DSGVO Archive - ELSEN GRC

DSGVO (Datenschutz Grundverordnung) – Definition & Bedeutung

Mario Elsen — Sun, 23 Nov 2025 15:21:16 +0000

Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Datenschutzgesetz der Europäischen Union. Sie legt fest, wie personenbezogene Daten verarbeitet, gespeichert und geschützt werden müssen – sowohl von Unternehmen als auch von öffentlichen Stellen. Ziel ist es, die Grundrechte natürlicher Personen zu schützen, ein einheitliches Datenschutzniveau in Europa zu schaffen und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten. Es ist jedoch nicht zu verwechseln mit dem EU Data Act, der als weitere europäische Verordnung den fairen Zugang zu Daten sowie die Nutzung von Daten innerhalb der Europäischen Union regeln soll.

Was regelt die DSGVO und welche Bedeutung hat sie?

Die DSGVO (Verordnung (EU) 2016/679) regelt vor allem, unter welchen rechtlichen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Transparenz- und Dokumentationspflichten Unternehmen haben und welche Rechte Betroffene gegenüber Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). Sie definiert ein umfassendes System aus Rechtsgrundlagen (Art. 6), Schutzmaßnahmen (Art. 25, 32), Risikoabwägungen (Art. 35) und Kontrollmechanismen (Art. 30, 33), das europaweit ein einheitliches Datenschutzniveau sicherstellen soll. Damit schafft die DSGVO nicht nur einen verpflichtenden Rechtsrahmen, sondern bildet auch die Grundlage für Vertrauen in digitale Geschäftsmodelle, Cloud-Anwendungen und datenbasierte Services. Die Verordnung gilt dabei für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Unternehmenssitz.

Wichtige Grundprinzipien der DSGVO

Die Grundprinzipien sind das Fundament der gesamten Verordnung: Sie geben vor, wie jede Verarbeitung (rechtlich) auszurichten ist, und dienen Aufsichtsbehörden als Maßstab, um die Rechtmäßigkeit und Angemessenheit datenschutzrelevanter Prozesse zu beurteilen. Allerdings geben die Grundprinzipien keine Hinweise auf konkrete technische Implementierungen oder die Art und Weise der genauen Datenverarbeitung.
(Grundprinzipien gemäß Art. 5 DSGVO):

Rechtmäßigkeit, Transparenz und Fairness (Art. 5 Abs. 1 lit. a): Verarbeitung nur auf gültiger Rechtsgrundlage, nachvollziehbar für Betroffene.
Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für klar definierte Zwecke verarbeitet werden.
Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie notwendig dürfen verarbeitet werden.
Richtigkeit (Art. 5 Abs. 1 lit. d): Daten müssen korrekt und aktuell sein.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Löschung, sobald Daten nicht mehr benötigt werden.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Sicherheit durch technische und organisatorische Maßnahmen.
Rechenschaftspflicht (Art. 5 Abs. 2): Verantwortliche müssen jederzeit nachweisen können, dass sie die Grundsätze einhalten.

Die Betroffenenrechte

Die DSGVO stellt den Schutz personenbezogener Daten in den Vordergrund, die bereits nach definitorischer Weise auf natürliche Personen zurückzuführen sind, demnach sprechen wir von „Betroffenen“ der Datenverarbeitung. Die im Rahmen der Verordnung festgelegten Betroffenenrechte stellen sicher, dass jede Person Kontrolle über ihre Daten behält und gegenüber Unternehmen wirksame Ansprüche auf Transparenz, Korrektur, Einschränkung oder Löschung durchsetzen kann. Unternehmen sind entsprechend verpflichtet, klare interne Abläufe zur Bearbeitung solcher Anfragen einzurichten.

Betroffenenrechte (Art. 12–22 DSGVO):

Auskunftsrecht: Art. 15
Recht auf Berichtigung: Art. 16
Recht auf Löschung („Recht auf Vergessenwerden“): Art. 17
Recht auf Einschränkung der Verarbeitung: Art. 18
Datenübertragbarkeit: Art. 20
Widerspruchsrecht: Art. 21
Recht auf Nichtunterworfenheit gegenüber automatisierten Entscheidungen: Art. 22

Pflichten für Unternehmen

Unternehmen müssen die ihnen von der Datenschutz-Grundverordnung auferlegten Pflichten nicht nur formal erfüllen, sondern auch laufend überprüfen und dokumentieren, ob ihre Prozesse den gesetzlichen Anforderungen entsprechen. Dazu gehören regelmäßige Audits, Überwachung von Dienstleistern, Aktualisierung technischer Maßnahmen bei neuen Risiken sowie der Nachweis, dass Mitarbeitende angemessen geschult und Datenschutzrichtlinien im Alltag tatsächlich angewendet werden. Unternehmen haben dabei insbesondere die folgenden Pflichten:

Verzeichnis von Verarbeitungstätigkeiten: Art. 30
Datenschutz-Folgenabschätzung (DSFA): Art. 35
Meldung von Datenschutzverletzungen: Art. 33 (72-Stunden-Regel)
Benachrichtigung der Betroffenen: Art. 34
Technische und organisatorische Maßnahmen (TOMs): Art. 32
Datenschutz durch Technikgestaltung („Privacy by Design“): Art. 25
Auftragsverarbeitung: Art. 28 (AV-Verträge)
Bestellung eines Datenschutzbeauftragten: Art. 37–39

Rechtliche Einordnung

Rechtsakt: EU-Verordnung 2016/679
In Kraft: seit 25. Mai 2018
Unmittelbar geltendes EU-Recht in allen Mitgliedstaaten (Art. 288 AEUV)
Sanktionsrahmen: Art. 83 (bis 20 Mio. € oder 4 % Weltjahresumsatz)
Regelungen zu Rechtsbehelfen und Haftung: Art. 77 – 82
Ergänzt durch nationale Gesetze wie das BDSG in Deutschland

DSGVO im Vergleich zu ISO 27001

Auch wenn die Verordnung im direkten Vergleich mit der ISO27001 (international anerkannter Standard für Informationssicherheits-Managementsysteme) einige Gemeinsamkeiten aufweist, unterscheiden sich diese beiden Regelwerke dennoch erheblich. Im Vergleich zur DSGVO bietet ISO 27001 einen strukturierten Sicherheitsrahmen, während die DSGVO verbindlich vorgibt, was geschützt werden muss – ISO 27001 hingegen definiert wie dieser Schutz organisatorisch und auch technisch umgesetzt werden kann.

Ausrichtung:

DSGVO: Verpflichtendes Datenschutzrecht (Art. 1–2)
ISO 27001: Freiwilliger Sicherheitsstandard (ISMS)

Inhalte:

DSGVO: Personenbezogene Daten, Betroffenenrechte (Art. 12–22), Rechtsgrundlagen (Art. 6)
ISO 27001: Informationssicherheit, Risikoanalyse, Maßnahmenkatalog (Annex A)

Verbindlichkeit:

DSGVO: Gesetz, Bußgelder gemäß Art. 83
ISO 27001: Zertifizierung möglich, aber nicht vorgeschrieben

Beratung zur DSGVO durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der rechtssicheren Umsetzung der DSGVO und dem Aufbau nachhaltiger Datenschutzstrukturen. Dazu gehören die Erstellung von Verarbeitungstätigkeiten (Art. 30), die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35), die Entwicklung geeigneter technischer und organisatorischer Maßnahmen (Art. 32), die Bewertung von Auftragsverarbeitern (Art. 28), interne Richtlinien, Mitarbeiterschulungen rund um das Thema Datenschutz (auch im Kontext des EU AI Act) und Begleitung bei Datenschutzvorfällen gemäß Art. 33–34.

Auf Wunsch übernimmt Elsen GRC die Funktion des externen Datenschutzbeauftragten gemäß Art. 37–39.

Sprechen Sie mich gerne direkt an!

Bild: Immo Wegmann – Unsplash.com

Quellen:

Der Beitrag DSGVO (Datenschutz Grundverordnung) – Definition & Bedeutung erschien zuerst auf ELSEN GRC.

DSGVO-Änderungen im „Digital Omnibus“: Tracking-Cookies bald erlaubt?

Mario Elsen — Fri, 14 Nov 2025 18:45:32 +0000

Executive Summary: DSGVO-Änderungen im „Digital Omnibus“

Die EU-Kommission plant im Rahmen des Digital Omnibus Directive weitreichende Anpassungen der DSGVO, die vor allem zwei Bereiche betreffen: Tracking-Cookies + Consent-Banner und Datenverarbeitung für KI. Die vorgeschlagenen Änderungen würden die Verwendung von Cookies künftig stärker auf berechtigtes Interesse (Art. 6 Abs. 1, Bst. f DSGVO) stützen und die Einwilligungspflicht ( Art. 6 Abs. 1 Bst. a DSGVO) erheblich reduzieren. Zusätzlich sollen pseudonymisierte Daten leichter für KI-Training und Analyseprozesse nutzbar werden, was den EU AI Act betrifft. Für Unternehmen könnte dies eine operative Erleichterung bedeuten – für Datenschützer und Behörden eine deutliche Schwächung des bestehenden Schutzstandards.

Hintergrund: Was die EU im Digital-Omnibus anstrebt

Mit dem Digital Omnibus verfolgt die EU-Kommission das Ziel, mehrere digitale Rechtsbereiche – darunter DSGVO, ePrivacy-Regelungen und Teile der KI-Regulierung (EU AI Act) zu modernisieren und administrativ zu verschlanken. Das Paket enthält Vorschläge, die das bisherige Datenschutzmodell in mehreren Kernpunkten neu ausrichten würden:

Tracking-Cookies könnten künftig häufiger auf „berechtigtes Interesse“ (Art. 6 Abs. 1, Bst. f DSGVO) gestützt werden, was die Notwendigkeit von Consent-Bannern deutlich reduzierten würde.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sollen enger definiert werden – nur noch die Informationen, die „direkt“ sensible Merkmale offenbaren, (z.B. Ausweisdokumente) würden so privilegiert geschützt.
Pseudonymisierte Daten sollen breiter für KI-Training und Analysezwecke nutzbar werden, ohne die bisherigen strengen Voraussetzungen.
Datenverarbeitung für innovative digitale Dienste soll grundsätzlich erleichtert werden, um europaweit ein wettbewerbsfähiges Innovationsumfeld zu stärken.

Einer der wesentlichen Kritikpunkte vieler Datenschutzexperten ist die damit verbundene Absenkung des Grundrechtsschutzes zugunsten wirtschaftlicher Wettbewerbsfähigkeit, was langfristig sowohl gesellschaftliche als auch regulatorische Risiken schaffen könnte. Aber wie so oft steht am Ende doch das wirtschaftliche Interesse im Vordergrund.

Die wichtigsten DSGVO-Änderungen im Detail

1. Tracking-Cookies und Consent-Banner

Zentraler Punkt ist die Neugewichtung zwischen Einwilligung und berechtigtem Interesse (Art. 6 Abs. 1 Bst. a sowie Art. 6 Abs. 1, Bst. f DSGVO). Wenn Tracking- und Analyseverfahren künftig überwiegend auf berechtigtes Interesse gestützt werden dürfen, hätte das folgende Konsequenzen:

Consent-Banner würden deutlicher seltener benötigt und eingeblendet.
Tracking-Mechanismen (Analytics, Retargeting, Conversion-Messung) könnten mit weniger Reibungsverlusten eingesetzt werden.
Betreiber müssten verstärkt Opt-out-Mechanismen bereitstellen und transparent darstellen & dokumentieren (z.B. als barrierefreier Link auf der Startseite)
Die Datenqualität von Web-Analytics würde steigen, während aber das Missbrauchspotenzial steigen dürfte.

Für Unternehmen wäre dies operativ eine klare Erleichterung; für Betroffene und Aufsichtsbehörden ein erheblicher Kontrollverlust (und vermutlich auch ein Verlust an Bußgeldern).

2. KI-Training und pseudonymisierte Daten

Die vorgeschlagenen Änderungen würden es erlauben, pseudonymisierte Daten deutlich breiter für das Training von KI-Modellen zu nutzen. Dies betrifft insbesondere:

KI-Startups (LLM-Entwickler und Provider)
SaaS-Unternehmen mit großen Datenpools (Nutzung von KI-APIs)
Plattformanbieter bzw. Plattformbetreiber
Forschung & öffentliche Stellen

Mehr Spielraum bedeutet stärkere Innovationsfähigkeit, gleichzeitig steigt aber auch das Risiko der Re-Identifizierung, wenn Qualität und Integrität der Pseudonymisierung nicht gewährleistet sind.

3. Neue Definition sensibler Daten

Der Vorschlag der Kommission sieht vor, nur solche Informationen als „besonders schützenswert“ einzustufen, die unmittelbar Rückschlüsse auf Merkmale wie Gesundheit, ethnische Herkunft oder Religion zulassen (vgl. Art. 9 DSGV). Daten, die lediglich nur sensible Merkmale vermuten lassen, etwa das Einkaufsverhalten, Standortprofile oder Nutzungsdaten, würden künftig nicht mehr automatisch unter die hohen Schutzstandards fallen.

Ist das also ein Freifahrtsschein für ungebremstes Tracking? Jedenfalls hätte dies weitreichende Auswirkungen auf Prozesse wie personenbezogenes Profiling, Scoring (mit Personenbezug), Risikobewertungen, Zielgruppenanalysen oder auch KI-gestützte Verhaltensmodelle.

Auswirkungen auf Unternehmen, Behörden und Datenschutzbeauftragte

Für Unternehmen ergeben sich potenziell deutliche Arbeitserleichterungen und bürokratische „Entschlackungen“:

weniger Abhängigkeit von Consent-Banner-Logiken
größere Datengrundlage für Analytics und KI
weniger Komplexität im Cookie-Management
bessere Planbarkeit bei Marketing- und Produktanalyseprozessen

Für Behörden und Datenschutzbeauftragte entsteht jedoch zusätzlicher Druck, während in Prüfprozessen einige Anpassungen erforderlich werden:

Schutzmechanismen müssten stärker über Governance statt über Einwilligung organisiert werden
neue Prüfroutinen wären erforderlich
die Rechtslage würde kurzfristig unübersichtlicher
der gesellschaftliche Diskurs über Datenschutzstandards würde neu entfacht

Einschätzung und GRC-Einordnung

Die geplanten Anpassungen deuten auf eine strategische Verschiebung hin: von einem schutzorientierten Datenschutzmodell hin zu einem wirtschaftlich getriebenen datenpolitischen Framework, das zunehmend versucht, Wettbewerbsnachteile in Europa im rasenden „KI-Zug“ zu verhindern. Unternehmen sollten diese Entwicklung aber nicht als „Freifahrtschein” verstehen, sondern als Signal, eigene Governance-Strukturen zu professionalisieren – insbesondere in Bereichen, in denen Einwilligungspflichten entfallen könnten, aber Transparenz- und Rechenschaftspflichten bestehen bleiben.

Was bedeutet das für Ihren GRC Prozes??

Governance: Unternehmen müssen klare Verantwortlichkeiten definieren, insbesondere für Opt-out-Management, Datenkategorien und KI-Datenflüsse.
Risk: Risiken liegen vor allem im Profiling, in Diskriminierungspotenzialen und in der Gefahr der Re-Identifizierung pseudonymisierter Daten.
Compliance: Verarbeitungsverzeichnisse, DPAs, Datenschutzerklärungen und DSFAs müssen aktualisiert und an die neuen Rechtsgrundlagen angepasst werden.

Die meisten Unternehmen profitieren, wenn sie frühzeitig ihre Datenschutz- und KI-Governance modernisieren, statt nur auf die Erleichterungen zu reagieren. Gerne berate ich Sie dabei.

Bild: Vyshnavi Bisani – Unsplash.com

Quellen:

Der Beitrag DSGVO-Änderungen im „Digital Omnibus“: Tracking-Cookies bald erlaubt? erschien zuerst auf ELSEN GRC.

GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act

Mario Elsen — Sat, 25 Oct 2025 12:17:10 +0000

Herzlich Willkommen! Mit dem GRC Journal starte ich ein neues Fachmagazin für KMU und Behörden, die den rechtssicheren, datenschutzkonformen und verantwortungsvollen Einsatz von KI-, Cloud- und Datentechnologien gestalten wollen. Hier finden Sie künftig praxisorientierte Beiträge, Checklisten und Analysen rund um Governance, Risk & Compliance (GRC) – mit Schwerpunkten auf Datenschutz (DSGVO / nDSG), EU AI Act Readiness & KI-Governance, Cloud-Compliance nach ISO 27001 / 27701, Cybersecurity und NIS2-Readiness. Aber lassen sich mich zunächst ein paar Hintergründe ausführen.

Warum ein eigenes GRC Journal?

Die Anforderungen an Datenschutz, IT-Sicherheit und den Compliance-konformen Einsatz von KI wachsen rasant. Steigender Wettbewerbsdruck machen den Einsatz von KI-Tools in vielen Unternehmen unerlässlich, während andere Unternehmen erst durch KI komplett neue Geschäftsmodelle erschließen. Die Smarte Integration von KI-Anbindungen in eigene Produkte, Schnittstellen oder Prozesse kann die Produktivität nicht nur erheblich steigern, sondern ganze Wertschöpfungsketten umstrukturieren. Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz künstlicher Intelligenz, während NIS2 und ISO 27001 den Standard für Informationssicherheit in Europa neu (oder erneut) definieren. Ziel des Journals ist es, diese Entwicklungen verständlich, aktuell und praxisnah einzuordnen – für Datenschutzbeauftragte, IT-Leitungen, Geschäftsführungen und alle, die für Compliance und Governance im Unternehmen Verantwortung tragen. Elsen GRC zeigt, dass Governance und Innovation kein Widerspruch sind – sondern die Grundlage für vertrauenswürdige Technologien.

Strategie, Fokus und Motivation von Elsen GRC

Elsen GRC berät Unternehmen im DACH- und CH-Raum beim sicheren, datenschutz- und gesetzeskonformen Einsatz von KI- und Cloud-Technologien. Der Ansatz verbindet technische Expertise, rechtliches Verständnis und praktische Umsetzungskompetenz. Ziel ist es, GRC-Strukturen nicht nur zu planen, sondern im Unternehmen operativ und praxistauglich zu verankern – von der Datenschutz-Organisation bis zur KI-Governance.

Aber wie kam es dazu? Nachdem ich unter dem Dach der Elsen Media GmbH über 14 Jahre Erfahrung in der Entwicklung von Websites, Webanwendungen und Kampagnen gesammelt habe, hunderte Cookie-Consent-Tools konfiguriert und Datenschutzerklärungen auf die Füße der DSGVO gestellt hatte, stellte ich zunehmend fest, dass sich die Arbeitsweise meiner Kunden verändert: Immer häufiger wurden eigene – teils KI-generierte – Konzepte oder Inhalte geliefert, bei denen die Verarbeitung der Daten nicht nur fraglich, sondern teilweise unter Vernachlässigung geltender Datenschutzrichtlinien erfolgte.

Inzwischen findet sich KI in nahezu allen Prozessen mittelständischer Unternehmen. Doch eine zentrale Frage wird fast immer vernachlässigt: Wie gehen wir beim Einsatz von KI eigentlich mit sensiblen Unternehmens- und personenbezogenen Daten um?

Diese Frage führte mich 2025 zu einem neuen Schwerpunkt meiner IT-Tätigkeit – in die Welt von Governance, Risk und Compliance (GRC). Die gezielte Weiterbildung zum TÜV-zertifizierten Datenschutzbeauftragten, ergänzt durch die Vorbereitung auf die Tätigkeit als ISO 27001 Lead Auditor sowie die IAPP AIGP-Zertifizierung, bilden das Fundament der heutigen Arbeit von Elsen GRC.

Themen, die Sie im GRC Journal erwarten

Das Journal wird regelmäßig mit neuen Beiträgen gefüllt – fundiert, praxisnah und stets mit Blick auf aktuelle regulatorische Entwicklungen:

Was sind Hoch-Risiko-KI-Systeme nach dem EU AI Act?
Datenpanne – was tun, wenn’s passiert ist?
TOMs im Auftragsverarbeitungsvertrag: Muster und Umsetzung
Automatisierte Einzelentscheidung und Profiling im KI-Zeitalter
Cloud Act vs. DSGVO – Datenhoheit und US-Anbieter im europäischen Kontext
und viele weitere Themen!

Jeder Beitrag bietet einen klaren Mehrwert: rechtliche Einordnung, technische Perspektive und konkrete Handlungsempfehlungen – um Unternehmen bei der AI Act Readiness, NIS2-Umsetzung und Datenschutz-Governance zu unterstützen.

Bleiben Sie auf dem Laufenden und erhalten Sie praxisnahe Insights rund um AI Act, DSGVO, NIS2 und ISO 27001.
Abonnieren Sie unseren Newsletter oder folgen Sie Elsen GRC auf LinkedIn, um regelmäßig über neue Beiträge, Webinare und Fachanalysen informiert zu werden.

Sie möchten Ihr Unternehmen auf AI Act Readiness, NIS2-Compliance oder ISO 27001-Zertifizierung vorbereiten? Kontaktieren Sie uns gern für ein unverbindliches Orientierungsgespräch.

Der Beitrag GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act erschien zuerst auf ELSEN GRC.