DSGVO und personenbezogene Daten: Definition, Pflichten, Nachweise

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) in allen Mitgliedstaaten unmittelbar. Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition ist absichtlich weit gefasst und schließt IP-Adressen, Cookie-IDs, Standortdaten, Mitarbeiterausweise und Lieferantenkontakte ein. Aufsichtsbehörden verhängen seit 2023 verstärkt Bußgelder nach Art. 83 DSGVO, die bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes erreichen können. In Deutschland summieren sich allein die öffentlich gemeldeten Bußgelder seit 2018 auf einen mittleren dreistelligen Millionenbetrag.

Dieser Beitrag richtet sich an Geschäftsführungen, Datenschutzkoordinatoren und IT-Verantwortliche, die Klarheit über den operativen Umgang mit personenbezogenen Daten benötigen. Sie erfahren, welche Datenkategorien erfasst sind, welche sieben Verarbeitungsgrundsätze nach Art. 5 DSGVO greifen, wie Sie ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen, ab wann ein Datenschutzbeauftragter zwingend zu bestellen ist und welche Pfade bei Datenpannen, Betroffenenanfragen und Sanktionsverfahren tragen. CIVAC begleitet diese Pflichten als Compliance-Plattform und Officer-as-a-Service, damit Bestellurkunde, Berichtslinie und Audit-Vorlagen vorliegen, wenn die Aufsichtsbehörde anruft. Die Inhalte basieren auf den Leitlinien des Europäischen Datenschutzausschusses, der Datenschutzkonferenz der Länder sowie der bisherigen Spruchpraxis deutscher Aufsichtsbehörden.

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Der Europäische Gerichtshof hat in der Entscheidung Breyer (C-582/14, Urteil vom 19. Oktober 2016) klargestellt, dass auch dynamische IP-Adressen personenbezogen sind, sofern der Verantwortliche rechtliche Mittel hat, die Person zu identifizieren. Identifizierbarkeit muss also nicht aus eigener Kraft möglich sein, die Kombination mit Drittinformationen reicht aus. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bestätigt diese Auslegung in ihrer Orientierungshilfe Telemedien.

Praktisch erfasst die Definition mindestens sechs Kategorien: Stammdaten wie Name, Adresse und Geburtsdatum; Kontaktdaten wie E-Mail und Telefonnummer; technische Identifier wie IP-Adressen, Cookie-IDs und Geräte-IDs; Beschäftigtendaten wie Personalnummer und Lohnabrechnung; Bewegungsdaten wie GPS-Standorte und Zutrittslogs; biometrische Daten wie Fingerabdrücke und Gesichtsscans.

Besondere Sorgfalt verlangen die in Art. 9 DSGVO genannten besonderen Kategorien: Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, sexuelle Orientierung, ethnische Herkunft und genetische Daten. Deren Verarbeitung ist grundsätzlich verboten und nur mit ausdrücklicher Einwilligung oder gesetzlicher Erlaubnis zulässig. Verstöße gegen Art. 9 DSGVO werden regelmäßig mit doppeltem Bußgeldrahmen geahndet.

Auch pseudonymisierte Daten bleiben nach Erwägungsgrund 26 DSGVO personenbezogen, solange der Schlüssel zur Re-Identifizierung existiert. Nur vollständig anonymisierte Daten verlassen den Schutzbereich. Wer mit dem externen Datenschutzbeauftragten eine saubere Datenklassifikation aufsetzt, vermeidet die häufigste Fehlerquelle: das Unterschätzen indirekter Identifikatoren in Logfiles, CRM-Systemen und Backups. Ein dokumentiertes Klassifikationsschema mit Beispielen je Kategorie ist die erste Verteidigungslinie gegenüber Aufsichtsbehörden und Auditoren. Wer Logfiles, Backups oder Test-Datenbestände ohne Klassifikation führt, erzeugt unerkannte Verarbeitungstätigkeiten und verfehlt Art. 5 Abs. 2 DSGVO.

Art. 5 Abs. 1 DSGVO kodifiziert sieben Grundsätze, die jede Verarbeitung tragen muss. Verantwortliche müssen ihre Einhaltung nach Art. 5 Abs. 2 DSGVO aktiv nachweisen können, die sogenannte Rechenschaftspflicht. Diese Pflicht ist der operative Hebel der Aufsichtsbehörden.

Erstens: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Jede Verarbeitung benötigt eine der sechs Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO, etwa Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Zweitens: Zweckbindung. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Zweckänderung ist nur unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO zulässig. Drittens: Datenminimierung. Die Erhebung ist auf das notwendige Maß zu beschränken, was insbesondere bei Webformularen, CRM-Feldern und Bewerbungsverfahren regelmäßig verfehlt wird.

Viertens: Richtigkeit. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen. Fünftens: Speicherbegrenzung. Daten dürfen nur so lange aufbewahrt werden, wie für den Zweck erforderlich, danach sind sie zu löschen oder zu anonymisieren. Sechstens: Integrität und Vertraulichkeit. Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO müssen Schutz vor unbefugter Verarbeitung, Verlust und Zerstörung gewährleisten. Siebtens: Rechenschaftspflicht als Querschnittsgrundsatz.

Wer keine Nachweise vorlegt, hat den Streit bereits verloren. Praktisch heißt das: Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt, Datenschutz-Folgenabschätzungen dokumentiert, Schulungsnachweise versioniert, Löschkonzepte hinterlegt, TOM-Beschreibung aktuell, Auftragsverarbeitungsverträge unterschrieben. Die CIVAC-Workspace bündelt diese Artefakte in einer Aktenstruktur mit Versionierung, sodass der Prüfer ruft und der Nachweis liegt bereit. Bestellurkunde, unterschrieben, abgelegt, belegbar – das gleiche Prinzip gilt für jeden einzelnen der sieben Grundsätze. Wer hier Lücken zeigt, fällt im ersten Audit-Schritt durch, unabhängig von Größe und Branche des Unternehmens.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist die zentrale Dokumentation jedes Verantwortlichen. Unternehmen mit weniger als 250 Beschäftigten sind nach Art. 30 Abs. 5 DSGVO grundsätzlich befreit, jedoch greift die Pflicht zurück, sobald regelmäßige Verarbeitungen, Risikoverarbeitungen oder besondere Kategorien nach Art. 9 betroffen sind. In der Praxis trifft das nahezu jedes Unternehmen mit Personalverwaltung, Kundenbeziehungen oder Online-Auftritt, weshalb die Befreiung kaum greift.

Pro Verarbeitungstätigkeit sind acht Angaben vorgeschrieben: Name und Kontakt des Verantwortlichen, gegebenenfalls des Datenschutzbeauftragten; Zwecke der Verarbeitung; Beschreibung der Kategorien betroffener Personen und Datenkategorien; Empfängerkategorien, denen Daten offengelegt wurden; Übermittlungen in Drittländer mit Garantien nach Kap. V DSGVO; Löschfristen je Kategorie; allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die Aufsichtsbehörden akzeptieren keine Sammelangaben, jede Tätigkeit ist einzeln zu führen.

Typische Verarbeitungen, die separat zu führen sind: Bewerbermanagement, Personalverwaltung, Gehaltsabrechnung, Kundenstammdaten, Newsletter-Versand, Videoüberwachung, Zutrittskontrolle, Webanalyse, CRM, Ticketsystem, Vertragsmanagement, Telefonanlagen-Auswertung, Hinweisgebersystem. Erfahrungswerte aus mittelständischen Mandaten zeigen 35 bis 80 Verfahren je Standort, Konzerne erreichen schnell 200 und mehr.

Auftragsverarbeiter führen ein eigenes Verzeichnis nach Art. 30 Abs. 2 DSGVO. Wer Cloud-Dienste, Lohnbüros oder Versanddienstleister einsetzt, benötigt zusätzlich Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Diese sind versioniert, unterschrieben, abgelegt, belegbar zu halten und mindestens jährlich auf Aktualität zu prüfen. Die CIVAC-Rollenübersicht zeigt, wie die DSB-Funktion das Verzeichnis quartalsweise mit den Fachbereichen abgleicht und Änderungen revisionssicher dokumentiert. Drittlandtransfers nach Art. 44 ff. DSGVO erfordern Standardvertragsklauseln in der Fassung 2021/914 plus Transfer Impact Assessment, insbesondere für Anbieter aus den USA trotz EU-US Data Privacy Framework. Diese Garantien sind je Übermittlung im Verzeichnis zu hinterlegen.

Art. 6 Abs. 1 DSGVO listet abschließend sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Ohne eine dieser Grundlagen ist die Verarbeitung rechtswidrig, unabhängig von der Geschäftslogik oder gelebter Praxis. Die Wahl der Rechtsgrundlage ist je Verarbeitungstätigkeit festzulegen und im Verzeichnis nach Art. 30 zu dokumentieren.

Lit. a: Einwilligung der betroffenen Person. Sie muss freiwillig, informiert, spezifisch und durch eine eindeutige bestätigende Handlung erteilt werden (Art. 4 Nr. 11 DSGVO). Einwilligungen müssen widerrufbar sein, der Widerruf wirkt für die Zukunft. Vorausgefüllte Kästchen sind unzulässig, eine Kopplung an Vertragsleistungen ist nach Art. 7 Abs. 4 DSGVO kritisch zu prüfen. Lit. b: Vertragserfüllung. Daten, die zur Durchführung eines Vertrags mit der betroffenen Person notwendig sind, dürfen ohne separate Einwilligung verarbeitet werden, etwa Lieferadresse bei Online-Bestellungen oder Kontodaten beim SEPA-Mandat.

Lit. c: Rechtliche Verpflichtung. Steuerliche Aufbewahrungspflichten nach § 147 AO, die Lohnsteuerbescheinigung oder Meldepflichten nach SGB IV sind klassische Beispiele. Lit. d: Lebenswichtige Interessen, etwa Notfallzugriff auf Gesundheitsdaten. Lit. e: Wahrnehmung einer Aufgabe im öffentlichen Interesse, primär für öffentliche Stellen relevant. Lit. f: Berechtigtes Interesse des Verantwortlichen, sofern Interessen oder Grundrechte der betroffenen Person nicht überwiegen.

Die Abwägung bei lit. f ist die häufigste Fehlerquelle. Die Aufsichtsbehörden verlangen eine dokumentierte Interessenabwägung mit drei Schritten: Berechtigung des Interesses, Erforderlichkeit der Verarbeitung, Abwägung der Grundrechte. Werbung an Bestandskunden, IT-Sicherheitsmaßnahmen und konzerninterne Übermittlungen stützen sich häufig auf lit. f, müssen aber je Verfahren dokumentiert sein. Frist läuft ab Kenntnis: Wer keine Rechtsgrundlage benennt, kann die Verarbeitung im Audit nicht verteidigen und riskiert Bußgelder nach Art. 83 Abs. 5 DSGVO.

Art. 37 Abs. 1 DSGVO verpflichtet zur Bestellung eines Datenschutzbeauftragten in drei Fällen: bei Verarbeitung durch Behörden, bei Kerntätigkeiten, die umfangreiche regelmäßige systematische Überwachung erfordern, oder bei umfangreicher Verarbeitung besonderer Kategorien nach Art. 9 DSGVO. § 38 Abs. 1 BDSG ergänzt die deutsche Schwelle: Unternehmen mit mindestens 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen DSB bestellen. Diese Schwelle ist niedriger als in vielen anderen Mitgliedstaaten.

Die Bestellung erfolgt schriftlich mit Bestellurkunde. Sie definiert Funktion, Berichtslinie und Schutz vor Abberufung (§ 38 Abs. 2 BDSG verweist auf § 6 Abs. 4 BDSG). Der DSB berichtet direkt an die Geschäftsführung, darf nicht wegen Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Die Bestellung ist der zuständigen Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO mitzuteilen, die Kontaktdaten sind zu veröffentlichen, etwa im Impressum oder der Datenschutzerklärung.

Aufgaben nach Art. 39 DSGVO umfassen Unterrichtung und Beratung des Verantwortlichen, Überwachung der Einhaltung der DSGVO und interner Strategien, Beratung bei Datenschutz-Folgenabschätzungen, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene. Der DSB ist nicht persönlich verantwortlich, sondern kontrolliert und berät.

Verstöße gegen die Bestellpflicht sind nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt, bis 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes. Die Praxis zeigt zwei Modelle: interne Bestellung mit Doppelfunktion oder externe Beauftragung. Externe DSB bringen Unabhängigkeit, branchenübergreifende Erfahrung und vermeiden Interessenkonflikte. CIVAC liefert beides: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Bestellurkunde, unterschrieben, abgelegt, belegbar – als Compliance-Plattform und Officer-as-a-Service.

Die DSGVO räumt betroffenen Personen acht durchsetzbare Rechte ein. Diese sind binnen eines Monats nach Eingang des Antrags zu beantworten (Art. 12 Abs. 3 DSGVO), eine Verlängerung um zwei weitere Monate ist bei komplexen Fällen mit Begründung möglich. Die Beantwortung ist grundsätzlich unentgeltlich, bei offenkundig unbegründeten oder exzessiven Anträgen ist nach Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt oder Ablehnung möglich.

Art. 15 DSGVO regelt das Auskunftsrecht. Betroffene können erfragen, ob sie betreffende Daten verarbeitet werden, zu welchen Zwecken, an welche Empfänger, mit welcher Speicherdauer. Die Auskunft umfasst eine Kopie der Daten. Art. 16 DSGVO gewährt das Recht auf Berichtigung unrichtiger Daten. Art. 17 DSGVO begründet das Recht auf Löschung, sofern keine Aufbewahrungspflicht entgegensteht. Der Bundesgerichtshof hat den Umfang des Auskunftsanspruchs in mehreren Entscheidungen weit ausgelegt.

Art. 18 DSGVO bestimmt die Einschränkung der Verarbeitung. Art. 20 DSGVO sieht Datenübertragbarkeit vor, etwa bei Wechsel des Anbieters. Art. 21 DSGVO regelt das Widerspruchsrecht, insbesondere gegen Direktwerbung als absolutes Recht. Art. 22 DSGVO schützt vor ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung, was zunehmend Scoring-Verfahren, KI-gestützte Personalauswahl und algorithmische Preisbildung betrifft.

Operativ scheitern Betroffenenanfragen häufig an drei Punkten: fehlende Identitätsprüfung des Antragstellers, unvollständige Recherche über Systemgrenzen hinweg, Versäumnis der Monatsfrist. Aufsichtsbehörden verhängen für verspätete oder unvollständige Auskunft regelmäßig Bußgelder im fünf- bis sechsstelligen Bereich. Ein dokumentierter Prozess mit Eingangskanal, Ticketsystem, Eskalationspfad und Fristkalender ist Pflicht. Der CIVAC-Workspace stellt 37 Audit-Vorlagen bereit, darunter standardisierte Auskunftsbescheide mit Mandantentrennung und EU-Datenresidenz. Der Prüfer ruft an, der Nachweis liegt bereit.

Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde zu melden. Die Frist beginnt mit dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung weiß, also Sicherheit über das Vorliegen einer meldepflichtigen Verletzung besteht. Reine Verdachtsmomente lösen die Frist noch nicht aus, eine zügige interne Aufklärung ist jedoch geboten.

Meldepflichtig sind Verletzungen, die voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen führen. Bei hohem Risiko ist zusätzlich die Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich. Typische Fälle: gestohlene Laptops ohne Festplattenverschlüsselung, Fehlversand von E-Mails mit Massenverteiler, Ransomware mit Datenabfluss, Fehlkonfiguration eines Cloud-Buckets, kompromittierte Zugangsdaten, verlorene USB-Sticks mit Kundenlisten.

Die Meldung erfolgt über das Online-Portal der zuständigen Landesbehörde. Inhalte nach Art. 33 Abs. 3 DSGVO: Art der Verletzung, betroffene Kategorien und ungefähre Zahl Betroffener, Kontakt des DSB, wahrscheinliche Folgen, ergriffene oder geplante Maßnahmen. Wenn nicht alle Informationen binnen 72 Stunden verfügbar sind, ist eine Erstmeldung mit Nachreichung erlaubt (Art. 33 Abs. 4 DSGVO). Die interne Dokumentation jeder Verletzung ist nach Art. 33 Abs. 5 DSGVO unabhängig von der Meldepflicht verpflichtend.

Operativ entscheidet die Vorbereitung. Ein Datenpannen-Playbook mit Eskalationsmatrix, Vorlagen für Meldungen, Kommunikationspfaden zu IT, Recht und Geschäftsführung muss im Stresstest funktionieren. Wer erst nach Kenntnis recherchiert, verliert die Frist. Die CIVAC-Plattform spiegelt die Frist mit Timern, Meldevorlagen und Berichtslinie, parallel zu den NIS-2-Meldepfaden mit 24 Stunden Frühwarnung und 72 Stunden Folgemeldung. Audit-fest, dokumentiert, § 33-fest.

Art. 83 DSGVO etabliert ein zweistufiges Bußgeldsystem. Verstöße gegen Verfahrenspflichten wie Verarbeitungsverzeichnis, DSB-Bestellung oder Auftragsverarbeitungsvertrag können nach Abs. 4 mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernjahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist. Verstöße gegen materielle Grundsätze und Rechte der Betroffenen nach Abs. 5 verdoppeln den Rahmen auf 20 Mio. Euro oder 4 Prozent. Diese Schwellen sind Höchstgrenzen, keine Regelsätze.

Die Bemessung erfolgt nach Art. 83 Abs. 2 DSGVO anhand elf Kriterien, darunter Art und Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, Maßnahmen zur Minderung des Schadens, Grad der Verantwortung, frühere Verstöße, Kooperation mit der Aufsichtsbehörde, betroffene Datenkategorien. Der Europäische Datenschutzausschuss hat 2023 Leitlinien zur Bußgeldberechnung veröffentlicht (Guidelines 04/2022), die deutsche Behörden adaptieren.

Die deutsche Praxis seit 2023 zeigt steigende Strafen. Aufsichtsbehörden haben Bußgelder im sechs- bis siebenstelligen Bereich gegen Unternehmen verhängt, die das Verarbeitungsverzeichnis lückenhaft führten, Betroffenenanfragen ignorierten oder Datenpannen verspätet meldeten. Im Konzernkontext können bereits einzelne Verstöße in den achtstelligen Bereich vordringen, wenn der Konzernumsatz hoch genug ist.

Daneben drohen Haftungsrisiken nach Art. 82 DSGVO (Schadensersatz an Betroffene mit Tendenz zu deutlichen Schmerzensgeldsummen), § 130 OWiG (Aufsichtspflichtverletzung gegenüber Leitungspersonen), sowie strafrechtliche Konsequenzen bei vorsätzlichem Datenmissbrauch nach § 42 BDSG. Versicherungen für Cyber-Risiken decken Bußgelder regelmäßig nicht ab. Wer dokumentierte Compliance vorweist, reduziert nicht nur das Risiko, sondern auch die Bemessungshöhe im Einzelfall erheblich, da Kooperation und Maßnahmen mildernd wirken. Aufsichtsbehörden verhandeln in der Praxis Reduktionen von 30 bis 60 Prozent, wenn das Unternehmen ein lückenloses Verarbeitungsverzeichnis, dokumentierte Schulungen und einen funktionierenden DSB vorweisen kann.

Die operative Pflichtenkette aus Verzeichnis, Rechtsgrundlage, DSB, Betroffenenrechten, Meldewesen und Sanktionsabwehr lässt sich auf zwei Wegen abbilden: intern mit Werkzeugunterstützung oder extern als ausgelagerte Funktion. CIVAC liefert beide Modelle aus einer Hand als Compliance-Plattform und Officer-as-a-Service.

Das erste Modell richtet sich an Unternehmen mit eigener Compliance-Funktion. Lizenzieren Sie den Workspace für Ihre internen Beauftragten. Sie erhalten 37 Audit-Vorlagen, ein vorkonfiguriertes Verarbeitungsverzeichnis, Datenpannen-Workflow mit 72-Stunden-Timer, Betroffenenanfragen-Routing, Schulungsmodule und revisionssichere Ablage. EU-Datenresidenz, Mandantentrennung, Berichtslinie und Versionierung sind eingebaut. Die Plattform deckt 25 Beauftragten-Rollen ab, sodass die DSB-Funktion in den Gesamtkontext aus ISB, Compliance-Beauftragtem und Geldwäschebeauftragtem integriert ist.

Das zweite Modell richtet sich an Unternehmen ohne interne Kapazität oder mit Wunsch nach Unabhängigkeit. Lassen Sie unsere Beauftragten bestellen. Der externe Datenschutzbeauftragte übernimmt die Funktion nach Art. 37 DSGVO inklusive Bestellurkunde, Berichtslinie an die Geschäftsführung, Schulungen, jährlicher Berichterstattung und Auskunftsbearbeitung. Die CIVAC-SLA: 2 Werktage statt 2 bis 6 Wochen klassisch.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Beide Modelle teilen die gleiche Plattform, sodass ein Wechsel oder eine Mischform jederzeit möglich ist. Datenschutz ist keine Projektaufgabe, sondern ein Dauerbetrieb mit Stichtagen, Audits und Behördenkommunikation.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Die Erstprüfung der Bestellpflicht und der Pflichtartefakte dauert 30 Minuten, das Ergebnis ist eine konkrete Maßnahmenliste mit Verantwortlichen und Fristen. Innerhalb von 5 Werktagen liegt die Bestellurkunde vor, das Verarbeitungsverzeichnis ist initial befüllt und der Datenpannen-Workflow ist scharfgeschaltet.