Compliance · DSGVO & KI

DSGVO und KI für KMU: die Fragen, die du dir wirklich stellst

Von Kundendaten in ChatGPT über US-Server bis zu DSFA und automatisierten Entscheidungen: klare, praxisnahe Antworten für alle, die ein KMU führen und täglich digitale Tools und KI nutzen – ohne selbst zum Juristen zu werden.

34 Antworten

Darf ich die Daten meiner Kunden in ChatGPT oder andere KI-Tools eingeben?

Das hängt davon ab, welche Daten, mit welchem Tool und auf welcher Rechtsgrundlage. Personenbezogene Daten (Namen, E-Mails, Vertragsinhalte, Gesundheits- oder Finanzdaten) in ein KI-Tool einzufügen bedeutet, sie an einen externen Anbieter weiterzugeben: Dieser Anbieter wird faktisch zu einer Stelle, die diese Daten verarbeitet – und du bleibst gegenüber den Betroffenen verantwortlich.

Bei kostenlosen Consumer-Plänen können deine Eingaben zum Training der Modelle verwendet werden, und du hast keine angemessenen vertraglichen Garantien: Hier lautet die praktische Regel, keine personenbezogenen oder vertraulichen Daten einzugeben. Bei Business-/Enterprise-Plänen, die das Training ausschließen und einen Auftragsverarbeitungsvertrag anbieten, wird die Sache handhabbar – muss aber trotzdem im Einzelfall bewertet werden.

GiBSeS — Genau diese Unterscheidung – welche Daten, welches Tool, welcher vertragliche Schutz – ist der erste Filter, den wir anwenden, wenn wir einem KMU helfen, KI zu nutzen, ohne sich angreifbar zu machen.

Einfach gesagt: Was verlangt die DSGVO von mir als kleinem Unternehmen?

Die DSGVO (Verordnung (EU) 2016/679, in Kraft seit 25. Mai 2018) verlangt im Kern drei Dinge: wissen, welche personenbezogenen Daten du verarbeitest und warum; sie nur für klare Zwecke und mit einer gültigen Rechtsgrundlage verarbeiten; und sie angemessen zum jeweiligen Risiko schützen. Das ist keine einmalige Pflichtübung, sondern eine Arbeitsweise, die nachweisbar sein muss (Prinzip der Rechenschaftspflicht, Accountability).

Für ein KMU bedeutet das ein paar lebendige Dokumente: Verarbeitungsverzeichnis, Datenschutzhinweise, Verträge mit Auftragsverarbeitern, Sicherheitsmaßnahmen. Es braucht keine endlose Bürokratie, sondern Übereinstimmung zwischen dem, was du erklärst, und dem, was du wirklich tust.

GiBSeS — Wenn du nicht genau weißt, was schon vorhanden ist und was fehlt, ist die Bestandsaufnahme des Ist-Zustands der Ausgangspunkt unserer Arbeit.

Was bedeutet 'Rechtsgrundlage', und welche muss ich für meine Datenverarbeitung nutzen?

Die Rechtsgrundlage ist der rechtliche Grund, aus dem du ein personenbezogenes Datum verarbeiten darfst: Ohne mindestens eine ist die Verarbeitung unrechtmäßig. Artikel 6 DSGVO nennt sechs davon, darunter Einwilligung, Vertragserfüllung, rechtliche Verpflichtung und berechtigtes Interesse. Bei einem KMU stützt sich der Großteil der operativen Verarbeitungen (eine Bestellung abwickeln, eine Rechnung ausstellen, einem Kunden antworten) auf den Vertrag oder die gesetzliche Verpflichtung, nicht auf die Einwilligung.

Die Einwilligung wird vor allem für Aktivitäten wie unaufgeforderte Werbung oder Profiling benötigt und muss freiwillig, spezifisch und widerrufbar sein. Achtung: Du kannst die Rechtsgrundlage nicht beliebig wechseln, nur weil die gewählte unbequem geworden ist.

GiBSeS — Jeder Verarbeitung die richtige Rechtsgrundlage zuzuordnen, ist eines der Ersten, was wir in einer DSGVO-Diagnose klären.

Muss ich wirklich so wenig Daten wie möglich erheben? Was bedeutet Datenminimierung?

Ja. Der Grundsatz der Datenminimierung besagt, dass du nur Daten erheben darfst, die dem Zweck angemessen und erheblich sowie auf das für den angegebenen Zweck notwendige Maß beschränkt sind. Wenn du Daten sammelst, 'weil man nie weiß', verstößt du bereits gegen diesen Grundsatz. Ebenso gilt die Zweckbindung: Für einen Zweck erhobene Daten dürfen ohne neue Rechtsgrundlage nicht für einen unvereinbaren Zweck weiterverwendet werden.

Für ein KMU ist Datenminimierung auch praktisch: Je weniger Daten du erhebst und speicherst, desto geringer das Risiko im Falle einer Verletzung und desto niedriger die Verwaltungskosten. Alles für immer aufzubewahren ist fast immer ein Problem, keine Ressource.

GiBSeS — Die verarbeiteten Daten zu reduzieren und sinnvolle Aufbewahrungsfristen festzulegen, ist genau die Art von Vereinfachung, die wir einbringen – auch jenseits der Compliance.

Wann bin ich verpflichtet, eine DSFA (Datenschutz-Folgenabschätzung) durchzuführen?

Die DSFA (Datenschutz-Folgenabschätzung, Artikel 35 DSGVO) ist verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Die Verordnung nennt ausdrücklich drei Fälle: systematische Bewertung aufgrund von Profiling mit erheblichen Auswirkungen, umfangreiche Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten) und systematische Überwachung öffentlich zugänglicher Bereiche.

Die nationalen Aufsichtsbehörden veröffentlichen zusätzliche Listen von Verarbeitungen, die eine DSFA erfordern – prüfe also auch die Liste deiner zuständigen Behörde. Sobald KI mit Profiling, Scoring oder Entscheidungen über Personen ins Spiel kommt, wird die DSFA sehr oft notwendig.

GiBSeS — Vor dem Start zu klären, ob ein KI-Projekt die DSFA-Pflicht auslöst, ist genau die Risiko-Nutzen-Analyse, von der wir nie abrücken.

Ändert sich beim Datenschutz etwas, wenn ich KI nutze, um Kunden zu profilieren oder zu bewerten (Scoring)?

Ja, es ändert sich einiges. Automatisiertes Profiling und Scoring gehören zu den heikelsten Verarbeitungen: Sie erhöhen die Wahrscheinlichkeit, dass eine DSFA nötig ist, und verlangen verstärkte Transparenz gegenüber den Betroffenen, die ein Recht darauf haben zu erfahren, dass sie profiliert werden und nach welcher grundsätzlichen Logik. Wenn der Score erhebliche Auswirkungen hat (z. B. Ablehnung einer Leistung), greift zusätzlich Artikel 22 zu automatisierten Entscheidungen.

Außerdem kann ein solches KI-System auch unter die KI-Verordnung (AI Act) als Hochrisikosystem fallen, mit zusätzlichen Pflichten. DSGVO und AI Act überschneiden sich hier und müssen gemeinsam gelesen werden.

GiBSeS — DSGVO- und AI-Act-Pflichten für dasselbe System zusammenzudenken, ist genau die integrierte Betrachtung, die wir vornehmen, um Doppelarbeit oder Lücken zu vermeiden.

Mein Anbieter hat Server in den USA: Verstoße ich damit gegen die DSGVO?

Nicht automatisch, aber du brauchst eine gültige Grundlage für die Übermittlung. Personenbezogene Daten aus dem Europäischen Wirtschaftsraum hinauszugeben ist nur mit geeigneten Garantien erlaubt: einem Angemessenheitsbeschluss der Kommission, den Standardvertragsklauseln (SCC), verbindlichen internen Datenschutzvorschriften (BCR) oder wenigen weiteren Ausnahmen. Für die USA gibt es seit 2023 das Data Privacy Framework: Wenn sich dein Anbieter dort zertifiziert hat, ist die Übermittlung an diese Stelle abgedeckt.

Ist der Anbieter nicht zertifiziert, braucht es die SCC, ergänzt um eine Bewertung der tatsächlichen Risiken (ein Erbe des Schrems-II-Urteils). Der praktische Punkt: Es reicht nicht, 'ein US-Tool zu benutzen' – du musst wissen, welche Garantie es abdeckt.

GiBSeS — Zu prüfen, auf welcher Übermittlungsgarantie jeder Cloud-/KI-Anbieter beruht, ist eine Kontrolle, die wir standardmäßig in die Toolauswahl einbauen.

Was sind die Standardvertragsklauseln (SCC) und wann brauche ich sie?

Die SCC sind von der Europäischen Kommission genehmigte Vertragsmuster, die ein Datenexporteur und ein Datenimporteur unterzeichnen, um ein angemessenes Schutzniveau zu gewährleisten, wenn Daten aus der EU in Länder ohne Angemessenheitsbeschluss übermittelt werden. Sie sind gerade wegen ihrer Standardisierung eines der von KMU am häufigsten genutzten Instrumente.

Seit dem Schrems-II-Urteil reichen sie allein nicht mehr aus: Sie müssen um eine Bewertung (Transfer Impact Assessment) ergänzt werden, die prüft, ob die Gesetze des Ziellandes trotzdem Datenzugriffe erlauben, welche die Garantien aushebeln würden. Viele Anbieter nehmen sie bereits in ihre Verträge auf, aber die Verantwortung, sie zu prüfen, bleibt bei dir.

GiBSeS — Die Übermittlungsklauseln in Lieferantenverträgen wirklich zu lesen, statt sie einfach hinzunehmen, gehört zu unserer Art, Lock-in und Risiko zu reduzieren.

Wer trägt bei einem KI- oder Cloud-Anbieter die Verantwortung für die Daten: ich oder er?

Fast immer bist du der Verantwortliche (du entscheidest über Zwecke und Mittel) und der Anbieter ist der Auftragsverarbeiter (er verarbeitet die Daten in deinem Auftrag). Das bedeutet: Die Hauptverantwortung gegenüber Kunden und Behörden bleibt bei dir, auch wenn die Daten technisch vom Anbieter verwaltet werden. Du kannst die Compliance nicht 'abgeben', indem du sagst, das Tool habe sich darum gekümmert.

Deshalb verlangt Artikel 28 einen eigenen Vertrag, den Auftragsverarbeitungsvertrag (AVV), der regelt, was der Anbieter mit den Daten tun darf und was nicht. Ohne AVV ist die Übergabe von Daten an einen Anbieter für sich genommen bereits ein Verstoß.

GiBSeS — Zu prüfen, ob jeder Anbieter einen unterschriebenen und sinnvollen AVV hat, ist eine der konkreten Kontrollen, die wir vornehmen, bevor wir irgendein Tool einführen.

Was ist der AVV (Auftragsverarbeitungsvertrag), und muss ich ihn mit jedem Anbieter abschließen?

Der AVV (Auftragsverarbeitungsvertrag, engl. Data Processing Agreement) ist der in Artikel 28 vorgesehene Vertrag, den du mit jedem Anbieter brauchst, der personenbezogene Daten in deinem Auftrag verarbeitet: Cloud-Dienste, ERP-Systeme, E-Mail-Marketing, KI-Tools, in manchen Fällen sogar der Steuerberater. Er legt Gegenstand, Dauer, Zweck, Datenarten, Sicherheitspflichten, den Einsatz von Unterauftragsverarbeitern und den Umgang mit den Daten am Ende der Zusammenarbeit fest.

Die meisten seriösen Anbieter stellen einen Standard-AVV bereit, der online akzeptiert werden kann. Deine Aufgabe ist es, sein Vorhandensein und seine Stimmigkeit zu prüfen und ihn aufzubewahren: Bei einer Kontrolle oder einer Datenpanne ist er eines der ersten Dokumente, das von dir verlangt wird.

GiBSeS — Ein Verzeichnis der Anbieter samt zugehörigen AVV zu führen, ist eine jener geordneten Grundlagen, die jeden späteren Audit deutlich schneller machen.

Welche Rechte haben die Personen, deren Daten ich verarbeite, und was muss ich gewährleisten?

Die Betroffenen haben eine Reihe von Rechten, die du erfüllen können musst: Auskunft über ihre Daten, Berichtigung, Löschung (das sogenannte Recht auf Vergessenwerden), Einschränkung, Datenübertragbarkeit und Widerspruch. In der Regel musst du innerhalb eines Monats nach der Anfrage antworten, kostenlos, außer bei exzessiven oder wiederholten Anfragen.

Für ein KMU liegt die praktische Herausforderung weniger im Recht selbst als darin, organisiert genug zu sein, um zu reagieren: zu wissen, wo die Daten einer Person liegen, und sie schnell extrahieren oder löschen zu können. Sind die Daten ohne Übersicht auf zehn verschiedene Tools verstreut, wird jede Anfrage zu einem kleinen Albtraum.

GiBSeS — Jederzeit zu wissen, wo die Daten eines Kunden liegen, ist auch eine Frage operativer Ordnung, nicht nur des Rechts: Das ist einer der positiven Nebeneffekte einer guten Datenkartierung.

Darf KI allein über einen Kunden entscheiden (z. B. annehmen oder ablehnen)? Was besagt Artikel 22?

Artikel 22 legt fest, dass eine Person das Recht hat, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht, wenn diese rechtliche Wirkung entfaltet oder sie in ähnlich erheblicher Weise beeinträchtigt (z. B. Kreditvergabe, Einstellung, Ablehnung einer Leistung). Es gibt Ausnahmen, etwa wenn die Entscheidung für einen Vertrag erforderlich ist oder auf ausdrücklicher Einwilligung beruht.

Auch bei den Ausnahmen musst du Schutzmaßnahmen gewährleisten: klare Information, die Möglichkeit, menschliches Eingreifen zu erwirken, den eigenen Standpunkt darzulegen und die Entscheidung anzufechten. In der Praxis heißt das: Eine KI kann die Entscheidung unterstützen, aber ein Mensch muss real eingreifen können – nicht nur symbolisch.

GiBSeS — Die Stellen zu gestalten, an denen ein Mensch in das KI-Ergebnis eingreift – so, dass es echt ist und nicht nur zum Schein –, ist Teil davon, wie wir KI rechtssicher integrieren.

Was muss ich bei einer Datenpanne (Data Breach) tun, und in welcher Frist?

Erleidest du eine Verletzung, die ein Risiko für die Rechte von Personen mit sich bringt, musst du sie der Aufsichtsbehörde unverzüglich melden, spätestens jedoch innerhalb von 72 Stunden ab Kenntnisnahme. Ist das Risiko für die Betroffenen hoch, musst du auch sie direkt informieren. Nicht jede Verletzung muss gemeldet werden, aber jede muss intern bewertet und dokumentiert werden.

Die 72 Stunden vergehen schnell: Deshalb lohnt es sich, vorab eine Mindestprozedur zu haben (wer bewertet, wer entscheidet, was kommuniziert wird), statt in Panik zu improvisieren. Eine gut gehandhabte Panne wiegt viel weniger schwer als eine verschwiegene oder schlecht gehandhabte.

GiBSeS — Eine Vorfallsreaktion vorzubereiten, bevor sie gebraucht wird, ist eine der Maßnahmen mit dem höchsten Ertrag, die wir KMU empfehlen.

Was riskiere ich wirklich, wenn ich etwas falsch mache? Welche Bußgelder sieht die DSGVO vor?

Die DSGVO sieht zwei Stufen von Bußgeldern vor. Für weniger schwere Verstöße (z. B. fehlende Verzeichnisse oder fehlender AVV) sind es bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für schwerere Verstöße (Grundprinzipien, Rechtsgrundlagen, Betroffenenrechte, unrechtmäßige Übermittlungen) steigt das auf bis zu 20 Millionen Euro oder 4 % des Umsatzes.

In der Praxis werden die Bußgelder für ein KMU an der Schwere, der Kooperationsbereitschaft und den ergriffenen Maßnahmen bemessen: Man startet selten beim Maximum. Aber neben dem Bußgeld zählen der Reputationsschaden und zivilrechtliche Schadensersatzforderungen, die oft schwerer wiegen als die Sanktion selbst.

GiBSeS — Es geht nicht um die Angst vor dem Bußgeld, sondern um die Gewissheit, nachweisen zu können, mit Umsicht gehandelt zu haben: Das ist die Disziplin, die wir in Projekte einbringen.

Was unterscheidet DSGVO und AI Act? Muss ich beide einhalten?

Ja, das sind zwei unterschiedliche Regelwerke, die gleichzeitig gelten können. Die DSGVO schützt personenbezogene Daten: Sie gilt immer, wenn du Informationen verarbeitest, die sich auf Personen beziehen lassen. Die KI-Verordnung (AI Act) reguliert KI-Systeme nach ihrem Risiko, unabhängig davon, ob sie personenbezogene Daten verarbeiten oder nicht. Ein KI-System, das Kunden profiliert, fällt unter beide.

Wo sie sich überschneiden, addieren sich die Pflichten, sollten aber nicht doppelt erfüllt werden: Eine gute DSFA und die vom AI Act geforderte Dokumentation können sich teilweise gegenseitig speisen. Das Risiko für ein KMU besteht darin, beide als getrennte Welten zu behandeln und die Arbeit zweimal unkoordiniert zu erledigen.

GiBSeS — DSGVO und AI Act als ein einheitliches System zu lesen und Doppelarbeit zu vermeiden, ist genau die Art von Vereinfachung, an der wir mit der AI-Act-Academy arbeiten.

Schützt es mich vor Datenschutzproblemen, wenn ich die Daten auf meinen eigenen Servern (on-premise) halte?

On-premise – oder allgemeiner KI und Systeme, die auf einer Infrastruktur laufen, die du selbst kontrollierst – beseitigt mehrere Probleme an der Wurzel: keine Übermittlungen außerhalb der EU, keine Eingaben, die an Drittmodelle gefüttert werden, direkte Kontrolle darüber, wer Zugriff hat. Das ist eine starke Strategie für Datensouveränität, besonders bei sensiblen oder strategischen Daten. Es befreit dich aber nicht vom Rest der DSGVO: Rechtsgrundlagen, Datenminimierung, Betroffenenrechte und Sicherheit bleiben deine Pflicht.

Zu sagen ist auch: On-premise bedeutet mehr operative Verantwortung (Updates, Backups, physische Sicherheit). Es ist nicht die Antwort auf alles, sondern die richtige Wahl, wenn die Daten es rechtfertigen – bewertet anhand einer Kosten-Nutzen-Analyse.

GiBSeS — Von Fall zu Fall zwischen Cloud und On-premise anhand des tatsächlichen Werts der Daten zu entscheiden, statt aus Modegründen, ist der Kern unseres herstellerunabhängigen Ansatzes.

Wie weise ich nach, dass ich rechtskonform bin, wenn eine Kontrolle kommt?

Die DSGVO beruht auf dem Prinzip der Rechenschaftspflicht: Es reicht nicht, konform zu sein, du musst es auch nachweisen können. Konkret bedeutet das geordnete, aktuelle Dokumentation: Verarbeitungsverzeichnis, Datenschutzhinweise, AVV mit Anbietern, gegebenenfalls DSFA, ein Verzeichnis der Datenpannen und eine Nachverfolgung der Betroffenenanfragen. Ein klarer Audit-Trail macht aus einer Kontrolle eine Formalität statt eines Albtraums.

Kommen KI-Tools ins Spiel, wird Nachvollziehbarkeit noch wichtiger: zu wissen, welche Daten mit welchem Tool für welche Entscheidung verwendet wurden. Das ist der Unterschied zwischen 'wir vertrauen darauf' und 'wir können es zeigen'.

GiBSeS — Den Audit-Trail schon bei der Einführung der KI aufzubauen, nicht nachträglich, ist die Art, wie wir Tools integrieren: nachvollziehbar per Definition.

Darf ich KI nutzen, um die Daten meiner Mitarbeitenden zu verwalten (Bewerbungen, Beurteilungen)?

Ja, aber das ist einer der heikelsten Bereiche. Die Daten von Mitarbeitenden und Bewerbenden sind uneingeschränkt personenbezogene Daten, und das Arbeitsverhältnis macht es schwierig, sich auf die Einwilligung zu stützen (die freiwillig sein muss – was bei einem Abhängigkeitsverhältnis kompliziert ist). Automatisches CV-Screening, Beurteilungen oder Überwachung mittels KI berühren häufig Artikel 22 und können eine DSFA erfordern.

In mehreren Ländern gibt es zudem nationale arbeitsrechtliche Vorschriften, die zur DSGVO hinzukommen (etwa zur Fernüberwachung). Bevor du Auswahl oder Beurteilung automatisierst, solltest du sowohl die Datenschutz- als auch die arbeitsrechtliche Seite prüfen.

GiBSeS — Datenschutz- und Arbeitsrecht gemeinsam zu bewerten, bevor HR-Prozesse automatisiert werden, ist die Art von 360-Grad-Analyse, die wir vor dem Start eines Projekts durchführen.

Muss mein Unternehmen einen Datenschutzbeauftragten (DPO) bestellen?

Nicht jedes KMU ist dazu verpflichtet. Der Datenschutzbeauftragte ist in drei Fällen verpflichtend: wenn du eine öffentliche Stelle bist, wenn deine Kerntätigkeit in einer regelmäßigen und systematischen Überwachung in großem Umfang besteht, oder wenn du in großem Umfang besondere Datenkategorien verarbeitest (Gesundheit, Meinungen usw.). Viele kleine Unternehmen fallen unter keinen dieser Fälle und haben keine Pflicht.

Auch ohne Pflicht braucht es aber jemanden, der sich kompetent darum kümmert: Du kannst eine interne Ansprechperson benennen oder auf externe Unterstützung zurückgreifen. Keine Pflicht bedeutet nicht keine Verantwortung.

GiBSeS — Zu klären, ob du wirklich einen Datenschutzbeauftragten brauchst oder eine leichtere Lösung reicht, ist eine der ersten Fragen, die wir klären – ohne dir Struktur zu verkaufen, die du nicht brauchst.

Wie lange darf oder muss ich Kundendaten aufbewahren?

Die DSGVO legt keine einheitliche Zahl fest: Es gilt der Grundsatz der Speicherbegrenzung – du behältst die Daten nur so lange, wie es für die Zwecke nötig ist, und löschst oder anonymisierst sie danach. Manche Fristen schreibt dir das Gesetz vor (etwa haben Buchhaltungs- und Steuerunterlagen gesetzliche Aufbewahrungsfristen, die je nach Land variieren), andere legst du selbst begründet fest.

Die richtige Praxis ist, für jede Datenkategorie eine Aufbewahrungsfrist und einen Mechanismus zu deren Einhaltung festzulegen. 'Wir behalten sie für immer' ist keine Politik, sondern ein angehäuftes Risiko, das sich früher oder später gegen dich wendet.

GiBSeS — Realistische Aufbewahrungsfristen pro Datenkategorie festzulegen, ist eine jener einfachen Regeln, die gleichzeitig Risiko und Unordnung reduzieren.

Ich bin ein KMU und weiß nicht, wo ich bei der DSGVO anfangen soll: Was ist der erste Schritt?

Der erste Schritt ist nicht der Kauf einer Software oder das Schreiben seitenlanger Richtlinien: Es ist eine ehrliche Bestandsaufnahme dessen, was du heute verarbeitest. Welche personenbezogenen Daten erhebst du, wo landen sie, welche Tools und Anbieter kommen damit in Berührung, auf welcher Rechtsgrundlage. Aus dieser Übersicht ergeben sich sofort die echten Prioritäten (oft 3-4 konkrete Punkte), und du hörst auf, dir über Probleme Sorgen zu machen, die du gar nicht hast.

Von dort aus baut man den Rest verhältnismäßig auf: zuerst die hohen Risiken, dann die Dokumentation, dann die laufende Verbesserung. Die perfekte Konformität auf Anhieb gibt es nicht; die richtige, nachweisbare Richtung schon.

GiBSeS — Genau diese erste Bestandsaufnahme mit den echten Prioritäten ist die Diagnose, mit der wir bei jedem KMU starten: eine halbe Stunde, um zu verstehen, wo du stehst, bevor irgendetwas bewegt wird.

Mein Unternehmen hat keinen Sitz in der EU: Gilt die DSGVO trotzdem für mich?

Ja, sie kann auch dann gelten, wenn du keine Niederlassung in der Union hast. Art. 3 Abs. 2 DSGVO erweitert die Verordnung auf Unternehmen außerhalb der EU in zwei Fällen: wenn du Personen, die sich in der EU befinden, Waren oder Dienstleistungen anbietest (auch unentgeltlich), oder wenn du ihr Verhalten beobachtest (z. B. Online-Tracking, Profiling, Analytics).

Es zählt weder deine Nationalität noch der Standort deiner Server: Entscheidend ist, dass du dich bewusst an Betroffene richtest, die sich im Gebiet der Union befinden. Allein die Tatsache, dass ein Europäer deine Website erreicht, reicht nicht aus – aber wenn du Preise in Euro akzeptierst, in die EU versendest, eine europäische Sprachversion anbietest oder gezielte Kampagnen fährst, fällst du in den Anwendungsbereich.

GiBSeS — GiBSeS hilft dir, vor dem Start in Europa zu klären, ob und in welchem Umfang die DSGVO wirklich für dich gilt.

Woran erkenne ich, ob ich Personen in der EU wirklich 'Waren oder Dienstleistungen anbiete'?

Das Kriterium ist nicht die bloße Erreichbarkeit der Website, sondern die erkennbare Absicht, sich an den EU-Markt zu richten. Indizien, welche die Behörden berücksichtigen: Preise in Euro oder Währungen von Mitgliedstaaten, Versand oder Lieferung in EU-Länder, eine oder mehrere europäische Sprachen, die nicht die deines Landes sind, Bezugnahmen auf europäische Kunden, eine EU-Länderdomain, geolokalisierte Werbung auf Europa.

Ist deine Website dagegen nur auf Englisch, in Dollar bepreist und lieferst du nicht nach Europa, führt ein gelegentlicher EU-Kunde, der aus eigener Initiative kauft, nicht automatisch dazu, dass du in den Anwendungsbereich fällst. Das ist eine Einzelfallbewertung, die man am besten dokumentiert.

GiBSeS — GiBSeS analysiert dein Vertriebsmodell, um belastbar festzustellen, ob du den europäischen Markt gezielt ansprichst.

Brauche ich einen Vertreter in Europa, um in der EU zu verkaufen?

Fällst du unter Art. 3 Abs. 2 – bietest also Waren/Dienstleistungen an oder überwachst das Verhalten von Personen in der EU –, in der Regel ja: Art. 27 DSGVO verpflichtet dich, schriftlich einen Vertreter in der Union zu benennen. Das ist keine bloße Kontaktadresse: Es handelt sich um eine Person (natürlich oder juristisch), die in einem der Mitgliedstaaten niedergelassen ist, in denen sich deine Betroffenen befinden, und als Anlaufstelle für Aufsichtsbehörden und Nutzer dient.

Der Vertreter muss in den Datenschutzhinweisen genannt werden und das Verarbeitungsverzeichnis führen (oder verfügbar halten). Achtung: Die Benennung eines Vertreters befreit dich nicht von deiner Verantwortung als Verantwortlicher, aber sein Fehlen ist selbst ein sanktionierbarer Verstoß.

GiBSeS — GiBSeS unterstützt dich bei Auswahl und Einordnung des EU-Vertreters, damit aus einer formalen Pflicht kein Risiko wird.

Ich bin ein kleines Unternehmen: Bin ich von der Pflicht zum EU-Vertreter befreit?

Die Ausnahme von Art. 27 hängt nicht von deiner Größe ab, sondern von der Art der Verarbeitung. Du bist von der Benennung eines Vertreters befreit, wenn die Verarbeitung nur gelegentlich erfolgt, nicht in großem Umfang besondere Datenkategorien (Gesundheit, biometrische Daten, Meinungen usw.) oder Daten zu strafrechtlichen Verurteilungen umfasst und unwahrscheinlich ein Risiko für die Rechte der Betroffenen mit sich bringt. Auch Behörden sind ausgenommen.

In der Praxis fallen viele Nicht-EU-KMU, die dauerhaft nach Europa verkaufen, NICHT unter die Ausnahme, gerade weil die Verarbeitung nicht 'gelegentlich' ist. Diesen Punkt falsch einzuschätzen, ist einer der häufigsten Fehler.

GiBSeS — GiBSeS hilft dir, korrekt zu dokumentieren, ob du dich auf die Ausnahme stützen kannst oder ob es sich trotzdem lohnt, einen Vertreter zu benennen.

Darf ich die Daten europäischer Kunden in mein Land bringen (USA, Asien usw.)?

Ja, aber die Übermittlung in ein Land außerhalb des Europäischen Wirtschaftsraums braucht eine Rechtsgrundlage nach Art. 44 ff. DSGVO. Die drei Hauptwege: (1) ein Angemessenheitsbeschluss der EU-Kommission, wenn dein Land als 'angemessen' anerkannt ist; (2) die Standardvertragsklauseln (SCC), die am häufigsten genutzte Lösung für Länder ohne Angemessenheitsbeschluss; (3) spezifische Garantien wie verbindliche interne Datenschutzvorschriften (BCR) für Unternehmensgruppen.

Bei den SCC kann zusätzlich eine Übermittlungs-Folgenabschätzung (Transfer Impact Assessment) sowie technische Zusatzmaßnahmen wie Verschlüsselung erforderlich sein. Es reicht nicht, die Daten einfach zu 'verschieben': Du musst ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU nachweisen können.

GiBSeS — GiBSeS legt mit dir den für dein Land passendsten Übermittlungsmechanismus fest, ohne den Datenfluss unnötig zu belasten.

Ich bin ein US-Unternehmen: Löst mir das EU-US Data Privacy Framework das Problem der Datenübermittlung?

Teilweise. Seit Juli 2023 gibt es einen Angemessenheitsbeschluss für die USA auf Basis des EU-US Data Privacy Framework: US-Unternehmen, die sich selbst zertifizieren und in der entsprechenden Liste geführt werden, können personenbezogene Daten aus der EU empfangen, ohne für diese Datenflüsse SCC zu benötigen.

Zwei Vorbehalte. Erstens: Die Angemessenheit gilt nur, wenn du dich tatsächlich zertifizierst und die Verpflichtungen des Frameworks einhältst; bist du nicht zertifiziert, bleibt für dich ein anderer Mechanismus nötig (typischerweise SCC). Zweitens: Wie frühere Abkommen könnte auch das Framework Gegenstand gerichtlicher Anfechtungen werden, weshalb viele Unternehmen die SCC als Sicherheitsnetz beibehalten.

GiBSeS — GiBSeS hilft dir zu entscheiden, ob du auf das Framework, auf SCC oder auf einen kombinierten Ansatz setzt – unter Berücksichtigung der Stabilität über die Zeit.

Wer ist gegenüber der DSGVO verantwortlich: ich, mein europäischer Distributor oder der Importeur?

In der DSGVO folgt die Verantwortung den Rollen bei den Daten, nicht der Handelskette des Produkts. Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist der 'Verantwortliche' und haftet in erster Person; wer Daten im Auftrag eines Verantwortlichen verarbeitet, ist der 'Auftragsverarbeiter'. Erhebst du selbst direkt die Daten europäischer Nutzer (Konten, Bestellungen, Tracking), bist du der Verantwortliche, unabhängig davon, wo du deinen Sitz hast.

Ein EU-Distributor oder -Partner ist für seine eigenen Verarbeitungen verantwortlich, nicht für deine. Verarbeitet dagegen ein Anbieter Daten für dich, braucht es einen Vertrag nach Art. 28 (AVV), der die Pflichten aufteilt. Achtung: Verwechsle die DSGVO-Rolle nicht mit der des 'Importeurs' nach anderen EU-Produktvorschriften.

GiBSeS — GiBSeS kartiert die Datenflüsse deines Europageschäfts und klärt, wer Verantwortlicher, wer Auftragsverarbeiter ist und mit welchen Verträgen man sich absichert.

Ich bin ein Nicht-EU-Anbieter/SaaS für europäische Unternehmen: Welche DSGVO-Pflichten habe ich?

Wenn dir deine europäischen Kunden personenbezogene Daten ihrer Nutzer oder Mitarbeitenden anvertrauen, bist du in der Regel deren 'Auftragsverarbeiter' (Processor). Das erfordert die Unterzeichnung eines Vertrags nach Art. 28 (Auftragsverarbeitungsvertrag), der Sicherheit, Vertraulichkeit, genehmigte Unterauftragsverarbeiter, Unterstützung des Verantwortlichen sowie Rückgabe/Löschung der Daten am Ende der Zusammenarbeit regelt.

Da du die Daten zudem außerhalb der EU empfängst, bist du auch 'Importeur' im Sinne der internationalen Übermittlung und musst die SCC im passenden Modul (Verantwortlicher-Auftragsverarbeiter) unterzeichnen. Viele Ausschreibungen und Verhandlungen mit EU-Kunden scheitern genau daran, dass der Nicht-EU-Anbieter keinen AVV und keine SCC bereithält.

GiBSeS — GiBSeS erstellt mit dir das Paket aus AVV und SCC, das europäische Kunden von dir verlangen werden, damit du keine Verträge wegen einer Formalität verlierst.

Was riskiere ich konkret bei Nichteinhaltung: Bußgelder, Verkaufsstopp?

Die Bußgelder der DSGVO gehören zu den höchsten im EU-Recht: bis zu 20 Millionen Euro oder, falls höher, 4 % des weltweiten Jahresumsatzes der Unternehmensgruppe bei den schwersten Verstößen (bis zu 10 Millionen bzw. 2 % bei anderen). Die Aufsichtsbehörden können zudem Einschränkungen oder die Aussetzung von Verarbeitungen und Datenübermittlungen anordnen, was faktisch dein Europageschäft lahmlegen kann.

Hinzu kommen Reputationsschäden, Beschwerden von Nutzern und das Risiko, dass europäische B2B-Kunden dich ausschließen, weil du keine Compliance-Garantien liefern kannst. Die DSGVO 'stoppt keine Waren' am Zoll wie eine Produktvorschrift, aber sie kann den Datenhahn zudrehen, auf dem dein Geschäft läuft.

GiBSeS — GiBSeS hilft dir, das tatsächliche Risiko für deinen Fall einzuschätzen und deine Datenbestände abzusichern, bevor sie zum Problem werden.

Ich nutze Analytics und Tracking auf meiner Website: Fällt das unter die DSGVO?

Ja, die 'Verhaltensüberwachung' von Betroffenen, die sich in der EU befinden, ist eines der beiden Einfallstore von Art. 3 Abs. 2 – völlig unabhängig vom Verkauf. Dazu zählen Profiling-Cookies, Werbe-Pixel, Retargeting, Analytics, die Gewohnheiten oder Vorlieben rekonstruieren, sowie Fingerprinting.

Wenn du europäische Nutzer trackst, gilt neben der DSGVO auch die 'ePrivacy'-Regelung zu Cookies, die in der Regel die vorherige Einwilligung verlangt, bevor nicht unbedingt erforderliche Tools installiert werden. Du brauchst also ein konformes Banner, Datenschutzhinweise und, sofern anwendbar, einen EU-Vertreter sowie eine Grundlage für etwaige Übermittlungen der erhobenen Daten.

GiBSeS — GiBSeS prüft deinen Tracking-Stack und zeigt dir, wo anzusetzen ist, um im EU-Markt zu bleiben, ohne auf die Daten zu verzichten, die du wirklich brauchst.

Wo fange ich praktisch an, um konform zu sein und Zugang zum EU-Markt zu bekommen?

Ein geordnetes Vorgehen reduziert Kosten und Überraschungen. Kurz gefasst: (1) prüfen, ob und wie Art. 3 dich betrifft; (2) die personenbezogenen Daten kartieren, die du über EU-Nutzer erhebst, sowie deren Fluss in dein Land; (3) Rechtsgrundlagen festlegen und Datenschutzhinweise sowie Verarbeitungsverzeichnis vorbereiten; (4) die Pflicht zum EU-Vertreter nach Art. 27 prüfen; (5) internationale Übermittlungen regeln (Angemessenheit, DPF oder SCC); (6) Verträge mit Anbietern und Kunden (AVV) sowie Sicherheitsmaßnahmen abstimmen.

Es muss nicht alles auf einmal geschehen: Am besten beginnt man bei den Punkten, die den Marktzugang blockieren (Vertreter, Übermittlungen, B2B-Verträge), und konsolidiert dann den Rest.

GiBSeS — GiBSeS baut dir als unabhängiger Advisor eine maßgeschneiderte Compliance-Roadmap für den Einstieg in die EU, ohne dich an einen einzigen Anbieter oder überdimensionierte Lösungen zu binden.

Ich bin bereits konform mit den Datenschutzvorschriften meines Landes: Reicht das für Europa?

Leider nein. Regelkonformität mit Vorschriften wie dem kalifornischen CCPA/CPRA, dem kanadischen PIPEDA, dem brasilianischen LGPD oder asiatischen Gesetzen entspricht nicht der DSGVO-Konformität: Definitionen, Rechtsgrundlagen, Betroffenenrechte, Dokumentationspflichten und Übermittlungsregeln unterscheiden sich. Manche Prinzipien ähneln sich, aber die Lücken liegen oft genau dort, wo die DSGVO strenger ist (Einwilligung, EU-Vertreter, internationale Übermittlungen).

Die gute Nachricht: Ein Großteil der bereits geleisteten Arbeit – Dateninventar, Sicherheitsmaßnahmen, Verfahren für Nutzeranfragen – ist wiederverwendbar und muss an die DSGVO 'angepasst', nicht von Grund auf neu gemacht werden.

GiBSeS — GiBSeS setzt bei der Compliance an, die du bereits hast, und schließt nur die Lücke, die du für den Betrieb in Europa brauchst – ohne doppelten Aufwand.

Dieser Inhalt dient der Information und stellt keine Rechtsberatung dar.

Verschaffe dir Klarheit über deine Daten, bevor du weitere Technologie hinzufügst

GiBSeS ist ein unabhängiger Technologie-Advisor: Wir verkaufen dir keine KI – wir setzen KI und andere Tools erst nach einer Risiko-Nutzen-Analyse ein, mit Datensouveränität und Audit-Trail als Grundeinstellung. Wir starten mit einer Diagnose deines Stands bei der DSGVO und beim tatsächlichen Einsatz digitaler Tools, und bauen von dort aus konkrete Prioritäten auf – ohne Lock-in und ohne unnötige Bürokratie.

Diagnose mit GiBSeS buchen