Kernstück sind die Rechtsgrundlagen, auf die sich jede Datenverarbeitung stützen muss: Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse. Dazu kommen Pflichten wie das Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge mit Dienstleistern – etwa Hosting- oder E-Mail-Marketing-Anbietern – und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung.
Für ein Unternehmen mit Newsletter heißt das konkret: Double-Opt-in statt vorausgefüllter Häkchen, eine klare Angabe, wofür die E-Mail-Adresse verwendet wird, und ein funktionierender Abmeldelink. Auch das Setzen von Tracking-Cookies fällt unter die DSGVO, sobald daraus personenbezogene Profile entstehen – deshalb hängen Cookie-Consent und DSGVO eng zusammen.
Verstöße können teuer werden: Bußgelder bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dieser Überblick ersetzt keine Rechtsberatung – bei komplexeren Verarbeitungen, etwa internationalen Datentransfers, lohnt sich die Rücksprache mit einer Datenschutzjuristin.



