EU-DSGVO einfach umsetzen: Leitfaden für Unternehmen & Webseiten

Die DSGVO ist eine EU-weite Verordnung, die den Umgang mit personenbezogenen Daten regelt. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen in der EU ansässig ist.

Ziele der DSGVO:

Die DSGVO ist eine EU-weite Verordnung, die den Umgang mit personenbezogenen Daten regelt. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen in der EU ansässig ist.

• Stärkung der Rechte von Nutzern und Kunden über ihre Daten.
• Transparenz und Kontrolle über die Verarbeitung personenbezogener Daten.
• Harmonisierung des Datenschutzes innerhalb der EU.
• Strenge Vorgaben für Unternehmen bei der Verarbeitung und Speicherung von Daten.

Die DSGVO gilt für alle Unternehmen und Organisationen, die:

• Personenbezogene Daten von EU-Bürgern erfassen oder verarbeiten.
• Eine Website oder Online-Dienste betreiben, die Besucher aus der EU haben.
• Mitarbeiterdaten speichern oder Kundenlisten führen.

Beispiele:

• Online-Shops
• Dienstleister (z. B. Anwälte, Ärzte, Berater)
• IT-Unternehmen
• Behörden & öffentliche Einrichtungen
• Kleinunternehmer & Freelancer

Achtung: Auch aussereuropäische Unternehmen, die Daten von EU-Bürgern verarbeiten (z. B. durch eine Website mit EU-Kunden), müssen sich an die DSGVO halten.

1. Verzeichnis von Verarbeitungstätigkeiten führen

Unternehmen müssen ein Verzeichnis aller Datenverarbeitungen erstellen. Dies betrifft z. B.:

• Welche personenbezogenen Daten werden erhoben?
• Zu welchem Zweck?
• Wie lange werden sie gespeichert?
• Welche Rechtsgrundlage gibt es für die Verarbeitung?

Tipp: Die DSGVO stellt hierfür keine feste Vorlage bereit, aber viele Datenschutzbehörden bieten Muster an.

2. Datenschutzrichtlinien & Datenschutzerklärung auf der Website aktualisieren

Jede Webseite benötigt eine DSGVO-konforme Datenschutzerklärung, die einfach verständlich und vollständig sein muss. Sie sollte enthalten:

• Welche Daten werden erhoben (z. B. Name, E-Mail, IP-Adresse)?
• Warum werden die Daten erhoben?
• Wer ist verantwortlich für die Datenverarbeitung?
• Werden Drittanbieter-Tools (z. B. Google Analytics) genutzt?
• Welche Rechte haben Nutzer (z. B. Auskunft, Löschung, Widerruf)?

Tipp: Online-Generatoren können helfen, eine DSGVO-konforme Datenschutzerklärung zu erstellen (z. B. eRecht24 oder IT-Recht Kanzlei).

3. Einwilligung für Cookies & Tracking einholen (Cookie-Banner)

Die DSGVO und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verlangen, dass Nutzer aktiv der Verwendung von Cookies und Tracking-Tools (z. B. Google Analytics, Facebook Pixel) zustimmen müssen.

Anforderungen an Cookie-Banner:

• Nutzer müssen aktiv zustimmen („Opt-in“, kein voreingestelltes Häkchen).
• Eine Ablehnung muss genauso einfach möglich sein wie die Zustimmung.
• Die Einwilligung muss dokumentiert werden (z. B. durch ein Consent-Tool wie Borlabs Cookie oder Cookiebot).

4. Auftragsverarbeitungsverträge (AVV) mit Dienstleistern abschliessen

Wer externe Anbieter für die Datenverarbeitung nutzt (z. B. Cloud-Dienste, Newsletter-Tools wie Mailchimp oder Webhoster), muss einen Auftragsverarbeitungsvertrag (AVV) abschliessen.

• Der AVV regelt, dass der Dienstleister die Daten DSGVO-konform verarbeitet.
• Er muss schriftlich oder digital abgeschlossen werden.
• Viele grosse Anbieter (z. B. Google, Mailchimp, Shopify) bieten Standard-AVV an.

Tipp: Prüfen Sie, ob Ihre Anbieter DSGVO-konform sind, besonders wenn Daten in Drittländer (z. B. USA) übertragen werden.

5. Datensicherheit gewährleisten (Technische & Organisatorische Massnahmen - TOMs)

Unternehmen müssen technische und organisatorische Massnahmen (TOMs) umsetzen, um Daten zu schützen. Dazu gehören:

Technische Massnahmen:

• Verschlüsselung von Daten (z. B. SSL-Zertifikate, HTTPS für Websites)
• Zugriffskontrollen (Passwortschutz, Zwei-Faktor-Authentifizierung)
• Firewall und Virenschutz

Organisatorische Massnahmen:

• Datenschutz-Schulungen für Mitarbeiter
• Klare Regeln für den Umgang mit Daten
• Regelmässige Datenschutz-Audits

6. Datenschutz-Folgenabschätzung (DSFA) durchführen

Falls eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen birgt (z. B. Videoüberwachung, KI-gestützte Analysen), ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich.

Eine DSFA hilft, Risiken frühzeitig zu erkennen und Schutzmassnahmen zu definieren.

Tipp: Falls Unsicherheit besteht, kann ein externer Datenschutzbeauftragter helfen.

7. Betroffenenrechte umsetzen

Die DSGVO gibt Nutzern verschiedene Rechte über ihre Daten. Unternehmen müssen sicherstellen, dass sie diese umsetzen können.

• Recht auf Auskunft – Nutzer können erfahren, welche Daten gespeichert sind.
• **Recht auf Löschung („Recht auf Vergessenwerden“) – Daten müssen auf Anfrage gelöscht werden.
• Recht auf Datenübertragbarkeit – Nutzer können ihre Daten anfordern und in ein anderes System übertragen lassen.
• Recht auf Widerspruch & Widerruf – Nutzer können ihre Zustimmung zur Datenverarbeitung jederzeit zurückziehen.

Tipp: Unternehmen sollten Prozesse einrichten, um Anfragen schnell und DSGVO-konform zu bearbeiten.

• Hohe Bussgelder: Bis zu 20 Mio. € oder 4 % des Jahresumsatzes (je nachdem, was höher ist).
• Abmahnungen & Reputationsverlust: Verstösse können zu Abmahnungen von Wettbewerbern oder Datenschutzbehörden führen.
• Verlust von Kundenvertrauen: Datenschutzverstösse können Kunden abschrecken.

Beispiel: Google erhielt eine Strafe von 50 Mio. € in Frankreich wegen unklarer Datenschutzinformationen.

• Datenschutzerklärung & Impressum aktualisieren
• Cookie-Banner & Einwilligungen korrekt umsetzen
• AV-Verträge mit Dienstleistern abschliessen
• Sichere Datenverarbeitung durch technische & organisatorische Massnahmen gewährleisten
• Betroffenenrechte ermöglichen

Tipp: Regelmässige Überprüfung & Anpassung der Datenschutzmassnahmen hilft, DSGVO-Konformität langfristig sicherzustellen.