ooligo
DE
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Abonnieren
Tools Vergleiche Workflows Stacks Lernen
Branchen
RevOps Legal Ops Recruiting & TA
Sprache
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Abonnieren
ENTRY TYPE · definition

DSGVO für Rechtsabteilungen

Last updated 2026-05-03 Legal Ops

Die Datenschutz-Grundverordnung (DSGVO) ist das grundlegende Datenschutzgesetz der EU, seit 2018 in Kraft, das regelt, wie personenbezogene Daten von EU/EWR-Bürgern erhoben, genutzt, gespeichert und weitergegeben werden. Für Rechtsabteilungen hat die DSGVO zwei Perspektiven: (a) die eigene Datenverarbeitung des Teams (Mitarbeiterdaten, Anbieterkontakte, Mandantenakten), und (b) Beratungsarbeit für Mandanten zur DSGVO-Compliance. Das britische GDPR ist nach dem Brexit weitgehend identisch; äquivalente Regelwerke (brasilianisches LGPD, californisches CCPA/CPRA, kanadisches PIPEDA) folgen demselben strukturellen Muster.

Personenbezogene Daten und die sechs Rechtsgrundlagen

Die DSGVO definiert personenbezogene Daten weit – alles, was eine lebende Person identifiziert oder identifizieren könnte. Namen, E-Mails, IP-Adressen, Mitarbeiter-IDs, Fotos, Sprachaufnahmen.

Verarbeitung erfordert eine der sechs Rechtsgrundlagen:

GrundlageTypische Nutzung
EinwilligungMarketing, optionale Features
VertragserfüllungKundendaten, die zur Diensterbringung benötigt werden
Rechtliche VerpflichtungSteuerunterlagen, regulatorische Berichte
Lebenswichtige InteressenNotfall-Lebens-oder-Tod-Situationen (selten)
Öffentliche AufgabeBehördliche Verarbeitung
Berechtigte InteressenB2B-Vertrieb, Sicherheit, Betrugsprävention – abgewogen gegen Betroffenenrechte

Die meisten B2B-Datenverarbeitungen von Rechtsabteilungen stützen sich auf berechtigte Interessen (Lieferantenmanagement, Mitarbeiterdaten) oder Vertragserfüllung (Mandantendienstleistungen). Einwilligung wird zu oft herangezogen und ist häufig ungültig, da Einwilligung spezifisch, informiert, freiwillig und widerrufbar sein muss.

Die acht Betroffenenrechte

Die DSGVO schafft Rechte, die Einzelpersonen ausüben können:

  1. Auskunft — Recht auf Kopie der verarbeiteten personenbezogenen Daten
  2. Berichtigung — Recht auf Korrektur unrichtiger Daten
  3. Löschung („Recht auf Vergessenwerden”) — Recht auf Löschung unter bestimmten Umständen
  4. Einschränkung — Recht auf Begrenzung der Verarbeitung während einer Streitbeilegung
  5. Portabilität — Recht auf Erhalt von Daten in maschinenlesbarem Format
  6. Widerspruch — Recht auf Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  7. Automatisierte Entscheidungsfindung — Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden
  8. Widerruf der Einwilligung — wenn Einwilligung die Grundlage war

Rechtsabteilungen benötigen einen dokumentierten Workflow für jeden Anfragetyp mit einer Standard-Antwortfrist von 30 Tagen (in engen Ausnahmen verlängerbar).

Internationale Datenübermittlungen

Personenbezogene Daten können den EWR nur mit angemessenen Schutzmaßnahmen verlassen. Die verfügbaren Mechanismen in 2026:

  • Angemessenheitsbeschlüsse — länderspezifische EU-Feststellungen, dass das Land angemessenen Schutz bietet. Derzeit UK, Schweiz, Israel, Japan, Kanada (kommerziell), Südkorea, USA (im Rahmen des Data Privacy Framework mit Einschränkungen).
  • Standardvertragsklauseln (SCC) — EU-genehmigte Vertragsbedingungen, die dem Datenimporteur DSGVO-äquivalente Pflichten auferlegen. 2021 aktualisiert; Versionen von 2010 ungültig.
  • Verbindliche unternehmensinterne Vorschriften (BCR) — für konzerninterne Übermittlungen innerhalb multinationaler Unternehmen; erfordern Genehmigung der Aufsichtsbehörde.
  • Spezifische Ausnahmen — enge Ausnahmen (ausdrückliche Einwilligung für die spezifische Übermittlung, Vertragserfüllung, wichtige öffentliche Interessen).

Nach Schrems II (2020) erfordert die Nutzung eines jeden Mechanismus eine Transfer-Impact-Bewertung (TIA), die die Überwachungsgesetze und Datenzugangsregelungen des Ziellandes berücksichtigt.

Was Rechtsabteilungen direkt bearbeiten

Drei Workflows, die bei Legal Ops anfallen:

  1. Anbieter- und Auftragsverarbeiterverwaltung. DPA mit jedem Anbieter, der personenbezogene Daten verarbeitet; Unterauftragsverarbeiter-Weitergabe; Dokumentation des internationalen Übermittlungsmechanismus.
  2. Bearbeitung von Betroffenenanfragen. DSARs entgegennehmen, Identität validieren, Daten über Systeme hinweg zusammentragen, auf Ausnahmen prüfen (rechtliches Privileg, Drittparteidaten), fristgerecht antworten.
  3. Datenpannenmeldung. Wenn das Team oder seine Anbieter eine Datenpanne erleiden, regulatorische Meldung innerhalb von 72 Stunden (wo erforderlich) und individuelle Benachrichtigung bei hohem Risiko für Einzelpersonen.

Häufige Fehler

  • Die DSGVO als einmaliges Projekt behandeln. Die anfängliche Compliance-Arbeit ist begrenzt; laufende Abläufe (DSARs, Vendor-Onboarding, Datenpannenbearbeitung) sind kontinuierlich.
  • Falsche Rechtsgrundlage wählen. Viele Unternehmen nennen „Einwilligung”, wenn „berechtigte Interessen” die tatsächliche Grundlage ist. Die falsche Grundlage macht die gesamte Verarbeitung rechtswidrig.
  • Aktualisierungen der Übermittlungsmechanismen ignorieren. SCCs wurden 2021 aktualisiert; viele bestehende DPAs verweisen noch auf die Versionen von 2010. Neuabschluss erforderlich.
  • Kein DSAR-Antwortprozess. Wenn die erste DSAR eintrifft, improvisieren Teams ohne Prozess. Playbook vor der Anfrage aufbauen.
  • Fehlende Analyse der Anwaltsprivilegausnahme. Privilegierte anwaltliche Kommunikation kann von der DSAR-Offenlegung ausgenommen sein; ohne Analyse offenbaren Teams zu viel oder zu wenig.
  • DSGVO mit EU-KI-Gesetz gleichsetzen. Unterschiedliche Regelwerke, unterschiedliche Verpflichtungen, beide gelten, wenn KI personenbezogene Daten verarbeitet.

Verwandte Themen

Diese Seite auf GitHub bearbeiten