Datenschutz-Grundverordnung (DSGVO) verstehen und anwenden

Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft und immer noch Quell vieler Unsicherheiten. Diese Praxis-Schulung gibt einen vollständigen Überblick und konkrete Handlungsanweisungen. Themen: 1. Hintergrund und Anwendungsbereich — Entstehung (Verordnung 2016/679, Inkrafttreten 25.05.2018), Geltungsbereich (sachlich: alle personenbezogenen Daten; räumlich: EU-Marktortprinzip nach Art. 3 — auch US-Unternehmen mit EU-Kunden betroffen), Verhältnis zum BDSG. Bußgeld-Drohungen (bis 20M EUR oder 4% des weltweiten Konzern-Jahresumsatzes — höhere Summe). Aktuelle Bußgelder-Statistiken: über 5 Mrd. EUR seit 2018 (Meta 1.2 Mrd., Amazon 746M, TikTok 345M). 2. Grundlegende Begriffe — Personenbezogene Daten (Art. 4 Nr. 1 — alle Infos zu identifizierter oder identifizierbarer Person, weite Auslegung), besondere Kategorien nach Art. 9 (Gesundheit, sexuelle Orientierung, Religion, ethnische Herkunft, biometrische Daten — strenger geschützt), Pseudonymisierung vs. Anonymisierung, Verantwortlicher und Auftragsverarbeiter, Betroffene Person. 3. Grundsätze der Verarbeitung (Art. 5) — Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht (Accountability — Verantwortlicher muss Compliance nachweisen können). 4. Rechtsgrundlagen (Art. 6) — Einwilligung (Art. 7 mit Widerrufbarkeit), Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen mit Abwägung. Spezielle: Forschung, Statistik, journalistische Zwecke. 5. Betroffenenrechte — Art. 13/14 Informationspflicht (was muss Datenschutzerklärung enthalten), Art. 15 Auskunftsrecht, Art. 16 Berichtigung, Art. 17 Löschung mit „Recht auf Vergessen", Art. 18 Einschränkung, Art. 20 Datenübertragbarkeit, Art. 21 Widerspruch, Art. 22 Automatisierte Entscheidung. Reaktionsfristen (1 Monat, einmalig verlängerbar). 6. Pflichten für Verantwortliche — Art. 25 Privacy by Design/Default, Art. 30 Verzeichnis von Verarbeitungstätigkeiten (VVT), Art. 32 Sicherheit der Verarbeitung, Art. 33/34 Datenpannen-Meldung (72h ans Aufsichtsbehörde, ggf. Information der Betroffenen), Art. 35 Datenschutz-Folgenabschätzung (DSFA), Art. 37-39 Datenschutzbeauftragter (DSB) — wann pflicht (>20 MA mit Verarbeitung als Hauptzweck, oder besondere Daten, oder öffentliche Stellen). 7. Internationale Übermittlungen (Kapitel V) — Adäquanzbeschluss (USA mit EU-US Data Privacy Framework seit Juli 2023, Andorra, Argentinien, etc.), Standard-Vertragsklauseln (SCCs nach 2021/914), BCR Binding Corporate Rules, Codes of Conduct. Schrems-II-Urteil und TIA Transfer Impact Assessment. 8. Praktische Umsetzung — Datenschutz-Konzept, Mitarbeiter-Schulungen, Auftragsverarbeitungs-Verträge (AVV), Datenpannen-Prozess, Betroffenen-Anfragen-Workflow, Aufsichtsbehörden-Anfragen. Templates für Datenschutzerklärung, AVV, DSFA. 9. Spezielle Themen — Cookies und Tracking nach TTDSG, Direktmarketing, HR-Datenschutz, Cloud-Nutzung DSGVO-konform, Videoüberwachung, KI und DSGVO (Art. 22, EU AI Act). 10. Aufsichtsbehörden — Bundesländer-DSB, BfDI für Bund, regelmäßige Tätigkeitsberichte als Quelle. 11. Aktuelles 2025/2026 — Data Act, DGA Data Governance Act, NIS2 als Security-Komplement.