DSGVO

Was ist die DSGVO?

DSGVO steht für Datenschutz-Grundverordnung (englisch: General Data Protection Regulation, GDPR). Es ist ein EU-Gesetz das festlegt wie Organisationen mit personenbezogenen Daten umgehen müssen.

In Kraft: 25. Mai 2018

Was sind personenbezogene Daten?

Alle Informationen die eine Person identifizieren oder identifizierbar machen:

• Namen, Email-Adressen, Telefonnummern
• IP-Adressen, Cookie-IDs
• Standortdaten, Gesundheitsdaten
• Fotos von Personen
• Sogar: “Kunde 42” wenn du Kunde 42 zuordnen kannst

Kernprinzip

Du darfst personenbezogene Daten nur verarbeiten wenn:

1. Person hat explizit zugestimmt, ODER
2. Du hast legitimen rechtlichen Grund (Vertrag, gesetzliche Pflicht)

Person hat Rechte: Auskunft, Löschung, Datenübertragbarkeit.

Entstehung

Vor DSGVO

Vor 2018 hatte jedes EU-Land eigenes Datenschutzgesetz.

Problem: 28 verschiedene Gesetze, unterschiedliche Anforderungen. Firmen hatten Chaos, Schlupflöcher existierten.

Warum notwendig?

2010er Jahre: Massive Datensammlung durch Facebook, Google, etc.

Cambridge Analytica-Skandal (2018): Facebook-Daten von 87 Millionen Nutzern für politische Manipulation missbraucht.

EU wollte einheitlichen starken Datenschutz für alle Bürger.

Entwicklung

• 2012: Erste Entwürfe
• 2016: Verabschiedet vom EU-Parlament
• 25. Mai 2018: Tritt in Kraft (2 Jahre Übergangsfrist)
• Gilt unmittelbar in allen EU-Ländern (keine nationale Umsetzung nötig)

Weltweiter Einfluss

DSGVO wurde Vorbild für Datenschutzgesetze weltweit:

• Brasilien: LGPD (2020)
• Kalifornien: CCPA (2020)
• China: PIPL (2021)
• Indien, Japan, Thailand: Ähnliche Gesetze folgen

Geltungsbereich

Geografisch

DSGVO gilt für:

1. Unternehmen mit Sitz in EU (egal wo Daten verarbeitet werden)
2. Unternehmen ohne EU-Sitz die EU-Bürger-Daten verarbeiten

Beispiel: US-Firma ohne EU-Niederlassung verkauft an Deutsche? → DSGVO gilt trotzdem!

Persönlich

Gilt für:

• Lebende natürliche Personen (keine Firmen)
• EU-Bürger und Bewohner
• Auch Touristen temporär in EU

Gilt NICHT für:

• Verstorbene Personen
• Rein private/persönliche Nutzung (Familien-Fotos)
• Anonymisierte Daten (wenn wirklich anonym)

Kernprinzipien

Rechtmäßigkeit

Datenverarbeitung braucht Rechtsgrundlage:

1. Einwilligung: Person hat zugestimmt
2. Vertrag: Nötig um Vertrag zu erfüllen
3. Rechtliche Pflicht: Gesetz fordert Verarbeitung
4. Berechtigtes Interesse: Legitimer Grund (umstritten)
5. Öffentliches Interesse: Behörden-Aufgaben
6. Vitale Interessen: Lebensrettung

Zweckbindung

Daten nur für genannten Zweck nutzen.

Beispiel: Newsletter-Email NUR für Newsletter, nicht für Werbung von Partnern (außer explizit zugestimmt).

Datenminimierung

Nur Daten sammeln die du wirklich brauchst.

Beispiel: Newsletter-Anmeldung braucht Email, NICHT Adresse/Telefon/Geburtstag.

Speicherbegrenzung

Daten löschen sobald Zweck erfüllt.

Beispiel: Bewerbungsunterlagen nach Absage löschen (außer Kandidat stimmt längerer Speicherung zu).

Integrität

Daten sicher speichern (Verschlüsselung, Zugriffskontrolle).

Bei Datenleck (Breach) musst du Behörde binnen 72 Stunden informieren.

Rechte Betroffener

Auskunftsrecht

Jede Person kann fragen: “Welche Daten habt ihr über mich?”

Du musst binnen 30 Tagen antworten - kostenlos!

Auskunft muss enthalten:

• Alle gespeicherten Daten
• Zweck der Verarbeitung
• An wen wurden Daten weitergegeben
• Wie lange werden sie gespeichert

Recht auf Löschung

“Recht auf Vergessenwerden”

Person kann verlangen dass Daten gelöscht werden wenn:

• Zweck erfüllt
• Einwilligung widerrufen
• Daten unrechtmäßig verarbeitet

Ausnahmen: Gesetzliche Aufbewahrungspflichten (Buchhaltung: 10 Jahre)

Widerspruchsrecht

Person kann Verarbeitung widersprechen.

Beispiel: “Ich will keine Marketing-Emails mehr” → Musst du respektieren.

Datenübertragbarkeit

Person kann ihre Daten in maschinenlesbarem Format verlangen.

Beispiel: Alle Facebook-Posts als JSON exportieren um zu anderem Social Network zu wechseln.

Berichtigung

Falsche Daten müssen korrigiert werden wenn Person darauf hinweist.

Einwilligung

Anforderungen

Gültige Einwilligung muss sein:

• Freiwillig: Keine Kopplung (kein “nur mit Zustimmung darfst du Website nutzen”)
• Informiert: Klar erklärt wofür Daten genutzt werden
• Spezifisch: Für jeden Zweck separate Zustimmung
• Aktiv: Pre-checked Boxen sind UNGÜLTIG
• Widerrufbar: So einfach wie Zustimmung

Cookie-Banner

Daher die Cookie-Banner seit 2018.

DSGVO-konforme Banner:

• “Alle akzeptieren” UND “Alle ablehnen” Button gleich prominent
• Kein “nur Notwendige” ist KEIN Ablehnen (versteckt Ablehnen-Button)
• Keine Pre-Selection
• Fortsetzen ohne Zustimmung möglich

Viele Banner sind IMMER NOCH rechtswidrig (Dark Patterns).

Widerruf

Person kann Einwilligung jederzeit zurückziehen.

Muss so einfach sein wie Zustimmung geben.

Beispiel: Newsletter abmelden mit einem Klick (nicht “einloggen, Settings durchsuchen, 5 Bestätigungen klicken”).

Datenschutzerklärung

Pflicht

Jede Website/App die personenbezogene Daten verarbeitet braucht Datenschutzerklärung.

Muss enthalten:

• Wer ist verantwortlich (Impressum)
• Welche Daten werden gesammelt
• Zu welchem Zweck
• Rechtsgrundlage (Einwilligung? Vertrag? Berechtigtes Interesse?)
• An wen werden Daten weitergegeben
• Wie lange werden sie gespeichert
• Rechte der Betroffenen (Auskunft, Löschung, etc.)
• Beschwerderecht bei Aufsichtsbehörde

Verständlichkeit

Muss in klarer, einfacher Sprache geschrieben sein.

Keine Juristen-Latein dass niemand versteht.

In Praxis: Viele Datenschutzerklärungen immer noch Romane mit 20+ Seiten Kleingedrucktem.

Transparenz

Vor Datensammlung muss Person informiert werden.

Nicht: Erstmal Daten sammeln, dann irgendwo versteckt erwähnen.

Auftragsverarbeitung

Konzept

Wenn du Dienstleister beauftragst der Zugriff auf personenbezogene Daten hat → Auftragsverarbeitungsvertrag (AVV) notwendig.

Beispiel: Du nutzt Mailchimp für Newsletter → AVV mit Mailchimp.

Inhalt AVV

• Welche Daten verarbeitet der Dienstleister
• Zu welchem Zweck
• Welche technischen/organisatorischen Maßnahmen (Verschlüsselung etc.)
• Keine Weitergabe an Dritte ohne Genehmigung
• Weisungsbefugnis (du bestimmst was Dienstleister tun darf)
• Löschung nach Vertragsende

Cloud-USA-Problem

US-Cloud-Anbieter (AWS, Google Cloud, Azure) problematisch:

• Cloud Act: US-Behörden können Zugriff verlangen
• Privacy Shield ungültig erklärt (2020)
• Standardvertragsklauseln unsicher bei US-Zugriff

Viele EU-Behörden fordern EU-Hosting.

Strafen

Bußgelder

DSGVO hat empfindliche Strafen:

• Bis zu 20 Millionen € ODER
• 4% des weltweiten Jahresumsatzes

Je nachdem was höher ist.

Beispiele

Größte Bußgelder bisher:

• Meta (Facebook): 1,2 Milliarden € (2023) - Datentransfer in USA
• Amazon: 746 Millionen € (2021) - Tracking ohne Zustimmung
• WhatsApp: 225 Millionen € (2021) - Intransparente Datenweitergabe
• Google: 90 Millionen € (2020) - Cookie-Banner ohne Ablehnen-Option
• H&M: 35 Millionen € (2020) - Mitarbeiterüberwachung

Kleine Unternehmen

Auch Kleine werden bestraft aber geringer:

• Handwerksbetrieb: 5.000 € (fehlende Datenschutzerklärung)
• Kleiner Shop: 10.000 € (Email-Adressen ohne Einwilligung)

Oft zunächst Abmahnung, dann Strafe wenn nicht korrigiert.

Aufsichtsbehörden

Deutschland

• Bundesbeauftragter für Datenschutz (für Bundesbehörden)
• 16 Landesdatenschutzbeauftragte (für Unternehmen im jeweiligen Bundesland)

Zuständigkeit wo Unternehmen Hauptsitz hat.

EU-weit

Jedes EU-Land hat Datenschutzbehörde.

Bei grenzüberschreitenden Fällen: Lead Authority (wo Hauptsitz) koordiniert mit anderen Behörden.

Beschwerden

Jede Person kann sich bei Datenschutzbehörde beschweren - kostenlos.

Behörde muss prüfen und kann Unternehmen zur Änderung zwingen.

Praktische Auswirkungen

Für Unternehmen

DSGVO bedeutet:

• Datenschutzbeauftragter (ab 20 Mitarbeiter mit Datenverarbeitung)
• Verzeichnis von Verarbeitungstätigkeiten führen
• Technische/organisatorische Maßnahmen (Verschlüsselung etc.)
• Mitarbeiter schulen
• Bei Datenleck Meldepflicht

Kosten: 5.000-50.000 € jährlich je nach Größe.

Für Privatpersonen

Mehr Rechte:

• Auskunft verlangen
• Löschen lassen
• Werbung widersprechen

Aber: Viele Unternehmen ignorieren Anfragen oder verzögern.

Für Website-Betreiber

Minimum für Website:

• Datenschutzerklärung
• Cookie-Banner (falls Tracking-Cookies)
• Hosting mit AVV (wenn nicht selbst gehostet)
• SSL/TLS-Verschlüsselung
• Sichere Passwörter/Backups

Kontroversen

Cookie-Wahnsinn

Cookie-Banner nerven alle.

Problem: DSGVO wurde als Ausrede genutzt für Banner - aber DSGVO sagt nur “Einwilligung nötig”. Nicht “Banner Pflicht”.

Lösung: Einfach keine Tracking-Cookies nutzen → kein Banner nötig!

Abmahnwellen

Anwälte nutzten DSGVO für Abmahnungen (Geldquelle).

Beispiele:

• Google Fonts von Google-Servern geladen → Abmahnung
• Fehlende Datenschutzerklärung → Abmahnung

Gesetzesänderungen haben das eingeschränkt aber existiert noch.

Bürokratie

Kritik: DSGVO schafft riesigen Verwaltungsaufwand für kleine Unternehmen.

5-Personen-Firma muss gleiche Dokumentation wie Konzern führen.

US-Kritik

USA sieht DSGVO als Protektionismus gegen US-Tech-Firmen.

Fast alle großen Strafen trafen US-Unternehmen (Meta, Google, Amazon).

Umgehungen

Consent-or-Pay

Meta 2023: “Entweder du stimmst Tracking zu ODER zahlst 10€/Monat”

Legal? Umstritten. EU prüft ob das wirklich “freie Einwilligung” ist.

Dark Patterns

“Alle akzeptieren” riesig und bunt, “Ablehnen” klein und grau versteckt.

Technisch legal aber gegen Geist der DSGVO.

Offshore

Firma sitzt in nicht-EU-Land? Schwierig durchzusetzen.

Aber: EU kann Firma blocken wenn sie nicht kooperiert.

Dragons@work-Perspektive

Grundhaltung

Dragons@work sieht DSGVO als Minimum - nicht als Belastung.

Bewusster Datenschutz nicht weil Gesetz es fordert sondern aus sittlicher Verpflichtung.

“Nebenbei erfüllt das auch DSGVO” - nicht umgekehrt.

Technische Umsetzung

• KEINE Tracking-Cookies → kein Cookie-Banner
• Plausible Analytics OHNE IP-Speicherung
• Self-Hosting → keine Drittanbieter-Zugriffe
• Listmonk mit expliziter Opt-In
• Server in EU (Hetzner Deutschland/Finnland)

Transparenz

Datenschutzerklärung in klarer Sprache - kein Juristendeutsch.

Erklärt WARUM Entscheidungen getroffen wurden nicht nur WAS.

Keine Dark Patterns

Wenn Cookie-Zustimmung nötig: Ablehnen genauso einfach wie Zustimmen.

Ethik vor Conversion-Optimierung.

Zukunft

ePrivacy

Geplante ePrivacy-Verordnung soll Cookie-Regeln klarer machen.

Status: Seit Jahren in Verhandlung, wann kommt unklar.

AI Regulation

EU AI Act (2024) regelt KI-Datennutzung.

Ergänzt DSGVO für KI-spezifische Fragen.

Internationalisierung

Mehr Länder übernehmen DSGVO-ähnliche Gesetze.

Könnte zu globalem Standard werden (wie SSL/HTTPS).