Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen, Behörden und andere Organisationen. Betroffen sind praktisch alle Unternehmen, die in irgendeiner Form personenbezogene Daten verarbeiten – dazu gehören Kundendaten, Mitarbeiterdaten, Lieferantendaten und selbst die IP-Adressen von Website-Besuchern. Auch Unternehmen außerhalb der EU müssen die DSGVO einhalten, wenn sie Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten. Kleine Unternehmen mit weniger als 250 Mitarbeitern haben bei bestimmten Dokumentationspflichten Erleichterungen, sind aber grundsätzlich ebenfalls verpflichtet. Als professioneller Compliance-Partner helfen wir Ihnen dabei, alle DSGVO-Anforderungen zu identifizieren und umzusetzen.

Die Bestellung eines Datenschutzbeauftragten (DSB) ist nach Art. 37 DSGVO und § 38 BDSG in mehreren Fällen verpflichtend. Erstens: Wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – das umfasst alle Mitarbeiter mit Zugang zu personenbezogenen Daten, etwa im Vertrieb, Personal, Buchhaltung oder Kundenservice. Zweitens: Wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (z.B. Gesundheitsdaten bei Arztpraxen oder Krankenhäusern). Drittens: Wenn Sie regelmäßig und systematisch Personen überwachen (z.B. Videoüberwachung, Tracking, Scoring). Der DSB kann ein interner Mitarbeiter sein oder ein externer Dienstleister wie entplexit. Ein externer DSB bietet Vorteile: keine Interessenkonflikte, garantierte Fachkunde und keine Kündigungsschutz-Problematik.

Die DSGVO sieht einen zweistufigen Bußgeldrahmen vor, der zu den höchsten im europäischen Recht gehört. Bei weniger schwerwiegenden Verstößen (z.B. fehlende Datenschutz-Folgenabschätzung, mangelnde Dokumentation) drohen Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Bei schwerwiegenden Verstößen (z.B. fehlende Rechtsgrundlage, Verstoß gegen Betroffenenrechte, illegale Datenübermittlung in Drittländer) können es bis zu 20 Millionen Euro oder 4% des Jahresumsatzes sein – je nachdem, welcher Betrag höher ist. Zusätzlich zu den Bußgeldern können Betroffene Schadensersatzansprüche geltend machen. In der Praxis haben deutsche Aufsichtsbehörden bereits Millionenstrafen verhängt – etwa gegen H&M (35 Mio. Euro) oder Deutsche Wohnen (14,5 Mio. Euro). Eine professionelle Datenschutz-Beratung ist daher eine lohnende Investition zur Risikominimierung.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist eine verpflichtende Dokumentation aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Es muss folgende Informationen enthalten: Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten, Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Empfänger der Daten, Übermittlungen in Drittländer, vorgesehene Löschfristen sowie eine Beschreibung der technischen und organisatorischen Maßnahmen. Das VVT muss schriftlich (auch elektronisch) geführt werden und der Aufsichtsbehörde auf Anfrage vorgelegt werden können. Es gibt keine generelle Ausnahme für kleine Unternehmen – lediglich bei nicht-regelmäßigen Verarbeitungen und unter 250 Mitarbeitern gibt es Erleichterungen. Wir unterstützen Sie bei der systematischen Erstellung und laufenden Pflege Ihres VVT.

Der AI Act der EU ist die weltweit erste umfassende KI-Regulierung und tritt schrittweise bis 2027 in Kraft. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Kategorien: Verbotene Praktiken (z.B. Social Scoring, manipulative KI) sind gänzlich untersagt. Hochrisiko-KI-Systeme in sensiblen Bereichen wie Personalwesen, Bildung, Justiz oder kritische Infrastruktur müssen strenge Anforderungen erfüllen – darunter Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und Dokumentation. Systeme mit begrenztem Risiko (z.B. Chatbots) unterliegen Transparenzpflichten – Nutzer müssen wissen, dass sie mit einer KI interagieren. Minimales Risiko erfordert keine speziellen Pflichten. Für Unternehmen bedeutet das: Jedes KI-System muss eingeordnet werden. Bei Hochrisiko-KI sind umfangreiche Compliance-Maßnahmen erforderlich. Wir helfen bei der Klassifizierung, Risikobewertung und Umsetzung aller Anforderungen.

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind Schutzmaßnahmen, die ein angemessenes Sicherheitsniveau für personenbezogene Daten gewährleisten sollen. Technische Maßnahmen umfassen: Verschlüsselung von Daten bei Übertragung und Speicherung, Zugriffskontrollen und Authentifizierung, Firewalls und Virenscanner, regelmäßige Backups, Pseudonymisierung und Protokollierung. Organisatorische Maßnahmen beinhalten: Schulungen und Sensibilisierung der Mitarbeiter, schriftliche Arbeitsanweisungen, Zugangsberechtigungskonzepte, Vertraulichkeitsvereinbarungen, Besucherregelungen und Notfallpläne. Die TOMs müssen dokumentiert werden und dem 'Stand der Technik' entsprechen – sie müssen also regelmäßig überprüft und aktualisiert werden. Bei der Auswahl sind die Implementierungskosten, Art und Umfang der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere von Risiken zu berücksichtigen. Unsere Experten analysieren Ihre bestehenden Maßnahmen und identifizieren Optimierungspotenzial.

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine systematische Risikoanalyse, die vor dem Start bestimmter Datenverarbeitungen durchgeführt werden muss. Sie ist verpflichtend bei Verarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene bergen – etwa bei systematischer Videoüberwachung, umfangreichem Profiling, Verarbeitung besonderer Datenkategorien im großen Umfang oder dem Einsatz neuer Technologien. Der Ablauf umfasst mehrere Schritte: Zunächst erfolgt eine systematische Beschreibung der geplanten Verarbeitung, ihrer Zwecke und berechtigten Interessen. Dann wird die Notwendigkeit und Verhältnismäßigkeit bewertet. Im Kernschritt werden die Risiken für die Rechte und Freiheiten der Betroffenen identifiziert und bewertet. Anschließend werden Maßnahmen zur Eindämmung dieser Risiken definiert. Falls Restrisiken hoch bleiben, muss die Aufsichtsbehörde konsultiert werden. Die DSFA ist zu dokumentieren und regelmäßig zu überprüfen.

Eine Datenpanne (Data Breach) ist eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Beispiele sind Hackerangriffe, verlorene Laptops, fehlgeleitete E-Mails mit sensiblen Anhängen oder unbefugter Zugriff durch Mitarbeiter. Nach Art. 33 DSGVO muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen. Die Meldung muss Art und Umfang der Panne, betroffene Datenkategorien und ungefähre Anzahl der Betroffenen, Kontaktdaten des DSB, wahrscheinliche Folgen und ergriffene Gegenmaßnahmen enthalten. Bei hohem Risiko für die Betroffenen müssen auch diese direkt informiert werden (Art. 34 DSGVO). Ein vorbereiteter Incident-Response-Plan ist entscheidend für die schnelle und korrekte Reaktion. Wir helfen Ihnen bei der Erstellung solcher Pläne und unterstützen im Ernstfall bei der Meldung und Kommunikation.

Die DSGVO gewährt betroffenen Personen umfassende Rechte bezüglich ihrer personenbezogenen Daten. Das Auskunftsrecht (Art. 15) ermöglicht die Anfrage, ob und welche Daten verarbeitet werden, inklusive Kopie. Das Recht auf Berichtigung (Art. 16) erlaubt die Korrektur unrichtiger Daten. Das Recht auf Löschung (Art. 17) – auch 'Recht auf Vergessenwerden' – ermöglicht unter bestimmten Voraussetzungen die Datenlöschung. Das Recht auf Einschränkung (Art. 18) kann die Verarbeitung temporär begrenzen. Das Recht auf Datenübertragbarkeit (Art. 20) ermöglicht den Erhalt der eigenen Daten in einem strukturierten, maschinenlesbaren Format. Das Widerspruchsrecht (Art. 21) erlaubt den Widerspruch gegen bestimmte Verarbeitungen, insbesondere Direktwerbung. Anfragen von Betroffenen müssen grundsätzlich innerhalb eines Monats beantwortet werden – bei komplexen Fällen ist eine Verlängerung um zwei weitere Monate möglich. Wir unterstützen Sie bei der Einrichtung effizienter Prozesse zur Bearbeitung von Betroffenenanfragen.

Die Kosten für eine professionelle DSGVO-Beratung variieren je nach Unternehmensgröße, Branche, Komplexität der Datenverarbeitungen und gewünschtem Leistungsumfang. Unsere Privacy AI Pakete bieten flexible Modelle für unterschiedliche Anforderungen: Das Basispaket 'Privacy AI' bietet KI-gestützte Unterstützung mit 24/7 Plattformzugang und automatisierter Dokumentenerstellung – ideal für Unternehmen, die bereits Grundkenntnisse haben. 'Privacy AI Consult' umfasst die vollständige DSB-Beratung mit persönlicher Betreuung, DSGVO-Umsetzung und allen wichtigen Modulen. Das Premium-Paket 'Privacy AI Expert' beinhaltet alle Leistungen plus Academy-Zugang und Freikontingent für zusätzliche Beratungsstunden. Im Vergleich zu potenziellen Bußgeldern (bis zu 20 Mio. Euro) und Reputationsschäden ist professionelle Beratung eine sinnvolle Investition. Wir erstellen Ihnen gerne ein individuelles Angebot basierend auf einer kostenlosen Erstanalyse Ihrer Situation. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die entplexit Academy ist unsere interaktive Online-Schulungsplattform für Datenschutz und Compliance. Mitarbeiter können Schulungen bequem online absolvieren – flexibel, mobil und in kurzen Modulen à 2–5 Minuten. Die Plattform bietet: Datenschutz-Grundlagenschulungen, branchenspezifische Module (z.B. für Vertrieb, Marketing, IT, Personalwesen, Gesundheitswesen), automatische Zertifikatsvergabe nach jeder Schulung, Integration in bestehende Onboarding-Prozesse und maßgeschneiderte Inhalte für Ihr Unternehmen. Die Academy ist innerhalb weniger Stunden einsatzbereit und die Berechnung erfolgt nur nach tatsächlicher monatlicher Nutzung. So stellen Sie sicher, dass Ihre Mitarbeiter stets geschult sind und Datenschutzvorfälle erkennen und verhindern können. Klicken Sie hier, um weitere Infos zur Academy zu erhalten.

Ja, regelmäßige Datenschutz-Schulungen sind ein wesentlicher Bestandteil der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Unternehmen müssen nachweisen, dass ihre Mitarbeiter im Umgang mit personenbezogenen Daten geschult sind. Aufsichtsbehörden prüfen bei Kontrollen regelmäßig, ob Schulungsnachweise vorliegen. Fehlende Schulungen können als organisatorisches Defizit gewertet werden und bei Datenschutzvorfällen zu höheren Bußgeldern führen. Die Schulungspflicht betrifft alle Mitarbeiter, die mit personenbezogenen Daten arbeiten – vom Empfang über den Vertrieb bis zur IT. Mit der entplexit Academy können Sie diese Pflicht effizient und kostengünstig erfüllen, inklusive automatischer Zertifikatsdokumentation als Nachweis gegenüber Aufsichtsbehörden.