Ein Onlinehändler startet ein neues CRM. Newsletter, Tracking und Profiling sollen die Conversion steigern. Kurz darauf mahnt ein Wettbewerber die fehlende Einwilligung ab; die Aufsicht fragt nach TOMs und AV-Verträgen. Datenschutzrecht bringt Ordnung in Prozesse – und schafft Vertrauen bei Kundinnen und Kunden.
Datenschutzrecht regelt den Umgang mit personenbezogenen Daten. Unternehmen müssen Verarbeitungen rechtfertigen, informieren, sichern und Betroffenenrechte ermöglichen. Technische und organisatorische Maßnahmen (TOM) und Verträge mit Auftragsverarbeitern bilden das Rückgrat. Fehler sind teuer – in Geld und Reputation.
Wichtig zu wissen
Verarbeitung ist nur mit Rechtsgrundlage erlaubt (Art. 6 DSGVO – laienverständlich: Einwilligung, Vertrag, gesetzliche Pflicht oder berechtigtes Interesse). Betroffene sind transparent zu informieren (Art. 13 DSGVO). Bei Dienstleistern ist ein Auftragsverarbeitungsvertrag Pflicht (Art. 28 DSGVO). Angemessene Sicherheit ist umzusetzen (Art. 32 DSGVO).
Die Rechtsanwälte von rechtsanwalt.jetzt erstellen Verarbeitungsverzeichnisse, Einwilligungs- und Opt-in-Prozesse, Datenschutzhinweise, AV-Verträge und Löschkonzepte. Sie begleiten Datenschutz-Folgenabschätzungen, Data-Breach-Management und den Dialog mit Aufsichtsbehörden. Marketing wird so rechts- und markenkonform gestaltet – inklusive Cookie-Banner, Double-Opt-In und Widerspruchsrechten.
- Rechtsgrundlagen sauber wählen und dokumentieren
- Informationspflichten, Cookie- und Tracking-Setup optimieren
- AV-Verträge, TOM und Zugriffsmanagement
- Data Breach: 72-Stunden-Meldung, Benachrichtigung, Lessons Learned
Häufige Irrtümer
- „Einmal Einwilligung, immer gültig.“ – Widerruf muss jederzeit möglich sein.
- „Berechtigtes Interesse deckt alles.“ – Interessenabwägung dokumentieren.
- „Dienstleister regelt das schon.“ – Verantwortung bleibt beim Verantwortlichen.
- „Löschung kann warten.“ – Löschfristen und Sperrkonzepte sind Pflicht.
Gesetzliche Anker: Bei Verstößen drohen Bußgelder. Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Datentransfers in Drittländer erfordern geeignete Garantien (laienverständlich: Standardvertragsklauseln/zusätzliche Maßnahmen prüfen).
Gerichtspraxis: Abmahnungen betreffen häufig Tracking, Cookie-Einwilligungen und fehlende Informationen. Wer Prozesse prüft, Banner sauber konfiguriert und Nachweise führt, reduziert Risiken.
Brauche ich eine Einwilligung für Newsletter?
In der Regel ja – Double-Opt-In und klare Informationen zur Abmeldung sind Standard.
Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten?
Zwecke, Kategorien, Empfänger, Löschfristen, TOM, Rechtsgrundlagen – aktuell halten.
Wie reagiere ich auf eine Datenpanne?
Vorfall bewerten, dokumentieren, binnen 72 Stunden melden (falls meldepflichtig), Betroffene informieren, Maßnahmen ableiten.
Ist Tracking ohne Cookies erlaubt?
Kommt auf Technik und Rechtsgrundlage an; Einwilligung oder Interessenabwägung sauber prüfen.
Brauche ich einen Datenschutzbeauftragten?
Wenn Schwellen/Art der Verarbeitung dies erfordern; Aufgaben und Unabhängigkeit beachten.
Vertraulich und ohne Risiko anfragen – damit Daten Wert schaffen, ohne Vertrauen zu verlieren.
