DSGVO (Datenschutz-Grundverordnung)

Definition

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Organisationen innerhalb der EU sowie den Export personenbezogener Daten aus der EU. Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG und gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich ist.

Die Verordnung umfasst 99 Artikel und 173 Erwägungsgründe. Sie definiert Grundsätze wie Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität sowie Vertraulichkeit der Verarbeitung. Unternehmen, die gegen die DSGVO verstoßen, riskieren Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Einfach erklärt

Stellen Sie sich vor, Sie geben einem Freund Ihren Haustürschlüssel, damit er während Ihres Urlaubs die Blumen gießt. Sie erwarten, dass er nur das tut, worum Sie ihn gebeten haben, und den Schlüssel nicht an Dritte weitergibt. Genau so funktioniert die DSGVO: Wenn Sie einem Unternehmen Ihre Daten anvertrauen, darf dieses Unternehmen nur das damit tun, wozu Sie Ihre Einwilligung gegeben haben.

Die DSGVO ist im Grunde ein Regelwerk, das festlegt, wie Unternehmen mit den persönlichen Informationen von Menschen umgehen müssen. Dazu gehören Namen, E-Mail-Adressen, Telefonnummern, aber auch IP-Adressen oder Standortdaten. Das Ziel ist einfach: Menschen sollen die Kontrolle über ihre eigenen Daten behalten.

Warum ist das wichtig?

Für Unternehmen, die mit Kundendaten arbeiten, ist die DSGVO keine optionale Empfehlung, sondern geltendes Recht. Besonders beim digitalen Austausch von Dokumenten spielt die DSGVO eine zentrale Rolle:

• Verantwortlichkeit: Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss nachweisen können, dass es die DSGVO einhält. Dies gilt auch für den Empfang von Dateien durch Kunden oder Mandanten.
• Bußgelder: Die Aufsichtsbehörden haben in den vergangenen Jahren Bußgelder in Milliardenhöhe verhängt. Allein 2024 wurden europaweit über 2 Milliarden Euro an Strafen ausgesprochen.
• Vertrauen: Kunden und Geschäftspartner erwarten DSGVO-konforme Prozesse. Ein Datenschutzverstoß kann nicht nur finanziell, sondern auch reputationsmäßig erheblichen Schaden anrichten.
• Internationaler Datenverkehr: Unternehmen, die Daten außerhalb der EU verarbeiten lassen (z. B. über US-amerikanische Cloud-Dienste), müssen besondere Anforderungen erfüllen, etwa Standardvertragsklauseln oder Angemessenheitsbeschlüsse.

Branchen wie Steuerberatung, Rechtsberatung, Gesundheitswesen und Finanzdienstleistungen sind besonders betroffen, da sie regelmäßig sensible personenbezogene Daten verarbeiten.

Praxisbeispiel

Eine mittelständische Steuerkanzlei erhält regelmäßig Dokumente von ihren Mandanten: Lohnabrechnungen, Steuerbescheide, Kontoauszüge. Bisher wurden diese Dokumente per E-Mail verschickt, oft unverschlüsselt.

Bei einer Prüfung durch die Landesdatenschutzbehörde stellt sich heraus, dass die Kanzlei keine angemessenen technischen und organisatorischen Maßnahmen für den Dateitransfer implementiert hat. Die E-Mail-Anhänge waren nicht verschlüsselt, es gab kein Berechtigungskonzept und keine Protokollierung der Zugriffe. Die Behörde verhängt ein Bußgeld und ordnet an, dass die Kanzlei innerhalb von drei Monaten einen DSGVO-konformen Prozess für den Dokumentenaustausch einführen muss.

Die Kanzlei implementiert daraufhin eine Plattform für sicheren Dateitransfer mit verschlüsselter Übertragung, Zugriffsprotokollierung und automatischer Löschung nach definierten Fristen. Das Ergebnis: DSGVO-Konformität, zufriedenere Mandanten und ein nachvollziehbarer Audit-Trail.

So setzt SendMeSafe das um

SendMeSafe wurde von Grund auf für DSGVO-Konformität entwickelt. Als in Deutschland gehostete Plattform für sicheren Dokumentenaustausch setzen wir die Anforderungen der DSGVO in konkrete technische Maßnahmen um:

• Hosting in Deutschland: Alle Daten werden ausschließlich auf Servern in Deutschland (Hetzner Cloud) gespeichert. Es findet kein Datentransfer in Drittländer statt.
• Verschlüsselung: Alle Dateien werden mit AES-256-Verschlüsselung gespeichert und über SSL/TLS verschlüsselte Verbindungen übertragen.
• Auftragsverarbeitung: SendMeSafe bietet einen vollständigen AVV (Auftragsverarbeitungsvertrag) für alle Kunden.
• Datenminimierung: Wir erheben nur die Daten, die für den sicheren Dateitransfer notwendig sind. Upload-Links können ohne persönliche Daten der Absender erstellt werden.
• Recht auf Löschung: Dateien können mit automatischen Ablaufdaten versehen werden. Organisationen können alle Daten eines Kunden vollständig löschen.
• Audit-Trail: Jeder Zugriff, jeder Upload und jeder Download wird protokolliert und ist für Prüfungszwecke nachvollziehbar.
• Zugriffskontrollen: Upload-Links können mit Passwortschutz, Ablaufdaten und Dateigrößenbeschränkungen versehen werden.

Häufig gestellte Fragen

Gilt die DSGVO auch für kleine Unternehmen?

Ja, die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrer Größe. Auch Einzelunternehmer und Freiberufler müssen die DSGVO einhalten. Es gibt einige Erleichterungen für Unternehmen mit weniger als 250 Mitarbeitern (z. B. bei der Pflicht zum Verarbeitungsverzeichnis), aber die grundlegenden Datenschutzpflichten gelten uneingeschränkt.

Was passiert, wenn ich E-Mails mit personenbezogenen Daten unverschlüsselt versende?

Das Versenden unverschlüsselter E-Mails mit personenbezogenen Daten kann einen Verstoß gegen Art. 32 DSGVO darstellen, der angemessene Sicherheitsmaßnahmen vorschreibt. Aufsichtsbehörden haben wiederholt klargestellt, dass der unverschlüsselte E-Mail-Versand sensibler Daten nicht DSGVO-konform ist. Die Nutzung einer sicheren Plattform wie SendMeSafe für den Austausch sensibler Dokumente ist eine einfache und wirksame Maßnahme zur Einhaltung der DSGVO.

Muss ich eine Datenschutz-Folgenabschätzung durchführen, wenn ich eine Plattform für Dateitransfer nutze?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Beim Einsatz einer Plattform wie SendMeSafe, die umfassende Sicherheitsmaßnahmen implementiert, ist das Risiko in der Regel gering. Dennoch sollten Sie prüfen, ob die Art der übertragenen Daten (z. B. Gesundheitsdaten, Finanzdaten) eine DSFA erfordert. SendMeSafe stellt die notwendigen Informationen zur Verfügung, um eine solche Bewertung durchzuführen.