Von links eine Hand. Deren Zeigefinger zeigt auf ein weißes Sechseck innerhalb eines Ablaufdiagramms. Im Sechseck steht die Abkürzung DSGVO.
Digitalisierung

Datenschutz-Grundverordnung (DSGVO): Das sollten Sie dazu wissen

Daten sind im Informationszeitalter ein wertvolles Gut. Besonders wenn es sich dabei um persönliche Daten handelt. In der Europäischen Union regelt die Datenschutz-Grundverordnung (DSGVO) den Schutz sensibler Personendaten. Was Sie über diese Verordnung wissen sollten und welche Besonderheiten für Unternehmen gelten, erfahren Sie hier.

Egal, ob Sie einen neuen Kunden in Ihre Adressdatenbank eintragen, die Reisekostenabrechnung einer Mitarbeiter:in erfassen oder eine Lieferanschrift an Ihren Versanddienstleister weiterleiten: Es gibt kaum einen Vorgang im Geschäftsleben, bei dem keine persönlichen Daten erfasst oder weiterverarbeitet werden.

Wichtig ist dabei für Sie und Ihr Unternehmen: Bei all diesen Prozessen müssen Sie die DSGVO beachten. Denn die regelt genau, welche persönlichen Daten Sie überhaupt speichern dürfen, wie die Informationen technisch zu sichern sind und wann Sie die gespeicherten Daten spätestens wieder löschen müssen. Nicht nur kleine und mittelständische Unternehmen sollten die DSGVO daher ganz genau kennen und auf einige Punkte besonders achten.

Inhaltsverzeichnis

Was ist die DSGVO?

Mit der 2016 von Ministerrat und EU-Parlament verabschiedeten Datenschutz-Grundverordnung (DSGVO) haben sich die Mitgliedsländer der EU erstmals ein weitgehend einheitliches Datenschutzrecht gegeben. Durch ihren Charakter als EU-Verordnung gilt die DSGVO automatisch auch als nationales Recht in allen EU-Staaten. Sie löst eine frühere EU-Datenschutzrichtlinie von 1995 ab.
Zugleich hebt die DSGVO frühere nationale Regelungen auf, indem sie diese durch ein europäisches Datenschutzrecht ersetzt. Seit dem 25. Mai 2018 wird die DSGVO in allen Mitgliedsländern der EU angewendet und auch als EU-DSGVO bezeichnet.

Einheitlicher Datenschutz – nationale Besonderheiten

Einige EU-Staaten (so auch Deutschland) haben die DSGVO außerdem durch nationale Gesetze und Verordnungen ergänzt. Hier gibt es teils erweiterte oder speziell zugeschnittene Vorschriften wie zum Beispiel das deutsche Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). So werden das Recht auf freie Meinungsäußerung und der Zugang zu amtlichen Informationen (Informationsfreiheitsprinzip) auch weiterhin unterschiedlich geregelt. Hierfür enthält die DSGVO entsprechende Öffnungsklauseln. In Deutschland wird die DSGVO durch das sogenannte Datenschutz-Anpassungs- und -Umsetzungsgesetz EU ergänzt, mit dem unter anderem das Bundesdatenschutzgesetz DSGVO-konform überarbeitet wurde. Es behält also weiterhin seine Gültigkeit – wenn auch in veränderter Form.

Zweck der DSGVO

Im Einzelnen regelt die DSGVO, was genau personenbezogene Daten im Sinne der Verordnung sind, wie diese Daten erfasst und gespeichert werden dürfen und welche Mitspracherechte die Inhaber:innen dieser personenbezogenen Daten hierbei haben. Insbesondere schafft die DSGVO ein sehr weitgehendes Auskunftsrecht der Rechteinhaber:innen gegenüber denjenigen Behörden und Firmen, die personenbezogene Daten speichern.
Geschäftsmann arbeitet am Notebook

Mit Vodafone in der Multi-Cloud durchstarten

Kaum ein Cloud-Dienst deckt sämtliche unternehmerischen Anforderungen aus einer Hand ab. Mit Vodafone gelingt die Steuerung Ihres Multi-Cloud-Ansatzes optimal: Neben den Angeboten von Azure, Alibaba und AWS bieten wir professionellen Support und optimale Konnektivität aus einer Hand.

  • Umfassende Bedarfsanalyse im Vorfeld
  • Individueller Roll-out-Plan basierend auf Ihren Anforderungen
  • Gemeinsame Optimierung der Infrastruktur und Services

Datenschutzrechtliche Grundsätze der DSGVO

Die DSGVO regelt den Schutz und die Verarbeitung persönlicher Daten. Personenbezogene Daten im Sinne der DSGVO sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Personenbezogene Daten sind in erster Linie Daten, die einen unmittelbaren Rückschluss auf eine bestimmte Person zulassen, dazu gehören:
  • Name
  • Anschrift
  • digitale Kontaktdaten
  • Geburtsdatum
Zu den personenbezogenen Daten gehören ferner auch solche Daten, die erst in Verbindung mit weiteren Daten eine (mittelbare) Identifizierung der Person zulassen. Dies sind beispielsweise:
  • biometrische Daten
  • Sozialversicherungsnummer
  • Matrikelnummer
  • Bankverbindung
  • die individuelle Einkaufshistorie in einem Onlineshop
  • Cookie-Daten oder IP-Verlaufsdaten eines Browsers
Sobald die Identifikation einer Person über bestimmte Daten auch nur theoretisch und in Verbindung mit weiteren Daten möglich wäre, handelt es sich hierbei bereits um persönliche Daten. Auch wenn Sie mit Ihrem Unternehmen keinen Zugriff auf die entsprechenden Datenbanken haben, sind Sozialversicherungs- oder Matrikelnummer für Sie personenbezogene Daten. Allein der Umstand, dass eine dritte Instanz diese Daten theoretisch einer bestimmten Person zuordnen könnte, reicht für die Einstufung aus.

Wen schützt die DSGVO?

Die DSGVO schützt alle natürlichen Personen. Sie unterscheidet dabei nicht zwischen EU-Bürger:innen und Nicht-EU-Bürger:innen. Auch Ihre Datenbank mit Kundendaten aus Übersee fällt also unter die Regularien der DSGVO, sobald Sie diese Daten im Geltungsbereich der DSGVO verarbeiten oder speichern.
Juristische Personen wie etwa eine GmbH, ein eingetragener Verein oder eine Stiftung sind keine Personen im Sinne der DSGVO. Solche juristischen Personen müssen sich aber ihrerseits an die Vorgaben der DSGVO halten, sofern sie selbst Daten von natürlichen Personen erfassen und speichern.

Was sind die Vor- und Nachteile der DSGVO?

Vorteile

Die erste einheitliche Datenschutzregelung für den europäischen Binnenmarkt bringt für Bürger:innen, Unternehmen und Kund:innen viele Vorteile:
  • Mit der DSGVO hat sich Europa einen gemeinsamen, hohen Datenschutzstandard gegeben. Damit haben Unternehmen aus dem EU-Binnenmarkt ein Alleinstellungsmerkmal gegenüber Firmen aus Ländern mit niedrigen Datenschutzstandards. Aus Sicht vieler Käufer:innen ist dies ein erheblicher Mehrwert und Kaufargument – beispielsweise für Software, die Kundendaten nicht ohne Einwilligung der Inhaber:in dieser Daten an Werbepartner weitergibt. Überhaupt ist die Betrachtung von Daten als persönliches Eigentum eine, die in anderen Rechtsräumen durchaus anders und vor allem lockerer gesehen wird – mit entsprechenden möglichen oder tatsächlichen Folgen für die Beteiligten.
  • Durch die DSGVO wächst der europäische Binnenmarkt weiter zusammen. Unternehmen können ihre Waren und Dienstleistungen ebenso wie ihre internen Prozesse für alle EU-Länder vereinheitlichen, ohne auf nationale Besonderheiten eingehen zu müssen: Ein Verfahren zur Speicherung und Archivierung von Kundendaten, das in Deutschland zulässig ist, kann in gleicher Form auch in Frankreich oder Spanien eingesetzt werden.
  • Die DSGVO schafft mehr Aufmerksamkeit für das Thema Datenschutz. Gut geschulte Mitarbeiter:innen gehen sorgfältiger und sparsamer mit Daten um und erkennen Datenschutzprobleme schneller. Davon profitieren auch die Unternehmen selbst, deren Daten dadurch besser geschützt sind.

Nachteile

Die DSGVO hat für Unternehmen auch einige Nachteile. Im Einzelnen sind dies:
  • Einführung und Umsetzung der DSGVO bedeuten für Firmen einen hohen Aufwand. Die damit verbundenen Prozesse verursachen hohe Kosten und reduzieren die Produktivität der Mitarbeiter:innen, weil der Aufwand für Datenverarbeitung, Schulungen und Dokumentation wächst.
  • Die DSGVO gilt in vollem Umfang auch für Privatpersonen, Freizeitvereine und kleine Unternehmen, die die hohen Datenschutzanforderungen oft nur mit erheblichem Aufwand erfüllen können.
  • Die DSGVO erschwert die Kooperation mit Geschäftspartnern, die ihren Sitz nicht im Geltungsbereich der DSGVO oder in anerkannten Drittländern haben. Im internationalen Geschäftsverkehr müssen Unternehmen gemeinsame Regelungen finden und können Personendaten unter Umständen nicht an Geschäftspartner weitergeben. Das kann beispielsweise den Warenversand oder den Kundenservice im Ausland erschweren.
  • In einer Umfrage des Branchenverbandes Bitkom gaben 77 Prozent der befragten Unternehmen aus Deutschland an, dass die DSGVO oft praxisfern sei.
  • In derselben Befragung erklärten 56 Prozent der Firmen, dass die DSGVO die Entwicklung neuer Produkte und Dienstleistungen verzögere. Dies gilt insbesondere für viele digitale Geschäftsmodelle.
  • Fast die Hälfte der Unternehmen (48 Prozent) beklagt, dass bestimmte Innovationen aus anderen Regionen wegen der DSGVO in der EU nicht genutzt werden könnten.
  • Eine Mehrheit von 69 Prozent der Firmen sieht in der DSGVO einen internationalen Wettbewerbsnachteil gegenüber Unternehmen mit Sitz außerhalb des Geltungsbereiches.
Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

  • Sichere Kommunikation
  • Für Homeoffice und Büro
  • Globales, sicheres Log-in-Verfahren

Was passiert bei einem Verstoß gegen die DSGVO?

Die DSGVO sieht für Datenschutzverstöße von Unternehmen unterschiedliche Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes vor. Dabei wird der jeweils höhere Wert von beiden als Strafmaß herangezogen. Exemplarisch einige Bußgelder, die in den entsprechenden Artikeln der DSGVO vorgesehen sind:
  • Ausgebliebene oder unzureichende Unterrichtung von Verbraucher:innen bei Ablehnung eines Kreditantrages aufgrund unzureichender Bonität: bis zu 50.000 Euro.
  • Keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten ergriffen: bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes.
  • Unnötige Aufbewahrung, Einholung oder Verarbeitung von personenbezogenen Daten zum Zwecke der Identifizierung einer Person, obwohl dies nicht oder nicht mehr erforderlich ist: bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes.
  • Unzulässige Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland oder eine internationale Organisation: bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.
Das mit rund 1,2 Milliarden Euro bislang höchste Bußgeld wurde 2023 in Irland gegen den Facebook-Mutterkonzern Meta verhängt. Grund ist die interne Weiterleitung von Postings und Kontodaten europäischer Nutzer:innen auf Facebook-Server, die in den USA stehen. Datenschützer:innen befürchten, dass US-Geheimdienste durch diese Datentransfers Zugriff auf persönliche Daten europäischer Nutzer erhalten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

In welchen Ländern gilt die DSGVO?

Die DSGVO gilt in allen 27 Staaten der Europäischen Union. Zum 20. Juli 2018 wurde sie außerdem von den drei Nicht-EU-Staaten Island, Liechtenstein und Norwegen übernommen, die über den Europäischen Wirtschaftsraum (EWR) mit der EU verbunden sind.
Eine Sonderrolle nimmt das Vereinigte Königreich (UK) ein. Bei Inkrafttreten der DSGVO war es noch Mitgliedsland der EU. Mit dem EU-Austritt zum 1. Januar 2021 hat die DSGVO ihre supranationale Rechtsgültigkeit im Vereinigten Königreich verloren.
Deshalb haben sich die Briten ein eigenes nationales Datenschutzgesetz namens Data Protection Act gegeben und zusätzlich unter dem Namen UK-GDPR die DSGVO in nationales Recht überführt.
Über sogenannte Angemessenheitsbeschlüsse erkennt die EU Drittländer außerhalb des Geltungsbereiches der DSGVO als sichere Datenstandorte an. Sie können in diesen Ländern persönliche Daten nach den gleichen Regeln erfassen und speichern, wie Sie es innerhalb der EU dürfen, und Datenbestände auch zwischen der EU und Drittländern verlagern.
Voraussetzung für die Einstufung als Drittland ist, dass die EU die Datenschutzbestimmungen eines Landes als „der Sache nach gleichwertig“ zur DSGVO ansieht. Drittländer können ihren Status allerdings auch wieder verlieren. Die DSGVO schreibt eine entsprechende Überprüfung der Drittländer mindestens alle vier Jahre vor.
Angemessenheitsbeschlüsse der EU bestehen aktuell für Argentinien, Israel, Neuseeland, die Schweiz, Uruguay und das Vereinigte Königreich. Der Angemessenheitsbeschluss für das UK ist vorläufig und endet zum 27. Juni 2025.
Im Umfang eingeschränkte Angemessenheitsbeschlüsse gibt es derzeit für Japan, Kanada und die USA. Als Unternehmer:in müssen Sie sich für diese Länder daher im Einzelfall informieren, welche persönlichen Daten Sie dort bei welchen Organisationen oder Anbietern in welcher Form speichern dürfen.
Der Angemessenheitsbeschluss für die USA schreibt beispielsweise vor, dass Sie personenbezogene Daten ohne weitere Schutzmaßnahmen nur bei solchen US-Unternehmen speichern dürfen, die dem EU-US-Datenschutzrahmen („EU-US Data Privacy Framework“) beigetreten und entsprechend zertifiziert sind. Dies gilt seit Ende 2023 auch für den Softwarehersteller und Cloudanbieter Microsoft.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

So setzen Sie die DSGVO in Ihrem Unternehmen praktisch um

Unternehmen in der EU müssen die DSGVO bereits seit 2018 umsetzen und haben daher in der Regel ihre Prozesse entsprechend angepasst. Doch wenn Sie Ihr Unternehmen neu gründen oder aus einem Nicht-EU-Staat in das Geltungsgebiet der DSGVO verlagern, sollten Sie folgende Dinge Schritt für Schritt umsetzen:
Datenschutzbeauftragte:r: Sofern diese Position in Ihrem Unternehmen noch nicht bereits aufgrund anderer Datenschutzbestimmungen besteht, benötigen Sie eine:n Datenschutzbeauftragte:n gemäß Art. 24 (1) der DSGVO. Diese Person ist dafür verantwortlich, dass innerbetrieblich alle Rechte und Freiheiten natürlicher Personen durch sogenannte „geeignete technische und organisatorische Maßnahmen“ gewährleistet werden. Diese Maßnahmen müssen Sie regelmäßig überprüfen, bei Bedarf aktualisieren und außerdem alle Schritte dokumentieren.
Bestandsaufnahme: Analysieren Sie alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten bearbeitet oder gespeichert werden. Prüfen Sie, welche Daten in welchem Umfang erfasst werden, wo diese abgelegt werden, wie das Speichern technisch erfolgt und wann die Daten spätestens wieder gelöscht werden. Betrachten Sie hierbei auch alle Prozesse an denen Dritte beteiligt sind, beispielsweise IT-Dienstleister, Vertriebspartner und Personaldienstleister, mit denen Sie persönliche Daten von Kund:innen oder Mitarbeiter:innen austauschen. Denken Sie insbesondere auch an Ihre Online-Präsenz mit Newsletter oder Shopfunktion, wo Sie möglicherweise Zugangsdaten oder Bankverbindungen Ihrer Kund:innen erfassen und speichern. Aber auch im Präsenzhandel sollten Sie Ihre Abläufe genau prüfen, wenn Sie beispielsweise Pay per use anbieten oder Smart Retail betreiben.
Umsetzung: Stellen Sie alle identifizierten Prozesse und Arbeitsmittel DSGVO-konform um. Zu den Arbeitsmitteln gehören insbesondere alle technischen Geräte, auf denen Sie temporär oder dauerhaft persönliche Daten speichern. Darunter fallen in der Regel auch alle Arbeitsplatzcomputer Ihrer Mitarbeiter:innen sowie Ihre Datenspeicher On-Premises oder innerhalb einer ausgelagerten Firmen-Cloud. Lassen Sie sich von allen Geschäftspartnern, mit denen Sie persönliche Daten austauschen, deren Datenschutzkonzept und DSGVO-Konformität bestätigen. Achten Sie ferner darauf, dass bei jedem betroffenen Prozess nur ein Minimum an Personendaten erfasst wird (Prinzip der Datensparsamkeit) und diese Daten regelhaft gelöscht werden, sobald Sie sie nicht mehr benötigen. Stellen Sie sicher, dass Sie zu allen Prozessschritten und zu Ihren Datenbeständen jederzeit auskunftsfähig sind – etwa für den Fall, dass Kund:innen von Ihnen eine Auskunft gemäß Artikel 12ff DSGVO („Betroffenenrechte“) einfordern. In einem solchen Fall müssen Sie innerhalb eines Monats Auskunft geben, welche Daten Sie von diesen Kund:innen gespeichert haben und unter welchen Umständen Sie diese Daten erfasst und gespeichert haben.
Schulung: Sie sollten regelmäßig alle Ihre Mitarbeiter:innen, die mit personenbezogenen Daten arbeiten, zum verantwortungsvollen Umgang damit schulen . In der Praxis wird dies nahezu alle Ihre Mitarbeiter:innen betreffen, – darunter etwa Beschäftigte mit Kundenkontakt, aber auch die Mitarbeiter:innen Ihrer Personalabteilung und Ihrer Lohnbuchhaltung. Zwar schreibt die DSGVO bisher keine solche Schulungspflicht vor. Allerdings haften Sie als Unternehmer:in für Datenschutzverstöße Ihrer Mitarbeiter:innen. Daher sollten Sie entsprechende Schulungen regelmäßig im jährlichen oder zweijährlichen Turnus wiederholen und sich von Ihren Mitarbeiter:innen die Teilnahme auch bestätigen lassen.
Evaluation und Dokumentation: Die gesetzlichen Grundlagen ebenso wie die technischen und prozessualen Rahmenbedingungen für Ihren Umgang mit Daten verändern sich regelmäßig. Datenschutzrisiken entstehen beispielsweise bei der Einführung einer neuen Unified-Communications-Lösung oder durch den Wegfall des Sicheren-Drittland-Status für ein Land in dem Sie Daten erheben oder speichern. Daher sollten Sie alle Maßnahmen und Einzelschritte nicht nur dokumentieren, sondern auch regelmäßig überprüfen (Evaluation). Prüfen Sie bei dieser Gelegenheit auch regelmäßig, ob Sie alle Standards der Datensicherheit in Ihrem Unternehmen umsetzen.
Auf einer Pinwand eine Kreidetafel mit der Beschriftung „ToDo: DSGVO“ und daneben ein Notizblock mit den aufgestempelten Begriffen „Datenschutz“ und „DSGVO“
Auch kleine Unternehmen, Privatpersonen und Vereine müssen die Vorgaben der DSGVO in vollem Umfang erfüllen. Das bedeutet hohen Aufwand beim Umgang mit persönlichen Daten.

Häufig gestellte Fragen (FAQ) zur DSGVO

Für wen gilt die DSGVO?

Die DSGVO gilt für jede:n, der oder die personenbezogene Daten von Bürgern der EU verarbeitet, also für Behörden und Unternehmen, aber ebenso auch für Vereine und Privatpersonen. Sie gilt auch für nicht-europäische Unternehmen und Organisationen, die eine Niederlassung in der EU haben.

Schreibt die DSGVO die generelle Verschlüsselung von Personendaten in der EU vor?

Artikel 32 der DSGVO fordert geeignete „technische und organisatorische Maßnahmen nach Stand der Technik”, um ein „dem Risiko angemessenes Schutzniveau zu gewährleisten“. Diese technischen und organisatorischen Maßnahmen werden oft auch als TOM abgekürzt. Als eine mögliche Maßnahme nennt die DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Somit gibt es für das Speichern personenbezogener Daten innerhalb der EU keinen generellen Verschlüsselungszwang, aber eine sehr weitgehende Sorgfaltspflicht, die am besten durch eine Verschlüsselung zu erfüllen ist. Datenschutzexpert:innen empfehlen die generelle Verschlüsselung aller auch innerhalb der EU gespeicherten Personendaten. Denn bereits der Verlust von Endgeräten oder Datenträgern mit darauf gespeicherten unverschlüsselten Personendaten ist eine meldepflichtige Datenschutzverletzung, die mit einer Geldstrafe geahndet werden kann.

Müssen persönliche Daten für die Speicherung außerhalb der EU verschlüsselt werden?

Im Juli 2020 hat der Europäische Gerichtshof mit dem Schrems-II-Urteil (Rechtssache C-311/18) klargestellt, dass unverschlüsselte Personendaten nur in solche Drittländer übermittelt werden dürfen, in denen ein mit der DSGVO vergleichbarer und von der EU anerkannter Datenschutzstandard gilt. Wollen Sie dennoch Daten beispielweise auf einem Cloudserver in einem unsicheren Drittland sichern, so müssen Sie diese Daten mittels „zusätzlicher Maßnahmen“ im Sinne der DSGVO sichern. Damit ist üblicherweise die Verschlüsselung gemeint. Idealerweise verwenden Sie generell keine Cloudserver, die in unsicheren Drittländern stehen.

Was ist eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung)?

Die Auftragsverarbeitung gemäß Artikel 28 DSGVO ist die Erfassung, Nutzung oder Weiterverarbeitung von personenbezogenen Daten im Auftrag Dritter. Auftragsverarbeiter ist zum Beispiel ein Franchisenehmer, der im Auftrag des Franchisegebers persönliche Daten von Kund:innen erhebt und speichert.

Was ändert sich beim Datenschutz durch die DSGVO?

Die DSGVO vereinheitlicht den Datenschutz innerhalb der EU. Inhaber:innen von Personendaten erhalten damit ein umfassendes Informationsrecht bezüglich ihrer gespeicherten Daten. Wer persönliche Daten speichert, muss diese verschlüsselt speichern und wieder löschen, sobald sie nicht mehr benötigt werden.

Welche Verschlüsselungsverfahren empfiehlt die DSGVO?

Die DSGVO nennt keine bestimmten Verfahren, verlangt aber zeitgemäße technische Mittel zur Sicherung von persönlichen Daten. Aktuell gelten AES und DES als sichere Verfahren für die symmetrische Verschlüsselung und PGP und RSA als sichere Verfahren für die asymmetrische Verschlüsselung. Daneben gibt es die hybride Datenverschlüsselung, die symmetrische und asymmetrische Verschlüsselung kombiniert. Expert:innen empfehlen außerdem eine Ende-zu-Ende-Verschlüsselung für alle Datenübertragungen.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Das Wichtigste zur DSGVO in Kürze

  • Die DSGVO dient dem Schutz persönlicher Daten von natürlichen Personen. Hierfür hat sie eine einheitliche EU-weite Regelung geschaffen.
  • Als persönliche Daten gelten alle Daten, über die eine bestimmte natürliche Person identifiziert werden könnte. Dazu zählen beispielsweise auch die Internet-IP oder Browser-Cookies.
  • Beim Datenschutz gemäß DSGVO wird zwischen EU-Staaten und unsicheren Drittstaaten unterschieden. Das unverschlüsselte Verarbeiten von Personendaten in einem unsicheren Drittstaat ist für Personen oder Organisationen aus dem Geltungsbereich der DSGVO ein Verstoß gegen die Verordnung.
  • Die DSGVO sieht hohe Strafen für Datenschutzverstöße vor. Die Höhe der Strafen liegt im Einzelfall bei bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des betroffenen Unternehmens.
  • Grundsätzlich sollten persönliche Daten nur verschlüsselt übertragen und gespeichert werden.
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort