DSGVO konform: Was Unternehmen wissen müssen
DSGVO konform zu arbeiten ist für jedes Unternehmen in der EU Pflicht – doch was bedeutet das konkret? Die Datenschutz-Grundverordnung (DSGVO) schreibt strikte Regeln für den Umgang mit personenbezogenen Daten vor. Verstöße können mit Bußgeldern von bis zu 4% des weltweiten Jahresumsatzes geahndet werden. In diesem umfassenden Guide zeigen wir Ihnen, wie Sie Ihr Unternehmen DSGVO konform aufstellen.
Was bedeutet DSGVO konform?
DSGVO konform bedeutet, dass alle Verarbeitungstätigkeiten von personenbezogenen Daten den Anforderungen der Datenschutz-Grundverordnung entsprechen. Dazu gehören:
- Rechtsgrundlage für die Datenverarbeitung
- Transparenz gegenüber Betroffenen
- Technische und organisatorische Maßnahmen (TOMs)
- Datensicherheit und Verschlüsselung
- Dokumentation aller Verarbeitungstätigkeiten
- Vertragliche Regelungen mit Auftragsverarbeitern
Die wichtigsten DSGVO-Prinzipien
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden. Sie benötigen eine gesetzliche Rechtsgrundlage (z.B. Einwilligung, Vertrag, berechtigtes Interesse).
2. Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine weitere Verarbeitung ist nur mit neuer Rechtsgrundlage zulässig.
3. Datenminimierung
Es dürfen nur Daten erhoben werden, die für den Zweck wirklich notwendig sind. Das „So viel wie nötig, so wenig wie möglich“-Prinzip gilt.
4. Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls aktuell gehalten werden. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden.
5. Speicherbegrenzung
Daten dürfen nicht länger gespeichert werden, als für den Zweck erforderlich. Löschfristen müssen definiert und eingehalten werden.
6. Integrität und Vertraulichkeit
Daten müssen durch geeignete technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Verlust oder Zerstörung geschützt werden.
7. Rechenschaftspflicht
Der Verantwortliche muss die Einhaltung aller Prinzipien nachweisen können – durch Dokumentation und Nachweise.
DSGVO konform: Technische und organisatorische Maßnahmen (TOMs)
Die DSGVO verpflichtet Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen:
Technische Maßnahmen:
- Verschlüsselung: AES-256 für Daten, TLS für Übertragungen
- Zugriffskontrolle: Passwörter, 2FA, Berechtigungskonzepte
- Pseudonymisierung: Trennung von Daten und Identifikationsmerkmalen
- Firewalls und Antivirus: Schutz vor externen Angriffen
- Backup-Systeme: Regelmäßige Sicherungen mit Wiederherstellungsplänen
Organisatorische Maßnahmen:
- Benennung eines Datenschutzbeauftragten: Pflicht bei bestimmten Unternehmen
- Datenschutzschulungen: Regelmäßige Mitarbeiterschulungen
- Verarbeitungsverzeichnis: Dokumentation aller Verarbeitungstätigkeiten
- Verfahrensverzeichnis: Beschreibung der Prozesse und Verantwortlichkeiten
- Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungen Pflicht
DSGVO konform bei der Auftragsverarbeitung
Wenn Sie Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen (z.B. Cloud-Anbieter, Marketing-Agenturen, Buchhaltung), müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser regelt:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Rechte und Pflichten des Auftraggebers
- Kontrollrechte des Auftraggebers
- Verschlüsselung und Sicherheitsmaßnahmen
- Unterauftragsverhältnisse
- Rückgabe und Löschung nach Vertragsende
DSGVO konform mit docurex
docurex ist speziell für DSGVO-konformen Dokumentenaustausch konzipiert:
- Server in Deutschland: Keine Datenweitergabe in Drittstaaten
- ISO 27001 zertifiziert: Höchste Sicherheitsstandards
- AVV inklusive: Fertiger Auftragsverarbeitungsvertrag
- Verschlüsselung: AES-256 für Speicherung, TLS für Übertragung
- Audit-Trail: Nachweisbare Dokumentation aller Zugriffe
- Löschkonzepte: Automatische Löschung nach definierten Fristen
- Zugriffskontrolle: Detaillierte Berechtigungen und 2FA
Checkliste: Ist Ihr Unternehmen DSGVO konform?
- ✅ Verarbeitungsverzeichnis vorhanden und aktuell?
- ✅ Datenschutzbeauftragten benannt (falls erforderlich)?
- ✅ AVVs mit allen Auftragsverarbeitern abgeschlossen?
- ✅ Datenschutzerklärung auf der Website vorhanden?
- ✅ Technische Sicherheitsmaßnahmen implementiert (Verschlüsselung, 2FA)?
- ✅ Mitarbeiter geschult?
- ✅ Verfahren für Betroffenenrechte etabliert (Auskunft, Löschung)?
- ✅ Datenschutz-Folgenabschätzung durchgeführt (wo nötig)?
- ✅ Datenweitergabe an Dritte dokumentiert?
- ✅ Löschfristen definiert und automatisiert?
Fazit
DSGVO konform zu arbeiten ist keine Option, sondern Pflicht. Die Investition in datenschutzkonforme Infrastruktur und Prozesse zahlt sich aus – durch Vermeidung von Bußgeldern, Schutz des Unternehmensimages und Vertrauen der Kunden.
FAQ
Was kostet ein DSGVO-Verstoß?
Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Braucht jedes Unternehmen einen Datenschutzbeauftragten?
Nicht unbedingt. Pflichtig sind: Behörden, Unternehmen mit 20+ Mitarbeitern bei automatisierten Verarbeitungen, Kreditinstitute, Versicherungen, Telekommunikationsunternehmen.
Was muss in einen AVV?
Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datentypen, Rechte/Pflichten, Kontrollrechte, Sicherheitsmaßnahmen, Unterauftragsverhältnisse, Rückgabe/Löschung.
Was ist ein Verarbeitungsverzeichnis?
Eine Dokumentation aller Verarbeitungstätigkeiten mit Zweck, Datenkategorien, Empfängern, Löschfristen und technischen Maßnahmen.
Wie lange müssen Daten gespeichert werden?
Nur so lange wie für den Zweck erforderlich. Handelsrechtlich 6-10 Jahre für Geschäftsunterlagen, danach Löschung.
