DSGVO (Datenschutz-Grundverordnung)
Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 die zentrale EU-Verordnung zum Schutz personenbezogener Daten. Sie gilt verbindlich für alle Unternehmen in der EU – unabhängig von Größe oder Branche – und legt umfassende Pflichten zur rechtmäßigen Datenverarbeitung fest.
Ausführliche Erklärung
Die DSGVO gilt unmittelbar in allen EU-Mitgliedstaaten und schafft erstmals einheitliche Datenschutzstandards für Unternehmen, Behörden und öffentliche Einrichtungen. Sie regelt die Verarbeitung personenbezogener Daten – also jeder Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, von Name und E-Mail-Adresse bis hin zu IP-Adressen oder Standortdaten. Der räumliche Anwendungsbereich ist dabei bewusst weit gefasst: Auch Unternehmen außerhalb der EU unterliegen der Verordnung, sobald sie Daten von EU-Bürgern verarbeiten oder diesen Waren oder Dienstleistungen anbieten.
Für österreichische und deutsche KMU bedeutet die DSGVO vor allem: Jede Verarbeitung personenbezogener Daten muss auf einer Rechtsgrundlage beruhen (etwa Vertragserfüllung, Einwilligung oder berechtigtes Interesse), Betroffene müssen transparent informiert werden, und ihre Rechte auf Auskunft, Berichtigung und Löschung sind zu respektieren. Unternehmen müssen zudem ein Verzeichnis der Verarbeitungstätigkeiten führen, Datenschutzverletzungen innerhalb von 72 Stunden melden und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen. In Deutschland ist ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter zu bestellen (§ 38 BDSG). In Österreich gibt es keine starre Mitarbeiterschwelle; dort richtet sich die Bestellpflicht allein nach Art. 37 DSGVO – etwa bei umfangreicher regelmäßiger Überwachung oder der Verarbeitung besonderer Datenkategorien.
Die Aufsichtsbehörden – in Österreich die Datenschutzbehörde, in Deutschland die Landesdatenschutzbeauftragten und die Bundesbeauftragte – können bei Verstößen empfindliche Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. In der Praxis setzen die Behörden bei erstmaligen oder geringfügigen Verstößen häufig auf Verwarnungen und Abhilfemaßnahmen. Dennoch zeigen aktuelle Fälle, dass auch KMU bei Nichteinhaltung grundlegender Pflichten – etwa ignorierte Auskunftsbegehren oder fehlende Auftragsverarbeitungsverträge – sanktioniert werden.
Aktuell diskutiert die EU-Kommission Reformvorschläge, die KMU durch Erleichterungen bei Dokumentationspflichten entlasten sollen. Gleichzeitig stehen diese Pläne in der Kritik, da sie den Datenschutz in sensiblen Bereichen wie KI-Training abschwächen könnten. Für die Praxis in KMU bleibt relevant: Die DSGVO ist kein einmaliges Projekt, sondern erfordert kontinuierliche Aufmerksamkeit und Anpassung der internen Prozesse an neue Technologien und Geschäftsmodelle.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 15 Mitarbeitenden in Wien verarbeitet Mandantendaten, führt ein Verarbeitungsverzeichnis, schließt mit ihrem Cloud-Buchhaltungs-Anbieter einen Auftragsverarbeitungsvertrag und informiert Mandanten transparent in der Datenschutzerklärung. Als ein Mandant Auskunft über seine gespeicherten Daten verlangt, wird diese innerhalb der Monatsfrist vollständig erteilt – eine typische DSGVO-Pflicht, deren Nichteinhaltung häufig zu Beschwerden führt.
Quellen
- EU-Datenschutz-Grundverordnung (DSGVO): Die wichtigsten Fragen und Antworten - WKO
- Datenschutzrecht in Österreich - Datenschutzbehörde
- EU-Datenschutz-Grundverordnung (EU-DSGVO), BDSG, DSG-Österreich
- DSGVO-Strafen Österreich 2026 – Aktuelle Fälle & Bußgelder
- DSGVO-Bußgelder 2026: Aktuelle Fälle und Höhe der Strafen