FAQ Datenschutz

Datenschutz bedeutet den Schutz personenbezogener Daten vor Missbrauch, unbefugtem Zugriff und unrechtmäßiger Verarbeitung. Ziel ist es, die Privatsphäre und die Grundrechte jeder Person zu sichern.

Dabei geht es nicht nur um den Schutz vor Datenpannen oder Hackerangriffen, sondern auch darum, dass Unternehmen, Behörden und Organisationen Daten nur rechtmäßig, zweckgebunden und transparent verarbeiten.

Datenschutz stellt sicher, dass jede Person selbst bestimmen kann, wie ihre Daten verwendet werden, und schützt damit die informationelle Selbstbestimmung.

Datenschutz schützt die Privatsphäre und die Grundrechte jeder Person. Ohne klare Regeln könnten persönliche Informationen beliebig gesammelt, ausgewertet oder weitergegeben werden.

Datenschutz sorgt dafür, dass jeder Mensch selbst bestimmen kann, wie mit seinen Daten umgegangen wird. Für Unternehmen bedeutet Datenschutz auch, das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern zu stärken.

Verstöße können nicht nur Bußgelder nach sich ziehen, sondern auch Reputationsschäden verursachen. Ein guter Datenschutz ist daher sowohl rechtlich verpflichtend als auch ein Wettbewerbsvorteil.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Daten dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden. Betroffene müssen klar und verständlich informiert werden.

Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Nutzung für andere Zwecke ist nur eingeschränkt erlaubt.

Datenminimierung
Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt erforderlich sind.

Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Fehlerhafte Daten sind zu berichtigen oder zu löschen.

Speicherbegrenzung
Daten dürfen nicht länger gespeichert werden, als es für den Zweck erforderlich ist. Lösch- und Aufbewahrungsfristen sind einzuhalten.

Integrität und Vertraulichkeit
Die Verarbeitung muss durch geeignete technische und organisatorische Maßnahmen geschützt werden, damit Daten vor unbefugtem Zugriff, Verlust oder Missbrauch sicher sind.

Rechenschaftspflicht
Der Verantwortliche ist verpflichtet, die Einhaltung aller Grundsätze nachweisen zu können.

Datenschutz-Grundverordnung (DSGVO)
Zentrales EU-Recht, das unmittelbar in allen Mitgliedstaaten gilt. Sie legt die Grundregeln für die Verarbeitung personenbezogener Daten fest und schafft ein einheitliches Schutzniveau.

Bundesdatenschutzgesetz (BDSG)
Ergänzt die DSGVO in Deutschland, z. B. beim Beschäftigtendatenschutz, bei Videoüberwachung oder bei Aufgaben der Aufsichtsbehörden.

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)
Regelt speziell den Zugriff auf Endgeräte wie Computer oder Smartphones. Dazu gehören Cookies, Tracking und ähnliche Technologien.

Landesdatenschutzgesetze (LDSG)
Gelten für öffentliche Stellen der Länder, also Landesbehörden, Kommunen und Schulen.

Sozialgesetzbuch (SGB)
Schützt besonders sensible Sozialdaten, etwa bei Krankenkassen, Arbeitsagenturen oder Rentenversicherungsträgern.

Kirchliche Datenschutzgesetze
Die Kirchen haben eigene Datenschutzordnungen, z. B. DSG-EKD (evangelisch) oder KDG (katholisch), die parallel zur DSGVO gelten und von kirchlichen Aufsicht

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Beispiele für direkte Daten
Name, Anschrift, Telefonnummer, E-Mail-Adresse, Ausweisnummer.

Beispiele für indirekte Daten
IP-Adresse, Standortdaten, Kundennummer, Gesundheitsdaten, biometrische Daten.

Besondere Kategorien
Dazu gehören besonders sensible Informationen wie Herkunft, Religion, politische Meinung, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten sowie Gesundheits- und Sexualdaten (Art. 9 DSGVO).

Abgrenzung
Anonyme Daten fallen nicht unter den Datenschutz. Pseudonymisierte Daten gelten hingegen als personenbezogen, solange eine Zuordnung zur Person möglich ist.

Die Verantwortung trägt immer die Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet. Das kann ein Unternehmen, eine Behörde, ein Verein oder auch eine Einzelperson sein.

Pflichten
Der Verantwortliche muss sicherstellen, dass alle gesetzlichen Vorgaben eingehalten werden. Dazu gehören die Umsetzung technischer und organisatorischer Maßnahmen, die Wahrung der Betroffenenrechte und die transparente Information.

Dienstleister
Werden externe Anbieter eingesetzt, z. B. Cloud- oder IT-Dienstleister, bleibt die Hauptverantwortung beim Verantwortlichen. Er muss den Dienstleister sorgfältig auswählen und durch einen Auftragsverarbeitungsvertrag (AVV) absichern.

Datenschutz und Datensicherheit gehören zusammen: Datenschutz legt die Regeln fest, Datensicherheit sorgt dafür, dass diese Regeln praktisch eingehalten und die Daten geschützt werden.

Datenschutz
Datenschutz regelt, ob und wie personenbezogene Daten verarbeitet werden dürfen. Er schafft die rechtlichen Grundlagen und sichert die Rechte der Betroffenen, etwa durch Informationspflichten, Einwilligungen oder Betroffenenrechte.

Datensicherheit
Datensicherheit beschreibt die technischen und organisatorischen Maßnahmen, die Daten vor Verlust, Manipulation oder unbefugtem Zugriff schützen. Dazu zählen Verschlüsselung, Zugriffskontrollen, Backups oder Firewalls.

Datenschutzaufsichtsbehörden überwachen, dass die DSGVO und nationale Gesetze eingehalten werden. Sie prüfen Beschwerden von Betroffenen, führen stichprobenartige oder anlassbezogene Kontrollen durch und beraten Unternehmen sowie öffentliche Stellen.

Befugnisse
Die Behörden dürfen Informationen anfordern, Unterlagen einsehen, Vor-Ort-Prüfungen durchführen und Anordnungen erlassen. Bei Verstößen können sie Verwarnungen aussprechen oder Bußgelder verhängen.

Zuständigkeit
In Deutschland sind meist die Landesbehörden für den nichtöffentlichen Bereich zuständig. Für Bundesbehörden sowie Telekommunikations- und Postdienste ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verantwortlich.

Bedeutung
Die Aufsichtsbehörden sind ein wichtiger Ansprechpartner für Betroffene, die ihre Rechte durchsetzen wollen, und für Verantwortliche, die rechtliche Orientierung suchen.

Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem personenbezogene Daten verloren gehen, unbefugt verändert, gelöscht oder an Dritte weitergegeben werden.

Beispiele

• Verlust eines Laptops mit Kundendaten

• Versand einer E-Mail an falsche Empfänger

• Hackerangriff auf eine Datenbank

• Fehlkonfigurierte Systeme, die Daten öffentlich machen

Folgen
Solche Vorfälle können zu finanziellen Schäden, Identitätsdiebstahl oder Vertrauensverlust führen. Unternehmen sind verpflichtet, Verletzungen binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden, wenn ein Risiko für Betroffene besteht. Bei hohem Risiko müssen zusätzlich die Betroffenen selbst informiert werden.

Datenschutzverletzungen sind ernsthafte Sicherheitsvorfälle. Ein schnelles und strukturiertes Handeln ist entscheidend, um Risiken für Betroffene zu begrenzen und rechtliche Konsequenzen zu vermeiden.

Ein Datenschutz-Managementsystem (DSMS) ist ein organisatorischer Rahmen, mit dem Unternehmen die Anforderungen des Datenschutzrechts systematisch umsetzen. Es sorgt dafür, dass Prozesse zur Einhaltung der DSGVO und anderer Vorschriften dauerhaft etabliert und überwacht werden.

Bestandteile
Dazu gehören Richtlinien, Verfahren, Zuständigkeiten, Schulungen, Kontrollen und Dokumentationen.

Praxisnutzen
Ein DSMS schafft Transparenz, reduziert Risiken und erleichtert den Nachweis gegenüber Aufsichtsbehörden. Außerdem unterstützt es Unternehmen dabei, Datenschutz als kontinuierlichen Prozess zu verstehen und nicht nur als einmalige Maßnahme.

Der Datenschutzbeauftragte ist die zentrale Ansprechperson für alle Fragen rund um den Datenschutz in einem Unternehmen oder einer Behörde.

Der Datenschutzbeauftragte ist ein unabhängiger Berater und Kontrolleur, der Organisationen hilft, Datenschutzanforderungen umzusetzen und Haftungsrisiken zu verringern.

Aufgaben

• Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze

• Beratung der Geschäftsleitung und Fachabteilungen

• Sensibilisierung und Schulung der Beschäftigten

• Unterstützung bei der Datenschutz-Folgenabschätzung (DSFA)

• Zusammenarbeit mit den Aufsichtsbehörden

Besonderheit
Der DSB handelt weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er berichtet direkt an die Leitungsebene und sorgt dafür, dass Datenschutz im gesamten Unternehmen berücksichtigt wird.

Datenschutz im Homeoffice bedeutet, dass auch außerhalb der Firmenräume ein hohes Schutzniveau eingehalten werden muss. Arbeitgeber bleiben verantwortlich für die Einhaltung der DSGVO.  Auch im Homeoffice müssen Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten gewährleistet sein.

Technische Anforderungen

• Nutzung gesicherter Endgeräte (z. B. Firmenlaptops)

• verschlüsselte Internetverbindungen (VPN)

• aktuelle Sicherheitssoftware und Updates

Organisatorische Anforderungen

• klare Homeoffice-Richtlinien

• Vermeidung von Einsicht durch Dritte (z. B. Familienangehörige)

• sichere Aufbewahrung von Dokumenten und Datenträgern

„Bring Your Own Device“ (BYOD) erlaubt Beschäftigten, private Geräte für dienstliche Zwecke zu nutzen. Das birgt besondere Risiken für den Datenschutz. BYOD kann praktisch sein, darf aber nur unter strengen Sicherheitsvorgaben genutzt werden.

Risiken

• fehlende Trennung von privaten und dienstlichen Daten

• unsichere Geräte oder Software

• mögliche Zugriffe durch Dritte

Anforderungen

• klare BYOD-Richtlinie des Unternehmens

• mobile Device Management (MDM) zur Kontrolle von Zugriffsrechten

• Verschlüsselung und sichere Passwörter

• Trennung privater und dienstlicher Daten (Container-Lösungen)

Datenschutz im Marketing richtet sich sowohl nach der DSGVO als auch nach dem TTDSG. Dabei spielen vor allem Einwilligungen und Transparenz eine zentrale Rolle. Marketing darf nur so betrieben werden, dass die Rechte der Betroffenen gewahrt bleiben und keine unerlaubte Belästigung erfolgt.

E-Mail- und Newsletter-Werbung
Zulässig nur mit vorheriger ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Nachweis durch Double-Opt-In).

Telefon- und SMS-Werbung
Erfordert ebenfalls eine ausdrückliche Einwilligung.

Postwerbung
Kann in vielen Fällen auf das berechtigte Interesse des Unternehmens gestützt werden (Art. 6 Abs. 1 lit. f DSGVO), solange keine unzumutbare Belästigung vorliegt.

Cookies und Tracking
Für den Einsatz von Cookies und vergleichbaren Technologien ist nach § 25 TTDSG in der Regel eine Einwilligung erforderlich. Nur technisch notwendige Cookies sind ausgenommen.

Profiling und personalisierte Werbung
Erlaubt nur mit einer gültigen Rechtsgrundlage. Wenn auf Einwilligung gestützt, muss diese freiwillig und jederzeit widerrufbar sein.

Cookies und ähnliche Technologien sind im § 25 TTDSG geregelt. Sie dürfen grundsätzlich nur mit Einwilligung gesetzt oder ausgelesen werden. Cookies und Tracking sollen nur genutzt werden, wenn Betroffene vorher eindeutig zugestimmt haben oder die Nutzung zwingend notwendig ist.

Einwilligungspflicht

• Erforderlich für alle Cookies, die nicht technisch notwendig sind

• Beispiele: Tracking, Marketing, Analyse, Personalisierung

• Einwilligung muss aktiv, informiert und jederzeit widerrufbar erfolgen

Ausnahmen
Einwilligung ist nicht erforderlich, wenn Cookies oder ähnliche Technologien:

• ausschließlich der Übertragung einer Nachricht dienen oder

• technisch unbedingt notwendig sind, damit ein Dienst funktioniert (z. B. Warenkorb-Cookie im Online-Shop).

Zusammenspiel mit der DSGVO
Das TTDSG regelt den Zugriff auf Endgeräte (Speicherung/Auslesen). Sobald die gewonnenen Daten personenbezogen sind, greift zusätzlich die DSGVO. Das bedeutet:

• Zuerst Einwilligung nach TTDSG

• Danach Rechtsgrundlage für die Verarbeitung nach DSGVO (z. B. Art. 6 Abs. 1 lit. a oder f)

Apps verarbeiten oft sensible Daten wie Standort, Kontakte oder Gesundheitsinformationen. Daher müssen sie die Vorgaben der DSGVO erfüllen. Apps müssen datensparsam entwickelt werden und Transparenz schaffen, damit Nutzer ihre Rechte wahrnehmen können.

Anforderungen

• klare Datenschutzerklärung in der App

• Beschränkung der Berechtigungen auf das Notwendige

• sichere Datenübertragung (SSL/TLS)

• Einwilligung für Standort, Tracking oder personalisierte Werbung

• Lösch- und Exportmöglichkeiten für Nutzerdaten

Webseiten müssen die DSGVO, das TDDDG und andere Vorschriften einhalten. Webseitenbetreiber müssen transparent informieren und ein sicheres Umfeld für Nutzer schaffen.

Wichtige Anforderungen

• vollständige Datenschutzerklärung (Art. 13/14 DSGVO)

• Cookie-Banner und Consent-Management-Tool (nach § 25 TDDDG)

• Verschlüsselung mit HTTPS

• Protokollierung und Zugriffssicherung auf Servern

• Verträge mit Dienstleistern (z. B. Hosting, Tracking-Tools)

Videoüberwachung ist datenschutzrechtlich besonders sensibel, da sie regelmäßig viele Personen betrifft. Sie ist in der DSGVO (Art. 6 Abs. 1) und im BDSG (§ 4) geregelt.  Videoüberwachung darf nur eingesetzt werden, wenn sie notwendig, verhältnismäßig und transparent ist.

Zulässigkeit
Eine Videoüberwachung ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt. Meist stützen sich Verantwortliche auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), z. B. zur Wahrung der Sicherheit oder zum Schutz vor Straftaten.

Anforderungen nach § 4 BDSG

• Die Überwachung muss erforderlich und verhältnismäßig sein.

• Es muss eine Interessenabwägung zwischen Sicherheit und den Rechten der Betroffenen erfolgen.

• Betroffene sind durch Hinweisschilder klar erkennbar zu informieren.

Speicherdauer
Aufzeichnungen dürfen nur so lange gespeichert werden, wie es zur Zweckerreichung erforderlich ist. In der Praxis oft wenige Tage, außer es liegt ein Vorfall vor.

Besondere Einschränkungen

• Keine Überwachung von Bereichen, die der Intimsphäre dienen (z. B. Sanitäranlagen).

• Bei Arbeitsplätzen ist die Mitbestimmung des Betriebsrats zu beachten.

Fotos und Videos sind personenbezogene Daten, wenn Personen erkennbar sind. Ihre Verarbeitung fällt unter die DSGVO. Der Umgang mit Fotos und Videos bei Veranstaltungen muss sorgfältig geplant werden, um Persönlichkeitsrechte zu wahren.

Rechtsgrundlagen

• Einwilligung: erforderlich bei gezielten Portraits oder Veröffentlichungen.

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): möglich bei allgemeinen Veranstaltungsaufnahmen, sofern keine schutzwürdigen Interessen der Abgebildeten überwiegen.

Transparenzpflichten

• Hinweis vor Ort (z. B. Aushang oder Ansage), dass Fotos/Videos gemacht werden.

• Information über Zwecke und Empfänger.

Besonderheiten

• Kinder und Jugendliche genießen besonderen Schutz.

• Bei Veröffentlichung in sozialen Medien ist besondere Vorsicht geboten.

Unternehmen, die Social-Media-Plattformen nutzen, sind oft gemeinsam mit den Anbietern verantwortlich für die Datenverarbeitung. Social Media darf genutzt werden, muss aber durch Transparenz, klare Verträge und Einwilligungslösungen abgesichert sein.

Fanpages und Unternehmensprofile

• Nach der Rechtsprechung des EuGH besteht eine gemeinsame Verantwortlichkeit mit der Plattform (Art. 26 DSGVO).

• Nutzer müssen in der Datenschutzerklärung über die gemeinsame Datenverarbeitung informiert werden.

Plugins und Like-Buttons

• Schon beim Laden der Seite können Daten an die Plattform fließen.

• Deshalb sind Plugins in der Regel nur mit Einwilligung nach dem TDDDG (§ 25) zulässig.

Newsletter dürfen nur verschickt werden, wenn die Betroffenen vorher ausdrücklich eingewilligt haben. Nur mit Einwilligung und sauberem Double-Opt-In ist Newsletter-Marketing rechtssicher.

Double-Opt-In

• Die Anmeldung muss durch ein zweistufiges Verfahren bestätigt werden.

• Erst mit der Bestätigung (z. B. Klick auf einen Link in einer E-Mail) gilt die Einwilligung als nachweisbar.

Abmeldungen

• Jede E-Mail muss eine einfache Abmeldemöglichkeit enthalten.

• Ein Widerruf muss sofort wirksam werden.

Dokumentation

• Einwilligungen und Abmeldungen müssen gespeichert und nachweisbar sein.

Datenpannen sind Verstöße gegen die Sicherheit personenbezogener Daten. Sie können durch technisches Versagen oder menschliches Fehlverhalten entstehen. Schnelles Handeln, Dokumentation und Prävention durch Sicherheitsmaßnahmen sind entscheidend, um Folgen einer Datenpanne zu begrenzen.

Beispiele

• Versand von E-Mails an falsche Empfänger

• Verlust von unverschlüsselten USB-Sticks oder Laptops

• Hackerangriffe auf Systeme oder Datenbanken

• Fehlkonfigurationen von Cloud-Diensten

• Offenlegung vertraulicher Daten durch falsche Zugriffsrechte

Folgen

• Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO)

• Benachrichtigung der Betroffenen, wenn ein hohes Risiko besteht (Art. 34 DSGVO)

• mögliche Bußgelder und Reputationsschäden

Betroffene können nach Art. 15–22 DSGVO verschiedene Rechte geltend machen, z. B. Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit. Betroffenenrechte sind ein zentrales Element der DSGVO. Unternehmen müssen Prozesse und Ressourcen vorhalten, um diese effizient und fristgerecht zu erfüllen.

Fristen

• Antworten müssen grundsätzlich innerhalb eines Monats erfolgen.

• In Ausnahmefällen kann die Frist auf drei Monate verlängert werden, wenn die Anfragen komplex sind.

Umfang

• Unternehmen müssen eine vollständige Auskunft über alle verarbeiteten personenbezogenen Daten erteilen.

• Dazu gehören auch Angaben zu Zwecken, Empfängern, Speicherdauer und Rechtsgrundlagen.

Praxisprobleme

• Daten liegen oft in verschiedenen Systemen verteilt.

• Eine strukturierte Dokumentation (VVT, DSMS) erleichtert die Bearbeitung.

Beim Einsatz von Künstlicher Intelligenz (KI) gelten die gleichen Grundsätze wie bei jeder anderen Datenverarbeitung – allerdings oft mit höherer Sensibilität, da große Datenmengen oder sensible Informationen verarbeitet werden. KI darf nur eingesetzt werden, wenn Datenschutzgrundsätze eingehalten und Risiken für Betroffene minimiert werden.

Rechtsgrundlage
Die Verarbeitung personenbezogener Daten durch KI-Systeme braucht eine gültige Rechtsgrundlage nach Art. 6 DSGVO. Bei sensiblen Daten gilt zusätzlich Art. 9 DSGVO.

Transparenz
Betroffene müssen wissen, dass KI-Systeme eingesetzt werden. Dazu gehören Informationen über Zweck, Funktionsweise und mögliche Auswirkungen.

Datenminimierung und Zweckbindung
Es dürfen nur die Daten verarbeitet werden, die für den vorgesehenen Zweck erforderlich sind. Eine spätere Nutzung zu anderen Zwecken ist unzulässig, wenn keine neue Rechtsgrundlage vorliegt.

Sicherheit
KI-Systeme müssen durch technische und organisatorische Maßnahmen geschützt werden, z. B. Zugriffskontrollen, Verschlüsselung und Schutz vor Manipulation.

Nachweis und Dokumentation
Unternehmen müssen dokumentieren können, wie und auf welcher Grundlage KI-Systeme eingesetzt werden. Eine Datenschutz-Folgenabschätzung (DSFA) ist oft Pflicht.

Die DSGVO enthält in Art. 22 besondere Vorschriften für automatisierte Entscheidungen und Profiling. Damit sollen Betroffene vor Entscheidungen geschützt werden, die ohne menschliches Zutun erhebliche Auswirkungen haben. Automatisierte Systeme dürfen nicht zu intransparenten oder unfairen Entscheidungen führen. Die DSGVO stellt sicher, dass Menschen die Kontrolle behalten.

Automatisierte Entscheidungen
Darunter fallen Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen – also ohne menschliche Prüfung. Beispiele sind automatische Kreditablehnungen oder Bewerbervorauswahlen durch ein KI-System.

Profiling
Profiling bedeutet jede Art der automatisierten Verarbeitung, mit der persönliche Aspekte bewertet werden. Dazu gehören etwa Vorhersagen über Verhalten, Interessen, Gesundheit oder Arbeitsleistung.

Rechte der Betroffenen

• Grundsätzlich darf niemand einer Entscheidung unterworfen werden, die ausschließlich automatisiert getroffen wird und rechtliche Wirkung entfaltet oder Betroffene erheblich beeinträchtigt.

• Ausnahmen gelten nur, wenn die Entscheidung:

  • für einen Vertrag erforderlich ist,

  • auf einer ausdrücklichen Einwilligung beruht oder

  • auf einer gesetzlichen Grundlage erfolgt.

Pflichten der Verantwortlichen

• Betroffene müssen über die Logik, Tragweite und Folgen der automatisierten Entscheidung informiert werden.

• Es muss die Möglichkeit bestehen, eine menschliche Überprüfung zu verlangen.

Die EU-KI-Verordnung („AI Act“) ist keine reine Datenschutzregelung, sondern ein technisches und risikobasiertes Regulierungsgesetz für den Einsatz von Künstlicher Intelligenz in Europa. Trotzdem hat sie eine enge Verbindung zur DSGVO und zum Datenschutz allgemein:

1. Ergänzende Regulierung zur DSGVO
   Während die DSGVO den Umgang mit personenbezogenen Daten regelt, adressiert die KI-Verordnung den Einsatz von KI-Systemen. Beide Regelwerke müssen zusammengedacht werden. Ein KI-System kann datenschutzkonform sein (z. B. durch Rechtsgrundlage, Zweckbindung, Datenminimierung), aber trotzdem gegen die KI-Verordnung verstoßen, wenn es als Hochrisikosystem eingestuft wird und die Anforderungen nicht erfüllt.

2. Relevanz für den Datenschutz durch Risikoklassen
   Der AI Act verbietet bestimmte KI-Anwendungen (z. B. manipulative Systeme, Social Scoring) und reguliert Hochrisikosysteme (z. B. KI in biometrischer Überwachung, kritischer Infrastruktur, Personalmanagement). Viele dieser Anwendungsfälle betreffen unmittelbar personenbezogene Daten und überschneiden sich mit Datenschutzfragen.

3. Zusätzliche Pflichten für Verantwortliche
   Für Hochrisiko-KI gelten Vorgaben wie Datenqualitätsanforderungen, Dokumentationspflichten, Transparenzmaßnahmen, menschliche Aufsicht und Sicherheitsmechanismen. Damit entstehen zusätzliche Compliance-Anforderungen für Unternehmen, die über die DSGVO hinausgehen, aber dieselben Daten betreffen können.

4. Transparenz und Betroffenenrechte
   KI-Systeme, die mit Menschen interagieren, müssen offengelegt werden („Du sprichst mit einer KI“). Auch Deepfakes und KI-generierte Inhalte müssen kenntlich gemacht werden. Das ergänzt die Informationspflichten aus der DSGVO und stärkt die Position der Betroffenen.

5. Schnittstellen zu Aufsichtsbehörden
   Datenschutzaufsichtsbehörden und Marktüberwachungsbehörden werden in der Praxis eng zusammenarbeiten müssen. Unternehmen müssen also künftig sowohl den Datenschutz (DSGVO, BDSG, TDDDG) als auch die KI-Konformität (AI Act) nachweisen.

Der Einsatz von KI im Bewerbungsverfahren ist grundsätzlich möglich, unterliegt aber strengen Anforderungen nach der DSGVO und dem BDSG (§ 26). Ziel ist es, Transparenz zu schaffen und Diskriminierung zu vermeiden. KI kann Bewerbungsprozesse effizienter machen, darf aber nicht zu intransparenten Entscheidungen oder Diskriminierung führen.

Rechtsgrundlage
Die Verarbeitung von Bewerberdaten muss auf Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) oder auf § 26 BDSG (Beschäftigtendatenschutz) beruhen. Eine zusätzliche Einwilligung ist nur in Ausnahmefällen sinnvoll.

Datenschutz-Folgenabschätzung (DSFA)
Wenn ein KI-System Bewerber automatisiert bewertet oder Entscheidungen unterstützt, liegt oft ein hohes Risiko vor. Dann ist eine DSFA nach Art. 35 DSGVO erforderlich.

Transparenz
Bewerber müssen informiert werden, wenn KI-Systeme im Verfahren eingesetzt werden. Dazu gehört auch, welche Daten verarbeitet werden und wie Ergebnisse zustande kommen.

Automatisierte Entscheidungen
Nach Art. 22 DSGVO dürfen Bewerber nicht ausschließlich einer automatisierten Entscheidung unterworfen werden. Es muss eine menschliche Überprüfung möglich bleiben.

Transparenz ist ein zentrales Prinzip beim Einsatz von Künstlicher Intelligenz. Sie soll sicherstellen, dass Betroffene verstehen, wann und wie KI-Systeme eingesetzt werden und welche Folgen dies für sie haben kann. Transparenz schafft Vertrauen, ermöglicht Kontrolle durch die Betroffenen und verhindert intransparente oder diskriminierende Anwendungen.

Informationspflichten nach DSGVO

• Verantwortliche müssen offenlegen, wenn KI-Systeme personenbezogene Daten verarbeiten.

• Betroffene haben Anspruch auf Informationen über Zweck, Rechtsgrundlage und Funktionsweise (Art. 13/14 DSGVO).

Automatisierte Entscheidungen
Wenn KI-Systeme Entscheidungen mit rechtlicher Wirkung oder erheblichem Einfluss treffen, gilt Art. 22 DSGVO. Betroffene müssen nachvollziehen können, welche Faktoren in die Entscheidung eingeflossen sind.

EU-KI-Verordnung
Für bestimmte KI-Systeme (z. B. Chatbots oder Hochrisiko-KI) wird zusätzlich vorgeschrieben, dass Nutzer klar darauf hingewiesen werden, dass sie mit KI interagieren.

Unternehmen können KI nur dann rechtssicher einsetzen, wenn sie die Vorgaben der DSGVO und ergänzender Gesetze einhalten. Wichtig ist, Datenschutz von Anfang an in die Planung und Nutzung einzubeziehen. KI darf nur eingesetzt werden, wenn Datenschutz systematisch mitgedacht wird. Das senkt Risiken und stärkt Vertrauen.

Rechtsgrundlage
Für jede Datenverarbeitung muss eine gültige Grundlage nach Art. 6 DSGVO bestehen. Bei sensiblen Daten gilt zusätzlich Art. 9 DSGVO.

Datenschutz-Folgenabschätzung (DSFA)
Bei KI-Anwendungen mit hohem Risiko, z. B. im HR-Bereich oder bei Profiling, ist eine DSFA nach Art. 35 DSGVO Pflicht.

Vertragliche Absicherung
Wenn externe KI-Dienste genutzt werden, braucht es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO oder klare Vereinbarungen zur gemeinsamen Verantwortlichkeit.

Technische Maßnahmen

• Datenminimierung

• Pseudonymisierung oder Anonymisierung

• Zugriffsbeschränkungen und Protokollierung

• regelmäßige Sicherheits-Updates

Organisatorische Maßnahmen

• klare interne Richtlinien zum KI-Einsatz

• Transparenz gegenüber Betroffenen

• Schulungen für Mitarbeitende

Das Training von KI-Systemen mit personenbezogenen Daten ist nur zulässig, wenn die Vorgaben der DSGVO eingehalten werden. Verantwortliche müssen besonders auf Zweckbindung, Datenminimierung und Rechtsgrundlagen achten. Das Training von KI darf nicht zu einer unkontrollierten Nutzung personenbezogener Daten führen. Es muss klar geregelt, abgesichert und dokumentiert sein.

Rechtsgrundlage
Eine gültige Grundlage nach Art. 6 DSGVO ist erforderlich, z. B. Einwilligung oder Vertrag. Werden besondere Kategorien personenbezogener Daten genutzt, gilt zusätzlich Art. 9 DSGVO.

Zweckbindung
Daten dürfen nur für den definierten Trainingszweck genutzt werden. Eine spätere Verwendung zu anderen Zwecken ist nur mit neuer Rechtsgrundlage möglich.

Datenminimierung
Es sollten nur die Daten genutzt werden, die für das Training unbedingt erforderlich sind. Wenn möglich, sind Anonymisierung oder Pseudonymisierung vorzunehmen.

Sicherheitsmaßnahmen
Beim Training müssen Daten durch technische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und Protokollierung geschützt werden.

Transparenz
Betroffene müssen darüber informiert werden, wenn ihre Daten für das Training von KI-Systemen genutzt werden.

Der Einsatz von KI-Systemen kann erhebliche Risiken für den Schutz personenbezogener Daten mit sich bringen. Diese müssen vor dem Einsatz erkannt und minimiert werden. Die Risiken zeigen, dass beim Einsatz von KI besondere Vorsicht geboten ist. Transparenz, Kontrollen und technische Sicherungen sind unverzichtbar.

Intransparenz
Viele KI-Modelle funktionieren wie „Black Boxes“. Für Betroffene ist oft nicht nachvollziehbar, wie Entscheidungen zustande kommen.

Diskriminierung und Bias
Wenn Trainingsdaten fehlerhaft oder unausgewogen sind, kann KI diskriminierende Ergebnisse erzeugen, z. B. bei Bewerbungen oder Kreditentscheidungen.

Zweckänderung
Es besteht die Gefahr, dass Daten für andere Zwecke genutzt werden, als ursprünglich vorgesehen, ohne dass eine neue Rechtsgrundlage besteht.

Unklare Datenquellen
Bei großen KI-Modellen ist oft schwer nachvollziehbar, aus welchen Quellen die Daten stammen. Dadurch steigt das Risiko von Rechtsverstößen.

Sicherheitsrisiken
KI-Systeme können selbst Ziel von Angriffen werden, etwa durch Manipulation der Trainingsdaten („Data Poisoning“) oder durch das Auslesen vertraulicher Informationen.

Auch öffentlich verfügbare Daten sind personenbezogen, wenn sie sich auf identifizierbare Personen beziehen. Ihr Einsatz im Training oder Betrieb von KI-Systemen unterliegt daher ebenfalls der DSGVO. Die DSGVO schützt personenbezogene Daten unabhängig davon, ob sie öffentlich oder nicht-öffentlich zugänglich sind.

Rechtsgrundlage
Die bloße öffentliche Verfügbarkeit ersetzt keine Rechtsgrundlage. Für die Verarbeitung ist weiterhin ein Erlaubnistatbestand nach Art. 6 DSGVO notwendig.

Besondere Datenkategorien
Werden sensible Daten wie politische Meinungen oder Gesundheitsinformationen genutzt, greifen die strengen Vorgaben des Art. 9 DSGVO.

Zweckbindung und Datenminimierung
Öffentliche Daten dürfen nur für den konkret festgelegten Zweck genutzt werden. Eine Weiterverwendung ohne neue Rechtsgrundlage ist unzulässig.

Transparenz
Betroffene müssen grundsätzlich informiert werden, auch wenn ihre Daten öffentlich zugänglich sind. Nur in Ausnahmefällen (z. B. unverhältnismäßiger Aufwand) gelten Erleichterungen nach Art. 14 DSGVO.

Anbieter von KI-Diensten gelten datenschutzrechtlich entweder als Verantwortliche oder als Auftragsverarbeiter. Ihre Pflichten richten sich nach der DSGVO und künftig zusätzlich nach der EU-KI-Verordnung.  Anbieter von KI-Diensten tragen eine besondere Verantwortung für Datenschutz, Sicherheit und Transparenz. Sie müssen gewährleisten, dass KI-Systeme rechtskonform eingesetzt werden können.

Pflichten nach DSGVO

• Rechtsgrundlage: Jede Verarbeitung braucht eine gültige Grundlage (Art. 6 DSGVO).

• Transparenz: Nutzer müssen klar informiert werden, welche Daten verarbeitet und zu welchen Zwecken sie genutzt werden (Art. 13/14 DSGVO).

• Auftragsverarbeitung: Wenn Anbieter im Auftrag handeln, muss ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) bestehen.

• Technische und organisatorische Maßnahmen (TOM): Anbieter müssen Daten durch Verschlüsselung, Zugriffskontrollen und Protokollierung schützen (Art. 32 DSGVO).

Pflichten nach EU-KI-Verordnung (zukünftig)

• Einstufung der Systeme nach Risikokategorien (hoch, begrenzt, minimal).

• Für Hochrisiko-KI: Dokumentation, Risikobewertungen, Datenqualität, menschliche Aufsicht.

• Transparenzpflichten, wenn Nutzer mit KI-Systemen interagieren (z. B. Chatbots, Deepfakes).

Ein Nutzer wird dann zum Anbieter, wenn er nicht nur eine fertige KI-Lösung verwendet, sondern sie selbst entwickelt, trainiert oder als Dienst bereitstellt. Maßgeblich ist, ob er die Kontrolle über Zweck und Mittel der Datenverarbeitung übernimmt. Die Abgrenzung ist wichtig, weil Anbieter deutlich mehr Pflichten haben – nach DSGVO und künftig auch nach der EU-KI-Verordnung.

Nutzer

• verwendet eine bestehende KI-Anwendung „out of the box“

• nutzt sie für eigene Zwecke, ohne die Funktionsweise oder Verarbeitung zu steuern

• Beispiel: ein Unternehmen setzt ChatGPT oder eine Übersetzungs-KI für interne Texte ein

Anbieter

• entwickelt eigene KI-Modelle oder trainiert bestehende Modelle weiter

• stellt die KI Dritten zur Verfügung (z. B. Kunden, Partnern oder der Öffentlichkeit)

• bestimmt selbst über die Zwecke der Verarbeitung und ist damit Verantwortlicher nach Art. 4 Nr. 7 DSGVO

• Beispiel: ein Start-up baut eine KI-App mit GPT-API und bietet diese als SaaS-Dienst an

Grenzfälle
Auch wer ein bestehendes KI-System so stark anpasst, integriert oder weitertrainiert, dass eine neue Dienstleistung entsteht, kann rechtlich als Anbieter gelten.

Eine KI-Richtlinie ist ein internes Regelwerk, das den verantwortungsvollen Einsatz von Künstlicher Intelligenz im Unternehmen steuert. Sie ergänzt die Datenschutz- und IT-Sicherheitsrichtlinien. Die Richtlinie schafft klare Verantwortlichkeiten, reduziert Risiken und stellt sicher, dass KI im Einklang mit Datenschutz und Unternehmenswerten genutzt wird.

Inhalte einer KI-Richtlinie

• zulässige und verbotene Einsatzbereiche von KI

• Anforderungen an Transparenz, Dokumentation und Freigabeprozesse

• Umgang mit personenbezogenen Daten (DSGVO-Konformität)

• Vorgaben zu Urheberrecht, Vertraulichkeit und Informationssicherheit

• Regeln für die Zusammenarbeit mit externen Anbietern und Dienstleistern

Schatten-IT entsteht, wenn Mitarbeitende eigenständig KI-Dienste nutzen, ohne dass das Unternehmen davon weiß oder dies erlaubt hat. Das birgt hohe Risiken für Datenschutz und Informationssicherheit. Schatten-IT soll vermieden werden, indem Unternehmen sichere Alternativen bereitstellen und klare Regeln für die Nutzung von KI am Arbeitsplatz schaffen.

Risiken

• unkontrollierte Verarbeitung personenbezogener oder vertraulicher Daten

• fehlende Verträge mit Anbietern (kein AVV nach Art. 28 DSGVO)

• mangelnde Transparenz und Dokumentation

• mögliche Verstöße gegen Betriebs- oder Branchenrichtlinien

Prävention

• klare Vorgaben durch eine KI-Richtlinie

• Schulungen und Sensibilisierung der Mitarbeitenden

• zentrale Freigabe von sicheren KI-Tools

• technische Maßnahmen wie Monitoring oder Sperren unsicherer Dienste

Wenn KI-Systeme falsche Ergebnisse liefern oder Schäden verursachen, bleibt rechtlich immer ein menschlicher oder organisatorischer Verantwortlicher in der Pflicht. KI selbst kann keine Verantwortung tragen.  Haftung liegt bei Menschen und Organisationen, die KI einsetzen oder bereitstellen. Eine „Verantwortungslücke“ darf es nicht geben.

Verantwortliche nach DSGVO

• Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO haftet für die Einhaltung der Datenschutzvorschriften, auch wenn er KI-Systeme einsetzt.

• Fehler durch unzureichende Kontrollen oder fehlende Sicherheitsmaßnahmen können zu Bußgeldern oder Schadensersatzansprüchen führen.

Hersteller und Anbieter
Nach der EU-KI-Verordnung und weiteren Produkthaftungsregeln sollen Hersteller und Anbieter von KI-Systemen stärker in die Pflicht genommen werden, insbesondere bei Hochrisiko-KI.

Praktische Bedeutung

• Unternehmen müssen nachweisen können, dass sie die KI richtig konfiguriert und überwacht haben.

• Eine menschliche Kontrollinstanz bleibt unverzichtbar, besonders bei kritischen Entscheidungen.

Das Urheberrecht ist eng mit Datenschutz verknüpft, wenn KI mit großen Datenmengen trainiert wird. Auch öffentlich zugängliche Inhalte können geschützt oder personenbezogen sein. Unternehmen müssen beim Einsatz von KI sowohl Datenschutz- als auch Urheberrechtsverstöße vermeiden.

Trainingsdaten

• Viele KI-Modelle werden mit frei verfügbaren Inhalten aus dem Internet trainiert. Diese können urheberrechtlich geschützt sein oder personenbezogene Daten enthalten.

• Eine Nutzung ist nur zulässig, wenn eine Rechtsgrundlage besteht (DSGVO) und die Schranken des Urheberrechts beachtet werden.

Ergebnisse von KI

• Inhalte, die KI erzeugt (Texte, Bilder, Musik), sind in der Regel nicht urheberrechtlich geschützt, da sie nicht von einem Menschen geschaffen wurden.

• Dennoch können sie Rechte Dritter verletzen, wenn sie auf geschützten Werken basieren.

Pflichten von Unternehmen

• Transparenz schaffen, welche Daten genutzt wurden

• Prüfung von Lizenzen und Nutzungsrechten

• Kombination von Datenschutz- und Urheberrechtsprüfungen

Neben rechtlichen Vorgaben spielen auch ethische Leitlinien eine wichtige Rolle für den vertrauenswürdigen Einsatz von KI. Sie ergänzen DSGVO und EU-KI-Verordnung um Werte wie Fairness, Verantwortung und Nachvollziehbarkeit. Ethik-Leitlinien erhöhen Vertrauen in KI-Systeme und schaffen einen Rahmen, der über die reine Rechtskonformität hinausgeht.

Grundprinzipien (nach EU-Ethik-Leitlinien für vertrauenswürdige KI)

• Transparenz: Betroffene müssen verstehen, wenn KI im Einsatz ist.

• Gerechtigkeit: KI darf nicht diskriminieren.

• Verantwortung: Menschen müssen Entscheidungen nachvollziehen und überprüfen können.

• Nachhaltigkeit: KI-Systeme sollen ressourcenschonend und gesellschaftlich nützlich sein.

Praxis in Unternehmen

• Viele Organisationen entwickeln interne KI-Ethik-Richtlinien als Ergänzung zu Compliance- und Datenschutzrichtlinien.

• Sie dienen als Orientierung für Mitarbeitende und als Signal für Kunden und Geschäftspartner.

Die DSGVO ist das zentrale Fundament des europäischen Datenschutzes. Sie verbindet den Schutz der Privatsphäre mit den Anforderungen einer digitalen Wirtschaft.

Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Gesetz, das seit dem 25. Mai 2018 gilt. Sie regelt einheitlich in allen Mitgliedstaaten, wie personenbezogene Daten verarbeitet werden dürfen. Die DSGVO soll die Grundrechte und Freiheiten der Menschen schützen, insbesondere das Recht auf den Schutz personenbezogener Daten. Gleichzeitig schafft sie gleiche Wettbewerbsbedingungen für Unternehmen in der EU.

• Für Betroffene bedeutet sie mehr Transparenz und starke Rechte, etwa Auskunft, Löschung oder Widerspruch.

• Für Unternehmen und Behörden schafft sie klare Pflichten, z. B. Dokumentation, Sicherheit und Meldung von Datenschutzverletzungen.

• Für die Gesellschaft erhöht sie das Vertrauen in digitale Dienste und stärkt die Rechtssicherheit bei der Datenverarbeitung.

Unternehmen sind verpflichtet, personenbezogene Daten rechtmäßig, transparent und zweckgebunden zu verarbeiten. Sie müssen geeignete technische und organisatorische Maßnahmen umsetzen und nachweisen können, dass sie die Vorgaben der DSGVO einhalten.

Rechenschaftspflicht
Unternehmen müssen belegen können, dass sie alle Datenschutzgrundsätze einhalten.

Technische und organisatorische Maßnahmen (TOM)
Daten sind durch Sicherheitsmaßnahmen wie Zugriffsbeschränkungen, Verschlüsselung oder Backups zu schützen.

Verzeichnis von Verarbeitungstätigkeiten (VVT)
Alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, müssen dokumentiert werden.

Datenschutz-Folgenabschätzung (DSFA)
Bei besonders risikoreichen Verarbeitungen ist eine Bewertung der Risiken und Schutzmaßnahmen vorgeschrieben.

Informationspflichten
Betroffene müssen bei der Erhebung ihrer Daten umfassend informiert werden.

Meldepflichten
Verstöße gegen den Datenschutz sind innerhalb von 72 Stunden der Aufsichtsbehörde zu melden.

Löschkonzept
Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind, und müssen anschließend gelöscht werden.

Die DSGVO enthält in Art. 5 die zentralen Grundsätze für jede Verarbeitung personenbezogener Daten. Sie bilden die Basis des gesamten Datenschutzrechts.

Art. 5 Abs. 1 lit. a – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Daten dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden. Betroffene müssen klar und verständlich informiert werden.

Art. 5 Abs. 1 lit. b – Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.

Art. 5 Abs. 1 lit. c – Datenminimierung
Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck erforderlich sind.

Art. 5 Abs. 1 lit. d – Richtigkeit
Personenbezogene Daten müssen korrekt und aktuell sein.

Art. 5 Abs. 1 lit. e – Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.

Art. 5 Abs. 1 lit. f – Integrität und Vertraulichkeit
Die Verarbeitung muss durch geeignete technische und organisatorische Maßnahmen geschützt werden.

Art. 5 Abs. 2 – Rechenschaftspflicht
Der Verantwortliche ist verpflichtet, die Einhaltung dieser Grundsätze jederzeit nachweisen zu können.

Die Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO aufgeführt. Eine Verarbeitung ist nur rechtmäßig, wenn mindestens eine dieser Bedingungen erfüllt ist.

Art. 6 Abs. 1 lit. a – Einwilligung
Die betroffene Person hat ausdrücklich zugestimmt, dass ihre Daten für einen bestimmten Zweck verarbeitet werden dürfen.

Art. 6 Abs. 1 lit. b – Vertragserfüllung
Die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen.

Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung
Die Verarbeitung ist erforderlich, um eine gesetzliche Pflicht zu erfüllen.

Art. 6 Abs. 1 lit. d – Lebenswichtige Interessen
Die Verarbeitung schützt lebenswichtige Interessen der betroffenen Person oder einer anderen Person.

Art. 6 Abs. 1 lit. e – Öffentliches Interesse / Ausübung öffentlicher Gewalt
Die Verarbeitung ist notwendig, um Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt durchzuführen.

Art. 6 Abs. 1 lit. f – Berechtigtes Interesse
Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

Die Datenschutzerklärung (DSE) ist die wichtigste Informationspflicht nach Art. 12–14 DSGVO. Sie dient dazu, Betroffene transparent darüber zu informieren, wie ihre Daten verarbeitet werden.

Inhalt einer DSE
Eine DSE muss klar, verständlich und vollständig sein. Sie enthält u. a.:

• Angaben zum Verantwortlichen und ggf. Datenschutzbeauftragten

• Zwecke und Rechtsgrundlagen der Verarbeitung

• Kategorien von Daten und Empfängern

• Informationen über Drittlandübermittlungen

• Speicherdauer oder Kriterien für die Löschfristen

• Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung usw.)

• Beschwerderecht bei einer Aufsichtsbehörde

Anforderungen

• Sie muss leicht zugänglich sein (z. B. auf Websites per Link im Footer).

• Sie ist laufend aktuell zu halten.

• Die Sprache muss klar und verständlich sein.

Die Informationspflichten sind in Art. 13 und Art. 14 DSGVO geregelt. Sie stellen sicher, dass Betroffene transparent erfahren, wie ihre Daten verarbeitet werden.

Art. 13 DSGVO – Informationspflicht bei Direkterhebung
Wenn Daten direkt bei der betroffenen Person erhoben werden (z. B. Formular, Vertrag, Online-Registrierung), muss der Verantwortliche bereits zum Zeitpunkt der Erhebung umfassend informieren. Dazu gehören:

• Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

• Zwecke und Rechtsgrundlagen der Verarbeitung

• Empfänger oder Kategorien von Empfängern

• Absicht einer Übermittlung in ein Drittland

• Dauer der Speicherung

• Rechte der Betroffenen (Auskunft, Berichtigung, Löschung usw.)

• Widerrufsrecht bei Einwilligungen und Widerspruchsrecht

• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Art. 14 DSGVO – Informationspflicht bei Dritterhebung
Wenn Daten nicht bei der betroffenen Person, sondern bei Dritten erhoben werden (z. B. Datenkauf, Auskunftei), gelten dieselben Informationspflichten. Zusätzlich muss die Quelle der Daten angegeben werden.

Frist
Die Information muss grundsätzlich innerhalb eines Monats erfolgen, spätestens bei der ersten Kommunikation mit der betroffenen Person oder bei der Weitergabe der Daten.

Die DSGVO gibt Betroffenen starke Rechte, damit sie die Kontrolle über ihre personenbezogenen Daten behalten.

Auskunft (Art. 15 DSGVO)
Jede Person kann erfahren, ob und welche Daten über sie gespeichert sind, wofür sie genutzt werden und an wen sie übermittelt wurden.

Berichtigung (Art. 16 DSGVO)
Unrichtige oder unvollständige Daten müssen berichtigt oder ergänzt werden.

Löschung (Art. 17 DSGVO)
Betroffene können die Löschung ihrer Daten verlangen, wenn diese für den Zweck nicht mehr erforderlich sind oder unrechtmäßig verarbeitet werden.

Einschränkung der Verarbeitung (Art. 18 DSGVO)
Die Verarbeitung kann in bestimmten Fällen vorübergehend eingeschränkt werden, etwa während einer Prüfung.

Datenübertragbarkeit (Art. 20 DSGVO)
Daten können in einem maschinenlesbaren Format herausverlangt und an einen anderen Verantwortlichen übertragen werden.

Widerspruch (Art. 21 DSGVO)
Betroffene dürfen der Verarbeitung jederzeit widersprechen, insbesondere wenn sie auf berechtigtem Interesse oder Direktwerbung beruht.

Automatisierte Entscheidungen (Art. 22 DSGVO)
Niemand darf allein durch automatisierte Entscheidungen erheblich beeinträchtigt werden, ohne dass eine menschliche Überprüfung erfolgt.

Durchsetzung
Unternehmen müssen diese Rechte innerhalb eines Monats erfüllen und dokumentieren.

Privacy by Design und Privacy by Default sind in Art. 25 DSGVO geregelt. Sie verpflichten Unternehmen, Datenschutz nicht nachträglich, sondern von Anfang an in Systeme und Prozesse einzubauen. Durch diese Vorgaben soll Datenschutz nicht nur rechtlich gefordert, sondern auch praktisch umgesetzt und dauerhaft in Technik und Organisation verankert werden.

Privacy by Design (Datenschutz durch Technikgestaltung)
Verantwortliche müssen technische und organisatorische Maßnahmen so wählen, dass Datenschutzrisiken schon bei der Planung minimiert werden. Beispiele: Verschlüsselung, Pseudonymisierung oder datensparsame Voreinstellungen in einer Software.

Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen)
Systeme und Anwendungen müssen standardmäßig so eingestellt sein, dass nur die Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Ein Beispiel ist ein Social-Media-Profil, das standardmäßig nicht öffentlich sichtbar ist.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Stellen gemeinsam über Zweck und Mittel der Datenverarbeitung entscheiden. In diesem Fall tragen alle Beteiligten Verantwortung für die Einhaltung der DSGVO. Durch die Vereinbarung soll für Transparenz gesorgt werden und klar erkennbar sein, wer wofür verantwortlich ist.

Rechtsgrundlage (Art. 26 DSGVO)
Die Beteiligten müssen in einer Vereinbarung festlegen, wer welche Pflichten übernimmt – etwa bei der Information der Betroffenen, der Beantwortung von Auskunftsersuchen oder der Umsetzung technischer Schutzmaßnahmen.

Beispiele

• Eine Website, die ein Social-Media-Plugin nutzt und dadurch gemeinsam mit dem Plattformbetreiber Daten verarbeitet.

• Zwei Unternehmen, die gemeinsam eine Kundendatenbank betreiben und verwenden.

Betroffenenrechte
Unabhängig von der internen Aufteilung können sich Betroffene mit ihren Anliegen an jede der beteiligten Stellen wenden.

Ein Auftragsverarbeitungsvertrag (AVV) ist in Art. 28 DSGVO vorgeschrieben. Er regelt die Zusammenarbeit zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der Daten im Auftrag verarbeitet. Der AVV stellt sicher, dass der Auftragsverarbeiter die Daten nur auf Weisung verarbeitet und ein angemessenes Schutzniveau einhält.

Pflicht
Ohne AVV ist die Nutzung von Auftragsverarbeitern rechtswidrig. Der Vertrag muss vor Beginn der Verarbeitung abgeschlossen werden.

Inhalte
Ein AVV muss unter anderem festlegen:

• Gegenstand und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• Kategorien betroffener Personen und Daten

• Pflichten und Rechte des Verantwortlichen

• technische und organisatorische Maßnahmen (TOM)

• Regelungen zu Unterauftragsverarbeitern

• Kontrollrechte des Verantwortlichen

Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung, der Auftragsverarbeiter führt die Verarbeitung ausschließlich nach Weisung aus.  Die Hauptverantwortung liegt immer beim Verantwortlichen. Der Auftragsverarbeiter unterstützt ihn, darf aber keine eigenen Entscheidungen über die Daten treffen.

Verantwortlicher
Der Verantwortliche legt fest, warum und wie personenbezogene Daten verarbeitet werden. Beispiele sind Unternehmen, Behörden, Vereine oder Selbstständige.

Auftragsverarbeiter
Der Auftragsverarbeiter handelt nur im Auftrag des Verantwortlichen. Typische Beispiele sind IT-Dienstleister, Cloud-Anbieter oder externe Callcenter.

Rechtsrahmen (Art. 28 DSGVO)
Die Zusammenarbeit muss in einem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Darin verpflichtet sich der Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen umzusetzen und die Vorgaben des Verantwortlichen einzuhalten.

Die Meldepflichten sind in Art. 33 und Art. 34 DSGVO geregelt. Sie betreffen den Umgang mit Verletzungen des Schutzes personenbezogener Daten („Datenpannen“).

Art. 33 DSGVO – Meldung an die Aufsichtsbehörde
Verantwortliche müssen eine Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Die Meldung muss enthalten:

• Art der Verletzung

• Kategorien und Anzahl betroffener Personen und Datensätze

• mögliche Folgen

• ergriffene oder geplante Maßnahmen zur Behebung und Schadensminderung

Wenn die Meldung später als nach 72 Stunden erfolgt, ist dies zu begründen.

Art. 34 DSGVO – Benachrichtigung der betroffenen Personen
Wenn eine Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat, müssen auch die Betroffenen selbst informiert werden. Die Information muss klar und in einfacher Sprache erklären, was passiert ist, welche Folgen drohen und welche Schutzmaßnahmen ergriffen wurden.

Ausnahme
Die Benachrichtigung der Betroffenen ist nicht erforderlich, wenn durch technische Maßnahmen wie Verschlüsselung sichergestellt ist, dass Unbefugte keinen Zugriff auf die Daten haben.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist in Art. 30 DSGVO vorgeschrieben. Es dient als zentrale Dokumentation aller Prozesse, in denen personenbezogene Daten verarbeitet werden. Das VVT ist ein wichtiges Werkzeug zur Transparenz. Es ermöglicht Unternehmen, den Überblick über ihre Datenflüsse zu behalten, dient als Grundlage für Risikoanalysen und DSFA und ist ein zentraler Nachweis für die Aufsichtsbehörden.

Pflicht
Jeder Verantwortliche und Auftragsverarbeiter muss ein VVT führen. Nur kleine Unternehmen mit weniger als 250 Mitarbeitern sind in Ausnahmefällen befreit – wenn die Verarbeitung nur gelegentlich erfolgt, kein Risiko besteht und keine sensiblen Daten betroffen sind.

Inhalt
Das VVT muss mindestens enthalten:

• Name und Kontaktdaten des Verantwortlichen bzw. Auftragsverarbeiters

• Zwecke der Verarbeitung

• Kategorien von betroffenen Personen und Daten

• Empfänger oder Kategorien von Empfängern

• Übermittlungen in Drittländer

• geplante Löschfristen

• Beschreibung der technischen und organisatorischen Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) sind in Art. 32 DSGVO geregelt. Sie sollen sicherstellen, dass personenbezogene Daten angemessen vor Verlust, Missbrauch und unbefugtem Zugriff geschützt sind. Die Sicherheit der Verarbeitung muss dem Risiko angepasst sein. Je sensibler die Daten und je größer die möglichen Folgen eines Vorfalls, desto höher sind die Anforderungen.

Beispiele für technische Maßnahmen

• Verschlüsselung von Daten

• Zugriffsbeschränkungen und Authentifizierung

• Firewalls und Virenschutz

• Protokollierung und Monitoring

• Backups und Notfallwiederherstellung

Beispiele für organisatorische Maßnahmen

• klare Rollen- und Berechtigungskonzepte

• Schulung und Sensibilisierung der Mitarbeitenden

• interne Richtlinien und Verfahren

• Regelungen für Auftragsverarbeitung und Unterauftragsverarbeiter

Nachweispflicht
Unternehmen müssen dokumentieren, welche TOM umgesetzt sind, und regelmäßig prüfen, ob sie dem Stand der Technik und den Risiken angemessen sind.

Die Datenschutz-Folgenabschätzung (DSFA) ist in Art. 35 DSGVO geregelt. Sie ist ein Instrument, mit dem Unternehmen Risiken für die Rechte und Freiheiten von Betroffenen bewerten und geeignete Schutzmaßnahmen festlegen müssen. Eine DSFA soll sicherstellen, dass Datenschutzrisiken frühzeitig erkannt und beherrscht werden.

Wann ist eine DSFA erforderlich?
Immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene mit sich bringt, z. B.:

• Verarbeitung besonders sensibler Daten (Art. 9 DSGVO)

• umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche

• systematische und umfassende Profiling- oder Scoring-Verfahren

• umfangreiche Verarbeitung von Daten über Gesundheit, Biometrie oder Verhalten

Die Datenschutzaufsichtsbehörden veröffentlichen zusätzlich Positivlisten (wann eine DSFA nötig ist) und Negativlisten (wann keine Pflicht besteht).

Inhalte einer DSFA

• Beschreibung der geplanten Verarbeitung und ihrer Zwecke

• Bewertung der Notwendigkeit und Verhältnismäßigkeit

• Analyse der Risiken für Rechte und Freiheiten der Betroffenen

• Festlegung von Maßnahmen zur Risikominimierung

Folgepflicht
Kommt die DSFA zu dem Ergebnis, dass trotz Maßnahmen ein hohes Risiko bleibt, muss die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).

Der Datenschutzbeauftragte ist nach Art. 37–39 DSGVO die zentrale Ansprechperson für Datenschutz im Unternehmen oder in einer Behörde. Er sorgt dafür, dass Vorschriften eingehalten und Betroffene geschützt werden. Ein DSB ist nicht nur gesetzliche Pflicht, sondern auch ein wichtiger Faktor, um Datenschutz im Unternehmen dauerhaft zu verankern und Risiken zu vermeiden.

Bestellungspflicht
Ein DSB ist zu benennen, wenn:

• die Kerntätigkeit in umfangreicher Verarbeitung sensibler Daten liegt,

• eine systematische Überwachung von Personen erfolgt, oder

• eine nationale Pflicht besteht (in Deutschland z. B. nach § 38 BDSG für viele Unternehmen).

Aufgaben (Art. 39 DSGVO)

• Überwachung der Einhaltung von DSGVO, BDSG und internen Richtlinien

• Beratung der Geschäftsführung und Fachabteilungen

• Sensibilisierung und Schulung der Beschäftigten

• Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)

• Zusammenarbeit mit der Aufsichtsbehörde

Stellung
Der DSB arbeitet weisungsfrei, darf wegen seiner Tätigkeit nicht benachteiligt werden und berichtet direkt an die Leitungsebene.

Internationale Datenübermittlungen sind in Art. 44 ff. DSGVO geregelt. Grundsätzlich gilt: Eine Übermittlung in ein Drittland oder an eine internationale Organisation ist nur erlaubt, wenn dort ein angemessenes Datenschutzniveau besteht oder besondere Garantien vorgesehen sind.

Angemessenheitsbeschluss (Art. 45 DSGVO)
Die EU-Kommission kann feststellen, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet. Beispiel: Japan oder die USA (für Unternehmen mit DPF-Zertifizierung).

Standardvertragsklauseln – SCC (Art. 46 Abs. 2 lit. c DSGVO)
Von der EU vorgegebene Musterklauseln, die Verantwortliche und Empfänger verpflichten, DSGVO-Standards einzuhalten. Ergänzend sind oft technische Maßnahmen wie Verschlüsselung notwendig.

Binding Corporate Rules – BCR (Art. 47 DSGVO)
Von den Aufsichtsbehörden genehmigte verbindliche Datenschutzregeln für internationale Konzerne, die konzernweite Datenübermittlungen ermöglichen.

Art. 48 DSGVO – Anordnungen aus Drittländern
Behördliche oder gerichtliche Anordnungen aus einem Drittland sind keine eigenständige Rechtsgrundlage für eine Datenübermittlung. Eine Herausgabe ist nur zulässig, wenn ein internationales Abkommen (z. B. Rechtshilfevertrag) besteht.

Ausnahmen (Art. 49 DSGVO)
In besonderen Fällen können Daten auch ohne Garantien übermittelt werden, z. B. bei ausdrücklicher Einwilligung, Vertragserfüllung, wichtigen öffentlichen Interessen oder lebenswichtigen Interessen. Diese Ausnahmen sind restriktiv auszulegen.

USA und Data Privacy Framework (DPF)
Für US-Unternehmen, die sich beim Data Privacy Framework zertifiziert haben, gilt ein Angemessenheitsbeschluss. Für alle anderen Übermittlungen in die USA sind SCC plus zusätzliche Schutzmaßnahmen erforderlich.

Die Zuständigkeit der Datenschutzaufsichtsbehörden richtet sich nach Art. 51 ff. DSGVO und dem Sitz des Verantwortlichen. Das Verfahren erleichtert die Zusammenarbeit zwischen Unternehmen und Behörden und sorgt für eine einheitliche Anwendung der DSGVO innerhalb der EU.

Deutschland

• Für Unternehmen und Behörden der Länder sind die Landesdatenschutzbehörden zuständig.

• Für Bundesbehörden sowie für Telekommunikation und Post ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.

One-Stop-Shop (Art. 56 DSGVO)
Bei grenzüberschreitender Datenverarbeitung gilt das Prinzip des „One-Stop-Shops“. Das bedeutet:

• Zuständig ist in erster Linie die Aufsichtsbehörde des Landes, in dem der Verantwortliche seinen Hauptsitz hat („federführende Behörde“).

• Andere betroffene Behörden arbeiten mit und stimmen sich ab.

• Unternehmen haben dadurch nur einen zentralen Ansprechpartner, auch wenn sie europaweit tätig sind.

Betroffene können ihre Rechte nicht nur direkt gegenüber dem Verantwortlichen geltend machen, sondern auch bei den Aufsichtsbehörden und vor Gericht durchsetzen. Die entsprechenden Vorschriften finden sich in Art. 77–82 DSGVO. Diese Rechte stellen sicher, dass Betroffene nicht auf den guten Willen der Unternehmen angewiesen sind, sondern wirksame Mittel haben, ihre Ansprüche durchzusetzen

Art. 77 DSGVO – Beschwerderecht
Jede betroffene Person hat das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Ansicht ist, dass ihre Daten unrechtmäßig verarbeitet wurden. Dies gilt unabhängig vom Sitz des Unternehmens – die Beschwerde kann bei jeder europäischen Aufsichtsbehörde eingereicht werden.

Art. 78 DSGVO – Gerichtlicher Rechtsschutz
Betroffene können zusätzlich den Rechtsweg beschreiten und eine gerichtliche Überprüfung der Entscheidung oder Untätigkeit einer Aufsichtsbehörde verlangen.

Art. 79 DSGVO – Klage gegen Verantwortliche oder Auftragsverarbeiter
Neben der Behörde können Betroffene auch direkt gegen Unternehmen oder Auftragsverarbeiter klagen, wenn sie ihre Rechte verletzt sehen.

Art. 82 DSGVO – Schadensersatz
Wer durch einen Datenschutzverstoß einen materiellen oder immateriellen Schaden erleidet, hat Anspruch auf Schadenersatz. Dies umfasst sowohl finanzielle Verluste als auch immaterielle Schäden wie Kontrollverlust oder Rufschädigung.

Die DSGVO sieht in Art. 83 und 84 strenge Sanktionen vor, um die Einhaltung der Vorschriften durchzusetzen. Zusätzlich regelt Art. 82 DSGVO den Anspruch auf Schadensersatz für Betroffene. Hohe Strafen sollen Unternehmen und Behörden anhalten, Datenschutz ernst zu nehmen und Verstöße zu vermeiden.

Bußgelder nach Art. 83 DSGVO

• Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei formalen Verstößen, z. B. fehlendem Verzeichnis von Verarbeitungstätigkeiten oder Verstößen bei der Auftragsverarbeitung.

• Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes bei schweren Verstößen, z. B. fehlender Rechtsgrundlage, Verstößen gegen Betroffenenrechte oder unrechtmäßigen Datenübermittlungen in Drittländer.

Strafbestimmungen nach Art. 84 DSGVO
Die Mitgliedstaaten können zusätzliche Vorschriften über Sanktionen festlegen, um Verstöße angemessen zu ahnden. In Deutschland gibt es ergänzend Straf- und Bußgeldvorschriften im BDSG.

Schadensersatz nach Art. 82 DSGVO
Betroffene haben Anspruch auf Ersatz sowohl materieller Schäden (z. B. finanzieller Verlust) als auch immaterieller Schäden (z. B. Kontrollverlust über Daten, Diskriminierung, Rufschädigung).

Der Beschäftigtendatenschutz ist in Art. 88 DSGVO und ergänzend in § 26 BDSG geregelt. Diese Vorschriften schaffen einen speziellen Rahmen für die Verarbeitung von Beschäftigtendaten. Die Vorschriften schützen Beschäftigte vor übermäßiger oder missbräuchlicher Datenverarbeitung im Arbeitsverhältnis.

Art. 88 DSGVO
Erlaubt den Mitgliedstaaten, nationale Regelungen zum Beschäftigtendatenschutz zu erlassen. Ziel ist ein ausgewogenes Verhältnis zwischen den Interessen des Arbeitgebers und dem Schutz der Beschäftigten.

§ 26 BDSG
Die Verarbeitung von Beschäftigtendaten ist erlaubt, wenn sie für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Einwilligungen sind möglich, müssen aber freiwillig sein und dürfen nicht unter Druck zustande kommen.

Beispiele

• Verwaltung von Personalakten

• Lohn- und Gehaltsabrechnung

• Zeiterfassung und Zutrittskontrolle

• Bewerbungsverfahren (mit Löschpflicht nach spätestens 6 Monaten bei Absage)

Kirchen in Deutschland haben eigene Datenschutzgesetze, die parallel zur DSGVO gelten. Grundlage dafür ist Art. 91 DSGVO, der es Kirchen erlaubt, bestehende umfassende Datenschutzregelungen beizubehalten. Die kirchlichen Datenschutzgesetze stellen sicher, dass personenbezogene Daten auch innerhalb der Kirchen auf hohem Niveau geschützt sind, während gleichzeitig ihre Selbstverwaltungsrechte gewahrt bleiben.

Evangelische Kirche

• DSG-EKD (Datenschutzgesetz der Evangelischen Kirche in Deutschland)

• Gilt für alle Einrichtungen der evangelischen Kirche und ihrer Werke

• Überwachung durch eigene kirchliche Datenschutzaufsichtsbehörden

Katholische Kirche

• KDG (Gesetz über den kirchlichen Datenschutz)

• Gilt für katholische Einrichtungen wie Bistümer, Caritas oder Ordensgemeinschaften

• Ebenfalls mit eigenen Aufsichtsbehörden ausgestattet

Besonderheiten

• Beide Gesetze orientieren sich inhaltlich stark an der DSGVO

• Betroffenenrechte und Pflichten der Verantwortlichen sind weitgehend gleich geregelt

• Abweichungen bestehen bei kirchlichen Strukturen, Zuständigkeiten und Aufsichtsbehörden

Cloud-Dienste verarbeiten in der Regel personenbezogene Daten im Auftrag von Unternehmen. Deshalb müssen sie nach den Vorgaben der DSGVO abgesichert werden. Cloud-Nutzung ist zulässig, wenn Verträge, technische Schutzmaßnahmen und Drittlandübermittlungen rechtskonform umgesetzt sind.

Rechtsgrundlagen

• Die Nutzung eines Cloud-Dienstes muss auf einer gültigen Rechtsgrundlage beruhen (meist Art. 6 Abs. 1 lit. b oder f DSGVO).

• Bei sensiblen Daten gelten die besonderen Vorgaben des Art. 9 DSGVO.

Auftragsverarbeitung (AVV)

• Mit jedem Cloud-Anbieter ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen.

• Darin müssen technische und organisatorische Maßnahmen (TOM) dokumentiert sein.

Drittlandübermittlungen

• Viele Cloud-Anbieter sitzen in den USA. Übermittlungen müssen daher über das EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCC) oder andere Garantien abgesichert werden.

Ein Löschkonzept ist die praktische Umsetzung der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO und des Rechts auf Löschung nach Art. 17 DSGVO. Es legt fest, wann und wie personenbezogene Daten gelöscht oder gesperrt werden.

Ziele

• Daten nicht länger aufbewahren als notwendig

• rechtliche Aufbewahrungsfristen berücksichtigen

• Transparenz und Nachvollziehbarkeit schaffen

Inhalte
Ein Löschkonzept sollte enthalten:

• Datenarten und ihre Zwecke

• Aufbewahrungs- und Löschfristen

• Verfahren für Sperrung, Löschung und Anonymisierung

• Verantwortlichkeiten im Unternehmen

• Dokumentation der durchgeführten Löschungen

Beispiel

• Bewerbungsunterlagen: Löschung 6 Monate nach Abschluss des Auswahlverfahrens

• Rechnungsdaten: Aufbewahrungspflicht 10 Jahre nach Handels- und Steuerrecht

• Kundenkonten: Löschung nach Vertragsende, wenn keine gesetzlichen Pflichten entgegenstehen

Nutzen
Ein Löschkonzept reduziert Speicher- und Haftungsrisiken, schafft Rechtssicherheit und dient als Nachweis gegenüber Aufsichtsbehörden.

Die DSGVO verlangt nicht nur die Einhaltung der Vorschriften, sondern auch, dass Verantwortliche dies nachweisen können. Diese Pflicht ergibt sich aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht). Dokumentation schafft Transparenz, erleichtert interne Kontrolle und dient als Nachweis gegenüber Aufsichtsbehörden, dass die DSGVO eingehalten wird.

Wichtige Dokumentationen

• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) – Übersicht aller Datenverarbeitungen

• Technische und organisatorische Maßnahmen (Art. 32 DSGVO) – Nachweis über Sicherheitsvorkehrungen

• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) – Risikoanalysen bei sensiblen Prozessen

• Auftragsverarbeitungsverträge (Art. 28 DSGVO) – Regelungen mit externen Dienstleistern

• Löschkonzept (Art. 17 DSGVO) – Umgang mit Speicherfristen und Datenlöschung

• Schulungs- und Sensibilisierungsnachweise – Belege, dass Mitarbeitende regelmäßig geschult werden

Fristen und Verfahren

• Anfragen von Betroffenen müssen innerhalb eines Monats beantwortet werden (Art. 12 DSGVO).

• Datenschutzverletzungen müssen innerhalb von 72 Stunden gemeldet werden (Art. 33 DSGVO).

• Dokumente sind fortlaufend aktuell zu halten und bei Prüfungen der Aufsichtsbehörde vorzulegen.

Die DSGVO schreibt keine konkreten Schulungen vor, verpflichtet Unternehmen aber in Art. 39 Abs. 1 lit. b DSGVO dazu, Mitarbeitende zu sensibilisieren. Schulungen sind daher ein zentraler Bestandteil der organisatorischen Maßnahmen.

Ziele

• Bewusstsein für den Umgang mit personenbezogenen Daten schaffen

• typische Risiken wie Phishing, Fehlversand oder unsichere Passwörter vermeiden

• rechtliche Vorgaben verständlich machen

Inhalte

• Grundlagen der DSGVO und des nationalen Datenschutzrechts

• Umgang mit Betroffenenrechten

• Meldepflichten bei Datenschutzverletzungen

• sichere Nutzung von IT-Systemen und mobilen Geräten

• spezifische Vorgaben je nach Abteilung (z. B. HR, Marketing, IT)

Nachweis
Durchgeführte Schulungen müssen dokumentiert werden. Dies dient als Beleg für die Rechenschaftspflicht und kann bei Prüfungen durch Aufsichtsbehörden entscheidend sein.

Nutzen
Regelmäßige Schulungen verringern Risiken und helfen, Datenschutz im Arbeitsalltag selbstverständlich zu machen.

Das Bundesdatenschutzgesetz (BDSG) ist das zentrale nationale Datenschutzgesetz in Deutschland. Es ergänzt die DSGVO, die europaweit gilt, und enthält speziell für Deutschland geltende Regelungen. Das BDSG stellt sicher, dass die DSGVO in Deutschland wirksam angewendet wird und besondere nationale Anforderungen berücksichtigt werden.

Funktion
Das BDSG konkretisiert die Vorgaben der DSGVO dort, wo diese den Mitgliedstaaten Gestaltungsspielräume lässt. Es schafft damit einen rechtlichen Rahmen, der die EU-Vorgaben an die deutsche Rechtsordnung anpasst.

Inhalte

• Beschäftigtendatenschutz (§ 26 BDSG): Regeln für den Umgang mit Beschäftigtendaten im Arbeitsverhältnis.

• Videoüberwachung (§ 4 BDSG): Voraussetzungen für die Überwachung öffentlich zugänglicher Räume.

• Aufsichtsbehörden (§§ 8–21 BDSG): Aufgaben, Befugnisse und Zusammenarbeit der Datenschutzbehörden.

• Kirchliches Datenschutzrecht (§ 27 BDSG): Sonderregeln für Kirchen mit eigenen Datenschutzgesetzen (DSG-EKD, KDG).

Die Videoüberwachung öffentlich zugänglicher Räume ist in § 4 BDSG geregelt und ergänzt die Vorgaben der DSGVO. Es soll sicherstellen, dass Videoüberwachung nur in engen Grenzen eingesetzt wird und die Rechte der Betroffenen gewahrt bleiben.

Zulässigkeit
Eine Überwachung ist erlaubt, wenn sie erforderlich ist:

• zur Wahrnehmung des Hausrechts,

• zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (z. B. Schutz vor Diebstahl, Sicherheit von Personen).

Voraussetzungen

• Es muss eine Interessenabwägung erfolgen zwischen den berechtigten Interessen des Verantwortlichen und den Grundrechten der betroffenen Personen.

• Die Überwachung darf nur in dem Umfang erfolgen, der unbedingt notwendig ist.

• Betroffene müssen durch deutlich sichtbare Hinweisschilder informiert werden.

Speicherdauer
Aufzeichnungen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. In der Praxis sind dies häufig wenige Tage. Längere Speicherung ist nur bei Vorfällen zulässig.

Einschränkungen

• Keine Überwachung in Bereichen, die der Intimsphäre dienen (z. B. Sanitäranlagen).

• Am Arbeitsplatz sind zusätzlich die Mitbestimmungsrechte des Betriebsrats zu beachten.

Die Aufgaben und Befugnisse der deutschen Aufsichtsbehörden sind in den §§ 8–21 BDSG geregelt und ergänzen die Vorgaben der DSGVO (Art. 51 ff.). Die Befugnisse stellen sicher, dass Verstöße wirksam verfolgt und die Rechte der Betroffenen durchgesetzt werden können.

Aufgaben

• Überwachung und Durchsetzung der Datenschutzgesetze

• Beratung und Information von Verantwortlichen und Betroffenen

• Bearbeitung von Beschwerden

• Sensibilisierung der Öffentlichkeit für Datenschutzthemen

Befugnisse
Die Behörden dürfen:

• Informationen anfordern und Unterlagen einsehen

• Vor-Ort-Kontrollen durchführen

• Prüfungen und Anhörungen anordnen

• Verarbeitungen einschränken, untersagen oder löschen lassen

• Bußgelder nach Art. 83 DSGVO verhängen

Organisation
In Deutschland gibt es Landesdatenschutzbehörden für den privaten und öffentlichen Bereich der Länder sowie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden, Telekommunikation und Post.

Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt und ergänzt die DSGVO durch spezielle Vorschriften für das Arbeitsverhältnis. § 26 BDSG soll Beschäftigte vor einer übermäßigen oder missbräuchlichen Verarbeitung ihrer Daten durch den Arbeitgeber schützen.

Zulässigkeit
Beschäftigtendaten dürfen verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Dazu gehören z. B. Lohnabrechnung, Personalverwaltung oder Zutrittskontrollen.

Einwilligung
Eine Verarbeitung kann auch auf einer Einwilligung beruhen. Diese muss freiwillig erfolgen, darf nicht unter Druck zustande kommen und sollte schriftlich oder elektronisch dokumentiert werden.

Besondere Datenkategorien
Gesundheitsdaten oder andere sensible Informationen (Art. 9 DSGVO) dürfen nur in engen Ausnahmefällen verarbeitet werden, etwa wenn es für arbeitsrechtliche Pflichten erforderlich ist.

Bewerbungsunterlagen
Daten von Bewerberinnen und Bewerbern dürfen nur für den Zweck des Auswahlverfahrens genutzt werden. Bei einer Absage müssen sie spätestens nach sechs Monaten gelöscht werden.

Die Einwilligung ist auch im Arbeitsverhältnis eine mögliche Rechtsgrundlage, aber ihre Nutzung ist problematisch. Grund dafür ist das Abhängigkeitsverhältnis zwischen Arbeitgeber und Beschäftigten, das die Freiwilligkeit infrage stellen kann. Die Einwilligung darf nicht zum Zwangsmittel werden, sondern soll nur in Bereichen eingesetzt werden, in denen Beschäftigte frei entscheiden können.

Voraussetzungen nach § 26 Abs. 2 BDSG

• Die Einwilligung muss freiwillig erteilt werden.

• Sie soll in Textform vorliegen, also schriftlich oder elektronisch dokumentiert.

• Beschäftigte sind auf ihr Widerrufsrecht hinzuweisen.

Einschränkung
Einwilligungen sind nur wirksam, wenn Beschäftigte eine echte Wahlfreiheit haben, also keine Nachteile drohen, wenn sie die Einwilligung nicht erteilen.

Beispiele

• Zustimmung zur Veröffentlichung von Mitarbeiterfotos auf der Website.

• Teilnahme an einer freiwilligen Gesundheitsvorsorge.

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ist seit Mai 2024 in Kraft. Es löst das bisherige TTDSG ab und bündelt die Datenschutzvorschriften für Telekommunikationsdienste und digitale Dienste wie Websites und Apps. Das TDDDG stärkt die Privatsphäre der Nutzer und sorgt für mehr Transparenz beim Einsatz von Tracking, Cookies und ähnlichen Technologien.

Funktion
Das TDDDG ergänzt die DSGVO und schafft klare Regeln für den Zugriff auf Endgeräte und für den Schutz der Vertraulichkeit von Kommunikation.

Inhalte

• Schutz der Kommunikation bei Telefon, E-Mail und Messenger-Diensten

• Vorgaben für digitale Dienste wie Websites, Streaming-Angebote oder Apps

• § 25 TDDDG: Regeln für Cookies und Tracking-Technologien

• Transparenzpflichten für Anbieter von digitalen Diensten

Übergang vom TTDSG
Die Vorschriften aus dem TTDSG wurden weitgehend übernommen. Für Cookies und ähnliche Technologien bleibt daher die Rechtslage unverändert, nur die Gesetzesbezeichnung hat sich geändert.

§ 25 TDDDG regelt den Einsatz von Cookies und ähnlichen Technologien. Grundsätzlich gilt: Speichern oder Auslesen von Informationen auf einem Endgerät ist nur mit Einwilligung erlaubt. Cookies und Tracking sollen nur eingesetzt werden, wenn Betroffene vorher eindeutig zustimmen oder sie für die Funktion unbedingt notwendig sind.

Einwilligungspflicht

• Erforderlich für alle nicht notwendigen Cookies und Tracking-Technologien

• Beispiele: Analyse-Tools, Werbetracking, Personalisierung, Reichweitenmessung

• Einwilligung muss aktiv, freiwillig, informiert und jederzeit widerrufbar sein

Ausnahmen
Eine Einwilligung ist nicht erforderlich, wenn Cookies oder ähnliche Technologien:

• ausschließlich der Übertragung einer Nachricht dienen, oder

• technisch unbedingt notwendig sind, damit ein vom Nutzer ausdrücklich gewünschter Dienst funktioniert (z. B. Warenkorb-Cookie, Login-Sitzung).

Zusammenspiel mit der DSGVO

• Das TDDDG regelt den Zugriff auf das Endgerät (Setzen und Auslesen von Cookies).

• Die DSGVO regelt die weitere Verarbeitung der dadurch erhobenen personenbezogenen Daten.

• Praktisch bedeutet das: Zuerst Einwilligung nach TDDDG, anschließend eine Rechtsgrundlage nach Art. 6 DSGVO.

Das TDDDG und die DSGVO greifen ineinander und regeln unterschiedliche Aspekte der Datenverarbeitung. Das Zusammenspiel stellt sicher, dass sowohl der Zugriff auf Endgeräte geschützt ist als auch die anschließende Datenverarbeitung datenschutzkonform erfolgt.

TDDDG (§ 25)

• Regelt den Zugriff auf Endgeräte wie Computer, Smartphones oder Tablets.

• Betrifft das Setzen und Auslesen von Cookies und vergleichbaren Technologien.

• Einwilligung ist fast immer erforderlich, außer bei technisch notwendigen Vorgängen.

DSGVO (Art. 6 ff.)

• Regelt die weitere Verarbeitung der durch Cookies oder andere Technologien erhobenen Daten.

• Bestimmt die Rechtsgrundlage für Verarbeitungsvorgänge (z. B. Einwilligung, Vertrag, berechtigtes Interesse).

Praxis

• Zuerst muss geprüft werden, ob eine Einwilligung nach TDDDG nötig ist.

• Danach muss geklärt werden, welche Rechtsgrundlage nach DSGVO für die Verarbeitung gilt.

Nur solche Cookies, die für die Funktion eines Dienstes zwingend gebraucht werden, dürfen ohne Einwilligung gesetzt werden. Nach § 25 Abs. 2 TDDDG ist eine Einwilligung nicht erforderlich, wenn Cookies oder ähnliche Technologien:

• ausschließlich der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dienen, oder

• unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen.

Beispiele für technisch notwendige Cookies

• Warenkorb-Cookies in Online-Shops

• Login- oder Session-Cookies zur Anmeldung

• Sicherheits-Cookies zur Abwehr von Angriffen

• Spracheinstellungen oder Cookie-Consent-Einstellungen

Abgrenzung
Nicht notwendig sind Analyse-, Marketing- oder Tracking-Cookies. Für diese ist immer eine Einwilligung erforderlich.

Die Einwilligungspflicht nach § 25 TDDDG zwingt Unternehmen, ein transparentes und wirksames Einwilligungs-Management einzuführen. Nur ein korrektes Einwilligungs-Management schützt Unternehmen vor Bußgeldern und stellt die Einhaltung der DSGVO und des TDDDG sicher.

Consent-Management-Plattform (CMP)

• stellt sicher, dass Nutzer aktiv einwilligen, bevor nicht notwendige Cookies gesetzt werden

• bietet die Möglichkeit, Einwilligungen granular (nach Zweck oder Anbieter) zu geben

• dokumentiert Einwilligungen nachweisbar

Pflichten

• Einwilligung muss vor der Datenverarbeitung eingeholt werden („Opt-in“)

• Ablehnen muss genauso einfach sein wie Zustimmen

• Widerruf muss jederzeit möglich sein

• Einwilligungen müssen rechtssicher gespeichert und abrufbar sein

Typische Fehler

• voreingestellte Häkchen („Opt-out“)

• unklare oder irreführende Formulierungen

• fehlende Möglichkeit zur einfachen Ablehnung

• Tracking trotz fehlender Einwilligung („Dark Patterns“)

In Deutschland ist die Rechtslage streng: Nach § 25 TDDDG ist für Reichweitenmessung grundsätzlich eine Einwilligung erforderlich. Unternehmen in Deutschland sollten bei Reichweitenmessung nicht auf Ausnahmeregelungen vertrauen, sondern eine transparente Einwilligungslösung einsetzen.

Ausnahmen im Ausland
In Frankreich erlaubt die Datenschutzaufsicht CNIL unter engen Bedingungen Reichweitenmessung ohne Einwilligung, wenn:

• nur anonyme Statistiken erstellt werden

• keine Daten an Dritte weitergegeben werden

• keine Identifizierung der Nutzer erfolgt

Deutschland
Solche generellen Ausnahmen gibt es hier nicht. Auch für Reichweitenmessung (z. B. mit Matomo, Google Analytics, Piwik PRO) ist in der Regel eine Einwilligung notwendig – es sei denn, das Tool wird strikt ohne Cookies und nur mit anonymisierten IP-Adressen betrieben.