Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO), international als General Data Protection Regulation (GDPR) bekannt, ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht wurden. Sie ist seit dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar geltendes Recht.

Für die Geschäftsführung stellt die DSGVO den rechtlichen Rahmen für jede Form der Datennutzung dar. Sie transformierte den Datenschutz von einer administrativen Nebenpflicht zu einem zentralen Compliance-Risiko mit erheblichen finanziellen Drohpotentialen.

Kernziele und Anwendungsbereich

Ziel der Verordnung ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten.

Der sachliche Anwendungsbereich umfasst die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung, wenn die Daten in einem Dateisystem gespeichert sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Kennnummern).

Sanktionsrahmen und Haftung

Das drastischste Novum der DSGVO war die Einführung eines abschreckenden Sanktionsregimes (Art. 83 DSGVO). Aufsichtsbehörden können Geldbußen verhängen:

• Bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (z. B. bei Verstößen gegen Dokumentationspflichten).
• Bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes (z. B. bei Verstößen gegen die Grundsätze der Verarbeitung oder Betroffenenrechte).

Für Geschäftsführer ist relevant, dass Verstöße gegen die DSGVO auch zivilrechtliche Schadensersatzansprüche (Art. 82 DSGVO) durch betroffene Personen nach sich ziehen können. Zudem diskutiert die Rechtsprechung zunehmend die persönliche Haftung von Geschäftsführern im Innenverhältnis bei grober Fahrlässigkeit in der Compliance-Organisation.

Die Grundsätze der Verarbeitung (Art. 5 DSGVO)

Jede Datenverarbeitung muss zwingend folgenden Prinzipien genügen:

1. Rechtmäßigkeit: Es muss eine Rechtsgrundlage existieren (z. B. Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse). Ohne Rechtsgrundlage ist jede Verarbeitung verboten (Verbot mit Erlaubnisvorbehalt).
2. Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung zu anderen Zwecken ist nur in engen Grenzen zulässig.
3. Datenminimierung: Die Verarbeitung muss auf das notwendige Maß beschränkt sein.
4. Richtigkeit: Daten müssen sachlich richtig und auf dem neuesten Stand sein.
5. Speicherbegrenzung: Daten dürfen nur so lange identifizierbar gespeichert werden, wie es für den Zweck erforderlich ist (Löschkonzepte).
6. Integrität und Vertraulichkeit: Durch technische und organisatorische Maßnahmen (TOMs) muss die Sicherheit der Daten gewährleistet sein (Schutz vor Verlust, Zerstörung oder unbefugtem Zugriff).

Rechenschaftspflicht (Accountability)

Ein Paradigmenwechsel der DSGVO ist die Beweislastumkehr. Das Unternehmen muss jederzeit nachweisen können, dass es die Datenschutzvorschriften einhält (Art. 5 Abs. 2 DSGVO). Dies erfordert eine lückenlose Dokumentation.

Zentrale Dokumentationspflichten sind:

• Verzeichnis von Verarbeitungstätigkeiten (VVT): Eine Übersicht aller Prozesse, in denen Daten verarbeitet werden (z. B. Bewerbermanagement, Gehaltsabrechnung, Kundendatenbank).
• Datenschutz-Folgenabschätzung (DSFA): Eine Riskoanalyse, die zwingend durchzuführen ist, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. bei umfangreicher Videoüberwachung oder KI-Scoring).
• Auftragsverarbeitungsverträge (AVV): Verträge mit externen Dienstleistern (Cloud-Provider, Payroll-Dienstleister), die sicherstellen, dass diese ebenfalls DSGVO-konform arbeiten.

Rechte der Betroffenen

Die DSGVO stärkt die Rechte der Bürger („Betroffene"). Unternehmen müssen Prozesse etablieren, um Anfragen fristgerecht (in der Regel binnen eines Monats) zu beantworten:

• Auskunftsrecht (Art. 15): Welche Daten werden zu welchem Zweck gespeichert?
• Recht auf Berichtigung (Art. 16): Korrektur falscher Daten.
• Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17): Löschung von Daten, sofern keine Aufbewahrungspflichten entgegenstehen.
• Recht auf Datenübertragbarkeit (Art. 20): Herausgabe der Daten in einem gängigen, maschinenlesbaren Format.

Meldepflicht bei Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach), die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss die zuständige Aufsichtsbehörde unverzüglich – möglichst binnen 72 Stunden nach Bekanntwerden – informiert werden. Bei hohem Risiko sind auch die betroffenen Personen zu benachrichtigen.

Fazit für die Unternehmensführung

Datenschutz ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Eine pragmatische DSGVO-Umsetzung dient nicht nur der Strafvermeidung, sondern ist ein Qualitätsmerkmal. In einer digitalisierten Ökonomie korreliert das Vertrauen der Kunden direkt mit der Datensicherheit. Ein sauberes Datenmanagement (Data Governance) erhöht zudem die Datenqualität und damit den Wert der im Unternehmen vorhandenen Informationen.