Datenschutz & DSGVO
DSGVO, revDSG, Datentransfers, Auftragsverarbeitung, Breach-Playbooks.
Newsletter und DSGVO: Double-Opt-in rechtssicher umsetzen
Wie Sie E-Mail-Newsletter DSGVO-konform aufbauen: Double-Opt-in, Einwilligungsnachweis, Gestaltung des Anmeldeformulars und Abmeldung — praxisnah erklärt.
Videoüberwachung und DSGVO: zulässig, dokumentiert, verhältnismässig
Wann Videoüberwachung nach DSGVO und revDSG zulässig ist, welche Pflichten gelten — von Hinweisschild über DSFA bis Löschfrist — und wie Sie sie rechtssicher betreiben.
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO verstehen
Wann zwei Parteien gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind, wie sich das von der Auftragsverarbeitung unterscheidet und was eine Joint-Controller-Vereinbarung regeln muss.
Pseudonymisierung und Anonymisierung: der entscheidende Unterschied
Warum Pseudonymisierung und Anonymisierung datenschutzrechtlich völlig unterschiedlich behandelt werden, wo die Grenze verläuft und wie Sie beide Techniken richtig einsetzen.
Tracking und Fingerprinting: was nach DSGVO noch erlaubt ist
Wie sich Tracking-Methoden von Cookies bis Fingerprinting unterscheiden, was die DSGVO und die ePrivacy-Regeln verlangen und welche datenschutzfreundlichen Alternativen es gibt.
Mitarbeiterdatenschutz: DSGVO und revDSG im Beschäftigungsverhältnis
Welche Datenschutzpflichten im laufenden Beschäftigungsverhältnis gelten, was bei Überwachung, Leistungsdaten und Kommunikation zu beachten ist und wie das Machtgefälle die Abwägung prägt.
Löschkonzept und Aufbewahrungsfristen nach DSGVO erstellen
Wie ein praxistaugliches Löschkonzept nach DSGVO aufgebaut ist: Löschklassen, Aufbewahrungsfristen, technische Umsetzung und das Spannungsfeld mit gesetzlichen Pflichten.
DSGVO im Recruiting: Bewerberdaten rechtssicher verarbeiten
Wie Sie Bewerberdaten DSGVO- und revDSG-konform verarbeiten: Rechtsgrundlage, Aufbewahrungsfristen, Talent-Pool, Tracking-Tools und Auskunftsrechte im Recruiting.
Microsoft 365 DSGVO- und revDSG-konform nutzen in der Schweiz
Wie Schweizer KMU Microsoft 365 datenschutzkonform einsetzen: AVV, Datenstandort, Schrems-II-Risiken und die wichtigsten Konfigurationsschritte.
Google Fonts DSGVO-konform einbinden: Abmahnungen vermeiden
Warum dynamisch geladene Google Fonts ein DSGVO-Risiko sind, wie die Abmahnwelle entstand und wie Sie Schriften rechtssicher lokal selbst hosten.
Gesundheitsdaten unter der DSGVO: Artikel 9 in der Praxis
Gesundheitsdaten sind die sensibelste Datenkategorie. Artikel 9 DSGVO, die Ausnahmetatbestände, Einwilligung im Gesundheitskontext und technische Schutzmassnahmen.
Digital Health Apps: MDR, DSGVO und wann eine App zum Medizinprodukt wird
Wann ist eine Gesundheits-App ein Medizinprodukt? Die MDR-Klassifizierung, die Abgrenzung zur Lifestyle-App, DiGA in Deutschland und die Doppel-Compliance mit der DSGVO.
Open Banking und Datenschutz in der Schweiz: bLink, PSD2 und Finanzdaten
Open Banking trifft auf Bankgeheimnis und DSGVO. Der Schweizer Weg mit SIX bLink, die PSD2-Logik in der EU und wie Finanzdaten rechtssicher verarbeitet werden.
DSGVO vs. revDSG: Der vollständige Vergleich für DACH-Unternehmen
Schweizer revDSG und EU-DSGVO im Detail-Vergleich. Wo sie sich unterscheiden, wo sie ähnlich sind, und wie Unternehmen beide Regime gleichzeitig abdecken.
Einwilligung nach DSGVO: Wann sie trägt und wann sie bricht
Einwilligung ist die heikelste Rechtsgrundlage. Die vier Anforderungen, Kopplungsverbot, Widerruf, Einwilligung von Kindern und die Dokumentationspflicht.
Auftragsverarbeitung mit KI-Anbietern: AVV, Subunternehmer, Trainingsausschluss
Sobald ein LLM personenbezogene Daten verarbeitet, wird der Anbieter zum Auftragsverarbeiter. Was im AVV stehen muss, Subprozessor-Ketten und der Trainingsausschluss.
DSGVO für Schweizer KMU: Wann Sie betroffen sind und was zu tun ist
Nicht jedes Schweizer KMU fällt unter die DSGVO — aber viele. Pragmatischer Leitfaden zur Bestimmung der Anwendbarkeit und Grundschritte der Compliance.
Datenschutz für Startups: Die pragmatische Aufbau-Checkliste
Datenschutz ohne Konzern-Budget. Die minimal-tragfähige Compliance für ein DACH-Startup: VVT, AVVs, Datenschutzerklärung, technische Massnahmen, in der richtigen Reihenfolge.
Cookie-Consent unter DSGVO 2026: Best Practices und rechtliche Fallstricke
Cookie-Banner richtig machen: Opt-in, Ablehnen auf gleicher Ebene, TTDSG-Konformität, revDSG-Unterschiede. Aktuelle EuGH-Urteile und Abmahnrisiken.
Betroffenenrechte im SaaS operativ umsetzen: Auskunft, Löschung, Export
Die DSGVO-Rechte sind nur so gut wie ihre Umsetzung. Auskunft, Löschung und Datenübertragbarkeit als Self-Service bauen — innerhalb der 30-Tage-Frist, automatisiert.
Datenschutz-Folgenabschätzung (DSFA): Vollständige Anleitung mit Template
Artikel 35 DSGVO verlangt DSFA bei hohem Risiko. Wann eine DSFA nötig ist, wie sie strukturiert wird, und was Aufsichtsbehörden prüfen.
Auftragsverarbeitungsvertrag (AVV): Template und Pitfalls für SaaS
Jeder SaaS-Anbieter braucht einen AVV nach Artikel 28 DSGVO. Pflichtbestandteile, Standard-Klauseln und die häufigsten Fehler in Praxis-Verträgen.
Privacy Notice erstellen: DSGVO-konforme Datenschutzerklärung Schritt für Schritt
Artikel 13/14 DSGVO verlangen eine Informationspflicht. Was in eine Datenschutzerklärung gehört, welche Generatoren taugen und welche Pitfalls zu vermeiden sind.
Datenschutzbeauftragter: Wann DSB-Pflicht, wann interne Rolle, wann externer?
Artikel 37 DSGVO und BDSG §38 regeln die DSB-Pflicht unterschiedlich. Schweiz hat Datenschutzberater. Wer wann was braucht — mit Praxis-Entscheidungsbaum.
revDSG: Was Schweizer Unternehmen seit dem 1.9.2023 wissen müssen
Das revidierte Datenschutzgesetz ist seit September 2023 in Kraft. Die zentralen Änderungen gegenüber dem alten DSG und was konkret zu tun war.
DSGVO Audit Checkliste: 40-Punkte-Plan für Ihre Selbstprüfung
Umfassende Selbst-Audit-Checkliste mit 40 konkreten Prüfpunkten entlang der DSGVO-Kapitel. Vor einer behördlichen Prüfung zu wissen, wo Lücken sind.
International Data Transfers nach Schrems II: EU-SCC, TIA, Data Privacy Framework
Datentransfers aus der EU: Schrems II, die neuen EU-SCCs 2021, Transfer Impact Assessments und der Status des EU-US Data Privacy Framework 2024.
Datenpannen-Meldung: Das 72-Stunden-Protokoll mit Template
Artikel 33 DSGVO verlangt Meldung binnen 72 Stunden. Der exakte Ablauf: Erkennung, Bewertung, Meldung, Dokumentation, Betroffenenbenachrichtigung.
DSGVO-Bussgelder: Die grössten Fälle 2018-2026 analysiert
Amazon 746 Mio, Meta 1,2 Mrd, TikTok 345 Mio — die 20 grössten DSGVO-Bussgelder seit 2018. Warum sie verhängt wurden und welche Lessons Learned.
Privacy-by-Design für SaaS-Produkte: Sieben Prinzipien in der Praxis
Artikel 25 DSGVO verlangt Privacy-by-Design. Konkrete Engineering-Entscheidungen für Multi-Tenant-SaaS: Datenminimierung, Encryption, Retention, Access-Controls.
Brauchen Sie einen Datenschutzbeauftragten? Die KMU-Entscheidung in der Schweiz und Deutschland
Wann die Bestellung eines Datenschutzbeauftragten gesetzlich erforderlich ist, wann sie empfohlen wird und die Kostenrechnung für DACH-KMU.
Datenschutzerklärung für Websites: Pflichtangaben und Fallstricke
Was in eine Website-Datenschutzerklärung gehört: Hoster, Analytics, Tracking, Social Embeds, Fonts, Maps, Formulare. Inkl. Struktur-Vorlage.
DSGVO für E-Commerce-Shops: Bestellungen, Versand, Newsletter, Analytics
E-Commerce bringt DSGVO-Komplexität: Bestell-, Versand-, Zahlungs-, Newsletter-, Retargeting-Daten. Rechtsgrundlagen, AVVs und Retention-Logik erklärt.
Datentransfers zwischen der Schweiz, der EU und darüber hinaus
Angemessenheitsbeschlüsse, Standardvertragsklauseln, das Swiss-US-Framework. Wie man Daten als DACH-SaaS rechtskonform über Grenzen bewegt.
Auftragsverarbeitungsverträge für SaaS: Die AVV-Checkliste
Anforderungen an den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, mit einer konkreten Checkliste für SaaS-Verarbeiterverträge.
Das Playbook zur Meldung von Datenpannen
Die 72-Stunden-Frist, was zu dokumentieren ist, wen man informiert und wie man aus einer kleinen Panne keine regulatorische Eskalation macht.
Cookie-Einwilligung 2026: Was tatsächlich funktioniert
Nach TTDSG, nach ePrivacy-Flickenteppich, mit aktiver CNIL- und DSK-Durchsetzung. Die Cookie-Einwilligungsmuster, die einem Audit standhalten.
Workflows für Betroffenenanfragen in KMU
Auskunft, Löschung, Übertragbarkeit — wie man Betroffenenanfragen ohne eigene Datenschutz-Engineering-Ressourcen bearbeitet.
DSGVO-Verarbeitungsverzeichnis: Der Leitfaden zu Artikel 30
Was in Ihr Verarbeitungsverzeichnis gehört, wer ausgenommen ist und die Pflegedisziplin, die Papier-Compliance von operativer Compliance trennt.
Wann brauchen Sie eine DSFA, und wie führen Sie eine durch?
DSFA-Auslöser, Methodik und die häufigen KI-Zeitalter-Szenarien, die Standardverarbeitung nach Artikel 35 zu Hochrisiko machen.
Meldung von Datenpannen: DSGVO vs. Schweizer revDSG
Die 72-Stunden-Frist der DSGVO vs. die «so rasch als möglich»-Regel der Schweiz. Wie grenzüberschreitende DACH-SaaS die Doppelregime-Meldung handhabt.
DSGVO vs. revDSG: Wo sie auseinandergehen
Das revidierte Schweizer Datenschutzgesetz sieht wie die DSGVO aus, unterscheidet sich aber in wichtigen praktischen Punkten. Ein Vergleich für DACH-fokussierte Unternehmen.