Facebook Instagram Linkedin X-Twitter
Termin vereinbaren
IT-Recht

7 DSGVO-Risiken, die jedes Unternehmen bei der Datenweitergabe kennen muss

  • Home
  • Blog
  • 7 DSGVO-Risiken, die jedes Unternehmen bei der Datenweitergabe kennen muss
Zurück zu allen Artikeln
Vorstandssitzungssaal mit Laptop, juristischen Dokumenten und einem DSGVO-Compliance-Dashboard mit Warnindikatoren – Illustration der rechtlichen Risiken der Datenweitergabe gemäß DSGVO

Datenaustausch ist das Lebenselixier des modernen Handels. Ob Sie einen neuen Cloud-Anbieter einbinden, mit einer Marketingagentur zusammenarbeiten oder ein HR-System eines Drittanbieters integrieren – personenbezogene Daten fließen ständig zwischen Unternehmen. Doch die unangenehme Wahrheit ist: Die meisten Unternehmen unterschätzen das rechtliche Minenfeld, das der Datenaustausch gemäß der Datenschutz-Grundverordnung (DSGVO) darstellt.

Es steht viel auf dem Spiel. Die Strafen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Neben den finanziellen Strafen riskieren Sie Reputationsschäden, behördliche Überprüfung und zivilrechtliche Ansprüche von Betroffenen. Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) hat klargestellt: Unwissenheit schützt nicht vor Strafe.

Dieser Artikel erläutert sieben kritische Risiken der DSGVO, die bei der Weitergabe personenbezogener Daten entstehen. Jedes Risiko basiert auf spezifischen DSGVO-Bestimmungen, wird anhand realer Konsequenzen veranschaulicht und durch praktische Hinweise ergänzt, damit Sie die Vorgaben einhalten können. Ob Sie Unternehmer, Datenschutzbeauftragter oder Jurist in den Niederlanden sind – es ist unerlässlich, diese Fallstricke zu kennen.

1. Weitergabe von Daten ohne gültige Rechtsgrundlage (Artikel 6 DSGVO)

Das Risiko: Sie dürfen personenbezogene Daten nicht einfach deshalb weitergeben, weil es bequem oder vorteilhaft erscheint. Jede Datenweitergabe erfordert eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO.

Warum Unternehmen es falsch machen: Viele Organisationen gehen fälschlicherweise davon aus, dass ein kommerzieller Grund für die Datenweitergabe ausreicht. Die DSGVO sieht sechs Rechtsgrundlagen für die Datenverarbeitung vor: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Jede dieser Rechtsgrundlagen hat spezifische Anforderungen und Einschränkungen.

Beispielsweise werden „berechtigte Interessen“ häufig als Rechtfertigung für die Weitergabe von Daten an Partner oder Dienstleister angeführt. Diese Grundlage erfordert jedoch eine sorgfältige Abwägung: Ihre Interessen dürfen die Rechte und Freiheiten der Personen, deren Daten Sie verarbeiten, nicht beeinträchtigen. Und Sie müssen diese Abwägung dokumentieren.

Rechtliche Grundlage: Artikel 6 DSGVO enthält die abschließende Liste der Rechtsgrundlagen. Artikel 5 Absatz 1 Buchstabe a DSGVO schreibt vor, dass jede Verarbeitung rechtmäßig, fair und transparent erfolgen muss.

Konsequenzen in der realen Welt: Die AP hat Bußgelder gegen Organisationen verhängt, die Kundendaten ohne entsprechende Rechtsgrundlage zu Marketingzwecken an Dritte weitergegeben haben. Selbst wenn die Daten anonymisiert oder aggregiert wurden, bleiben sie personenbezogene Daten und bedürfen einer Rechtsgrundlage, sofern eine Reidentifizierung möglich ist.

Praktisches Mitnehmen: Bevor Sie personenbezogene Daten weitergeben, ermitteln und dokumentieren Sie die Rechtsgrundlage. Wenn Sie sich auf berechtigte Interessen berufen, führen Sie eine Interessenabwägung durch und dokumentieren Sie diese. Wenn Sie eine Einwilligung einholen, stellen Sie sicher, dass diese freiwillig, spezifisch, informiert und eindeutig ist.

2. Verwirrung über die Rollen: Verantwortlicher vs. Auftragsverarbeiter (Artikel 4 Absatz 7 und 8 DSGVO)

Das Risiko: Die DSGVO unterscheidet zwischen Verantwortlichen (die Zwecke und Mittel der Verarbeitung festlegen) und Auftragsverarbeitern (die Daten im Auftrag eines Verantwortlichen verarbeiten). Eine falsche Rollenverteilung – Ihrerseits oder seitens Ihres Partners – kann zu gravierenden Compliance-Lücken führen.

Warum Unternehmen es falsch machen: In der Praxis können Rollen uneindeutig sein. Wenn Sie Daten mit einem SaaS-Anbieter teilen, ist dieser dann Verantwortlicher oder Auftragsverarbeiter? Was passiert, wenn er Ihre Daten zur Verbesserung seiner Algorithmen nutzt? Viele Unternehmen bezeichnen standardmäßig jeden Anbieter als „Auftragsverarbeiter“, ohne die Beziehung genauer zu analysieren.

Eine falsche Klassifizierung ist problematisch, da Verantwortliche und Auftragsverarbeiter unterschiedliche Pflichten haben. Verantwortliche müssen sicherstellen, dass Auftragsverarbeiter ausreichende Garantien für die Einhaltung der Vorschriften bieten (Art. 28 DSGVO). Gemeinsam Verantwortliche müssen ihre jeweiligen Verantwortlichkeiten vereinbaren (Art. 26 DSGVO). Fehlerhafte Klassifizierungen können zu Haftungsansprüchen für Verstöße führen, von denen Sie gar nichts wussten.

Rechtliche Grundlage: Artikel 4 Absatz 7 und 8 DSGVO definieren „Verantwortlicher“ und „Auftragsverarbeiter“. Artikel 24 DSGVO legt die Rechenschaftspflichten des Verantwortlichen fest.

Konsequenzen in der realen Welt: Der Europäische Gerichtshof urteilte in Fashion ID (C-40/17) besagt, dass selbst eine teilweise Zweckbestimmung Sie zu einem Mitverantwortlichen machen kann. Dies bedeutet, dass Sie für Verstöße gegen die DSGVO mithaften können, selbst wenn diese von einer anderen Partei verursacht wurden.

Praktisches Mitnehmen: Datenflüsse abbilden und festlegen, wer die Entscheidung trifft warum und wie Die Daten werden verarbeitet. Dokumentieren Sie dies schriftlich und stellen Sie sicher, dass jede Partei ihre Rolle und ihre Pflichten kennt.

3. Fehlende oder unzureichende Datenverarbeitungsvereinbarung (Artikel 28 DSGVO)

Das Risiko: Wenn Sie einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten in Ihrem Namen beauftragen, sind Sie gesetzlich verpflichtet, eine schriftliche Vereinbarung zur Auftragsverarbeitung (AVV) abzuschließen. Ausnahmslos.

Warum Unternehmen es falsch machen: Es ist verlockend, auf den Papierkram zu verzichten, insbesondere bei langjährigen oder vertrauten Partnern. Doch ohne eine rechtskonforme Datenschutzvereinbarung verstoßen Sie vom ersten Tag an gegen Artikel 28 DSGVO – selbst wenn kein tatsächlicher Schaden entsteht.

Eine ordnungsgemäße Datenschutzvereinbarung muss bestimmte zwingende Klauseln enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen. Sie muss außerdem die Unterauftragsverarbeitung, die Datensicherheit und die Meldung von Datenschutzverletzungen regeln.

Rechtliche Grundlage: Artikel 28 Absatz 3 DSGVO listet den obligatorischen Inhalt einer Auftragsverarbeitungsvereinbarung auf. Artikel 28 Absatz 4 DSGVO verlangt eine ausdrückliche Genehmigung für Unterauftragsverarbeiter.

Konsequenzen in der realen Welt: Die AP hat Organisationen sanktioniert, die Auftragsverarbeiter ohne angemessene Auftragsverarbeitungsvereinbarungen (DPAs) beauftragt haben. Selbst wenn der Auftragsverarbeiter selbst die Anforderungen erfüllt, kann der Verantwortliche dennoch mit einer Geldstrafe belegt werden, wenn er keine ordnungsgemäße Vereinbarung getroffen hat.

Praktisches Mitnehmen: Verwenden Sie eine standardisierte Vorlage für eine Auftragsverarbeitungsvereinbarung (AVV), die alle Anforderungen von Artikel 28 Absatz 3 DSGVO abdeckt. Überprüfen Sie bestehende Vereinbarungen auf DSGVO-Konformität. Nehmen Sie keine neuen Auftragsverarbeiter ohne eine unterzeichnete AVV auf.

4. Unrechtmäßige Übermittlung in Drittländer außerhalb des EWR (Artikel 44–49 DSGVO & Schrems II)

Das Risiko: Die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) ist stark eingeschränkt. Sie ist nur zulässig, wenn das Zielland ein angemessenes Schutzniveau bietet oder wenn Sie geeignete Schutzmaßnahmen ergreifen.

Warum Unternehmen es falsch machen: Viele Unternehmen nutzen Cloud-Dienste, Zahlungsdienstleister oder Analysetools, die in den USA oder Asien gehostet werden, ohne sich bewusst zu sein, dass sie damit internationale Transferbestimmungen auslösen. Selbst wenn Ihr Vertrag mit einem Unternehmen in der EU besteht, gelten die Transferbestimmungen, sobald Daten außerhalb des EWR gespeichert oder abgerufen werden.

Das Schrems II Das Urteil (Rechtssache C-311/18) erklärte den EU-US-Datenschutzschild für ungültig und bekräftigte, dass Standardvertragsklauseln allein nicht ausreichen. Sie müssen zusätzlich eine Folgenabschätzung für Datentransfers (Transfer Impact Assessment, TIA) durchführen, um zu prüfen, ob die Gesetze des Ziellandes den durch Standardvertragsklauseln gewährleisteten Schutz untergraben.

Rechtliche Grundlage: Die Artikel 44–49 der DSGVO regeln internationale Datenübermittlungen. Kapitel V der DSGVO verlangt Angemessenheitsbeschlüsse (Artikel 45) oder geeignete Garantien (Artikel 46), wie beispielsweise Standardvertragsklauseln.

Konsequenzen in der realen Welt: Die AP kann Sie anweisen, Datentransfers in Drittländer auszusetzen oder zu verbieten, wenn keine angemessenen Schutzmaßnahmen vorhanden sind. Unternehmen sahen sich bereits mit Sanktionen und Reputationsschäden konfrontiert, weil sie Daten in die USA übermittelten, ohne zuvor eine Datenfolgenabschätzung (TIA) durchzuführen.Schrems II.

Praktisches Mitnehmen: Identifizieren Sie alle Datentransfers in Drittländer. Prüfen Sie, ob ein Angemessenheitsbeschluss vorliegt. Falls nicht, implementieren Sie Standardvertragsklauseln (SCCs) und führen Sie eine Drittland-Folgenabschätzung (TIA) durch. Dokumentieren Sie gegebenenfalls ergänzende Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung).

5. Versäumnis, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35 DSGVO)

Das Risiko: Eine Datenschutz-Folgenabschätzung (DSFA) ist obligatorisch, wenn die Weitergabe von Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen birgt. Dies umfasst die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang, die systematische Überwachung oder den Einsatz neuer Technologien.

Warum Unternehmen es falsch machen: Viele Organisationen betrachten Datenschutz-Folgenabschätzungen als optional oder nur für „große“ Projekte relevant. Tatsächlich kann jedoch die Weitergabe von Gesundheitsdaten an eine externe Analyseplattform, der Einsatz KI-gestützter Profiling-Tools oder die Zusammenführung von Datensätzen aus verschiedenen Quellen eine Datenschutz-Folgenabschätzung erforderlich machen.

Eine Datenschutz-Folgenabschätzung (DSFA) ist keine bloße Formalität. Sie ist ein strukturierter Prozess zur Identifizierung von Risiken, zur Bewertung ihrer Schwere und zur Festlegung von Maßnahmen zu ihrer Minderung. Sollten weiterhin hohe Restrisiken bestehen, müssen Sie vor dem weiteren Vorgehen den Datenschutzbeauftragten (AP) konsultieren.

Rechtliche Grundlage: Artikel 35 DSGVO schreibt Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohem Risiko vor. Die australische Datenschutzbehörde (AP) hat Leitlinien veröffentlicht, wann eine Datenschutz-Folgenabschätzung erforderlich ist.

Konsequenzen in der realen Welt: Die Nichtdurchführung einer Datenschutz-Folgenabschätzung (DSFA) stellt selbst einen Verstoß gegen die DSGVO dar. Die australische Datenschutzbehörde (AP) hat Organisationen mit Bußgeldern belegt, die risikoreiche Datenweitergabe ohne vorherige DSFA durchgeführt haben, selbst wenn kein tatsächlicher Datenschutzverstoß vorlag.

Praktisches Mitnehmen: Prüfen Sie alle Datenaustauschaktivitäten auf mögliche Auslöser einer Datenschutz-Folgenabschätzung (DSFA). Führen Sie im Zweifelsfall eine DSFA durch. Beziehen Sie Ihren Datenschutzbeauftragten (DSB) ein und dokumentieren Sie den Bewertungsprozess sorgfältig.

6. Unzureichende Information der betroffenen Personen (Artikel 13 und 14 DSGVO)

Das Risiko: Transparenz ist ein Grundpfeiler der DSGVO. Wann immer Sie personenbezogene Daten erheben oder weitergeben, müssen Sie die betroffenen Personen darüber informieren, wer ihre Daten erhält, zu welchem ​​Zweck und auf welcher Rechtsgrundlage.

Warum Unternehmen es falsch machen: Datenschutzhinweise sind oft vage oder veraltet. Formulierungen wie „Wir geben Ihre Daten gegebenenfalls an vertrauenswürdige Partner weiter“ reichen nicht aus. Sie müssen die Kategorien der Empfänger (z. B. „Cloud-Hosting-Anbieter“, „Marketingagenturen“) genau angeben und diese gegebenenfalls namentlich nennen.

Werden Daten indirekt erhoben – beispielsweise von einem Datenbroker oder einem anderen Verantwortlichen –, sieht Artikel 14 DSGVO zusätzliche Informationspflichten vor, unter anderem hinsichtlich der Datenquelle.

Rechtliche Grundlage: Die Artikel 13 und 14 DSGVO listen die Informationen auf, die den betroffenen Personen zur Verfügung gestellt werden müssen. Artikel 5 Absatz 1 Buchstabe a DSGVO fordert Transparenz bei allen Verarbeitungstätigkeiten.

Konsequenzen in der realen Welt: Die Nachrichtenagentur AP hat Unternehmen sanktioniert, weil sie Einzelpersonen nicht darüber informierten, dass ihre Daten an Dritte weitergegeben wurden. Selbst wenn die Weitergabe an sich rechtmäßig war, stellt mangelnde Transparenz einen eigenständigen Verstoß dar.

Praktisches Mitnehmen: Überprüfen und aktualisieren Sie Ihre Datenschutzhinweise, um Ihre Datenweitergabepraktiken klar zu beschreiben. Stellen Sie sicher, dass die Hinweise leicht zugänglich und in einfacher Sprache verfasst sind. Wenn Sie Daten mit neuen Partnern teilen, aktualisieren Sie Ihre Hinweise, bevor die Weitergabe beginnt.

7. Pseudonymisierung als trügerisches Sicherheitsgefühl

Das Risiko: Die Pseudonymisierung – das Ersetzen direkter Identifikatoren durch Codes oder Token – wird gemäß DSGVO als Sicherheitsmaßnahme empfohlen. Sie macht Daten jedoch nicht anonym. Solange die Daten einer Person zugeordnet werden können, bleiben sie personenbezogene Daten und unterliegen dem vollen Anwendungsbereich der DSGVO.

Warum Unternehmen es falsch machen: Unternehmen gehen oft fälschlicherweise davon aus, dass pseudonymisierte Daten unbedenklich weitergegeben werden können. Tatsächlich reduziert die Pseudonymisierung das Risiko lediglich, beseitigt es aber nicht. Wenn Sie pseudonymisierte Daten an einen Partner weitergeben, der Zugriff auf den Schlüssel oder andere Datensätze hat, die eine Reidentifizierung ermöglichen, verarbeiten Sie weiterhin personenbezogene Daten.

Rechtliche Grundlage: Artikel 4 Absatz 5 DSGVO definiert die Pseudonymisierung. Erwägungsgrund 26 DSGVO stellt klar, dass pseudonymisierte Daten weiterhin personenbezogene Daten bleiben, es sei denn, sie sind tatsächlich anonymisiert (d. h. eine Re-Identifizierung ist mit zumutbaren Mitteln nicht mehr möglich).

Konsequenzen in der realen Welt: Die AP hat in ihren Leitlinien klargestellt, dass Pseudonymisierung keine Straffreiheit bietet. Ist eine Reidentifizierung möglich, gelten alle DSGVO-Pflichten, einschließlich der Notwendigkeit einer Rechtsgrundlage, der Durchführung von Datenschutz-Folgenabschätzungen und der Gewährleistung angemessener Sicherheitsvorkehrungen.

Praktisches Mitnehmen: Behandeln Sie pseudonymisierte Daten als personenbezogene Daten, es sei denn, Sie haben ein strenges, von Experten validiertes Anonymisierungsverfahren durchlaufen. Dokumentieren Sie die technischen und organisatorischen Maßnahmen, die zur Verhinderung der Re-Identifizierung getroffen wurden.

Häufig gestellte Fragen

Wann ist die Weitergabe von Daten gemäß der DSGVO zulässig?

Die Weitergabe von Daten ist nur dann rechtmäßig, wenn eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO vorliegt. Die sechs Rechtsgrundlagen sind: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Sie müssen außerdem die Grundsätze der Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit (Artikel 5 DSGVO) einhalten. In der Praxis bedeutet dies, klar zu dokumentieren, warum Sie Daten weitergeben, sicherzustellen, dass der Zweck mit dem ursprünglichen Erhebungszweck übereinstimmt, und die betroffenen Personen über die Weitergabe zu informieren.

Worin besteht der Unterschied zwischen einem Controller und einem Prozessor?

A Controller legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Prozessor Auftragsverarbeiter verarbeiten Daten im Auftrag des Verantwortlichen gemäß dessen spezifischen Anweisungen. Diese Unterscheidung ist wichtig, da Verantwortliche primär für die Einhaltung der DSGVO verantwortlich sind, während Auftragsverarbeiter eingeschränktere Pflichten haben (hauptsächlich die Gewährleistung von Sicherheit und Vertraulichkeit). Wenn Sie Daten an einen Dienstleister weitergeben, der diese gemäß Ihren Anweisungen verarbeitet – beispielsweise einen Lohnabrechnungsdienstleister oder einen Cloud-Speicherdienst –, handelt es sich in der Regel um einen Auftragsverarbeiter. Entscheidet dieser Dienstleister auch über die Verwendung der Daten für eigene Zwecke, kann er (gemeinsam) verantwortlich sein. Eine falsche Zuordnung der Rollen kann zu Lücken in der Verantwortlichkeit und zur gemeinsamen Haftung bei Datenschutzverletzungen führen.

Wann ist eine Vereinbarung zur Datenverarbeitung (DPA) zwingend erforderlich?

Eine Auftragsverarbeitungsvereinbarung (AVV) ist zwingend erforderlich, sobald Sie einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten in Ihrem Auftrag beauftragen (Artikel 28 DSGVO). Dies gilt unabhängig von der Größe Ihres Unternehmens oder dem Datenvolumen. Die AVV muss schriftlich vorliegen und bestimmte, zwingende Klauseln enthalten, wie beispielsweise Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Arten der Daten und Kategorien der betroffenen Personen sowie die Pflichten beider Parteien in Bezug auf Sicherheit, Meldung von Datenschutzverletzungen und Unterauftragsverarbeitung. Ohne eine rechtskonforme AVV verstoßen Sie gegen die DSGVO, sobald der Auftragsverarbeiter mit der Verarbeitung beginnt, selbst wenn kein Schaden entsteht.

Darf ich Kundendaten an einen Dritten außerhalb der EU weitergeben?

Ja, aber nur unter strengen Voraussetzungen. Gemäß Artikel 44–49 DSGVO dürfen Sie Daten in ein Drittland übermitteln, wenn: (a) die Europäische Kommission einen Angemessenheitsbeschluss für dieses Land erlassen hat oder (b) Sie geeignete Garantien, wie z. B. Standardvertragsklauseln (SCCs), getroffen haben. Schrems II Zusätzlich müssen Sie eine Folgenabschätzung für den Datentransfer (Transfer Impact Assessment, TIA) durchführen, um zu prüfen, ob die Gesetze des Ziellandes (z. B. staatliche Überwachung) den durch die Standardvertragsklauseln (SCCs) garantierten Schutz untergraben. Bestehen weiterhin Risiken, müssen Sie ergänzende Maßnahmen wie Verschlüsselung oder Datenminimierung ergreifen. Datentransfers ohne angemessene Schutzmaßnahmen können zu Sanktionen seitens des Empfängerlandes führen, einschließlich der Aussetzung des Transfers.

Wann ist eine Datenschutz-Folgenabschätzung für den Datenaustausch erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 DSGVO verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen birgt. Dies umfasst: die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang (z. B. Gesundheits-, biometrische oder genetische Daten), die systematische Überwachung öffentlich zugänglicher Bereiche, automatisierte Entscheidungsfindung mit rechtlichen oder ähnlich schwerwiegenden Folgen sowie die Nutzung neuer Technologien. Auch bei der Weitergabe von Daten ist eine DSFA häufig erforderlich, wenn Datensätze zusammengeführt, sensible Informationen ausgetauscht oder die Daten für Profiling oder KI-gestützte Analysen verwendet werden. Die AP hat eine Liste von Verarbeitungsvorgängen veröffentlicht, die eine DSFA erfordern. Im Zweifelsfall sollten Sie eine DSFA durchführen – Vorsicht ist besser als Nachsicht.

Welche Strafen drohen Unternehmen bei Verstößen gegen die DSGVO?

Die DSGVO sieht zwei Bußgeldstufen vor. Die niedrigere Stufe – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – gilt für Verstöße wie die Nichtumsetzung angemessener Sicherheitsmaßnahmen oder die unterlassene Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Die höhere Stufe – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – gilt für schwerwiegendere Verstöße, darunter das Fehlen einer Rechtsgrundlage für die Verarbeitung, unrechtmäßige internationale Datenübermittlungen oder die Verletzung der Rechte betroffener Personen. Die zuständige Behörde (AP) legt die Höhe des Bußgeldes anhand von Faktoren wie Art und Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, Anzahl der betroffenen Personen und etwaigen Maßnahmen zur Schadensbegrenzung fest. Jüngste Rechtsprechung zeigt, dass die AP bereit ist, insbesondere bei systematischen oder vorsätzlichen Verstößen erhebliche Bußgelder zu verhängen.

Sind pseudonymisierte Daten immer sicher zu teilen?

Nein. Pseudonymisierung verringert das Risiko, beseitigt es aber nicht. Gemäß Artikel 4 Absatz 5 DSGVO bedeutet Pseudonymisierung, dass direkte Identifikatoren (wie Namen) durch Codes oder Pseudonyme ersetzt werden. Können die Daten jedoch weiterhin einer Person zugeordnet werden – beispielsweise durch zusätzliche Informationen, die Ihnen oder dem Empfänger vorliegen –, bleiben es personenbezogene Daten und unterliegen uneingeschränkt der DSGVO. Das bedeutet, dass Sie weiterhin eine Rechtsgrundlage benötigen, die betroffenen Personen informieren und für angemessene Sicherheit sorgen müssen. Nur eine echte Anonymisierung – bei der eine Reidentifizierung mit zumutbaren Mitteln nicht mehr möglich ist – entzieht die Daten dem Anwendungsbereich der DSGVO. In der Praxis ist eine echte Anonymisierung schwierig und erfordert die Bestätigung durch Experten.

Was soll ich tun, wenn es in meinem Unternehmen aufgrund unrechtmäßiger Datenweitergabe zu einer Datenschutzverletzung kommt?

Wenn Sie eine Verletzung des Schutzes personenbezogener Daten entdecken – einschließlich einer solchen, die durch unrechtmäßige Datenweitergabe verursacht wurde –, haben Sie 72 Stunden Sie müssen die zuständige Behörde gemäß Artikel 33 DSGVO benachrichtigen (es sei denn, die Verletzung birgt voraussichtlich kein Risiko für die Rechte und Freiheiten von Personen). Betroffene Personen müssen Sie unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für sie darstellt (Artikel 34 DSGVO). Zu den Sofortmaßnahmen gehören: die Eindämmung der Verletzung, die Bewertung ihres Umfangs und ihrer Auswirkungen, die Dokumentation des Vorfalls und Ihrer Gegenmaßnahmen sowie die Benachrichtigung der zuständigen Behörde über deren Online-Portal. Eine unterlassene Benachrichtigung kann ein Bußgeld nach sich ziehen. Die zuständige Behörde prüft anhand der Schwere der Verletzung und Ihrer Reaktion, ob ein Bußgeldverfahren gerechtfertigt ist.

Schützen Sie Ihr Unternehmen – Lassen Sie sich von Experten rechtlich beraten.

Datenaustausch ist unvermeidbar, Verstöße gegen die DSGVO hingegen nicht. Die sieben oben genannten Risiken sind nicht theoretischer Natur – sie basieren auf realen Durchsetzungsfällen, Gerichtsurteilen und regulatorischen Leitlinien. Jedes einzelne dieser Risiken kann zu Bußgeldern, Haftungsansprüchen und Reputationsschäden führen.

Die gute Nachricht? Mit dem richtigen Rechtsrahmen, einer klaren Dokumentation und proaktiven Compliance-Maßnahmen können Sie Daten vertrauensvoll und rechtmäßig austauschen. Doch um dies erfolgreich umzusetzen, reicht allgemeine Beratung nicht aus – Sie benötigen eine maßgeschneiderte Rechtsberatung, die Ihr Unternehmen, Ihre Datenflüsse und die spezifischen Risiken, denen Sie ausgesetzt sind, versteht.

Warten Sie nicht, bis die Datenschutzbehörde anklopft. Wenn Sie sich nicht sicher sind, ob Ihre Datenweitergabepraktiken DSGVO-konform sind, oder wenn Sie Hilfe bei der Erstellung von Auftragsverarbeitungsverträgen (AVV), der Durchführung von Datenschutzfolgenabschätzungen (DSFA) oder der Verwaltung internationaler Datentransfers benötigen, wenden Sie sich an einen spezialisierten Anwalt für Datenschutzrecht. Ihr Unternehmen – und Ihre Kunden – verdienen nur das Beste.

Benötigen Sie rechtliche Unterstützung?

Kontakt Law & More Für fachkundige Beratung in Ihren Rechtsangelegenheiten. Unser mehrsprachiges Team steht Ihnen gerne zur Verfügung.

Buchen Sie eine Beratung
Contact Us

Benötigen Sie Rechtsberatung?

Unsere erfahrenen Anwälte stehen Ihnen bei Ihren Rechtsfragen gerne zur Verfügung.

Buchen Sie eine Beratung

Related articles

Luftaufnahme eines modernen Technologiecampus in der goldenen Stunde, mit gläsernen Bürogebäuden, umgeben von grünen Hügeln und einer fernen Stadtkulisse – ein Symbol für die Schnittstelle von Technologie und rechtlichem Risiko.
Strafrecht, IT-Recht

Strafrechtliche Haftung für Tech-Unternehmer: Wann wird ein zivilrechtlicher Streit um geistiges Eigentum strafrechtlich?

Ein niederländisches SaaS-Unternehmen erhält ein Unterlassungsschreiben, in dem behauptet wird, dass eine Kernfunktion ihrer

Weiterlesen
Modernes Büro in der goldenen Stunde mit technischen Bauplänen, einem Patentdokument und einem Messingprototyp auf einem eleganten Schreibtisch, mit Blick auf die Skyline der Stadt.
IT-Recht

Patentanmeldung in den Niederlanden: Der vollständige Leitfaden für Unternehmer

1. Einleitung – Warum ist ein Patent für Unternehmer unerlässlich? Sie haben Monate damit verbracht –

Weiterlesen
IT-Recht

Aufbewahrungsfristen für Daten nach niederländischem Recht: Wie lange dürfen Sie Kundendaten aufbewahren?

Das niederländische Recht verfolgt einen zweigleisigen Ansatz beim Umgang mit Kundendaten. Geschäftsunterlagen wie Finanzdokumente

Weiterlesen

Bleiben Sie über das niederländische Recht auf dem Laufenden.

Abonnieren Sie unseren Newsletter, um die neuesten juristischen Erkenntnisse, regulatorischen Aktualisierungen und praktische Ratschläge zu erhalten.

Law & More Logo- und Markenanpassung
Logos alle vertikal (1)

Services

Tätigkeitsschwerpunkte

Quick Link

  • Unsere Firma
  • Team
  • Standorte
  • Karriere

Kontakt

Facebook Instagram Linkedin Twitter

© 2026 Law & MoreAlle Rechte vorbehalten

Öffnungszeiten image.webp
Klantenvertellen.nl Law and More Kundenbewertungen

Internationale Anwaltskanzlei, die Unternehmen und Privatpersonen betreut in Eindhoven und Amsterdam. 

Fachkenntnisse im Brainport-Technologie-Ökosystem.

 

Facebook Instagram Linkedin Twitter
Logos

Services

Tätigkeitsschwerpunkte

Quick Link

© 2026 Law & MoreAlle Rechte vorbehalten

Allgemeine Geschäftsbedingungen  ·  Datenschutzerklärung  ·  Beschwerdeverfahren  ·  Cookie-Richtlinie

Kontakt

  • +31 20 369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (Besuchsort)
  • Mo-Fr: 08:00-18:00 | Sa-So: 09:00-17:00 Uhr

Sprache:

Öffnungszeiten image.webp
Klantenvertellen.nl Law and More Kundenbewertungen