GDPR / DSGVO
Datenschutz als Grundrecht

• Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse
• Verarbeitung fair und transparent gegenüber Betroffenen
• Klare Information über Zwecke

• Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben
• Weiterverarbeitung nur, wenn kompatibel mit ursprünglichem Zweck
• Zweckänderung erfordert neue Rechtsgrundlage oder Einwilligung

• Daten müssen dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sein
• Keine “Sammlung auf Vorrat”
• Was nicht gebraucht wird, wird nicht erhoben

• Alle angemessenen Maßnahmen, um ungenaue Daten zu löschen oder zu berichtigen
• Betroffene können Berichtigung verlangen
• Systeme für Data-Quality-Management erforderlich

• Identifizierbare Form nur solange, wie für Zwecke erforderlich
• Danach: Anonymisierung, Pseudonymisierung oder Löschung
• Löschkonzepte und Aufbewahrungsfristen dokumentieren

• Schutz vor unbefugter/unrechtmäßiger Verarbeitung, Verlust, Zerstörung, Schädigung
• Verschlüsselung, Zugriffskontrollen, Backup, Monitoring
• Angemessenheit zum Risiko

• Verantwortlicher muss jederzeit belegen können, dass alle Prinzipien eingehalten werden
• Dokumentation, Policies, Audits, Reviews
• Burden of Proof beim Verantwortlichen

• Betroffene dürfen Auskunft über: welche Kategorien von Daten, zu welchen Zwecken, an welche Empfänger, Speicherdauer, Herkunft der Daten
• Kostenlose Kopie der Daten
• Antwort binnen 1 Monat

• Betroffene können unverzüglich Berichtigung unrichtiger personenbezogener Daten verlangen
• Vervollständigung unvollständiger Daten
• Benachrichtigung aller Empfänger über Berichtigung

• Löschung wenn: Zweck erfüllt, Einwilligung widerrufen, Widerspruch eingelegt, unrechtmäßige Verarbeitung, gesetzliche Löschpflicht
• Ausnahmen: gesetzliche Aufbewahrungspflichten, Verteidigungsrechte, öffentliches Interesse

• Bei Bestreitung der Richtigkeit, unrechtmäßiger Verarbeitung (aber Betroffener lehnt Löschung ab), oder während Prüfung eines Widerspruchs
• Daten dürfen nur noch gespeichert, nicht aktiv verarbeitet werden

• Betroffene können ihre Daten in strukturiertem, gängigem, maschinenlesbarem Format erhalten
• Direktübertragung an anderen Verantwortlichen, soweit technisch machbar
• Gilt für automatisiert verarbeitete Daten auf Basis Einwilligung/Vertrag

• Gegen Verarbeitung auf Basis berechtigten Interesses oder öffentlicher Aufgabe
• Gegen Direktwerbung (absolutes Widerspruchsrecht)
• Verantwortlicher muss Verarbeitung einstellen, außer zwingende schutzwürdige Gründe überwiegen

• Recht, nicht ausschließlich automatisierter Entscheidung (inkl. Profiling) unterworfen zu sein, die rechtliche Wirkung entfaltet oder erheblich beeinträchtigt
• Ausnahmen: Vertrag, Gesetz, explizite Einwilligung
• Menschliche Überprüfung

• Technische/organisatorische Maßnahmen bereits bei Design/Entwicklung
• Datenminimierung, Pseudonymisierung, Verschlüsselung als Standard
• Privacy-by-Default: standardmäßig nur nötige Daten, minimale Speicherdauer, begrenzte Zugänglichkeit

• Verschlüsselung (at rest, in transit), Pseudonymisierung, Zugriffskontrollen
• Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit
• Regelmäßige Tests/Audits
• Angemessenheit: Risiko, Stand der Technik, Kosten

• Name/Kontakt Verantwortlicher, Zwecke, Kategorien Betroffener/Daten, Empfänger
• Drittlandübermittlungen, Löschfristen, Sicherheitsmaßnahmen
• Ausnahme: <250 Mitarbeiter (mit Einschränkungen)
• Auf Anfrage Aufsicht vorlegen

• Systematische Bewertung, umfangreiche Verarbeitung besonderer Kategorien, öffentliche Überwachung
• Automatisierte Entscheidungen mit Rechtswirkung, neue Technologien
• Inhalt: Beschreibung, Notwendigkeit/Verhältnismäßigkeit, Risikobewertung, Abhilfemaßnahmen
• Vorab-Konsultation Aufsicht bei Restrisiko

• Bei Verletzung Vertraulichkeit, Integrität, Verfügbarkeit personenbezogener Daten
• Beschreibung, Kategorien/Anzahl Betroffener, Folgen, Maßnahmen
• Benachrichtigung Betroffener bei hohem Risiko (unverzüglich)
• Ausnahmen: Verschlüsselung, nachträgliche Maßnahmen

• Processor nur auf dokumentierte Weisung
• Vertrag mit: Gegenstand, Dauer, Art/Zweck, Daten-Kategorien, Pflichten/Rechte Controller
• Sicherheitsmaßnahmen, Sub-Processors, Unterstützungspflichten
• Löschung/Rückgabe nach Ende

• Öffentliche Stellen (außer Gerichte), Kerntätigkeit: umfangreiche regelmäßige systematische Überwachung oder besondere Datenkategorien/Strafdaten
• DSB: Expertise, Unabhängigkeit, ausreichende Ressourcen
• Aufgaben: Beratung, Überwachung, Schulung, Behördenkontakt

• Für bestimmte Länder (z.B. UK, Schweiz, Japan, Israel) hat Kommission angemessenes Datenschutzniveau festgestellt
• Transfer wie innerhalb EU möglich
• Regelmäßige Überprüfung
• EU-US Data Privacy Framework seit Juli 2023

• Standard Contractual Clauses (2021/914) als Transferinstrument
• Controller-to-Processor, Controller-to-Controller, Processor-to-Processor
• Transfer Impact Assessment (TIA) zusätzlich erforderlich
• Zusätzliche Maßnahmen bei Drittlandzugriff

• Für multinationale Unternehmensgruppen
• Genehmigung durch Lead-Aufsichtsbehörde erforderlich
• Verbindliche Regeln für gesamte Gruppe
• Durchsetzbare Rechte für Betroffene
• Aufwändiges Genehmigungsverfahren

• Ausnahmen: explizite Einwilligung, Vertragserfüllung, rechtliche Ansprüche, lebenswichtige Interessen, öffentliches Interesse, öffentliche Register
• Code of Conduct, Zertifizierung als Garantien möglich
• Ad-hoc-Genehmigung durch Aufsicht

• Modulare, datenminimierte Architekturen
• Logische Isolierung personenbezogener Daten
• Pseudonymisierung/Anonymisierung wo möglich
• Privacy-by-Default-Konfigurationen
• Infrastructure-as-Code mit Privacy-Patterns
• Keine “Datensammlung auf Vorrat”

• Deutschland als primäre Region
• EU-basierte Infrastruktur-Provider
• Keine Drittland-Übermittlungen im Standard-Setup
• GDPR Art. 44-50 konform
• EU-Jurisdiktion, EU-Recht, EU-Aufsicht
• Vollständige Kontrolle über Datenflüsse

• TLS 1.3+ für Daten in Transit, Verschlüsselung at Rest
• Customer-Managed Keys (BYOK/BYOHSM)
• Zugriffskontrollen (RBAC/ABAC), MFA, PAM
• Regelmäßige Vulnerability-Scans
• ISO 27001-zertifizierte Prozesse
• Audit-Logs für alle Zugriffe

• Standardisierte Data Processing Agreements
• Klare Rollentrennung (Controller/Processor)
• Dokumentierte Weisungen, Sub-Processor-Listen, Sicherheitsmaßnahmen
• Unterstützung bei Betroffenenrechten
• Löschung/Rückgabe nach Vertragsende
• EU-SCCs wo erforderlich

• Vollständiges Verarbeitungsverzeichnis intern
• Kundenspezifische Verarbeitungs-Dokumentation auf Anfrage
• Kategorien: Daten, Betroffene, Zwecke, Empfänger, Speicherfristen, Sicherheitsmaßnahmen
• Audit-ready

• Self-Service-Portale für Datenexport (Art. 20 Datenübertragbarkeit)
• Strukturierte, maschinenlesbare Formate
• Lösch-/Sperr-Mechanismen
• Antwort binnen GDPR-Fristen (1 Monat)
• Technische Unterstützung für Kunden bei Betroffenenanfragen

• Strukturierte Incident-Response-Playbooks
• Breach-Detection-Mechanismen
• Forensische Analyse-Fähigkeit
• Koordination mit Kunden (Controller) bei Data Breaches
• Template-Meldungen für Aufsichtsbehörden
• Post-Incident-Reviews, Lessons-Learned

• Interner Datenschutzbeauftragter
• Datenschutz als Teil unseres Integrierten Management Systems (IMS)
• Regelmäßige Privacy-Audits, Schulungen
• Datenschutz-Folgenabschätzungen für neue Services
• Kontinuierliche Compliance-Überwachung

• ISO 9001 (Qualitätsmanagement) und ISO 27001 (Information Security Management) zertifiziert
• Regelmäßige externe Audits durch akkreditierte Zertifizierungsstellen
• Compliance-Attestierungen für Kunden
• Zertifikate auf Anfrage verfügbar

GDPR regelt Datenschutz, Data Act regelt Datenzugang/Nutzung. Beide zusammen: Schutz UND Verfügbarkeit. Data Act-Datenzugang darf GDPR nicht verletzen – Rechtsgrundlagen, DPIAs erforderlich. Anonymisierung/Pseudonymisierung als Brücke.

Mehr zum Data Act

GDPR schützt personenbezogene Daten, NIS-2 schützt Netz-/Informationssysteme. Überschneidungen: Art. 32 GDPR (Sicherheit) ↔ NIS-2 Risikomanagement. Incident-Meldung parallel (GDPR → DPA, NIS-2 → CSIRT). Integrierte Compliance erforderlich.

Mehr zu NIS-2

DORA präzisiert IKT-Resilienz, GDPR bleibt für Datenschutz anwendbar. DORA-IKT-Drittparteirisiko umfasst GDPR-Auftragsverarbeitung. Incident-Meldung koordiniert (DORA → Finanzaufsicht, GDPR → DPA). DORA-Konformität erfordert GDPR-Konformität.

Mehr zu DORA

CRA fordert sichere Produkte (Software, Hardware), GDPR fordert Datenschutz bei deren Nutzung. Privacy by Design (GDPR Art. 25) ↔ Security by Design (CRA). Vulnerability-Management (CRA) unterstützt Art. 32 GDPR.

Mehr zu CRA

EU-Datenhaltung, Kundenschlüssel-Hoheit, Exit-Fähigkeit adressieren GDPR-Anforderungen (Art. 32, Art. 44-50). Cloud Sovereignty Framework bewertet GDPR-Compliance als Kernfaktor. EU-only-Stacks = GDPR-native.

Mehr zum Framework

Wie ayedo GDPR, Data Act, NIS-2, DORA, CRA systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen. Integrierte Compliance-Roadmap. Audit-Bereitschaft. Vollständige Dokumentation.

Zur Übersicht