunter. Ein US-amerikanischer Newsletter-Dienst, der europäische Abonnenten zulässt, fällt darunter. Verhalten beobachten deckt zusätzlich jedes Tracking-Pixel ab, das auf europäischen Bildschirmen lädt — ob die Firma davon weiß oder nicht.

Aus diesem Marktortprinzip ergibt sich ein interessanter Nebeneffekt: Die DSGVO ist faktisch zu einem globalen Standard geworden. Wer ein einigermaßen großes Software-Produkt baut, muss es DSGVO-konform anbieten, weil sonst der europäische Markt wegfällt. Anbieter wie Salesforce, AWS oder Stripe haben deshalb spezielle EU-Regionen, EU-Standardvertragsklauseln und EU-Datenresidenz-Optionen im Programm. Die Verordnung erzieht also indirekt auch Anbieter, die in Kalifornien, Singapur oder Tel Aviv sitzen.

Großbritannien nach dem Brexit

Mit dem Brexit hat das Vereinigte Königreich die DSGVO formal verlassen. Praktisch lebt sie aber in fast identischer Form weiter als UK GDPR, ergänzt um den Data Protection Act 2018. Für deutsche Unternehmen, die mit britischen Kunden oder Auftragnehmern arbeiten, hat sich wenig geändert: Die EU-Kommission hat dem UK einen Angemessenheitsbeschluss erteilt, sodass Datentransfers zwischen EU und UK weiter ohne zusätzliche Garantien möglich sind. Dieser Beschluss wird allerdings regelmäßig überprüft; er ist nicht in Stein gemeißelt.

Schweiz

Die Schweiz ist weder EU noch EWR, fällt also nicht direkt unter die DSGVO. Sie hat aber zum 1. September 2023 ihr revidiertes Datenschutzgesetz (revDSG) in Kraft gesetzt, das stark an die DSGVO angelehnt ist. Praktisch heißt das: Wer schweizerische und deutsche Kunden hat, kann mit einer DSGVO-konformen Konfiguration in den meisten Fällen auch das revDSG bedienen. Spezielle schweizerische Eigenheiten gibt es bei der Pflicht zur Bestellung eines Datenschutzberaters und beim Verzeichnis der Bearbeitungstätigkeiten.

USA

Die Vereinigten Staaten haben kein bundesweites allgemeines Datenschutzgesetz. Es gibt sektor-spezifische Vorschriften (HIPAA für Gesundheit, COPPA für Kinder, GLBA für Finanzen) und bundesstaatliche Regelungen wie die kalifornische CCPA. Aus EU-Sicht ist das ein Drittland ohne vollständig angemessenes Schutzniveau. Datentransfers in die USA brauchen deshalb seit dem Schrems-II-Urteil zusätzliche Garantien: entweder das EU-U.S. Data Privacy Framework (DPF, in Kraft seit Juli 2023), eine Selbstzertifizierung des US-Empfängers, oder die EU-Standardvertragsklauseln (SCCs) plus eine Transferfolgenabschätzung. Wer in seinem Stack einen US-Dienst nutzt, muss prüfen, welcher dieser Wege gilt — das ist einer der größten Reibungspunkte in der täglichen Praxis.

Was personenbezogene Daten sind

Die Verordnung greift nur, wenn überhaupt personenbezogene Daten verarbeitet werden. Der Begriff ist allerdings weit gefasst und das ist die Stelle, an der die meisten kleinen Unternehmen den Schreck bekommen. Personenbezogene Daten sind nach Artikel 4 Nummer 1 alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wichtig sind die beiden Wörter oder identifizierbar.

Identifiziert ist jemand, dessen Namen man kennt. Identifizierbar ist jemand, der mit zumutbarem Aufwand identifiziert werden kann — auch dann, wenn der Name nicht direkt im Datensatz steht. Eine reine IP-Adresse ist deshalb in Kombination mit dem Wissen des Internet-Providers ein personenbezogenes Datum. Eine Cookie-ID ist es. Ein Hash, der über eine Mail-Adresse berechnet wurde, ist es, wenn man die Mail-Adresse irgendwo abgespeichert hat. Eine Kundennummer ist es. Ein Fahrzeug-Kennzeichen ist es. Ein Standort-Datensatz mit Genauigkeit von 10 Metern reicht in 95 Prozent der Fälle, um die Person zu identifizieren.

In der Praxis heißt das: Sobald ein Datensatz irgendeine Spur enthält, die sich mit zumutbarem Aufwand auf eine natürliche Person zurückführen lässt, fällt der gesamte Datensatz unter die DSGVO. Anonymisierung ist nur dann eine Befreiung, wenn die Anonymisierung irreversibel und vollständig ist — ein hoher Standard. Pseudonymisierung (Name durch eine Nummer ersetzt, Zuordnungstabelle separat gespeichert) ist nur eine Schutzmaßnahme, keine Befreiung.

Besondere Kategorien personenbezogener Daten

Artikel 9 nennt eine Gruppe von Daten, die besonders sensibel sind und ein erhöhtes Schutzniveau genießen: Daten zu rassischer oder ethnischer Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung. Diese Daten dürfen grundsätzlich gar nicht verarbeitet werden, außer eine der eng definierten Ausnahmen greift — etwa eine ausdrückliche Einwilligung, eine arbeitsrechtliche Notwendigkeit oder eine medizinische Behandlung.

Wer also eine Arztpraxis betreibt, ein Bestattungsunternehmen, eine psychotherapeutische Praxis oder eine Fitness-Plattform mit Pulsdaten, arbeitet automatisch in der höchsten Schutzklasse. Die Anforderungen an Dokumentation, technische Maßnahmen und Auftragsverarbeitung sind dort spürbar strenger.

Die sechs Rechtsgrundlagen

Der eigentliche Kern der DSGVO ist das Verbotsprinzip: Eine Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer es gibt eine konkrete Rechtsgrundlage. Artikel 6 zählt sechs solche Rechtsgrundlagen abschließend auf. Wer ein Verzeichnis seiner Verarbeitungstätigkeiten führt, muss für jede einzelne Tätigkeit angeben, welche dieser sechs Grundlagen sie trägt.

1. Einwilligung (Art. 6 Abs. 1 lit. a). Die Person hat freiwillig, informiert, eindeutig und für einen bestimmten Zweck zugestimmt. Die Einwilligung muss aktiv sein (kein vorangekreuztes Häkchen), jederzeit widerrufbar sein und nachweisbar dokumentiert werden. Sie ist die schwächste Grundlage, weil sie jederzeit zurückgezogen werden kann.

2. Vertrag (Art. 6 Abs. 1 lit. b). Die Verarbeitung ist notwendig, um einen Vertrag mit der Person zu erfüllen oder einen Vertrag vorzubereiten. Wer einen Online-Shop betreibt, braucht die Lieferadresse, um liefern zu können — das ist die klassische Vertragsgrundlage. Eine Newsletter-Anmeldung läuft hingegen nicht über diese Grundlage, sondern über Einwilligung.

3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c). Eine andere Vorschrift verpflichtet das Unternehmen zur Verarbeitung. Die zehnjährige Aufbewahrungspflicht von Rechnungen nach der Abgabenordnung ist das Standard-Beispiel. Auch Meldepflichten an Berufskammern, an die Sozialversicherung oder an Finanzbehörden fallen darunter.

4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d). Die Verarbeitung ist nötig, um das Leben einer Person zu schützen. In der Praxis vor allem im Krankenhaus-Kontext und bei Notfalleinsätzen relevant.

5. Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e). Behörden und Stellen, die im öffentlichen Interesse handeln. Für private Unternehmen normalerweise nicht einschlägig.

6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Die Verarbeitung ist nötig, um ein berechtigtes Interesse des Unternehmens oder eines Dritten zu wahren, sofern keine überwiegenden schutzwürdigen Interessen der Person dem entgegenstehen. Diese Grundlage ist mächtig und gleichzeitig die mit dem größten Streit-Potenzial. Sie verlangt eine sogenannte Interessenabwägung, die idealerweise schriftlich dokumentiert wird. Klassische Anwendungsfälle: Server-Logfiles zur IT-Sicherheit, Kundenanlage im CRM, Bonitätsprüfung vor Kreditgewährung, Direktwerbung an Bestandskunden.

Die Rechte der Betroffenen

Die DSGVO gibt jeder natürlichen Person, deren Daten ein Unternehmen verarbeitet, eine ganze Reihe einklagbarer Rechte. Diese Rechte sind keine Theorie — sie tauchen in der Praxis regelmäßig auf, sobald eine Kündigung, ein Streit oder eine Beschwerde vorliegt.

Auskunftsrecht (Art. 15). Auf Anfrage muss das Unternehmen innerhalb eines Monats eine vollständige Übersicht aller Daten herausgeben, die es zu der Person gespeichert hat — inklusive Verarbeitungszwecken, Empfängern, Speicherdauer und Herkunft. Die Auskunft ist gebührenfrei, außer der Antrag ist offenkundig missbräuchlich.

Berichtigungsrecht (Art. 16). Falsche Daten müssen korrigiert werden. Steht im Kundenstamm ein falsches Geburtsdatum, eine veraltete Adresse oder ein vertippter Name, ist der Anbieter verpflichtet, das zu berichtigen.

Löschrecht / Recht auf Vergessenwerden (Art. 17). Wenn der Zweck der Verarbeitung weggefallen ist, eine Einwilligung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden, kann die Person die Löschung verlangen. In der Praxis ein Dauer-Streitpunkt, weil das Löschrecht regelmäßig mit Aufbewahrungspflichten kollidiert. Klassisches Beispiel: Eine Rechnung muss zehn Jahre archiviert werden, also bleiben die Stammdaten zwingend so lange im Buchhaltungssystem — sie werden lediglich für aktive Werbung gesperrt.

Recht auf Einschränkung der Verarbeitung (Art. 18). Wenn etwas unklar ist (z. B. ein Streit über die Richtigkeit), kann die Person verlangen, dass die Daten zwar gespeichert bleiben, aber nicht mehr aktiv genutzt werden, bis die Sache geklärt ist.

Recht auf Datenübertragbarkeit (Art. 20). Die Person kann verlangen, dass ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format herausgegeben oder direkt zu einem anderen Anbieter übermittelt werden. Klassisch im Bank-, Telekommunikations- und Cloud-Bereich.

Widerspruchsrecht (Art. 21). Die Person kann einer Verarbeitung widersprechen, die auf berechtigtem Interesse beruht. Im Bereich Direktwerbung ist der Widerspruch absolut: Wer nicht mehr beworben werden will, darf nicht mehr beworben werden, Punkt. Eine Interessenabwägung findet hier nicht statt.

Recht auf Schadenersatz (Art. 82). Wer durch einen DSGVO-Verstoß einen materiellen oder immateriellen Schaden erleidet, kann diesen einklagen. Das Bundesarbeitsgericht und der Europäische Gerichtshof haben in den letzten Jahren mehrfach betont, dass auch reine Sorge oder Kontrollverlust unter den immateriellen Schaden fallen können. Summen zwischen 500 und 5.000 Euro je Verstoß sind in der Rechtsprechung mittlerweile üblich.

Pflichten für Unternehmen

Auf der anderen Seite stehen die Pflichten. Sie skalieren mit der Größe des Unternehmens und der Art der Datenverarbeitung — aber ein gewisser Sockel gilt für jeden, der mehr als sein eigenes privates Adressbuch führt.

Verzeichnis der Verarbeitungstätigkeiten (Art. 30). Eine schriftliche Liste aller Verarbeitungstätigkeiten im Betrieb — vom Newsletter über das CRM bis zum Bewerbungsverfahren. Pflicht für Unternehmen ab 250 Mitarbeitenden, in der Praxis aber auch für kleinere Betriebe empfohlen und bei besonderen Datenkategorien (Gesundheitspraxen) oder regelmäßiger Verarbeitung zwingend.

Datenschutzerklärung auf der Website (Art. 13, 14). Jede Website, die personenbezogene Daten verarbeitet — und das tut praktisch jede Website durch Logs, Cookies und Kontaktformulare — braucht eine Datenschutzerklärung. Diese muss verständlich, vollständig und aktuell sein. Generische Generator-Texte aus dem Jahr 2018 reichen 2026 nicht mehr.

Datenschutzbeauftragter (Art. 37). Bestellpflicht in Deutschland nach § 38 BDSG, wenn 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Auch unabhängig davon, wenn besondere Datenkategorien systematisch verarbeitet werden oder die Kerntätigkeit eine umfangreiche Beobachtung von Personen ist. Wer keine eigene Person bestellen will, kann einen externen Datenschutzbeauftragten beauftragen.

Auftragsverarbeitungsverträge (Art. 28). Sobald ein anderes Unternehmen personenbezogene Daten im Auftrag verarbeitet — Hosting-Provider, Newsletter-Dienstleister, Cloud-Speicher, Buchhaltungs-Software, Fernwartungs-Anbieter — braucht es einen schriftlichen Auftragsverarbeitungsvertrag (AVV). Dieser legt fest, welche Daten, wofür, wie lange, mit welchen Sicherheitsmaßnahmen und mit welchen Unterauftragnehmern verarbeitet werden. Wer Microsoft 365, Google Workspace, AWS oder All-Inkl-Hosting nutzt, hat dort jeweils einen vorgefertigten AVV im Kunden-Portal liegen, der durch Annahme rechtswirksam wird.

Technische und organisatorische Maßnahmen (Art. 32). Datenschutz braucht handfeste Schutzmaßnahmen. Verschlüsselung, Zugriffsrechte, Backups, Schulung des Personals, Berechtigungskonzepte, sichere Passwörter, Zwei-Faktor-Authentifizierung. Die DSGVO schreibt nicht vor, welche genau, aber sie verlangt eine Begründung, warum die gewählten Maßnahmen dem Risiko angemessen sind.

Meldepflicht bei Datenpannen (Art. 33, 34). Wer eine Datenpanne hat — verlorenes Notebook, gehacktes Mail-Konto, versehentlicher Massen-Versand mit offenen CC-Adressen, Ransomware-Angriff — muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Wenn die Panne ein hohes Risiko für die betroffenen Personen birgt, müssen auch diese informiert werden. 72 Stunden sind kürzer, als sie klingen, wenn der Vorfall freitags um 17 Uhr passiert.

Datenschutz-Folgenabschätzung (Art. 35). Bei besonders risikoreichen Verarbeitungen — etwa systematische Überwachung, großflächige Verarbeitung sensibler Daten, automatisierte Entscheidungsfindung mit Rechtswirkungen — muss vorab eine schriftliche Risikoanalyse erstellt werden. Praktisch relevant bei Video-Überwachung, Bewerber-Scoring mit KI, Gesichtserkennung, biometrischen Zugangssystemen.

Bußgelder und Strafen

Die DSGVO ist mit Zähnen ausgestattet. Artikel 83 sieht zweistufige Bußgelder vor. Die untere Stufe geht bis 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Die obere Stufe geht bis 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes. Welche Stufe greift, hängt von der Art des Verstoßes.

In der Praxis treffen die Höchst-Bußgelder fast ausschließlich Großunternehmen. Meta hat in Irland mehrere Bußgelder im Bereich 250 bis 1.200 Millionen Euro erhalten. Amazon stand 2021 bei einer Sanktion von 746 Millionen Euro durch die luxemburgische Aufsicht. Aber auch im Mittelstand sind Bußgelder im sechsstelligen Bereich angekommen: Die Modekette H&M zahlte 35,3 Millionen Euro nach einem Hamburger Verfahren wegen Mitarbeiter-Überwachung. Ein deutscher Energie-Versorger zahlte 900.000 Euro wegen einer fehlerhaften Bonitätsabfrage. Ein Modehändler 10,4 Millionen Euro wegen Video-Überwachung in Verkaufsräumen.

Kleinere Verstöße landen häufiger bei Beträgen zwischen 1.000 und 50.000 Euro. Die deutschen Aufsichtsbehörden veröffentlichen anonymisiert ihre Bußgeld-Statistiken, daraus lassen sich Erwartungswerte ableiten. Hinzu kommen, weniger spektakulär aber praktisch relevanter, die zivilrechtlichen Schadenersatz-Ansprüche der Betroffenen aus Artikel 82, die sich in der Summe deutlich aufaddieren können.

Der Drittlandtransfer und das US-Problem

Ein eigenes Kapitel verdient der Datentransfer in Drittländer — also alles außerhalb von EU und EWR. Artikel 44 stellt klar: Daten dürfen nur dann in ein Drittland übertragen werden, wenn dort ein angemessenes Schutzniveau besteht. Die EU-Kommission listet Länder mit angemessenem Schutzniveau in sogenannten Angemessenheitsbeschlüssen auf. Aktuell stehen dort unter anderem die Schweiz, Kanada (für kommerzielle Daten), Japan, Südkorea, Israel, Argentinien, Neuseeland, Uruguay, Andorra, die Färöer und seit dem Brexit auch das Vereinigte Königreich.

Die USA standen lange auf einer Sonderschiene. Erst gab es das Safe Harbor-Abkommen, das der Europäische Gerichtshof im Schrems-I-Urteil 2015 kippte. Dann das Privacy Shield, das im Schrems-II-Urteil 2020 ebenfalls kippte. Seit Juli 2023 gilt nun das EU-U.S. Data Privacy Framework (DPF). Es funktioniert so: US-Unternehmen können sich beim US-Handelsministerium zertifizieren, einen Mindeststandard einzuhalten. Wer auf der zertifizierten Liste steht, gilt für EU-Datentransfer als angemessen. Wer nicht zertifiziert ist, braucht weiterhin EU-Standardvertragsklauseln plus eine Transferfolgenabschätzung.

Praktisch heißt das für jeden mittelständischen Betrieb: Wer einen US-Cloud-Dienst nutzt, sollte einmal kurz prüfen, ob der Anbieter im DPF gelistet ist (Verzeichnis unter dataprivacyframework.gov). Wenn ja, ist die rechtliche Hürde niedrig. Wenn nein, braucht der Vertrag SCCs und in der Akte sollte eine kurze Begründung liegen, warum der Transfer dennoch zulässig ist. Bei Microsoft, Google, AWS, Cloudflare, Salesforce, Stripe, Mailchimp und HubSpot ist das DPF jeweils vorhanden — bei kleineren Tools muss man genauer hinschauen.

Praktische Konsequenzen für kleine Unternehmen

Was bedeutet das alles für eine Solo-Selbständige, einen 3-Personen-Handwerksbetrieb, eine kleine Arztpraxis oder einen Anwalt im Münsterland? Sieben Punkte, die in der Praxis tatsächlich anfallen:

1. Datenschutzerklärung auf der Website aktualisieren. Sie sollte alle eingesetzten Dienste benennen — Hosting-Provider, Analyse-Tool, Newsletter-Dienst, Schriftarten, Karten-Dienste, Chat-Widget, Buchungssystem. Wer 2018 einen Generator benutzt hat, muss 2026 nachschärfen: Es sind neue Dienste hinzugekommen, alte wurden eingestellt, der Drittlandtransfer wurde neu sortiert.

2. Auftragsverarbeitungsverträge in einem Ordner ablegen. Für jeden Dienst, der Daten verarbeitet, sollte ein AVV vorliegen — bei Microsoft, Google, All-Inkl, Hetzner, Mailchimp, einem CRM, einem Buchhaltungsprogramm. Die Verträge stehen meistens im Kunden-Portal des Anbieters und werden durch Akzeptieren rechtswirksam. Wir empfehlen einen schlichten Ordner Datenschutz / AVV mit jeweils einem PDF pro Anbieter.

3. Cookie-Banner sauber konfigurieren. Cookies, die nicht technisch notwendig sind, brauchen eine echte Einwilligung. Echt heißt: aktiv geklickt, freiwillig, mit gleichgewichtigen Buttons (kein OK in Grün und Ablehnen in Hellgrau). Wer Google Analytics, Meta-Pixel oder Hotjar einsetzt, kommt ohne korrekten Banner nicht mehr durch. Die Aufsichtsbehörden sind hier seit 2023 spürbar aktiver.

4. Kundenkommunikation strukturieren. Wer Newsletter versenden will, braucht eine ausdrückliche Einwilligung und ein bestätigtes Doppel-Opt-In. Wer Bestandskunden ähnliche Produkte bewerben will, kann das auch ohne Einwilligung nach § 7 Abs. 3 UWG — aber nur, wenn der Kunde bei der Bestellung sauber auf das Widerspruchsrecht hingewiesen wurde.

5. Mitarbeiter-Schulung. Auch ein Ein-Mann-Betrieb sollte einmal im Jahr seine Datenverarbeitungs-Prozesse durchgehen. Wer Mitarbeiter hat, muss diese nach Artikel 32 verpflichten, vertraulich zu arbeiten, und sollte das schriftlich dokumentieren. Vorlagen gibt es bei jeder Landesdatenschutzbehörde.

6. Backups und Wiederherstellung testen. Eine Datenpanne im Sinne der DSGVO ist nicht nur ein Hacker-Angriff, sondern auch ein Datenverlust durch defekte Festplatte ohne Backup. Wer keine wiederherstellbaren Backups hat, hat einen DSGVO-Verstoß eingebaut. Mindestens einmal jährlich eine Wiederherstellung üben.

7. Notfallplan für Datenpannen. Was tun, wenn der Laptop weg ist? Wenn das Mail-Konto gehackt wurde? Wenn jemand versehentlich eine Liste an die falsche Person geschickt hat? Ein einseitiger Notfallplan auf Papier — mit Telefonnummern, Meldewegen, Vorlage-Mail an die Aufsicht — reicht für die meisten kleinen Betriebe vollkommen aus. Wichtig ist, dass er existiert, bevor der Ernstfall eintritt.

Häufige Mythen und Missverständnisse

Mythos: Wer keinen Webshop betreibt, muss sich um die DSGVO nicht kümmern. Falsch. Schon die Bewerbungsmail eines Interessenten, das Adressbuch im Outlook, die Kunden-Liste im Excel-Sheet und der Eingang von Telefonanrufen fallen unter die DSGVO. Es geht nicht um Online-Geschäft, sondern um Datenverarbeitung jeder Art.

Mythos: Die DSGVO verbietet Klingelschilder. Falsch. Das Gerücht entstand 2018, als ein einzelner Hauseigentümer aus Sorge die Namen entfernte. Klingelschilder sind unproblematisch — die Verarbeitung dient einem berechtigten Interesse (Postzustellung, Besuch) und ist nicht systematisch.

Mythos: Visitenkarten muss man nach einer Veranstaltung schreddern. Falsch. Wer Ihnen eine Visitenkarte überreicht, hat einen konkludenten Konsens zur Kontaktaufnahme erklärt. Eine erste geschäftliche Mail ist zulässig. Erst wer regelmäßige Werbung versenden will, braucht eine ausdrückliche Einwilligung.

Mythos: Bei einem §19-Kleinunternehmer gilt die DSGVO nicht. Falsch. Die Verordnung kennt keine Umsatz-Schwelle. Sie gilt für jeden Verantwortlichen, der personenbezogene Daten verarbeitet. Was sich mit der Größe skaliert, sind nur einzelne Pflichten wie das Verzeichnis der Verarbeitungstätigkeiten oder die Bestellung eines Datenschutzbeauftragten.

Mythos: WhatsApp-Nutzung im Geschäftskontext ist DSGVO-konform, weil die App in Europa angeboten wird. Falsch. WhatsApp ist ein US-Dienst (Meta Platforms Inc.) und überträgt Kontaktdaten in die USA. Wer geschäftlich WhatsApp nutzt, muss seine Kunden in der Datenschutzerklärung darauf hinweisen und sollte eine Einwilligung dokumentieren. Sauberer ist die Nutzung von Signal, Threema oder einem selbst gehosteten Messenger.

Mythos: Eine Datenpanne muss man nur melden, wenn der Schaden groß ist. Falsch. Die Meldepflicht gilt grundsätzlich bei jeder Panne, außer sie führt voraussichtlich zu keinem Risiko für die Rechte und Freiheiten betroffener Personen. Im Zweifel meldet man. Eine unterlassene Meldung ist eigenes Bußgeld-Risiko.

Wo es weh tut: KI, Tracking und Mitarbeiter-Überwachung

Drei Bereiche sind aktuell die Konfliktherde, an denen die Aufsichtsbehörden besonders genau hinschauen.

Generative KI. Wer ChatGPT, Claude, Gemini, Copilot oder eine andere LLM-API nutzt, sendet im Zweifel personenbezogene Daten in die Verarbeitung. Anthropic und OpenAI bieten inzwischen EU-Vertragsklauseln, EU-Datenresidenz und Opt-Out-Optionen für das Modelltraining. Wer KI im Kundenkontakt einsetzt, sollte die Konfigurationen einmal sauber prüfen, eine AVV abschließen und in der Datenschutzerklärung darauf hinweisen. Die EU-Datenschutzbehörden haben 2024 und 2025 mehrere Verfahren gegen LLM-Anbieter eröffnet — das Risiko wird weiterhin höher.

Web-Tracking. Cookie-Banner-Klagen sind 2025 zu einem eigenen Geschäftsfeld geworden. Wer Google Analytics 4, Meta-Pixel, TikTok-Pixel, Microsoft Clarity oder ein anderes Tracking-Tool einsetzt, ohne eine echte Einwilligung einzuholen, riskiert Abmahnungen, Bußgelder und in den USA auch Sammelklagen. Sauberer ist eine selbst gehostete oder europäisch gehostete Analyse-Lösung wie Matomo oder Plausible.

Mitarbeiter-Überwachung. Keylogger auf Mitarbeiter-PCs, Video-Aufzeichnung am Arbeitsplatz, GPS-Tracking von Firmenwagen, automatische Auswertung von E-Mails — alles Themen mit klaren Grenzen. Der Bundesgerichtshof und der Europäische Gerichtshof haben in den letzten Jahren mehrfach klargestellt, dass auch ein berechtigtes Interesse keinen Persilschein für Total-Überwachung darstellt. Wer im Betrieb eine Maßnahme einführt, sollte sie schriftlich begründen, mit dem Betriebsrat abstimmen (sofern vorhanden) und transparent kommunizieren.

Zusammenfassung in einem Satz

Die DSGVO ist ein europäisches Verbotsgesetz mit Erlaubnisvorbehalt — sie verbietet die Verarbeitung personenbezogener Daten grundsätzlich, außer eine konkrete Rechtsgrundlage trägt sie, gibt den betroffenen Menschen einklagbare Rechte gegen jeden, der ihre Daten verarbeitet, gilt unmittelbar in jedem EU- und EWR-Staat sowie über das Marktortprinzip in jedem Drittland, das EU-Bürger als Markt bedient, und ahndet Verstöße mit Bußgeldern bis 20 Millionen Euro oder vier Prozent des Weltjahresumsatzes.

Wer als kleiner Betrieb sauber arbeiten will, braucht keinen Datenschutz-Anwalt, sondern Ordnung: eine aktuelle Datenschutzerklärung, einen Ordner mit AVVs, ein sauber konfiguriertes Cookie-Banner, eine vernünftige Backup-Strategie und einen einseitigen Notfallplan. Damit ist 80 Prozent der praktischen DSGVO-Verpflichtung abgedeckt. Die restlichen 20 Prozent kommen bei besonderen Datenkategorien, vielen Mitarbeitenden oder großflächiger Datenverarbeitung dazu — und dann ist es sinnvoll, einen externen Datenschutzbeauftragten ins Boot zu holen.