DSGVO (Datenschutz-Grundverordnung)

Ausführliche Erklärung

Die DSGVO vereinheitlicht den Datenschutz in allen 27 EU-Mitgliedstaaten und stärkt die Rechte betroffener Personen erheblich. Sie regelt, wie personenbezogene Daten – also alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen (Name, E-Mail-Adresse, IP-Adressen etc.) – erhoben, verarbeitet, gespeichert und weitergegeben werden dürfen. In Österreich wird sie durch das Datenschutzgesetz (DSG), in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt.

Für KMU bedeutet die DSGVO konkrete Verpflichtungen: Sie müssen transparent machen, welche Daten sie zu welchem Zweck verarbeiten, eine Rechtsgrundlage für jede Verarbeitung nachweisen können und betroffene Personen über ihre Rechte informieren. Zentrale Pflichten sind das Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO), die Umsetzung technischer und organisatorischer Maßnahmen (TOMs) zur Datensicherheit, die Meldung von Datenschutzverletzungen binnen 72 Stunden sowie die Erfüllung von Auskunfts-, Lösch- und Berichtigungsansprüchen Betroffener. Auch wenn Unternehmen unter 250 Mitarbeiter beschäftigen, entfällt die Verzeichnispflicht in der Praxis kaum, da Datenverarbeitung regelmäßig und nicht nur gelegentlich erfolgt.

Bei Verstößen drohen empfindliche Bußgelder: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Höhe bemisst sich nach Art und Schwere des Verstoßes, der Unternehmensgröße und der Kooperationsbereitschaft. Auch KMU werden sanktioniert – realistisch sind hier Bußgelder im vier- bis fünfstelligen Bereich, insbesondere bei Verletzung des Auskunftsrechts oder fehlenden Verarbeitungsverzeichnissen.

Die DSGVO ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Unternehmen sollten Datenschutz als integralen Bestandteil ihrer Geschäftstätigkeit verstehen – nicht nur aus rechtlicher Verpflichtung, sondern auch zur Stärkung des Vertrauens von Kund:innen und Geschäftspartner:innen.