Hier finden Sie Links zu Informationen rund um das Thema DS-GVO.

Hier finden Sie ein paar wichtige Informationen, Tipps und Ratschlage, welche Sie in der Umsetzung und Einhaltung der DSGVO berücksichtigen können/sollten.


Ich bemühe mich, diese Seite ständig zu aktualisieren und mit noch mehr Informationen für Sie auszustatten.

DSGVO im Alltag

Egal ob Blog, Verein, Einzelunternehmen, GmbH oder sonstige Firmenbezeichnung – die DSGVO gilt für alle Bereiche, in denen personenbezogenen Daten von Kunden erhoben, gespeichert und verwendet werden.

Mailadresse, Mitarbeiterdaten, Personalführung und IP-Adressen sind nur ein paar der Gründe, weshalb im B2B-Bereich in vielen Fällen auch die DSGVO greift.

DSGVO vs. Website

Es reicht nicht mehr aus, die Datenschutzerklärung im Impressum unterzubringen oder einen Passus in den AGBs zu hinterlegen. 

Die DSGVO muss in einer eigenen Datenschutzerklärung auf der Homepage geregelt und zu finden sein. Wie das Impressum auch, so muss die Datenschutzerklärung einen eigenen, jederzeit ersichtlichen und erreichbaren Navigationspunkt auf der Homepage erhalten.

  • Es genügt ein Link zur Datenschutzerklärung.
  • Eine Checkbox mit Häkchen ist nicht notwendig.
  • Kontaktformulare benötigen ebenfalls einen Link zur Datenschutzerklärung. 
  • Auf der Website eingebunden YouTube-Videos sollten den erweiterten Datenschutzmodus von YouTube beinhalten / genutzt werden

Im Netz stehen zahlreiche Generatoren für die Datenschutzerklärung zur Verfügung. Hierbei sollt aber Vorsicht geboten sein. Denn die eigene Datenschutzerklärung muss exakt den Inhalt der Homepage abdecken. Soll heißen, einfach alles was der Generator hergibt, in die Datenschutzerklärung packen und auf die Site einbinden, ist falsch.

Nur die PlugIns, Cookies, Tools usw, welche auch tatsächlich verwendet werden, sollte mit der Datenschutzerklärung abgedeckt werden. 

Falsche oder zu viel gemachte Angaben, zählen hier wie eine fehlende Datenschutzerklärung … und können abgemahnt werden.

Der AV-Vertrag

Der Zugriff eines Unternehmens auf Kundendaten sollte mit einem AV-Vertrag abgesichert werden. Hierzu zählt der Hoster, Google Analytics, Mail-Software, Newsletter-Software usw.

  • Die Verantwortlichkeit zur Abschließen eines AV-Vertrages liegt auf beiden Seiten 
  • Bestehende ADV-Verträge mit Analytics sollten erneuert werden
  • Agenturen, welche Kundenseiten hosten, müssen mit jedem Kunden einen separaten und mit Google nur einmal einen AV-Vertrag abschließen.
  • Dienstleister wie Lohnbüros, Buchhaltungs- oder Rechnungssoftware, welche pDaten / Kundendaten erheben, sollten mit einem AV-vertrag abgesichert werden
  • Steuerberater und Rechtsanwälte benötigen keinen AV-Vertrag
  • Dienstleister, welche in der Pflege von Webstein unterwegs sind – hier Zugangsdaten zu Hosting-Accounts haben, müssen mit dem Kunden einen AV-Vertrag abschließen

Vereine und die DSGVO

Hier ist die Sachlage noch nicht wirklich festgelegt. Verarbeitet ein Verein aber regelmäßig personenbezogene Daten (was so ziemlich jeder Verein macht – Mitgliederlisten, Wettkampflisten usw.), dann ist die Benennung/Bestellung eines DSB (Datenschutzbeauftragten) notwendig.

Auch hier streiten sich die Geister. Wenn eine Trainer nur gelegentlich und nicht regelmäßig in Spielerlisten Einblick hat, dann ist die Sachlage ungenau. 


Da ein Trainer aber regelmäßig Spielaufstellungen, Kampflisten, Planungen und Mannschaftspflegen durchführt, zählt diese Person auf jeden Fall zum betroffenen Personenkreis der magischen „10-Personen-Grenze“.

Eine Verein, welcher in Deutschland seine Mitglieder hat, muss die Datenschutzverordnung auch nur in dieser Sprache aufsetzen und zur Verfügung stellen.


Es sei denn, der Verein ist auch außerhalb Deutschlands auf der Suche nach Mitgliedern.

Gemäß Art. 30 DS-GVO muss jeder Verantwortliche ein Verzeichnis führen. Es gibt zwar eine Ausnahme bei Verantwortliche mit unter 250 Mitgliedern … doch bei Vereinen sieht es hier anders aus. 


Da ein Verein regelmäßig personenbezogenen Daten verarbeitet, ist das Führen von Verzeichnissen der Verarbeitungstätigkeiten vorgeschrieben.

DSGVO in Arztpraxen

Ganz klar – NEIN 

Eine Behandlung basiert auf der Grundlage eines Behandlungsvertrages.

Gemäß Artikel 9 Abs. 2 Buchstabe h) sowie Absatz 3 – in Verbindung mit Artikel 6 – 1 Satz Buchstabe b) stellt hier eine vertragliche Grundlage die Befugnis der Datenverarbeitung dar.


Dies bedeutet, dass alle Verarbeitungen, die zur Erfüllung des Behandlungsvertrages notwendig sind, auf Basis dieser Rechtsgrundlage sicher sind.

Grundsätzlich gilt, dass personenbezogene Daten, ganz besonders sensible Gesundheitsdaten, nicht „unsicher“ versendet werden dürfen!


Eine Versand per Mail sollte also dringend nur verschlüsselt stattfinden.


Der Versand per Fax ist eine sehr unsichere Sache. Da der Versender nicht gewährleisten kann, dass der Gegenüber auch die gewünschte Person ist … und somit auch ein Dritter die Daten einsehen könnte, sollte hier Vorsicht geboten sein.


Auf jeden Fall sollte ein Deckblatt angefügt werden. Auf diesem Blatt sollte der Vermerk stehen, dass ein irrtümliche erhaltenes Fax bitte an die folgenden Adresse weitergeleitet werden soll …

Weiter solle doch bitte das fehlgeleitete Fax sofort gelöscht werden.


Es gibt auch eine Möglichkeit, Patientendaten per ePost der Deutschen Post zu versenden. Hierbei müssen beide Seiten registriert und angemeldet sein.