Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018. Trotzdem verstehen viele Menschen bis heute nicht, was sie konkret für den eigenen Alltag bedeutet. Die meisten kennen das Thema nur durch Cookie-Banner, die beim Öffnen jeder Website aufpoppen. Dabei steckt hinter der Verordnung eine grundlegende Idee, die jeden betrifft: Sie bestimmen, was mit Ihren persönlichen Daten passiert. Nicht Google, nicht Ihr Stromanbieter, nicht der Online-Shop, bei dem Sie einmal bestellt haben. Sie.
Was die DSGVO eigentlich schützt
Die DSGVO schützt personenbezogene Daten. Das sind alle Informationen, die sich einer bestimmten Person zuordnen lassen. Dazu gehören offensichtliche Dinge wie Ihr Name, Ihre E-Mail-Adresse oder Ihre Telefonnummer. Aber auch weniger offensichtliche Daten fallen darunter: Ihre IP-Adresse, Standortdaten Ihres Smartphones, Fotos, auf denen Sie erkennbar sind, Ihre Kaufhistorie in einem Online-Shop oder sogar die Art, wie Sie eine Website nutzen (Klickverhalten, Verweildauer).
Der Grundsatz ist einfach: Wenn jemand Ihre Daten verarbeiten will, braucht er dafür eine Rechtsgrundlage. Das kann Ihre ausdrückliche Einwilligung sein, ein laufender Vertrag oder ein berechtigtes Interesse. Ohne Grundlage ist die Verarbeitung nicht erlaubt.
Ihre Rechte als Bürger | Was Sie verlangen können
Die DSGVO gibt Ihnen als Privatperson konkrete Rechte gegenüber jedem Unternehmen, das Ihre Daten verarbeitet. Diese Rechte gelten in der gesamten EU.
Auskunftsrecht
Sie dürfen jedes Unternehmen fragen: "Welche Daten haben Sie über mich gespeichert?" Das Unternehmen muss Ihnen innerhalb eines Monats kostenlos antworten. Praktisches Beispiel: Sie können Ihren Mobilfunkanbieter anschreiben und eine vollständige Aufstellung aller gespeicherten Daten anfordern, von Ihren Vertragsdaten bis hin zu Verbindungsprotokollen.
Recht auf Löschung
Wenn ein Unternehmen Ihre Daten nicht mehr braucht oder Sie Ihre Einwilligung zurückziehen, können Sie die Löschung verlangen. Beispiel: Sie haben vor Jahren ein Kundenkonto bei einem Online-Shop angelegt, bestellen dort aber nicht mehr. Sie können verlangen, dass Ihr Konto und alle zugehörigen Daten gelöscht werden.
Recht auf Datenübertragbarkeit
Sie können verlangen, dass ein Unternehmen Ihnen Ihre Daten in einem gängigen Format übergibt, damit Sie sie zu einem anderen Anbieter mitnehmen können. Das betrifft zum Beispiel den Wechsel eines E-Mail-Providers oder eines Fitness-Trackers: Ihre Daten gehören Ihnen, nicht dem Anbieter.
Widerspruchsrecht
Sie dürfen der Verarbeitung Ihrer Daten widersprechen, wenn diese auf "berechtigtem Interesse" des Unternehmens basiert. Das gilt besonders für Direktwerbung. Wenn ein Unternehmen Ihnen Marketing-E-Mails schickt, können Sie jederzeit widersprechen, und das Unternehmen muss sofort aufhören.
DSGVO-konform aufstellen?
Wir helfen Ihnen, Ihre Website und Prozesse datenschutzkonform einzurichten. Verständlich erklärt und ohne Juristendeutsch.
Jetzt informierenWas Unternehmen tun müssen
Wenn Sie eine Website betreiben, einen Online-Shop führen oder auch nur einen Newsletter versenden, gelten für Sie bestimmte Pflichten.
Impressum und Datenschutzerklärung
Jede geschäftliche Website in Deutschland braucht ein Impressum (das ist bereits seit dem Telemediengesetz Pflicht) und eine Datenschutzerklärung. Die Datenschutzerklärung muss verständlich erklären, welche Daten Sie erheben, warum Sie das tun und auf welcher Rechtsgrundlage. "Verständlich" bedeutet: auch für Menschen ohne juristische Ausbildung nachvollziehbar.
Echte Cookie-Einwilligung
Ein Cookie-Banner allein reicht nicht. Entscheidend ist, dass Tracking-Cookies und Analyse-Tools erst dann geladen werden, wenn der Besucher aktiv zugestimmt hat. Das simple Weitersurfen auf der Seite gilt nicht als Zustimmung. Und die Ablehnung muss genauso leicht sein wie die Zustimmung. Viele Websites verstoßen noch immer gegen diese Anforderung.
Auftragsverarbeitungsverträge
Wenn Sie externe Dienste nutzen, die Zugriff auf personenbezogene Daten Ihrer Kunden haben (z. B. einen Newsletter-Anbieter, eine Cloud-Buchhaltung oder ein CRM-System), brauchen Sie mit jedem dieser Anbieter einen Auftragsverarbeitungsvertrag (AVV). Dieser regelt, was der Anbieter mit den Daten tun darf und wie er sie schützen muss.
Meldepflicht bei Datenpannen
Wird Ihr System gehackt oder gehen personenbezogene Daten auf anderem Weg verloren, müssen Sie das innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Wenn ein hohes Risiko für die betroffenen Personen besteht, müssen Sie auch diese direkt informieren.
Vier verbreitete Mythen zur DSGVO
"Die DSGVO verbietet das Sammeln von Daten"
Das ist falsch. Die DSGVO verbietet nicht, Daten zu erheben. Sie verlangt, dass es einen legitimen Grund dafür gibt und dass Sie transparent damit umgehen. Wenn jemand bei Ihnen bestellt, dürfen Sie Name und Adresse speichern, weil Sie die Bestellung abwickeln müssen. Sie dürfen diese Daten nur nicht für Zwecke verwenden, für die Sie keine Grundlage haben.
"Ein Cookie-Banner macht mich DSGVO-konform"
Ein Banner ist nur die sichtbare Oberfläche. Dahinter muss die Technik stimmen: Werden Tracking-Skripte wirklich erst nach Zustimmung geladen? Wird die Entscheidung des Nutzers korrekt gespeichert? Können Besucher ihre Einwilligung nachträglich widerrufen? Viele vermeintlich konforme Websites laden Google Analytics bereits vor der Zustimmung. Das ist ein Verstoß.
"Die DSGVO gilt nur für große Unternehmen"
Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Auch für Einzelunternehmer, Freiberufler und Vereine. Die Größe des Unternehmens spielt keine Rolle. Einige Pflichten wie die Benennung eines Datenschutzbeauftragten greifen erst ab einer bestimmten Mitarbeiterzahl, aber die Grundprinzipien gelten für alle.
"US-Tools sind verboten"
Die Situation ist differenzierter. Seit dem EU-US Data Privacy Framework (2023) gibt es wieder eine Rechtsgrundlage für den Datentransfer an zertifizierte US-Unternehmen. Ob dieses Abkommen langfristig Bestand hat, ist allerdings unsicher. Wer auf der sicheren Seite sein will, prüft bei jedem US-Tool individuell, ob es unter das Framework fällt, oder wählt europäische Alternativen.
Self-Hosted vs. Cloud | Datenschutz durch Eigenhosting
Einer der wirksamsten Wege, die DSGVO-Konformität zu vereinfachen, ist die Nutzung selbst gehosteter Software. Wenn Ihre Website-Analyse, Ihr E-Mail-System oder Ihr CRM auf Ihrem eigenen Server in Deutschland läuft, entfallen viele Probleme von vornherein.
Sie brauchen keinen Auftragsverarbeitungsvertrag mit einem US-Konzern. Sie müssen sich keine Sorgen machen, ob der Anbieter seine Datenschutzrichtlinien ändert. Die Daten verlassen Ihren Server nicht. Ein Beispiel: Wer statt Google Analytics eine selbst gehostete Analyse-Software wie Umami, Plausible oder Matomo einsetzt, kann unter bestimmten Voraussetzungen sogar auf das Cookie-Banner für die Analyse verzichten, weil keine personenbezogenen Daten an Dritte übermittelt werden.
Natürlich erfordert Self-Hosting technisches Wissen oder einen Dienstleister, der die Einrichtung und Wartung übernimmt. Doch langfristig spart es nicht nur Abo-Kosten, sondern auch rechtliche Unsicherheit.
5 Ansatzpunkte für mehr Datenschutz-Konformität
Diese Punkte sind keine vollständige Compliance-Anleitung, sondern Bereiche, in denen viele Unternehmen Lücken haben:
- Datenschutzerklärung prüfen. Stimmen die dort genannten Dienste noch mit dem überein, was Sie tatsächlich nutzen? Haben Sie letztes Jahr Google Analytics durch ein anderes Tool ersetzt, steht aber noch Google in der Erklärung? Aktualisieren Sie die Seite.
- Cookie-Banner testen. Klicken Sie auf Ihrer eigenen Website auf "Ablehnen" und prüfen Sie mit den Browser-Entwicklertools, ob danach wirklich keine Tracking-Cookies gesetzt werden. Falls doch, haben Sie ein Problem.
- Alte Kundendaten aufräumen. Haben Sie E-Mail-Listen mit Kontakten, die seit Jahren nicht mehr aktiv sind? Wenn es keinen Grund gibt, diese Daten zu behalten, löschen Sie sie. Das reduziert Ihr Risiko bei einer Datenpanne.
- Auftragsverarbeitungsverträge prüfen. Erstellen Sie eine Liste aller externen Dienste, die Zugriff auf Kundendaten haben: Newsletter-Tool, Cloud-Speicher, Buchhaltungssoftware, Zahlungsanbieter. Für jeden brauchen Sie einen AVV. Die meisten Anbieter stellen diese auf ihrer Website bereit.
- Auskunftsanfrage als Übung. Schicken Sie einer Firma, bei der Sie Kunde sind, eine Auskunftsanfrage. Das zeigt Ihnen, wie der Prozess funktioniert, und hilft Ihnen zu verstehen, was Ihre eigenen Kunden erwarten könnten.
Kernaussagen
- Die DSGVO schützt alle personenbezogenen Daten, von der E-Mail-Adresse bis zur IP-Adresse.
- Als Bürger haben Sie das Recht auf Auskunft, Löschung, Datenübertragung und Widerspruch.
- Unternehmen jeder Größe müssen die Verordnung einhalten, nicht nur Konzerne.
- Ein Cookie-Banner allein ist keine Compliance. Die Technik dahinter muss stimmen.
- Self-Hosting kann viele Datenschutzprobleme von vornherein vermeiden.
Häufige Fragen zur DSGVO
Was sind personenbezogene Daten laut DSGVO?
Personenbezogene Daten sind alle Informationen, die sich einer bestimmten Person zuordnen lassen. Dazu gehören Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Standortdaten, Fotos, Kaufhistorie und sogar das Klickverhalten auf einer Website.
Gilt die DSGVO auch für kleine Unternehmen und Freelancer?
Ja. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von der Größe. Auch Einzelunternehmer, Freiberufler und Vereine müssen die Grundprinzipien einhalten. Nur bestimmte Pflichten wie die Benennung eines Datenschutzbeauftragten greifen erst ab einer bestimmten Mitarbeiterzahl.
Reicht ein Cookie-Banner für die DSGVO-Konformität?
Nein. Ein Cookie-Banner allein reicht nicht aus. Entscheidend ist, dass Tracking-Cookies und Analyse-Tools erst nach aktiver Zustimmung geladen werden. Die Ablehnung muss genauso einfach sein wie die Zustimmung. Viele Websites verstoßen noch immer gegen diese Anforderung.
Kann Self-Hosting bei der DSGVO helfen?
Ja. Wenn Ihre Website-Analyse, Ihr E-Mail-System oder Ihr CRM auf Ihrem eigenen Server in Deutschland läuft, entfallen viele Datenschutzprobleme. Sie brauchen keinen Auftragsverarbeitungsvertrag mit US-Konzernen, und die Daten verlassen Ihren Server nicht.
Datenschutz richtig umsetzen
Sie möchten Ihre Website und Ihre Prozesse DSGVO-konform aufstellen, ohne sich durch Juristendeutsch kämpfen zu müssen? Wir helfen Ihnen mit konkreten Maßnahmen, von der Datenschutzerklärung bis zur selbst gehosteten Analyse.
Kostenlos beraten lassen