DSGVO — Datenschutz-Grundverordnung

Eine SaaS-Firma startet einen Newsletter und sammelt 12.000 E-Mail-Adressen, ohne eine Einwilligung dokumentiert zu haben. Sechs Monate später beschwert sich ein Empfänger bei der Datenschutzaufsicht. Die Behörde fordert das Verzeichnis der Verarbeitungstätigkeiten, die Einwilligungsnachweise und das TOM-Konzept — innerhalb von zwei Wochen. Wer das nicht vorlegen kann, riskiert nicht nur das Bußgeld, sondern auch eine Anordnung zur Löschung des kompletten Verteilers.

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der gesamten EU unmittelbar geltendes Recht. Sie löste die alte EG-Datenschutzrichtlinie ab und harmonisiert das Datenschutzrecht in allen Mitgliedstaaten. Für die Informationssicherheit ist sie deshalb relevant, weil sie konkrete technisch-organisatorische Maßnahmen (TOMs) verlangt, deren Umsetzung sich stark mit ISO 27001 überschneidet.

Wer ist betroffen?

Praktisch jede Organisation, die nicht ausschließlich anonyme Daten verarbeitet. Die DSGVO gilt extraterritorial: Auch ein US-Unternehmen, das in der EU Werbung schaltet, fällt unter die Verordnung. Konkret betrifft sie:

Verantwortliche (Art. 4 Nr. 7) — die über Zweck und Mittel der Verarbeitung entscheiden. Das ist in der Regel die Organisation selbst.
Auftragsverarbeiter (Art. 4 Nr. 8) — die im Auftrag des Verantwortlichen verarbeiten. Klassische Beispiele: Cloud-Anbieter, Lohnabrechnungs-Dienstleister, externe IT-Wartung.
Gemeinsam Verantwortliche (Art. 26) — wenn mehrere Organisationen gemeinsam über Zweck und Mittel entscheiden, z. B. bei Forschungskonsortien oder bestimmten Marketing-Kooperationen.

Ausgenommen sind nur Verarbeitungen für ausschließlich persönliche oder familiäre Zwecke (Art. 2 Abs. 2 lit. c) — die berühmte „Haushaltsausnahme”.

Was verlangt das Gesetz?

Sechs Grundsätze (Art. 5) bilden das Fundament: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Aus diesen Prinzipien leiten sich konkrete Pflichten ab:

Rechtsgrundlage (Art. 6) — jede Verarbeitung braucht eine der sechs Rechtsgrundlagen: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) — Pflicht für Organisationen ab 250 Beschäftigten, faktisch aber für nahezu alle empfehlenswert.
Datenschutz-Folgenabschätzung (Art. 35) — bei Verarbeitungen mit hohem Risiko (z. B. systematische Überwachung, besondere Datenkategorien in großem Umfang).
Technische und organisatorische Maßnahmen (Art. 32) — Schutz nach dem Stand der Technik. Hier liegt die Brücke zu ISO 27001.
Meldepflicht bei Datenpannen (Art. 33, 34) — Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, an Betroffene bei hohem Risiko.
Betroffenenrechte (Art. 12 ff.) — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Die Bearbeitung muss innerhalb eines Monats erfolgen.
Auftragsverarbeitungsvertrag (Art. 28) — verbindliche Mindestinhalte für jeden Auftrag, der personenbezogene Daten beinhaltet.

In der Praxis

Verzeichnis von Verarbeitungstätigkeiten als lebendes Dokument führen. Die häufigste Lücke in Audits: Das Verzeichnis wurde 2018 angelegt und seither nie aktualisiert. Jede neue Anwendung, jeder neue Geschäftsprozess gehört rein. Praxisbewährt: Verknüpfung mit dem CMDB-Eintrag der zugrundeliegenden Anwendung.

Datenschutz-Folgenabschätzung systematisch prüfen. Für jede neue Verarbeitung mit potenziell hohem Risiko muss die DSFA-Pflicht geprüft werden. Die Aufsichtsbehörden veröffentlichen Positivlisten (z. B. die „Muss-Liste” der DSK). Wer eine DSFA übersieht, riskiert ein Bußgeld auch ohne Datenpanne.

Datenpannen-Meldekette üben. Die 72-Stunden-Frist beginnt mit Bekanntwerden, nicht mit der finalen Bewertung. In der Praxis braucht es einen klaren Eskalationsweg von der Person, die den Vorfall bemerkt, bis zur Geschäftsleitung und zum DSB. Tabletop-Übungen decken Lücken auf, die im Ernstfall teuer werden.

Mapping zu ISO 27001

Die TOM-Anforderungen aus Art. 32 DSGVO decken sich substantiell mit dem ISO-27001-Annex-A-Katalog. Wer ein zertifiziertes ISMS betreibt, erfüllt einen großen Teil der DSGVO-Sicherheitsanforderungen automatisch.

Direkt relevante Kontrollen:

A.5.34 — Datenschutz und Schutz personenbezogener Daten: der Brückenpunkt zur DSGVO; verlangt Identifikation und Erfüllung aller datenschutzrechtlichen Anforderungen.
A.5.32 — Geistige Eigentumsrechte: in der DSGVO als Datenminimierung relevant.
A.5.13 — Kennzeichnung von Informationen: Klassifizierung personenbezogener Daten als Voraussetzung für angemessene Schutzmaßnahmen.
A.5.14 — Informationsübertragung: sichere Übertragung und Drittlandtransfer.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die 72-Stunden-Meldefrist.
A.5.36 — Einhaltung von Richtlinien: schließt die Compliance-Prüfung gegen die DSGVO ein.
A.6.3 — Informationssicherheitsbewusstsein: Datenschutz-Schulungen sind Pflicht.
A.8.10 — Löschung von Informationen: technische Umsetzung des Rechts auf Löschung.
A.8.11 — Datenmaskierung: Pseudonymisierung und Anonymisierung.
A.8.24 — Verwendung von Kryptografie: Verschlüsselung als zentrale TOM-Maßnahme.
A.8.25 — Sicherer Entwicklungslebenszyklus: Privacy by Design.

Typische Audit-Befunde

Veraltetes Verarbeitungsverzeichnis — die häufigste Beanstandung. Neue Tools, neue Prozesse, ausgeschiedene Dienstleister fehlen.
Fehlende oder unvollständige AV-Verträge — gerade bei Cloud-Anbietern werden DPAs oft akzeptiert, ohne sie inhaltlich zu prüfen.
Einwilligungen ohne Nachweis — Newsletter-Anmeldungen ohne Double-Opt-In-Protokoll, Tracking ohne dokumentierte Cookie-Einwilligung.
Ungeklärte Drittlandtransfers — US-Tools im Einsatz ohne TIA, Daten in unbekannten Cloud-Regionen.
Datenpannen-Prozess existiert nur auf dem Papier — niemand hat die Meldekette je geübt, der Eskalationsweg ist unbekannt.
Recht auf Auskunft nicht operationalisiert — keine Person ist konkret benannt, keine Vorlage existiert, die Monatsfrist wird gerissen.

Quellen

DSGVO-Volltext (DSGVO-Gesetz.de) — kommentierte Volltext-Ausgabe mit Verweisen auf Erwägungsgründe
Verordnung (EU) 2016/679 (EUR-Lex) — amtliche EU-Fassung in allen Sprachen
Bundesdatenschutzgesetz (BDSG) — deutsche Ergänzungen und Konkretisierungen
Datenschutzkonferenz (DSK) — Beschlüsse der deutschen Aufsichtsbehörden
Europäischer Datenschutzausschuss (EDSA) — Leitlinien zur einheitlichen Auslegung

Häufig gestellte Fragen

Wer muss die DSGVO einhalten?

Jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet — unabhängig vom Sitz der Organisation. Das gilt für Unternehmen, Vereine, Behörden und Selbstständige. Auch kleinste Organisationen sind betroffen, wenn sie etwa eine Kundendatei führen oder eine Webseite mit Kontaktformular betreiben.

Brauche ich einen Datenschutzbeauftragten?

In Deutschland: ja, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn die Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien umfasst (Art. 37 DSGVO i. V. m. § 38 BDSG). Die Pflicht entfällt nicht durch Outsourcing — der externe DSB übernimmt die Rolle, nicht die Verantwortung.

Wie hoch sind die Bußgelder tatsächlich?

Der gesetzliche Rahmen reicht bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (das Höhere zählt). In der Praxis bewegen sich Bußgelder gegen Mittelständler meist im fünfstelligen Bereich, gegen Großkonzerne können sie dreistellige Millionenbeträge erreichen. Aufsichtsbehörden ziehen den Umsatz, die Schwere des Verstoßes und die Kooperationsbereitschaft heran.