DSGVO im Alltag verstehen

Das erste Datenschutzgesetz der Welt entstand 1970 im Bundesland Hessen — als Reaktion auf die ersten Computersysteme, die Bürgerdaten zentralisieren konnten. 1983 fällte das Bundesverfassungsgericht das Volkszählungsurteil: Es begründete das "Recht auf informationelle Selbstbestimmung" als Teil des allgemeinen Persönlichkeitsrechts aus Artikel 2 GG. Die EU Data Protection Directive von 1995 war ein erster europäischer Rahmen. Die DSGVO (Mai 2018) schuf erstmals ein einheitliches europäisches Datenschutzrecht mit echten Bußgeldern: bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem was höher ist.

• 1970: Erstes Datenschutzgesetz der Welt in Hessen — Reaktion auf frühe Computerdatenbanken
• 1983: Volkszählungsurteil BVerfG — Recht auf informationelle Selbstbestimmung als Grundrecht
• 1995: EU Data Protection Directive — erster europäischer Rahmen, national unterschiedlich
• 2013: Snowden-Enthüllungen — politischer Druck für stärkere EU-Datenschutzregeln
• 2018: DSGVO tritt in Kraft — einheitliches EU-Recht, echte Bußgelder, extraterritorial
• 2024: DSGVO-Bußgelder weltweit über 4 Milliarden Euro seit Inkrafttreten

Die DSGVO basiert auf sieben Grundprinzipien (Art. 5). Das wichtigste für die Praxis: Rechtmäßigkeit, Verarbeitung nur mit Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse). Zweckbindung: Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden. Datenminimierung: Nur die Daten erheben, die wirklich nötig sind. Betroffenenrechte: Jeder hat das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch.

• Rechtmäßigkeit: Jede Datenverarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO)
• Zweckbindung: Newsletter-E-Mail darf nicht für Bonitätsprüfung genutzt werden
• Datenminimierung: Nur erheben, was wirklich gebraucht wird — kein "für alle Fälle"
• Auskunftsrecht (Art. 15): Jeder kann fragen, welche Daten ein Unternehmen über ihn hat
• Löschrecht (Art. 17): "Recht auf Vergessenwerden" — unter bestimmten Bedingungen
• Datenpanne meldepflicht (Art. 33): 72 Stunden nach Entdeckung an Datenschutzbehörde

Viele kleine Unternehmen glauben, DSGVO betreffe nur Konzerne. Falsch: Jedes Unternehmen, das personenbezogene Daten verarbeitet (= Kundendaten, Mitarbeiterdaten), ist betroffen — ab dem ersten Mitarbeiter. Das Verarbeitungsverzeichnis (Art. 30) ist Pflicht ab 250 Mitarbeiter, bei Kleinstunternehmen empfohlen. Der Datenschutzbeauftragte (DSB) ist ab 20 regelmäßig mit Daten beschäftigten Personen Pflicht. Die häufigsten Bußgeldgründe: fehlende Cookie-Einwilligung, unzureichende technische Schutzmaßnahmen, fehlende Datenschutzerklärung.

• Verarbeitungsverzeichnis (Art. 30): Dokumentation aller Datenverarbeitungen — Pflicht für Betriebe
• Datenschutzbeauftragter: Pflicht ab 20 Personen mit Datenzugriff — intern oder extern bestellbar
• Auftragsverarbeitungsvertrag (AV-Vertrag): Pflicht bei jedem IT-Dienstleister mit Datenzugriff
• DPIA (Datenschutz-Folgenabschätzung): Pflicht bei hochriskanten Verarbeitungen
• Cookie-Banner: Einwilligung vor nicht-notwendigen Cookies — Ablehnung genauso leicht wie Zustimmung
• Datenschutzerklärung: Auf jeder Webseite, vollständig, verständlich — kein juristisches Kleingedrucktes

Die höchsten DSGVO-Bußgelder: Meta 1,2 Milliarden Euro (2023, Datentransfer USA), Amazon 746 Millionen Euro (2021, Cookies), Google 150 Millionen Euro (2022, Cookie-Banner). Kleinere Unternehmen wurden mit 10.000-500.000 Euro bestraft — für fehlende Cookie-Einwilligung, schlecht gesicherte Kundendaten, fehlende AV-Verträge. Die deutschen Datenschutzbehörden (LfDI) sind aktiv — und Beschwerden von Konkurrenten oder unzufriedenen Kunden sind der häufigste Auslöser.

• Datenschutzbehörden (DSB) in jedem Bundesland — kostenlose Beratung für KMUs
• Checkliste: Website-Check mit datenschutz.org oder der LfDI-Checkliste
• Datenpanne-Protokoll: Internes Dokument, wie im Fall einer Panne vorzugehen ist
• Privacy by Design: Datenschutz in der Entwicklung einbauen, nicht nachträglich draufpflastern
• Datenschutzschulung: Mitarbeiter müssen jährlich sensibilisiert werden (dokumentieren!)
• Muster-Datenschutzerklärung: LfDI-Generatoren und datenschutzbeauftragter.de als Hilfe