Die DSGVO, ausgeschrieben Datenschutz-Grundverordnung und international als GDPR (General Data Protection Regulation) bekannt, ist die zentrale Rechtsgrundlage für den Schutz personenbezogener Daten in der Europäischen Union. Sie ist seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten anwendbar und hat den Datenschutz weltweit geprägt — viele Länder ausserhalb der EU haben ihre eigenen Gesetze an ihr ausgerichtet. Ihr Ziel ist es, natürliche Personen beim Umgang mit ihren Daten zu schützen und zugleich den freien Datenverkehr im Binnenmarkt zu ermöglichen.
Was personenbezogene Daten sind
Der Anwendungsbereich der DSGVO knüpft am Begriff der personenbezogenen Daten an. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen — vom Namen über die E-Mail-Adresse und die IP-Adresse bis zu Standortdaten, Online-Kennungen und Kundennummern. Schon die Möglichkeit, eine Person mittelbar zu identifizieren, genügt. Eine besondere Kategorie bilden die sensiblen Daten nach Artikel 9, etwa Gesundheitsdaten, biometrische Daten oder Informationen über die politische oder religiöse Überzeugung, die einem verschärften Schutz unterliegen. Diese weite Definition führt dazu, dass nahezu jedes Unternehmen personenbezogene Daten verarbeitet und damit der DSGVO unterliegt.
Die Grundsätze der Verarbeitung
Im Kern der DSGVO stehen die Grundsätze des Artikels 5. Verarbeitung muss rechtmässig, nach Treu und Glauben und transparent erfolgen. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung). Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck nötig sind (Datenminimierung). Die Daten müssen richtig und aktuell sein, dürfen nicht länger als nötig gespeichert werden (Speicherbegrenzung) und müssen angemessen gesichert sein (Integrität und Vertraulichkeit). Schliesslich muss der Verantwortliche die Einhaltung all dieser Grundsätze nachweisen können (Rechenschaftspflicht). Diese Grundsätze sind kein abstraktes Beiwerk, sondern der Massstab, an dem jede Datenverarbeitung gemessen wird.
Die Rechtsgrundlagen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Artikel 6. Die DSGVO nennt sechs Möglichkeiten: die Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags, eine rechtliche Verpflichtung, der Schutz lebenswichtiger Interessen, die Wahrnehmung einer öffentlichen Aufgabe und das berechtigte Interesse des Verantwortlichen, sofern die Interessen der betroffenen Person nicht überwiegen. Die Wahl der richtigen Rechtsgrundlage ist entscheidend, weil sie die weiteren Pflichten und die Rechte der betroffenen Personen beeinflusst. Ein verbreiteter Fehler ist, für jede Verarbeitung reflexhaft eine Einwilligung einzuholen, obwohl oft ein berechtigtes Interesse oder die Vertragserfüllung die tragfähigere Grundlage wäre.
Die Rechte der betroffenen Personen
Die DSGVO gewährt betroffenen Personen weitreichende Rechte. Dazu gehören das Recht auf Auskunft über die verarbeiteten Daten, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung (das sogenannte Recht auf Vergessenwerden), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Recht, der Verarbeitung zu widersprechen. Hinzu kommen besondere Schutzvorschriften bei automatisierten Einzelentscheidungen einschliesslich Profiling nach Artikel 22. Unternehmen müssen Prozesse einrichten, mit denen sie diese Rechte fristgerecht — in der Regel innerhalb eines Monats — erfüllen können. Für SaaS-Anbieter empfiehlt sich ein Self-Service, der Datenexport und Kontolöschung automatisiert.
Pflichten für Unternehmen
Aus der DSGVO ergeben sich zahlreiche Pflichten. Unternehmen müssen ein Verzeichnis von Verarbeitungstätigkeiten führen, technische und organisatorische Massnahmen zum Schutz der Daten umsetzen, bei riskanten Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen, mit Auftragsverarbeitern einen Auftragsverarbeitungsvertrag schliessen, Datenschutzverletzungen innerhalb von 72 Stunden melden und gegebenenfalls einen Datenschutzbeauftragten benennen. Der Grundsatz Privacy by Design and by Default verlangt zudem, Datenschutz von Anfang an in Produkte und Prozesse einzubauen, statt ihn nachträglich aufzusetzen. Diese Pflichten sind für viele kleine und mittlere Unternehmen anspruchsvoll, lassen sich aber mit der richtigen Struktur bewältigen.
Internationale Datenübermittlung
Ein eigenes Kapitel der DSGVO regelt die Übermittlung personenbezogener Daten in Länder ausserhalb der EU und des EWR. Solche Übermittlungen sind nur unter besonderen Voraussetzungen zulässig, etwa wenn die EU-Kommission dem Zielland ein angemessenes Schutzniveau bescheinigt hat oder wenn geeignete Garantien wie Standardvertragsklauseln vorliegen. Diese Regeln sind nach den Schrems-Urteilen des Europäischen Gerichtshofs erheblich verschärft worden, was insbesondere die Nutzung von US-Cloud-Diensten betrifft. Für DACH-Unternehmen ist dies ein starkes Argument für EU-Hosting, das Datenübermittlungen in Drittländer von vornherein vermeidet.
Bussgelder und Durchsetzung
Die DSGVO wird durch die nationalen Datenschutzaufsichtsbehörden durchgesetzt, die erhebliche Sanktionsbefugnisse haben. Bussgelder können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. In der Vergangenheit wurden gegen grosse Technologiekonzerne Bussgelder in dreistelliger Millionenhöhe verhängt, aber auch kleinere Unternehmen werden sanktioniert. Neben den Bussgeldern drohen Reputationsschäden und zivilrechtliche Schadensersatzansprüche betroffener Personen. Diese Durchsetzungsrealität macht Datenschutz zu einem ernstzunehmenden Geschäftsrisiko, nicht zu einer blossen Formalität.
Der Bezug zur Schweiz und zum DACH-Raum
Obwohl die Schweiz nicht der EU angehört, ist die DSGVO für Schweizer Unternehmen oft relevant: Sobald sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten, fallen sie unter ihren extraterritorialen Geltungsbereich. Parallel gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG), das der DSGVO weitgehend angenähert ist. Viele DACH-Unternehmen müssen daher beide Regime gleichzeitig beachten. Innopulse baut seine Produkte und die seiner Kunden DSGVO- und revDSG-konform von Grund auf — mit EU- oder Schweiz-Hosting, dokumentierter Auftragsverarbeitung und Self-Service für die Betroffenenrechte — und berät Unternehmen bei der praktischen Umsetzung beider Rechtsrahmen.
Privacy by Design und by Default
Ein zentraler, oft unterschätzter Grundsatz der DSGVO ist Privacy by Design and by Default aus Artikel 25. Datenschutz darf nicht nachträglich auf ein fertiges Produkt aufgesetzt werden, sondern muss von der ersten Konzeptphase an mitgedacht werden. Privacy by Design bedeutet, technische und organisatorische Massnahmen wie Verschlüsselung, Pseudonymisierung und Datenminimierung bereits beim Entwurf eines Systems einzubauen. Privacy by Default verlangt, dass die datenschutzfreundlichsten Einstellungen voreingestellt sind, sodass Nutzer aktiv zustimmen müssen, wenn mehr Daten verarbeitet werden sollen. Für die Softwareentwicklung hat dieser Grundsatz weitreichende Folgen: Eine Architektur, die Datenschutz von Anfang an berücksichtigt, ist nicht nur konformer, sondern langfristig auch billiger als eine, bei der Datenschutz nachgerüstet werden muss.
Das Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 DSGVO verlangt von den meisten Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten, das alle Verarbeitungsvorgänge systematisch dokumentiert. Es enthält unter anderem die Zwecke der Verarbeitung, die Kategorien betroffener Personen und Daten, die Empfänger, etwaige Drittlandübermittlungen, die vorgesehenen Löschfristen und eine allgemeine Beschreibung der Sicherheitsmassnahmen. Dieses Verzeichnis ist mehr als eine Formalität — es ist die Landkarte der eigenen Datenverarbeitung und die Grundlage für die Erfüllung fast aller anderen Pflichten. Ohne einen Überblick darüber, welche Daten zu welchem Zweck verarbeitet werden, kann ein Unternehmen weder Betroffenenrechte erfüllen noch Risiken bewerten noch im Ernstfall eine Datenpanne korrekt einordnen.
Datenpannen und die 72-Stunden-Frist
Tritt eine Verletzung des Schutzes personenbezogener Daten ein — etwa durch einen Hackerangriff, ein Datenleck oder den Verlust eines Datenträgers — greift eine der bekanntesten Pflichten der DSGVO: die Meldepflicht. Der Verantwortliche muss die zuständige Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden nach Bekanntwerden informieren, sofern die Verletzung ein Risiko für die Betroffenen birgt. Bei hohem Risiko sind zusätzlich die betroffenen Personen zu benachrichtigen. Diese knappe Frist verlangt vorbereitete Prozesse: Wer erst im Ernstfall überlegt, wie eine Meldung abläuft, verliert wertvolle Zeit. Ein vorbereiteter Incident-Response-Plan, der Zuständigkeiten und Abläufe festlegt, ist daher ein wichtiger Teil der DSGVO-Compliance.
Fazit
Die DSGVO ist das Fundament des modernen Datenschutzes und betrifft praktisch jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Ihre Grundsätze, Rechtsgrundlagen und Betroffenenrechte bilden ein zusammenhängendes System, dessen Einhaltung das Unternehmen jederzeit nachweisen können muss. Wer Datenschutz nicht als lästige Pflicht, sondern als Qualitätsmerkmal begreift und ihn von Anfang an in Produkte und Prozesse einbaut, erfüllt nicht nur die gesetzlichen Anforderungen, sondern schafft Vertrauen bei Kunden — im DACH-Raum zunehmend ein echter Wettbewerbsvorteil.