Montagmorgen, kurz vor dem ersten Termin. In der Kanzlei kommt eine Mail rein: Ein ehemaliger Mandant möchte wissen, welche Daten noch gespeichert sind, und bittet gleich um Löschung. Im Posteingang klingt das nach einer einfachen Sache. In der Praxis beginnt dann oft das Suchen. E-Mail-Archiv, DATEV-Export, Microsoft 365, alte Scans im Netzlaufwerk, Kontakte im Handy des Mitarbeiters.
Genau an der Stelle wird die Frage spannend: Was ist DSGVO einfach erklärt? Nicht als Gesetzestext, sondern so, wie sie im Betrieb wirklich ankommt. Also bei der Praxis in Emden, beim Handwerksbetrieb mit Außendienst oder beim Steuerbüro im Emsland, das mit sensiblen Daten arbeitet und trotzdem vernünftig digital arbeiten will.
Die kurze Antwort lautet: Die DSGVO regelt, wie du mit personenbezogenen Daten sauber, nachvollziehbar und sicher umgehst. Nicht nur auf der Website, sondern überall. Im Büro, in der Cloud, auf dem Notebook, im Scanner, im E-Mail-Postfach und in Teams.
Post vom Ex-Kunden Die DSGVO klopft an deine Tür
Der Geschäftsführer einer kleineren Kanzlei in Leer kennt das Gefühl. Eine Löschanfrage landet im Postfach, dazu die Unsicherheit: Dürfen wir wirklich alles löschen? Müssen wir etwas aufbewahren? Wer schaut überhaupt nach, wo diese Daten überall liegen?
In solchen Momenten merkt man schnell, dass Datenschutz kein Ordner im Regal ist. Er hängt direkt an deinen Abläufen. Wenn niemand weiss, welche Daten wo liegen, wird aus einer normalen Anfrage sofort Hektik.
Im Alltag sehe ich genau das oft. Nicht, weil jemand absichtlich schlampig arbeitet. Sondern weil Daten mit der Zeit überall landen. In Outlook, in OneDrive, auf dem Fileserver, im CRM, in eingescannten Dokumenten und manchmal sogar noch in alten lokalen Ordnern auf einem Praxis-PC.
Datenschutz scheitert selten an bösem Willen. Meist scheitert er daran, dass niemand den Datenweg einmal sauber aufgeschrieben hat.
Gerade in sensiblen Bereichen wie Praxen wird das besonders deutlich. Wenn du tiefer einsteigen willst, wie das konkret im medizinischen Umfeld aussieht, findest du bei Datenschutz in Arztpraxen einen praxisnahen Blick auf typische Stolperfallen.
Die gute Nachricht ist: Man muss die DSGVO nicht akademisch erklären, um sie im Unternehmen sinnvoll umzusetzen. Du brauchst keine Paragrafensammlung auf dem Schreibtisch. Du brauchst klare Zuständigkeiten, saubere Prozesse und eine IT, die nicht gegen dich arbeitet.
DSGVO im Klartext Was du wirklich wissen musst
Die DSGVO ist im Kern eine Art Hausordnung für personenbezogene Daten. Sie gilt seit dem 25. Mai 2018 und hat EU-weit einheitliche Regeln geschaffen. Für Unternehmen in Deutschland heisst das vor allem: 7 Grundprinzipien einhalten und Datenpannen innerhalb von 72 Stunden melden, wenn eine meldepflichtige Verletzung vorliegt, wie Termly zur DSGVO einfach erklärt zusammenfasst.
Was personenbezogene Daten im Alltag wirklich sind
Viele denken zuerst an Name, Adresse und Telefonnummer. Das stimmt. Aber im Betrieb ist die Liste meistens viel länger.
Dazu gehören zum Beispiel:
- Kundendaten wie Ansprechpartner, Mobilnummern, E-Mail-Adressen und Gesprächsnotizen
- Mitarbeiterdaten wie Urlaubslisten, Krankmeldungen, Lohnunterlagen oder Zeiterfassung
- Praxis- und Mandantendaten wie Patientendaten, Akten, Vertragsunterlagen oder Korrespondenz
- Digitale Spuren wie Benutzerkonten, Protokolle oder IP-Adressen auf der Website
Wenn du also fragst, was ist dsgvo einfach erklärt, dann ist die ehrliche Antwort: Du darfst Daten nicht einfach sammeln, nur weil es technisch möglich ist. Du musst wissen, warum du sie brauchst, wie lange du sie brauchst und wer darauf zugreifen darf.
Die 7 Prinzipien ohne Juristendeutsch
Die sieben Prinzipien klingen sperrig, sind im Alltag aber ziemlich logisch. In einfacher Sprache bedeuten sie:
| Prinzip | Im Betrieb heisst das |
|---|---|
| Zweckbindung | Du nutzt Daten nur für den Zweck, für den du sie erhoben hast |
| Datenminimierung | Du sammelst nicht mehr als nötig |
| Richtigkeit | Falsche oder veraltete Daten werden korrigiert |
| Speicherbegrenzung | Daten bleiben nicht ewig liegen |
| Transparenz | Betroffene verstehen, was mit ihren Daten passiert |
| Integrität und Vertraulichkeit | Daten werden technisch geschützt |
| Rechenschaftspflicht | Du kannst nachweisen, dass du sauber arbeitest |
Ein gutes Beispiel ist die Website. Viele Firmen haben irgendwo eine Datenschutzerklärung eingebaut, aber sie passt nicht mehr zu den eingesetzten Tools. Wenn du vergleichen willst, wie so etwas verständlich und strukturiert aufgebaut sein kann, lohnt sich ein Blick auf eine sauber aufgebaute Datenschutzerklärung.
Praxisregel: Die DSGVO verlangt nicht, dass du auf Digitalisierung verzichtest. Sie verlangt, dass du bewusst mit Daten umgehst.
Deine Rolle im Datenschutz Verantwortlicher oder Auftragsverarbeiter
Bei diesem Punkt stolpern viele, obwohl er im Alltag entscheidend ist. Es gibt meistens zwei Rollen. Verantwortlicher und Auftragsverarbeiter. Klingt trocken, ist aber schnell erklärt.
Wenn du als Unternehmer entscheidest, welche Kundendaten erhoben werden, wofür sie gebraucht werden und in welchem System sie landen, dann bist du in der Regel der Verantwortliche. Du gibst also den Rahmen vor.
Ein einfaches Beispiel aus dem Handwerksbetrieb
Nehmen wir einen Betrieb aus Emden mit Büro, Lager und Monteuren im Aussendienst. Der Betrieb speichert Kundendaten, Baustellenadressen, Mitarbeiterdaten und Rechnungsinformationen. Damit ist der Betrieb selbst der Verantwortliche.
Jetzt kommt ein externer Dienstleister dazu. Zum Beispiel für Lohnabrechnung, IT-Wartung oder Cloud-Betrieb. Dieser Dienstleister verarbeitet Daten im Auftrag. Dann ist er Auftragsverarbeiter.
Der springende Punkt: Du gibst die Verantwortung nicht einfach ab. Wenn ein externer Partner mit deinen Daten arbeitet, musst du prüfen, ob das sauber geregelt ist.
Woran du erkennst, was du brauchst
Ein Auftragsverarbeitungsvertrag, kurz AVV, ist immer dann wichtig, wenn ein Dienstleister personenbezogene Daten für dich verarbeitet. Typische Fälle sind:
- IT-Betreuung bei Fernwartung, Monitoring oder Serverpflege
- Cloud-Dienste wie Microsoft 365 mit E-Mail, OneDrive, SharePoint oder Teams
- Lohn- und Gehaltsabrechnung über externe Anbieter
- Digitale Bewerbungsprozesse mit externer Software
Was in der Praxis nicht funktioniert: Dienstleister reinlassen, Admin-Zugänge vergeben und hoffen, dass schon alles passt. Was funktioniert: Zuständigkeiten schriftlich festhalten, Zugriffe begrenzen und Verträge wirklich prüfen.
Ein sauberer AVV ist kein Selbstzweck. Er klärt zum Beispiel, welche Daten verarbeitet werden, wer wofür zuständig ist und welche Sicherheitsmassnahmen erwartet werden. Gerade bei Microsoft 365 ist das wichtig, weil viele Unternehmen die Plattform intensiv nutzen, aber die Datenschutzseite nur halb mitdenken.
Wenn ein Partner Zugriff auf deine Systeme hat, interessiert die Aufsicht später nicht, ob das “eigentlich nur der ITler” war. Entscheidend ist, wer die Verarbeitung veranlasst hat.
Wenn du dir unsicher bist, ab wann im Unternehmen zusätzlich ein Datenschutzbeauftragter relevant wird, hilft ein klarer Überblick unter Datenschutzbeauftragter ab wann Pflicht.
Rechte deiner Kunden Pflichten für dein Unternehmen
Die DSGVO stärkt die Rechte der Menschen, deren Daten du verarbeitest. Das betrifft Kunden, Patienten, Mandanten, Bewerber und Mitarbeiter. Für dich heisst das vor allem: Du brauchst einen geordneten Prozess, nicht nur guten Willen.
Gemäss der Rechenschaftspflicht musst du nachweisen können, dass du die Datenschutzgrundsätze einhältst. Ein zentrales Werkzeug dafür ist das Verzeichnis von Verarbeitungstätigkeiten. Fehlt das, wird es schnell unangenehm, wie Intersoft die Rechenschaftspflicht und das Verzeichnis von Verarbeitungstätigkeiten erläutert.
Diese Anfragen musst du ernst nehmen
Im Alltag tauchen vor allem diese Rechte auf:
Auskunft
Jemand möchte wissen, welche Daten über ihn gespeichert sind.Berichtigung
Eine Adresse, Telefonnummer oder ein anderer Eintrag ist falsch und muss korrigiert werden.Löschung
Daten sollen entfernt werden, wenn keine Grundlage für die weitere Speicherung besteht.Widerspruch
Eine Person möchte eine bestimmte Verarbeitung nicht mehr.
Das Problem ist selten die Anfrage selbst. Das Problem ist, dass viele Betriebe keine feste Vorgehensweise haben. Dann fragt das Büro die IT, die IT fragt die Fachabteilung, und am Ende weiss niemand sicher, ob wirklich alle Daten gefunden wurden.
Das Verzeichnis ist kein Bürokratiemonster
Viele schrecken vor dem Begriff zurück. Tatsächlich ist das Verzeichnis von Verarbeitungstätigkeiten einfach eine strukturierte Liste deiner datenbezogenen Prozesse.
Da steht zum Beispiel drin:
| Prozess | Typisches Beispiel |
|---|---|
| Bewerbermanagement | Bewerbungen per E-Mail oder Formular |
| Kundenverwaltung | Kontakt- und Vertragsdaten im ERP oder CRM |
| Mitarbeiterverwaltung | Personalakte, Zeiterfassung, Lohn |
| IT-Betrieb | Benutzerkonten, E-Mail, Backups, Zugriffsrechte |
Wenn du so eine Übersicht sauber pflegst, kannst du bei einer Anfrage viel ruhiger reagieren. Du weisst dann nämlich, wo du suchen musst und welche Datenarten überhaupt betroffen sind.
Gerade beim Thema Bewerbungen wird oft geschlampt. Lebensläufe liegen im E-Mail-Postfach, Anhänge werden intern weitergeleitet, alte Unterlagen bleiben irgendwo auf dem Fileserver. Wer dafür eine leicht verständliche Einordnung sucht, findet bei die Regeln des Datenschutzes bei Bewerbungen einen nützlichen Praxisbezug.
Wichtig im Alltag: Datenschutz ist dokumentierte Ordnung. Ohne Dokumentation kannst du vieles richtig machen und es im Zweifel trotzdem nicht belegen.
Risiken und Bußgelder Was bei Verstößen wirklich passiert
Jetzt zum Teil, den viele am liebsten wegschieben. Verstösse gegen die DSGVO können teuer werden. In Deutschland wurden seit 2018 über 1.500 DSGVO-Bussgelder verhängt. 70 % der Fälle betreffen Verstösse gegen Transparenz- und Einwilligungsregeln. Möglich sind Strafen bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes. Selbst eine ungesicherte Patientendatenbank kann zu 50.000 Euro Bussgeld führen, wie TAW die Bussgeldpraxis zusammenfasst.
Wo es in der Praxis schiefgeht
Die grössten Probleme entstehen oft nicht durch spektakuläre Hackerfilme, sondern durch ganz normale Versäumnisse:
Keine saubere Information
Formulare, Website oder Prozesse erklären nicht klar genug, was mit Daten passiert.Einwilligungen sind unsauber
Häkchen, alte Texte oder unklare Zustimmungen führen schnell zu Ärger.Technische Lücken
Notebooks ohne Verschlüsselung, zu breite Freigaben in SharePoint oder gemeinsam genutzte Accounts.Pannen werden zu spät erkannt
Dann läuft die Frist, und niemand weiss, wer jetzt entscheiden muss.
Besonders heikel ist die 72-Stunden-Frist bei meldepflichtigen Datenschutzvorfällen. Wenn etwa ein Gerät verloren geht, ein Benutzerkonto kompromittiert wurde oder Daten versehentlich an die falsche Person rausgehen, muss schnell bewertet werden, ob eine Meldung nötig ist.
Was im Ernstfall funktioniert
Im Krisenfall brauchst du keine theoretische Datenschutzmappe, sondern einen Ablauf. Wer meldet den Vorfall intern? Wer prüft den Umfang? Wer dokumentiert? Wer entscheidet über die Meldung an die Aufsicht?
Ein Betrieb im Emsland mit mehreren mobilen Arbeitsplätzen hat genau an diesem Punkt oft ein Risiko. Sobald Daten unterwegs sind, auf Laptops, Smartphones oder in Cloud-Freigaben, muss klar sein, wie Zugriffe gesichert und Vorfälle bewertet werden.
Was nicht funktioniert, ist Abwarten. Wer eine Panne entdeckt und erstmal zwei Tage intern diskutiert, verliert wertvolle Zeit. Für eine erste Einordnung von typischen Fehlern und Folgen kannst du dir auch den Beitrag DSGVO-Verstoss und Strafe ansehen.
Eine Datenpanne wird nicht dadurch kleiner, dass man sie ignoriert. Sie wird nur schlechter dokumentiert.
Deine DSGVO-Checkliste für den Unternehmensalltag
Die DSGVO wird beherrschbar, sobald du sie in einzelne Bausteine zerlegst. Dann ist sie kein diffuses Risiko mehr, sondern eine Liste von Aufgaben. Ein Teil ist organisatorisch. Ein Teil technisch. Beides gehört zusammen.
Art. 32 DSGVO fordert angemessene technische und organisatorische Massnahmen, kurz TOMs, etwa Verschlüsselung und Zwei-Faktor-Authentifizierung. Regelmässige Mitarbeiterschulungen können das Risiko durch Insider-Bedrohungen um bis zu 70 % reduzieren, und korrekt umgesetzte Verschlüsselung in Microsoft 365 kann das Datenleck-Risiko um 85 % senken, wie Proliance die TOMs und ihre Wirkung beschreibt.
Organisatorisch sauber aufstellen
Wenn du nur die Technik aufrüstest, aber intern keiner weiss, wie mit Daten umzugehen ist, bleibt die Lücke offen. Diese Punkte bringen im Alltag am meisten:
Verantwortung festlegen
Es muss klar sein, wer Datenschutzanfragen annimmt, wer Vorfälle bewertet und wer Entscheidungen dokumentiert.Verarbeitungen auflisten
Schreib auf, welche Prozesse personenbezogene Daten berühren. Nicht perfekt, aber vollständig anfangen.Mitarbeiter schulen
Nicht mit PowerPoint aus dem Jahr 2019, sondern mit echten Alltagssituationen. Falscher Empfänger, verdächtiger Link, Ausdruck im Drucker liegen lassen, private USB-Sticks.Löschroutinen definieren
Daten verschwinden nicht von allein. Wenn niemand Verantwortlichkeit übernimmt, bleiben Altbestände ewig liegen.
Technisch die grössten Lücken schliessen
In vielen KMU sehe ich dieselben Baustellen. Die gute Nachricht: Man muss nicht alles auf einmal lösen.
| Bereich | Was praktisch hilft |
|---|---|
| Zugänge | 2FA aktivieren, besonders für Microsoft 365, Admin-Konten und Remote-Zugriffe |
| Geräte | Notebooks und mobile Geräte verschlüsseln |
| Berechtigungen | Freigaben in Teams, SharePoint und Netzlaufwerken prüfen |
| Backups | Wiederherstellung testen, nicht nur das Vorhandensein abhaken |
| E-Mail-Sicherheit | Phishing-Schutz und klare Prozesse für verdächtige Mails einführen |
Microsoft 365 richtig nutzen statt nur einschalten
Microsoft 365 ist nicht automatisch problematisch. Problematisch ist meistens die halbe Einführung. Postfächer laufen, Teams läuft, Dateien landen in OneDrive oder SharePoint, aber keiner hat Berechtigungen, Aufbewahrung und Freigaben wirklich durchdacht.
In der Praxis haben sich diese Punkte bewährt:
Teams nicht als wilden Dateiablageplatz nutzen
Lege fest, welche Teams für welche Daten gedacht sind. Nicht jede Abteilung braucht jeden Zugriff.SharePoint-Berechtigungen bewusst setzen
Vertrauliche Ordner gehören nicht in breit freigegebene Standardbereiche.OneDrive für persönliche Arbeitsstände, nicht als Schattenarchiv
Wenn wichtige Unternehmensdaten nur im persönlichen OneDrive liegen, wird es bei Austritten schnell unsauber.Admin-Konten trennen
Wer administriert, sollte dafür ein separates Konto nutzen.Protokolle und Richtlinien aktiv nutzen
Viele Sicherheits- und Compliance-Funktionen sind vorhanden, werden aber nie sauber eingerichtet.
Hier kann externe Unterstützung sinnvoll sein. Nicht zwingend gross und kompliziert, sondern pragmatisch. Hainke Computer arbeitet in solchen Fällen zum Beispiel mit Microsoft-365-Einrichtungen, Sicherheitskonzepten, Dokumentation und laufender Betreuung für KMU und Praxen, wenn intern die Zeit oder das Know-how fehlt.
Aus der Praxis: Die meisten Datenschutzprobleme in Microsoft 365 entstehen nicht durch die Plattform selbst, sondern durch zu breite Freigaben und fehlende Regeln im Alltag.
So geht DSGVO in der Praxis Dein Weg zur sicheren IT
Nehmen wir zuerst eine Arztpraxis in Emden. Mehrere Arbeitsplätze, Anmeldung, Behandlungsräume, ein gemeinsames Netzwerk, dazu E-Mail, digitale Dokumente und vielleicht erste Cloud-Funktionen. Hier geht es nicht nur um Ordnung, sondern um besonders sensible Daten. Wenn Zugriffsrechte unsauber sind oder jeder alles sehen kann, ist das kein kleines Versehen.
In so einer Praxis funktioniert Datenschutz dann gut, wenn die IT den Alltag unterstützt. Also klare Benutzerrechte, verschlüsselte Geräte, sichere Backups und ein sauber geregelter Zugriff auf Praxisdaten. Gerade bei Cloud-Speicherung ist Vorsicht wichtig. Laut einer Erhebung verstossen 68 % der deutschen Praxen bei der Cloud-Speicherung gegen die DSGVO, oft wegen falsch konfigurierter AVV mit Anbietern wie Microsoft. Gleichzeitig kann eine DSGVO-konforme IT ein Wettbewerbsvorteil sein und das Vertrauen stärken, wie Dr. Datenschutz die Lage bei Praxen und Cloud-Speicherung einordnet.
Das zweite Beispiel ist ein Steuerberater im Emsland, der mit Microsoft 365 arbeitet. Mandanten schicken Unterlagen per Mail, im Team wird intern über Teams gesprochen, Dokumente liegen in SharePoint, vielleicht läuft auch die Telefonie digital. Hier ist der grösste Fehler oft nicht mangelnde Technik, sondern fehlende Struktur. Zu viele Freigaben, unklare Ablage, kein sauber geregelter externer Zugriff.
Wenn man das ordentlich aufsetzt, wird aus Datenschutz kein Bremsklotz. Im Gegenteil. Die Abläufe werden meist klarer. Mitarbeiter finden Daten schneller, Zugriffe sind nachvollziehbar und Anfragen lassen sich ohne Hektik bearbeiten.
Unterm Strich ist die Antwort auf die Frage was ist dsgvo einfach erklärt ziemlich bodenständig: Du behandelst fremde Daten so sorgfältig, wie du es von deinen eigenen erwarten würdest. Nicht nur mit guten Absichten, sondern mit klaren Prozessen und einer IT, die das unterstützt.
Wenn du wissen möchtest, wie das in deinem Unternehmen konkret aussehen kann, melde dich einfach.
Wenn du bei dem Thema eine pragmatische Einschätzung für deinen Betrieb möchtest, schau dir Hainke Computer an. Wir sprechen mit dir über deine Abläufe, deine Microsoft-365-Nutzung und die typischen Datenschutzlücken im Alltag. Verständlich, ohne Fachchinesisch.
Christian Hainke ist Geschäftsführer der Hainke Computer GmbH – dem IT-Systemhaus in Ostfriesland für zuverlässige IT-Sicherheit, smarte Microsoft 365-Lösungen und moderne Infrastruktur. Mit über 20 Jahren Erfahrung und einem klaren Fokus auf kleine und mittelständische Unternehmen unterstützt er mit seinem Team Unternehmen dabei, IT einfach, sicher und effizient zu gestalten.
Sein Motto: „Sicherheit beginnt mit Klarheit – und die liefern wir.“
