AGIDAT – Datenschutz | Informationssicherheit

FAQ Datenschutz

Häufige Fragen zur DSGVO — klar beantwortet, ohne Fachchinesisch.

Sie haben Fragen zum Datenschutz? Hier finden Sie Antworten auf die häufigsten Fragen, die uns in der Beratungspraxis begegnen. Und wenn Ihre Frage nicht dabei ist: Wir sind im Erstgespräch gerne persönlich für Sie da.

Grundlagen

Ab wann gilt die DSGVO für mein Unternehmen?

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet — unabhängig von der Unternehmensgröße. Es gibt keine Ausnahme für Kleinunternehmen oder Soloselbstständige.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen — Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Standortdaten, Kundennummer und vieles mehr.

Was droht bei DSGVO-Verstößen?

Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist). In der Praxis werden KMU-Bußgelder meist im vier- bis fünfstelligen Bereich verhängt. Hinzu kommen Reputationsschäden und Schadensersatzansprüche Betroffener.

Datenschutzbeauftragter

Wann brauche ich einen Datenschutzbeauftragten?

In Deutschland ist ein DSB Pflicht, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Unabhängig davon: bei Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten), bei geschäftsmäßiger Datenübermittlung oder bei umfangreicher Profilerstellung.

Kann ich den DSB intern oder muss er extern sein?

Beides ist möglich. Der interne DSB muss fachlich qualifiziert und weisungsunabhängig sein — was in kleinen Unternehmen oft schwierig ist. Ein externer DSB bringt Expertise mit, ist per se weisungsunabhängig und haftet für seine Beratungsleistungen.

Was kostet ein externer Datenschutzbeauftragter?

Für ein kleines Unternehmen mit überschaubaren Verarbeitungen beginnen die Kosten typischerweise bei 100–300 € monatlich. Komplexere Strukturen (viele Verarbeitungen, sensible Daten, mehrere Standorte) kosten entsprechend mehr. Im Erstgespräch nennen wir Ihnen einen konkreten Preis.

Dokumentation

Was ist das Verarbeitungsverzeichnis und muss ich es haben?

Das Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO ist Pflicht für alle Unternehmen ab 250 Mitarbeitenden — und für kleinere Unternehmen, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder ein Risiko für Betroffene birgt. In der Praxis müssen es fast alle führen.

Wie oft muss die Datenschutzdokumentation aktualisiert werden?

Immer dann, wenn sich etwas ändert: neue Software, neue Prozesse, neue Dienstleister, geänderte Aufbewahrungsfristen. Mindestens einmal jährlich sollte eine Gesamtüberprüfung stattfinden.

Brauche ich für jeden Dienstleister einen AVV?

Für jeden Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet — ja. Das betrifft Steuerberater (die Lohnbuchhaltung machen), Cloud-Anbieter, E-Mail-Dienste, HR-Software-Anbieter und viele mehr. Nicht betroffen: Dienstleister, die eigenverantwortlich handeln (z. B. Rechtsanwälte, eigenständige Transportunternehmen).

Website und Online

Was muss in die Datenschutzerklärung?

Alle Verarbeitungen auf Ihrer Website: Hosting, Kontaktformular, eingebettete Videos, Analysetools, Social-Media-Plugins, Newsletter, Shop-Funktionen, Buchungssysteme. Außerdem: Angaben zum Verantwortlichen, Rechtsgrundlagen, Speicherfristen, Betroffenenrechte, Beschwerderecht.

Benötige ich einen Cookie-Banner?

Für Cookies und Tracking-Technologien, die nicht technisch notwendig sind (z. B. Google Analytics, Facebook Pixel), brauchen Sie eine vorab-Einwilligung. Technisch notwendige Cookies (Session-Cookie, Warenkorb) benötigen keine Einwilligung, müssen aber in der Datenschutzerklärung erwähnt werden.

Ist Google Analytics nach der DSGVO erlaubt?

Google Analytics (GA4) ist mit entsprechenden Maßnahmen grundsätzlich nutzbar: korrekte Konfiguration (keine vollständigen IP-Adressen, Server-Side-Tracking), AVV mit Google, vorab-Einwilligung über Cookie-Consent-Tool. Einige europäische Datenschutzbehörden haben frühere Versionen beanstandet — die Diskussion entwickelt sich weiter.

Mitarbeitende

Darf ich die E-Mails meiner Mitarbeitenden lesen?

Grundsätzlich nein, wenn die private Nutzung erlaubt ist. Bei ausschließlich dienstlicher Nutzung ist es möglich, aber an strenge Voraussetzungen geknüpft (Notwendigkeit, Verhältnismäßigkeit, Information der Mitarbeitenden). Eine klare IT-Nutzungsrichtlinie ist hier unerlässlich.

Dürfen Mitarbeitende dienstliche Geräte privat nutzen?

Das liegt in Ihrer Entscheidung als Arbeitgeber. Wenn Sie es erlauben, entstehen datenschutzrechtliche Konsequenzen (Zugriff auf private Daten, BYOD-Problematik). Wenn Sie es verbieten, müssen Sie das klar kommunizieren und eine IT-Nutzungsrichtlinie erstellen.

Wie lange darf ich Bewerberdaten speichern?

Nach einer Absage dürfen Bewerberdaten in der Regel bis zu 6 Monate aufbewahrt werden — zur Verteidigung gegen eventuelle Klagen wegen Diskriminierung (AGG). Danach müssen sie gelöscht werden, sofern die Bewerberin / der Bewerber keine Einwilligung zur längeren Speicherung gegeben hat.

Ihre Frage ist nicht dabei?

Im kostenlosen Erstgespräch beantworten wir Ihre konkrete Situation — persönlich und ohne Fachchinesisch.

Erstgespräch vereinbaren →