Das Wichtigste in Kürze
- Datenschutz DSGVO Grundlagen betreffen jedes Unternehmen in der EU. Die DSGVO gilt seit Mai 2018 und regelt, wie personenbezogene Daten verarbeitet werden dürfen.
- Das Grundprinzip: Datenverarbeitung ist verboten, es sei denn, es gibt eine klare Rechtsgrundlage dafür. Zum Beispiel eine Einwilligung oder ein Vertrag.
- Betroffene Personen haben 7 Rechte, darunter Auskunft, Löschung und Widerspruch. Unternehmen müssen Anfragen innerhalb eines Monats beantworten.
- Bußgelder können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Allein in Deutschland wurden 2025 rund 46,9 Millionen Euro an Strafen verhängt (Quelle: DSGVO-Portal).
- Wer Digitalisierung in Unternehmen einführen will, braucht Datenschutzkenntnisse. Die Weiterbildung zum Digitalisierungsmanager/in (IHK) vermittelt genau das in 4 Monaten. 100 % kostenlos mit Bildungsgutschein.
Die DSGVO. Vier Buchstaben, die bei vielen Menschen Unbehagen auslösen. Klingt nach Juristendeutsch, nach komplizierten Paragraphen und endlosen Formularen. Dabei sind die Datenschutz DSGVO Grundlagen gar nicht so kompliziert. Die Kernidee ist sogar ziemlich simpel: Deine persönlichen Daten gehören dir. Und wer sie nutzen will, braucht dafür einen guten Grund.
In diesem Artikel erkläre ich dir die DSGVO so, dass du sie ohne Jura-Studium verstehst. Die wichtigsten Prinzipien. Deine Rechte als Betroffener. Was Unternehmen beachten müssen. Und warum das Thema gerade für jeden wichtig ist, der im Bereich Digitalisierung arbeitet oder arbeiten will.
Was ist die DSGVO und warum gibt es sie?
Die DSGVO ist die Datenschutz-Grundverordnung der Europäischen Union. Sie ist seit dem 25. Mai 2018 in Kraft und gilt in allen EU-Mitgliedsstaaten. Ihr Ziel: Den Schutz personenbezogener Daten einheitlich regeln. In ganz Europa. Für jedes Unternehmen.
Vor der DSGVO hatte jedes Land seine eigenen Datenschutzgesetze. In Deutschland war es das Bundesdatenschutzgesetz (BDSG). In Frankreich ein anderes. In Spanien wieder ein anderes. Für Unternehmen, die europaweit arbeiten, war das ein Chaos. Die DSGVO hat das vereinheitlicht.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Das klingt abstrakt, ist aber sehr konkret:
| Datentyp | Beispiele |
|---|---|
| Kontaktdaten | Name, Adresse, Telefonnummer, E-Mail |
| Digitale Daten | IP-Adresse, Cookie-IDs, Standortdaten |
| Finanzdaten | Bankverbindung, Gehalt, Kreditkartennummer |
| Berufsdaten | Arbeitgeber, Berufsbezeichnung, Lebenslauf |
| Gesundheitsdaten | Diagnosen, Krankenversicherungsnummer |
| Biometrische Daten | Fingerabdruck, Gesichtserkennung, Stimme |
Wichtig: Auch eine E-Mail-Adresse wie max.mustermann@firma.de ist ein personenbezogenes Datum. Sobald eine Person identifizierbar ist, greift die DSGVO.
Das Verbotsprinzip
Das zentrale Prinzip der DSGVO ist einfach: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Es gibt Ausnahmen. Aber der Grundsatz lautet: verboten.
Das ist das Gegenteil von dem, was viele annehmen. Viele denken: "Ich darf alles machen, solange ich nicht erwischt werde." Die DSGVO dreht das um: Du darfst nichts, es sei denn, du hast eine Erlaubnis.
Welche 7 Grundsätze hat die DSGVO?
Die DSGVO baut auf 7 Grundsätzen auf. Wer diese versteht, versteht 80 % des Datenschutzes. Hier sind sie, ohne Juristendeutsch:
1. Rechtmäßigkeit, Fairness und Transparenz
Du brauchst einen Grund, um Daten zu verarbeiten. Und du musst der betroffenen Person sagen, was du mit ihren Daten machst. Kein Kleingedrucktes, das niemand liest. Keine versteckten Klauseln. Klare, verständliche Sprache.
2. Zweckbindung
Du darfst Daten nur für den Zweck nutzen, für den du sie erhoben hast. Wenn jemand dir seine E-Mail-Adresse für eine Bestellung gibt, darfst du ihm nicht automatisch Newsletter schicken. Dafür brauchst du eine separate Einwilligung.
3. Datenminimierung
Erhebe nur die Daten, die du wirklich brauchst. Wenn du eine Pizza lieferst, brauchst du Name und Adresse. Aber nicht das Geburtsdatum, die Schuhgröße oder den Familienstand.
4. Richtigkeit
Die Daten müssen korrekt und aktuell sein. Wenn sich etwas ändert, musst du die Daten berichtigen oder löschen.
5. Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck nötig sind. Wenn ein Kunde seinen Vertrag kündigt und keine Aufbewahrungspflichten mehr bestehen, müssen die Daten gelöscht werden.
6. Integrität und Vertraulichkeit
Daten müssen vor unbefugtem Zugriff geschützt werden. Das bedeutet: technische und organisatorische Maßnahmen wie Verschlüsselung, Zugangskontrollen und sichere Passwörter.
7. Rechenschaftspflicht
Du musst nachweisen können, dass du die DSGVO einhältst. Nicht nur sagen: "Wir machen das schon." Sondern dokumentieren: Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, technische Maßnahmen. Alles schriftlich.
Welche Rechte haben Betroffene nach der DSGVO?
Die DSGVO gibt jeder Person, deren Daten verarbeitet werden, starke Rechte. Unternehmen müssen Anfragen innerhalb eines Monats beantworten (Art. 12 DSGVO). Hier die 7 wichtigsten Rechte:
1. Recht auf Auskunft (Art. 15)
Du kannst jedes Unternehmen fragen: "Welche Daten habt ihr über mich?" Das Unternehmen muss dir kostenlos eine vollständige Kopie aller gespeicherten Daten liefern. Inklusive Informationen darüber, woher die Daten stammen und an wen sie weitergegeben wurden.
2. Recht auf Berichtigung (Art. 16)
Wenn deine Daten falsch sind, muss das Unternehmen sie korrigieren. Zum Beispiel eine falsche Adresse oder ein falscher Name.
3. Recht auf Löschung (Art. 17)
Das bekannte "Recht auf Vergessenwerden." Du kannst verlangen, dass deine Daten gelöscht werden. Zum Beispiel, wenn du deine Einwilligung widerrufst oder die Daten nicht mehr benötigt werden. Es gibt Ausnahmen, etwa bei gesetzlichen Aufbewahrungspflichten (Steuerrecht: 10 Jahre für Rechnungen).
4. Recht auf Einschränkung (Art. 18)
Wenn du die Löschung nicht verlangen kannst, kannst du zumindest eine Einschränkung der Verarbeitung fordern. Die Daten werden dann nur noch gespeichert, aber nicht mehr aktiv genutzt.
5. Recht auf Datenübertragbarkeit (Art. 20)
Du kannst verlangen, dass deine Daten in einem maschinenlesbaren Format (z. B. CSV oder JSON) an dich oder einen anderen Anbieter übertragen werden. Praktisch zum Beispiel beim Wechsel von einem Stromanbieter zum anderen.
6. Widerspruchsrecht (Art. 21)
Du kannst der Verarbeitung deiner Daten widersprechen. Besonders relevant bei Direktwerbung: Ein Widerspruch gegen Werbung muss immer respektiert werden. Ohne Wenn und Aber.
7. Recht bei automatisierten Entscheidungen (Art. 22)
Wenn eine Entscheidung rein automatisch getroffen wird und dich erheblich betrifft (z. B. automatische Kreditablehnung durch einen Algorithmus), hast du das Recht auf menschliche Überprüfung.
Was müssen Unternehmen bei der DSGVO beachten?
Die DSGVO betrifft jedes Unternehmen, das in der EU personenbezogene Daten verarbeitet. Egal ob Großkonzern, Mittelständler oder Einzelunternehmer. Hier die wichtigsten Pflichten:
Verarbeitungsverzeichnis führen
Jedes Unternehmen muss dokumentieren, welche Daten es verarbeitet, warum, wie lange und an wen die Daten weitergegeben werden. Das sogenannte Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Ausnahmen gibt es nur für Unternehmen mit weniger als 250 Beschäftigten, wenn die Verarbeitung kein Risiko birgt. In der Praxis trifft diese Ausnahme fast niemanden.
Datenschutzbeauftragten benennen
In Deutschland muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 20 Personen regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Unabhängig von der Mitarbeiterzahl brauchen Unternehmen einen DSB, wenn sie besonders sensible Daten verarbeiten (Gesundheitsdaten, Religionszugehörigkeit etc.).
Einwilligung korrekt einholen
Wenn die Datenverarbeitung auf einer Einwilligung basiert, muss diese:
- freiwillig sein (kein Zwang, kein verstecktes Häkchen)
- informiert sein (klare Information, wofür die Daten genutzt werden)
- spezifisch sein (pro Zweck eine Einwilligung)
- jederzeit widerrufbar sein (und der Widerruf muss genauso einfach sein wie die Erteilung)
Datenschutzerklärung bereitstellen
Jede Website, jeder Online-Shop, jede App braucht eine Datenschutzerklärung. Sie muss erklären: Welche Daten werden erhoben? Warum? Wie lange? An wen werden sie weitergegeben? Welche Rechte haben die Nutzer?
Auftragsverarbeitung regeln
Wenn ein externes Unternehmen Daten in deinem Auftrag verarbeitet (z. B. ein Cloud-Anbieter, ein Newsletter-Tool oder ein Lohnbüro), brauchst du einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Datenweitergabe ein DSGVO-Verstoß.
Datenpannen melden
Kommt es zu einer Datenpanne (z. B. Hack, versehentlicher E-Mail-Versand an falschen Empfänger), muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden. 2025 wurden den deutschen Behörden 10.259 Datenpannen gemeldet (Quelle: DSGVO-Portal). Bei hohem Risiko für die Betroffenen müssen auch diese benachrichtigt werden.
Welche Bußgelder drohen bei DSGVO-Verstößen?
Die Bußgelder der DSGVO haben es in sich. Der Gesetzgeber wollte, dass Datenschutz ernst genommen wird. Deshalb sind die Strafen abschreckend hoch.
Die zwei Bußgeld-Stufen
| Stufe | Maximales Bußgeld | Beispiele für Verstöße |
|---|---|---|
| Stufe 1 | Bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes | Kein Verarbeitungsverzeichnis, kein DSB bestellt, fehlender AVV |
| Stufe 2 | Bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes | Verstöße gegen Grundsätze, fehlende Rechtsgrundlage, Missachtung von Betroffenenrechten |
Es gilt immer der höhere Betrag. Für einen Konzern mit 1 Milliarde Euro Umsatz sind 4 % also 40 Millionen Euro.
Bußgelder in der Praxis (2025)
Die Zahlen zeigen: Datenschutzbehörden verhängen tatsächlich Strafen.
- Deutschland: 249 Bußgelder mit einer Gesamthöhe von 46,9 Millionen Euro im Jahr 2025. Das höchste Einzelbußgeld: 45 Millionen Euro gegen Vodafone (Quelle: BfDI).
- Europa gesamt: Rund 690 Millionen Euro an DSGVO-Bußgeldern im Jahr 2025 (Quelle: CMS Jahresendbilanz).
- Seit Inkrafttreten der DSGVO (Mai 2018): Fast 7 Milliarden Euro an Bußgeldern europaweit (Quelle: CMS Enforcement Tracker Report).
Auch kleine und mittlere Unternehmen sind betroffen. Es trifft nicht nur die Großen. Ein fehlendes Verarbeitungsverzeichnis oder eine falsche Datenschutzerklärung kann bereits ein Bußgeld auslösen.
Warum ist Datenschutzwissen für Digitalisierungsmanager Pflicht?
Digitalisierung und Datenschutz sind untrennbar verbunden. Wer Prozesse digitalisiert, automatisiert oder neue Software einführt, verarbeitet fast immer personenbezogene Daten. Ohne Datenschutzkenntnisse baust du Lösungen, die am Ende nicht rechtskonform sind. Das kann teuer werden.
Typische Datenschutz-Szenarien im Job
Als Digitalisierungsmanager triffst du ständig auf DSGVO-relevante Situationen:
- CRM-System einführen: Kundendaten importieren, Rechtsgrundlage klären, AVV mit dem Anbieter schließen.
- Prozesse automatisieren: Welche Daten werden verarbeitet? Ist das durch den Zweck gedeckt? Brauche ich eine Datenschutz-Folgenabschätzung?
- KI-Tools nutzen: Werden personenbezogene Daten an den KI-Anbieter übermittelt? Liegt ein AVV vor? Werden die Daten zum Training verwendet?
- Cloud-Dienste auswählen: Wo stehen die Server? In der EU? Gibt es ein Angemessenheitsbeschluss für Drittländer?
- Mitarbeiter-Onboarding digitalisieren: Welche Daten werden erhoben? Wie lange gespeichert? Wer hat Zugriff?
Wer diese Fragen beantworten kann, ist im Unternehmen extrem wertvoll. Datenschutz ist kein Hindernis für Digitalisierung. Es ist eine Kompetenz, die gute Digitalisierungsmanager von schlechten unterscheidet.
Was Unternehmen suchen
Laut Bitkom fehlen in Deutschland über 149.000 IT-Fachkräfte (Stand 2024). Besonders gefragt: Menschen, die Technologie UND Compliance verstehen. Wer Datenschutz als Teil der Digitalisierung mitdenkt, hat einen klaren Vorteil auf dem Arbeitsmarkt.
Das Einstiegsgehalt als Digitalisierungsmanager liegt zwischen 48.000 und 65.000 Euro brutto pro Jahr (Quelle: Stepstone, Gehalt.de). Je mehr Datenschutzkompetenz du mitbringst, desto höher dein Marktwert.
Welche Rechtsgrundlagen erlaubt die DSGVO für die Datenverarbeitung?
Die DSGVO nennt in Artikel 6 sechs Rechtsgrundlagen. Mindestens eine muss vorliegen, damit du Daten verarbeiten darfst:
- Einwilligung (Art. 6 Abs. 1 lit. a): Die Person hat zugestimmt. Zum Beispiel: Newsletter-Anmeldung mit Double-Opt-In.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Daten sind nötig, um einen Vertrag zu erfüllen. Zum Beispiel: Lieferadresse bei einer Online-Bestellung.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Ein Gesetz schreibt die Verarbeitung vor. Zum Beispiel: Aufbewahrungspflichten für Rechnungen (Steuerrecht).
- Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d): Schutz von Leben. In der Praxis selten. Zum Beispiel: Notarzt erhält Gesundheitsdaten bei Bewusstlosigkeit.
- Öffentliches Interesse (Art. 6 Abs. 1 lit. e): Verarbeitung im öffentlichen Interesse. Vor allem für Behörden relevant.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Das Unternehmen hat ein berechtigtes Interesse, das die Interessen der betroffenen Person nicht überwiegt. Zum Beispiel: Betrugsprävention, IT-Sicherheit.
In der Praxis sind Einwilligung, Vertragserfüllung und berechtigtes Interesse die drei häufigsten Grundlagen.
Wie unterscheiden sich DSGVO und BDSG?
Kurz gesagt: Die DSGVO ist das europäische Gesetz. Das BDSG (Bundesdatenschutzgesetz) ist das deutsche Ergänzungsgesetz. Die DSGVO lässt den Mitgliedsstaaten in manchen Bereichen Spielraum. Deutschland nutzt diesen Spielraum über das BDSG.
| Aspekt | DSGVO | BDSG |
|---|---|---|
| Geltungsbereich | Gesamte EU | Nur Deutschland |
| DSB-Pflicht | Bei Kerntätigkeit in Datenverarbeitung | Ab 20 Mitarbeitern mit automatisierter Datenverarbeitung |
| Beschäftigtendatenschutz | Allgemein geregelt | Spezifische Regeln in § 26 BDSG |
| Videoüberwachung | Allgemein geregelt | Konkretisiert in § 4 BDSG |
| Bußgelder | Bis 20 Mio. / 4 % Umsatz | Ergänzende Regelungen |
Für die Praxis bedeutet das: Du musst beide Gesetze kennen. Die DSGVO gibt den Rahmen vor. Das BDSG füllt deutsche Besonderheiten aus.
5 praktische Tipps für DSGVO-Konformität im Unternehmen
Du musst kein Jurist sein, um die Basics umzusetzen. Hier 5 konkrete Schritte:
1. Verarbeitungsverzeichnis anlegen. Liste alle Datenverarbeitungen auf. Welche Daten, welcher Zweck, welche Rechtsgrundlage, wie lange gespeichert, an wen weitergegeben. Es gibt kostenlose Vorlagen online (z. B. beim Bayerischen Landesamt für Datenschutzaufsicht).
2. Datenschutzerklärung prüfen. Stimmt sie noch? Sind alle Tools, Cookies und Dienste aufgeführt? Tipp: Generatoren wie der von eRecht24 oder Datenschutz-Generator.de helfen.
3. AVVs mit Dienstleistern abschließen. Nutzt dein Unternehmen Cloud-Dienste, E-Mail-Marketing-Tools oder Buchhaltungssoftware? Dann brauchst du mit jedem Anbieter einen Auftragsverarbeitungsvertrag. Die meisten SaaS-Anbieter stellen AVVs zum Download bereit.
4. Mitarbeiter schulen. Die häufigste Ursache für Datenpannen ist menschliches Versagen. E-Mail an falschen Empfänger, USB-Stick verloren, Passwort auf Post-it am Monitor. Regelmäßige Schulungen reduzieren das Risiko erheblich.
5. Löschkonzept einführen. Daten dürfen nicht ewig gespeichert werden. Definiere für jeden Datentyp eine Aufbewahrungsfrist. Nach Ablauf: löschen. Automatisiert, wenn möglich.
Häufige Fragen
Was ist die DSGVO einfach erklärt?
Die DSGVO (Datenschutz-Grundverordnung) ist ein EU-weites Gesetz, das seit Mai 2018 den Umgang mit personenbezogenen Daten regelt. Kernprinzip: Datenverarbeitung ist grundsätzlich verboten und nur mit Rechtsgrundlage (z. B. Einwilligung oder Vertrag) erlaubt. Sie gilt für jedes Unternehmen, das Daten von EU-Bürgern verarbeitet.
Welche Strafen drohen bei DSGVO-Verstößen?
Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. In Deutschland wurden 2025 insgesamt 249 Bußgelder mit einer Gesamthöhe von 46,9 Millionen Euro verhängt (Quelle: DSGVO-Portal).
Brauche ich als kleines Unternehmen einen Datenschutzbeauftragten?
In Deutschland ist ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Unabhängig von der Mitarbeiterzahl brauchen Unternehmen einen DSB, wenn sie besonders sensible Daten verarbeiten (z. B. Gesundheitsdaten).
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Dazu gehören Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Standortdaten, Bankverbindung, Gesundheitsdaten und biometrische Daten wie Fingerabdrücke.
Welche Rechte habe ich als Betroffener?
Die DSGVO gibt dir 7 Rechte: Auskunft (welche Daten sind gespeichert?), Berichtigung (falsche Daten korrigieren), Löschung (Daten löschen lassen), Einschränkung der Verarbeitung, Datenübertragbarkeit (Daten mitnehmen), Widerspruch gegen die Verarbeitung und Schutz vor automatisierten Entscheidungen.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV regelt die Verantwortlichkeiten, wenn ein externes Unternehmen in deinem Auftrag personenbezogene Daten verarbeitet. Zum Beispiel wenn du ein CRM, ein Newsletter-Tool oder einen Cloud-Speicher nutzt. Ohne AVV ist die Datenweitergabe ein DSGVO-Verstoß.
Wie lange dürfen Daten gespeichert werden?
Nur so lange, wie es für den Zweck der Verarbeitung nötig ist. Für Rechnungen gilt eine steuerrechtliche Aufbewahrungspflicht von 10 Jahren. Bewerbungsunterlagen sollten nach 6 Monaten gelöscht werden (Frist für AGG-Klagen). Für jeden Datentyp sollte eine Löschfrist definiert sein.
Warum ist DSGVO-Wissen für Digitalisierungsmanager wichtig?
Wer Prozesse digitalisiert, automatisiert oder KI-Tools einführt, verarbeitet fast immer personenbezogene Daten. Ohne DSGVO-Kenntnisse riskierst du Bußgelder und Vertrauensverlust. Der Digitalisierungsmanager/in (IHK) vermittelt Datenschutz als festen Kursbestandteil.
Du willst Digitalisierung und Datenschutz professionell zusammenbringen? Die Weiterbildung zum Digitalisierungsmanager/in (IHK) macht dich in 4 Monaten fit. Komplett online, 100 % kostenlos mit Bildungsgutschein. Keine Programmierkenntnisse nötig. Jetzt informieren.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.