Gilt die DSGVO auch für kleine Unternehmen?

Ja. Die DSGVO gilt unabhängig von der Unternehmensgröße. Einzelne Pflichten (z. B. Benennung eines DSB) sind allerdings an Schwellen geknüpft.

Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?

Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung; der Auftragsverarbeiter verarbeitet Daten in dessen Auftrag. Die Rollen bestimmen die jeweiligen Pflichten.

Wie schnell muss eine Datenpanne gemeldet werden?

Eine meldepflichtige Verletzung ist der Aufsichtsbehörde grundsätzlich binnen 72 Stunden zu melden.

Wie hoch können Bußgelder ausfallen?

Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Hilft eine ISO-27001-Zertifizierung beim Datenschutz?

Sie deckt die technischen und organisatorischen Maßnahmen (Art. 32) weitgehend ab, ersetzt aber nicht die datenschutzspezifischen Pflichten wie VVT, Rechtsgrundlagen und Betroffenenrechte. In Sightadel lassen sich beide verknüpfen.

ISO 27001 ISO 9001 ISO 42001 NIS2 DSGVO BSI C5:2026 NIST CSF 2.0 SOC 2

DSGVO · Datenschutz

DSGVO: Datenschutz prüfbar umsetzen

Die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) gilt seit dem 25. Mai 2018 unmittelbar in der gesamten EU. Sie betrifft nahezu jede Organisation, die personenbezogene Daten verarbeitet – unabhängig von der Größe. Bei Verstößen drohen Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Diese Seite erklärt, was die DSGVO verlangt, für wen sie gilt (und für wen kaum), welche Pflichten zentral sind und wie Sie den Datenschutz mit Sightadel strukturiert und nachweisbar umsetzen.

Was ist die DSGVO?

Die DSGVO (Verordnung (EU) 2016/679) regelt, wie personenbezogene Daten in der EU verarbeitet werden dürfen. In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) ergänzt; die Aufsicht liegt bei den Landesdatenschutzbehörden bzw. dem BfDI.

Im Zentrum stehen die Grundprinzipien aus Artikel 5: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie – als übergreifende Pflicht – die Rechenschaftspflicht (Accountability): Sie müssen die Einhaltung nicht nur sicherstellen, sondern auch nachweisen können.

Für wen gilt die DSGVO – und für wen kaum?

Die DSGVO gilt für Sie, wenn …

… Ihre Organisation personenbezogene Daten von Personen in der EU verarbeitet – also Daten von Kunden, Interessenten, Mitarbeitenden, Lieferanten oder Website-Besuchern. Das trifft auf praktisch jedes Unternehmen und jede Behörde zu, unabhängig von der Größe. Die DSGVO hat zudem extraterritoriale Wirkung: Sie kann auch Anbieter außerhalb der EU treffen, die sich an EU-Bürger richten.

Bestimmte Pflichten sind an Schwellen geknüpft – etwa die Pflicht zur Benennung eines Datenschutzbeauftragten oder zur Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen.

Die DSGVO gilt für Sie praktisch nicht, wenn …

… eine natürliche Person Daten ausschließlich zu persönlichen oder familiären Zwecken verarbeitet (z. B. das private Adressbuch). Diese „Haushaltsausnahme“ ist eng und greift nicht, sobald eine berufliche oder geschäftliche Tätigkeit dahintersteht.

Anders als bei NIS2 oder C5 lautet die Frage hier selten „Bin ich betroffen?“ – das sind Sie fast immer –, sondern „Welche Pflichten treffen mich in welchem Umfang?“.

Die Kernpflichten der DSGVO

Rechtsgrundlage je Verarbeitung (Art. 6). Jede Verarbeitung braucht eine gültige Grundlage – etwa Einwilligung, Vertrag oder berechtigtes Interesse.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30, VVT). Dokumentation aller Verarbeitungen als Rückgrat der Rechenschaftspflicht.
Betroffenenrechte. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch – mit definierten Fristen.
Auftragsverarbeitung (Art. 28, AVV). Verträge mit Dienstleistern, die Daten in Ihrem Auftrag verarbeiten.
Datenschutz-Folgenabschätzung (Art. 35, DSFA). Bei voraussichtlich hohem Risiko für die Betroffenen.
Meldepflicht bei Datenpannen (Art. 33/34). Meldung an die Aufsichtsbehörde grundsätzlich binnen 72 Stunden.
Technische und organisatorische Maßnahmen (Art. 32, TOM). Angemessenes Schutzniveau für die Daten.

Die typische Herausforderung bei der DSGVO-Umsetzung

Rechenschaftspflicht ohne System. Die DSGVO verlangt Nachweise. Liegen VVT, AVVs, Löschkonzept und TOM verstreut in Dokumenten, ist der Nachweis bei einer Anfrage aufwendig.
Statische Dokumentation. Verarbeitungen, Dienstleister und Datenflüsse ändern sich. Ein einmal erstelltes VVT veraltet schnell.
Datenschutz und Informationssicherheit getrennt gedacht. Die TOM nach Art. 32 überschneiden sich stark mit ISO 27001 und NIS2 – werden aber oft doppelt gepflegt.

Wie Sightadel die DSGVO-Umsetzung vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet die DSGVO-Pflichten als strukturierten Katalog ab und verknüpft die technischen Maßnahmen mit Ihren übrigen Sicherheitsstandards.

Schneller startklar. Vorstrukturierte Vorlagen für VVT, AVV-Register und Löschkonzept. Sie pflegen Ihre Verarbeitungen ein, statt die Struktur von Grund auf zu erstellen.

Rechenschaftspflicht auf Knopfdruck. Pflichten, Verantwortliche und Nachweise sind verknüpft. Bei einer Anfrage der Aufsichtsbehörde liefern Sie den dokumentierten Stand, statt ihn zusammenzusuchen.

Dauerhaft aktuell. Verarbeitungen, Dienstleister und Maßnahmen werden zentral gepflegt; Wiedervorlagen halten das VVT lebendig.

Mehrfachnutzung von Nachweisen. Die technischen und organisatorischen Maßnahmen nach Art. 32 werden gleichzeitig den entsprechenden Anforderungen aus ISO 27001 und NIS2 zugeordnet. Ein Nachweis, mehrere Frameworks.

Keine externen Berater als Dauerlösung. Die fachliche Logik ist im Portal hinterlegt und wird durch den KI-Kern neoAI unterstützt. Eine datenschutzrechtliche Einzelfallbewertung bleibt Aufgabe Ihres DSB oder Ihrer Rechtsberatung – die laufende Pflege erledigt Ihr Team.

DSGVO mit Sightadel in der Praxis

1
Erfassen.Verarbeitungen, Rechtsgrundlagen und Dienstleister im Portal dokumentieren (VVT, AVV-Register).
2
Bewerten.Risikoreiche Verarbeitungen identifizieren, DSFA dort durchführen, wo erforderlich.
3
Absichern.TOM hinterlegen, Betroffenenanfragen und Meldeprozesse mit Fristen abbilden.
4
Aufrechterhalten.Wiedervorlagen, Aktualisierungen bei Änderungen, jederzeit abrufbarer Nachweisstand.

Häufige Fragen zur DSGVO

Datenschutz als Zustand, nicht als Projekt

Die DSGVO endet nicht mit dem ersten VVT. Verarbeitungen, Dienstleister und Risiken ändern sich laufend. Sightadel hält Ihren Datenschutz-Nachweisstand fortlaufend aktuell – strukturiert, prüfbar und ohne dass jede Änderung externe Unterstützung erfordert.

Diese Seite ist eine allgemeine Erläuterung und keine Rechtsberatung. Für die rechtliche Bewertung Ihres Einzelfalls ziehen Sie Ihren Datenschutzbeauftragten oder eine Rechtsberatung hinzu.

Sehen Sie Ihren DSGVO-Stand in Sightadel.

Demo vereinbaren