DSGVO (Datenschutz-Grundverordnung)
EU-Datenschutzgesetz (seit Mai 2018) das alle Unternehmen die personenbezogene Daten von EU-Bürgern verarbeiten zur Einhaltung verpflichtet. Bußgelder bis 4% des weltweiten Jahresumsatzes oder 20 Mio. € - je nachdem was höher ist.
Die Datenschutz-Grundverordnung (DSGVO) - englisch GDPR (General Data Protection Regulation) - ist seit 25. Mai 2018 in der gesamten EU unmittelbar anwendbar. Sie gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo das Unternehmen ansässig ist (Marktortprinzip).
Kernprinzipien der DSGVO (Art. 5)
Die DSGVO basiert auf 7 Grundprinzipien, die in Art. 5 DSGVO verankert sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz - Verarbeitung braucht Rechtsgrundlage
- Zweckbindung - Daten nur für festgelegte, legitime Zwecke
- Datenminimierung - Nur so viele Daten wie nötig
- Richtigkeit - Daten müssen korrekt und aktuell sein
- Speicherbegrenzung - Löschen wenn nicht mehr benötigt
- Integrität und Vertraulichkeit - Technische und organisatorische Maßnahmen (TOMs)
- Rechenschaftspflicht - Unternehmen müssen Compliance nachweisen können
Rechtsgrundlagen für die Datenverarbeitung (Art. 6)
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage:
| Rechtsgrundlage | Wann anwendbar |
|---|---|
| Einwilligung (Art. 6 I a) | Newsletter, Marketing-Cookies, Analyse |
| Vertragserfüllung (Art. 6 I b) | Kundendaten für Auftragsabwicklung |
| Rechtliche Verpflichtung (Art. 6 I c) | Steuerrechtliche Aufbewahrungspflichten |
| Lebenswichtige Interessen (Art. 6 I d) | Notfälle, selten relevant |
| Öffentliches Interesse (Art. 6 I e) | Behörden, Forschung |
| Berechtigtes Interesse (Art. 6 I f) | B2B-Marketing, Sicherheit - Interessenabwägung nötig |
Rechte der Betroffenen (Art. 15-22)
Unternehmen müssen diese Rechte technisch und organisatorisch ermöglichen:
- Auskunftsrecht (Art. 15): Was speichern wir über Sie?
- Berichtigungsrecht (Art. 16): Falsche Daten korrigieren
- Recht auf Löschung (Art. 17): “Recht auf Vergessenwerden”
- Recht auf Einschränkung (Art. 18): Verarbeitung pausieren
- Recht auf Datenübertragbarkeit (Art. 20): Maschinenlesbare Exportdatei
- Widerspruchsrecht (Art. 21): Gegen Direktmarketing, Profiling
- Recht auf Nichtbewertung (Art. 22): Keine automatisierten Entscheidungen ohne Mensch
TOMs - Technische und Organisatorische Maßnahmen (Art. 32)
Art. 32 DSGVO verpflichtet zur Umsetzung “geeigneter technischer und organisatorischer Maßnahmen”:
Technisch:
- Verschlüsselung personenbezogener Daten (TLS in Transit, AES-256 at Rest)
- Pseudonymisierung (Trennung von Identifikator und Daten)
- Zugriffskontrollen (Least Privilege, MFA)
- Backup und Wiederherstellbarkeit
- Regelmäßige Tests der Sicherheitsmaßnahmen (Penetrationstest, Schwachstellenscan)
Organisatorisch:
- Mitarbeiter-Schulungen zur DSGVO
- Datenschutzfolgenabschätzung (DSFA) für riskante Verarbeitungen
- Verarbeitungsverzeichnis (Art. 30 DSGVO)
- Auftragsverarbeitungsverträge (AVV) mit Dienstleistern
Meldepflicht bei Datenschutzverletzungen (Art. 33-34)
Frist: 72 Stunden nach Bekanntwerden einer Datenpanne.
Meldung an:
- Aufsichtsbehörde (in Deutschland: jeweiliges Landesamt): immer
- Betroffene Personen (Art. 34): wenn hohes Risiko für ihre Rechte
Was ist meldepflichtig?
- Unbefugter Zugriff auf Kundendaten
- Ransomware-Angriff der Daten verschlüsselt/exfiltriert
- Verlorener Laptop mit unverschlüsselten Kundendaten
- Versehentliche E-Mail mit falschen Empfängern (bei sensiblen Daten)
Was ist nicht meldepflichtig?
- Angriff wurde abgewehrt, keine Daten betroffen
- Verschlüsselte Daten verloren (Schlüssel nicht kompromittiert)
Bußgelder: Zwei Stufen
| Stufe | Max. Bußgeld | Beispiele |
|---|---|---|
| Höherer Rahmen | 20 Mio. € oder 4% Jahresumsatz | Art. 5, 6, 7 (Verarbeitungsgrundsätze), Art. 9 (sensible Daten) |
| Niedrigerer Rahmen | 10 Mio. € oder 2% Jahresumsatz | Art. 8 (Einwilligung Kinder), Art. 11-22 (technische Anforderungen) |
Hohe Bußgelder in der Praxis:
- Meta/Facebook: 1,2 Mrd. € (2023, Datentransfer USA)
- Amazon: 746 Mio. € (2021, Tracking ohne Einwilligung)
- WhatsApp: 225 Mio. € (2021, Transparenzpflichten)
Deutschland: Durchschnittliche Bußgelder in Deutschland deutlich geringer, aber steigend. Fokus der BayLDA/LDI auf technische Sicherheit.
DSGVO und IT-Sicherheit: Direkte Verbindung
Art. 32 DSGVO verlangt explizit Informationssicherheitsmaßnahmen. ISO 27001-Zertifizierung dient als Nachweis der Einhaltung von Art. 32:
| ISO 27001 Kontrolle | DSGVO Anforderung |
|---|---|
| A.8.24 (Kryptographie) | Art. 32 (TOMs: Verschlüsselung) |
| A.8.15 (Logging) | Art. 5 (Rechenschaftspflicht) |
| A.6.8 (Incident Reporting) | Art. 33 (72h-Meldepflicht) |
| A.8.10 (Datenlöschung) | Art. 17 (Recht auf Löschung) |
Datenschutzbeauftragter (DSB) - Art. 37
Ein DSB ist Pflicht wenn das Unternehmen:
- Öffentliche Stelle ist
- Kerntätigkeit umfangreiche Verarbeitung besonderer Kategorien (Gesundheitsdaten, etc.)
- Umfangreiche, regelmäßige und systematische Beobachtung von Personen
Auch ohne Pflicht ist ein freiwilliger DSB empfehlenswert (Haftungsschutz, DSGVO-Expertise).
Auftragsverarbeitung (AVV) - Art. 28
Jede externe Stelle die im Auftrag personenbezogene Daten verarbeitet, braucht einen AVV:
- Cloud-Anbieter (AWS, Azure, M365)
- SaaS-Anbieter (CRM, HR-Software)
- Newsletter-Dienste
- IT-Dienstleister mit Datenzugang
Der AVV regelt: Zweck, Weisungsgebundenheit, Unterauftragnehmer, technische Sicherheit, Löschung nach Auftragsende.
AWARE7 Leistungen zum Thema
Ausführlicher Wiki-Artikel
Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide
22 min Lesezeit
Incident Response
9 Min. Lesezeit
ISO 27001 - Informationssicherheitsmanagementsystem
9 Min. Lesezeit
Kryptographie: Verschlüsselung, Algorithmen, PKI und Post-Quantum
20 Min. Lesezeit
Schwachstellenmanagement: Der vollständige Leitfaden
13 min Lesezeit
