Datenschutzrecht in Deutschland

DSGVO, BDSG und TDDDG: Was das Gesetz verlangt, wen es betrifft und was bei Verstößen droht. Alle Angaben mit Artikelreferenz.

search

Was gilt für Sie?

Datenschutzpflichten hängen von Rechtsform, Branche und Unternehmensgröße ab. Wählen Sie Ihr Profil für eine detaillierte Übersicht Ihrer gesetzlichen Pflichten.

info Die DSGVO gilt ausnahmslos für jede Organisation, die personenbezogene Daten verarbeitet. Es gibt keine Bereichsausnahme nach Größe.
business

GmbH

Gesellschaft mit beschränkter Haftung

expand_more

DSB Pflicht

Ab 20 Personen in Datenverarbeitung (§38 BDSG). Köpfe zählen, keine FTE.

VVT Pflicht

Ja, immer. Regelmäßige Kunden-/Mitarbeiterdaten = keine Ausnahme nach Art. 30 Abs. 5.

Geschäftsführerhaftung: Der GF haftet persönlich nach §43 Abs. 2 GmbHG. DSGVO-Compliance gehört zu den Leitungspflichten. Bei Bußgeldern kann die GmbH den GF in Regress nehmen. Das OLG Dresden hat einen GF persönlich als Gesamtschuldner zu 5.000 EUR Schadensersatz verurteilt (4 U 1158/21). Zusätzlich greift §130 OWiG (Aufsichtspflichtverletzung): bis zu 10 Mio. EUR.

Typische Verarbeitungen: Personalverwaltung (Bewerbungen, Personalakten, Zeiterfassung), CRM, Buchhaltung, IT-Systeme (E-Mail, VPN), Marketing (Newsletter, Social Media), Lieferantenmanagement.

Häufigste Verstöße:

  • Fehlende AVVs mit Cloud- und SaaS-Anbietern
  • Veraltete Datenschutzerklärung auf der Website
  • Kein Löschkonzept für Bewerberdaten (Faustregel: 6 Monate nach Absage)
  • Unzureichende TOM nach Art. 32 (keine Verschlüsselung, kein Zugriffskonzept)
  • E-Mail-Marketing ohne Rechtsgrundlage (§7 Abs. 3 UWG vs. Art. 6 Abs. 1 lit. f)

Referenzfälle: H&M (35,3 Mio. EUR, Mitarbeiterüberwachung), 1&1 Telecom (9,55 Mio. EUR, mangelnde Authentifizierung), Vodafone (45 Mio. EUR, IT-Sicherheitsmängel und Auftragsverarbeitung).

person

Einzelunternehmer / Freiberufler

Solo-Selbständige und Freie Berufe

expand_more

DSB Pflicht

In der Regel nein. §38 BDSG greift erst ab 20 Personen.

VVT Pflicht

Ja. Auch bei einer Person: regelmäßige Kundendaten = nicht „gelegentlich".

Persönliche Haftung: Keine Haftungsbeschränkung durch juristische Person. Bußgelder und Schadensersatzansprüche (Art. 82 DSGVO) treffen unmittelbar das Privatvermögen.

Typische Verarbeitungen: Kundenverwaltung, Rechnungen, Website (Kontaktformular, Analytics), E-Mail, Cloud-Speicher (Dropbox, Google Drive, alle AVV-pflichtig).

Typische Fallstricke:

  • Home-Office: keine Trennung geschäftlich/privat, Familienmitglieder am Arbeitsrechner
  • WhatsApp-Kommunikation mit Kunden (Adressbuch-Upload = Übermittlung an Meta/USA)
  • Cloud-Dienste ohne AVV (Google Workspace, Dropbox, Mailchimp)
  • Keine Datenschutzerklärung oder eine rein kopierte Vorlage auf der Website
  • Private Geräte ohne Verschlüsselung oder Bildschirmsperre

Tipp: Separate geschäftliche E-Mail, Festplattenverschlüsselung, VPN und AVVs mit allen Cloud-Anbietern als Minimum.

groups

Verein (e.V.)

Eingetragene Vereine und Verbände

expand_more

DSB Pflicht

Meistens nein. Aber: Ehrenamtliche zählen mit bei §38 BDSG, wenn sie regelmäßig Daten verarbeiten.

VVT Pflicht

Ja. Mitgliederverwaltung und Beitragseinzug sind regelmäßige Verarbeitung.

Rechtsgrundlage Mitgliederdaten: Art. 6 Abs. 1 lit. b DSGVO (Mitgliedschaftsvertrag). Satzung und Beitrittserklärung bilden die Grundlage für: Name, Adresse, Bankverbindung, Geburtsdatum, Abteilungszugehörigkeit.

Fotos bei Veranstaltungen: Bei öffentlichen Events: Art. 6 Abs. 1 lit. f (berechtigtes Interesse), ergänzt durch §§22, 23 KunstUrhG. Bei Minderjährigen: Einwilligung der Sorgeberechtigten erforderlich. Bei internen Feiern: Einwilligung für Veröffentlichung nötig.

Newsletter an Mitglieder: Vereinsinterne Mitteilungen (Einladungen, Berichte) über Art. 6 Abs. 1 lit. b möglich. Werbliche Inhalte (Sponsorenwerbung) erfordern Einwilligung + Double-Opt-In (§7 UWG).

Häufigste Verstöße:

  • Mitgliederlisten per offenem E-Mail-Verteiler (CC statt BCC)
  • Fotos Minderjähriger auf Website/Social Media ohne Einwilligung der Eltern
  • WhatsApp-Gruppen für Vereinskommunikation (Adressbuch-Upload)
  • Datenweitergabe an Dachverbände ohne Information der Betroffenen

Tipp: Signal oder Threema statt WhatsApp. Beitrittsformular mit integrierter Art. 13 Information. Kurze Datenschutz-Schulung bei der Mitgliederversammlung.

account_balance

Stiftung

Gemeinnützige und privatnützige Stiftungen

expand_more

DSB Pflicht

Meistens nein (§38 BDSG). Aber: Art. 37 Abs. 1 lit. c bei Förderstiftungen mit Gesundheitsdaten.

VVT Pflicht

Ja. Spender-, Destinatären- und Gremiendaten sind regelmäßige Verarbeitung.

Wichtig: Gemeinnützigkeit hat für DSGVO-Pflichten keine Relevanz. Es gelten identische Anforderungen wie für gewinnorientierte Organisationen. Seit dem 1. Juli 2023 gilt das reformierte Stiftungsrecht (§§80-88 BGB n.F.).

Organhaftung: Organmitglieder haften nach §84a BGB n.F. bei schuldhafter Pflichtverletzung. Bei Ehrenamtlichen: Haftungsprivilegierung auf Vorsatz und grobe Fahrlässigkeit (§84a Abs. 2 S. 2 BGB).

Typische Verarbeitungen: Spenderverwaltung (inkl. Bankdaten, Spendenhistorie), Destinatärenverwaltung (Förderanträge, Auszahlungen), Gremienverwaltung, Öffentlichkeitsarbeit (Website, Jahresberichte mit Personennennung).

Häufigste Verstöße:

  • Spendenhistorien unbegrenzt gespeichert (steuerliche Aufbewahrung nach §147 AO ≠ unbefristete Speicherung)
  • Fehlende AVVs mit Spendenplattformen (betterplace, GoFundMe)
  • Fotos/Berichte über Förderprojekte ohne Einwilligung der dargestellten Personen
local_hospital

Arztpraxis / Gesundheitswesen

Praxen, MVZ und Kliniken

expand_more

DSB Pflicht

Einzelpraxis: nein (ErwGr. 91), aber empfohlen. Gemeinschaftspraxis/MVZ: in der Regel ja (Art. 37 Abs. 1 lit. c).

DSFA Pflicht

Einzelpraxis: nein. MVZ/Klinik: ja, für zentrale Patientendatenverwaltung (DSK-Positivliste).

Doppelte Bindung: Patientendaten sind sowohl durch die DSGVO (Art. 9 Abs. 1: Gesundheitsdaten) als auch durch §203 StGB (ärztliche Schweigepflicht) geschützt. Beide gelten nebeneinander. Selbst wenn die DSGVO eine Verarbeitung erlaubt, kann die Offenbarung nach §203 StGB strafbar sein (bis zu 1 Jahr Freiheitsstrafe).

Rechtsgrundlage Behandlung: Art. 9 Abs. 2 lit. h DSGVO i.V.m. §22 Abs. 1 Nr. 1 lit. b BDSG. Eine Einwilligung ist für die Behandlung selbst nicht erforderlich, der Behandlungsvertrag (§§630a ff. BGB) bildet die Grundlage.

IT-Dienstleister: Benötigen sowohl einen AVV nach Art. 28 DSGVO als auch eine Verpflichtung nach §203 Abs. 4 StGB (Belehrung und Verpflichtung zur Verschwiegenheit).

Häufigste Verstöße:

  • Patientenakten in unverschlossenen Räumen oder sichtbar am Empfang
  • Fax-Versand von Patientendaten (kein sicherer Kanal laut LfD Bremen)
  • Online-Terminbuchung ohne AVV und ohne §203-konforme Gestaltung
  • Befundfotos auf privaten Smartphones (WhatsApp)
  • Alle Praxismitarbeiter (MFA, Reinigung, Azubi) müssen auf §203 StGB verpflichtet werden
shopping_cart

Online-Händler / E-Commerce

Webshops und digitaler Handel

expand_more

DSB Pflicht

Ab 20 Personen (§38 BDSG). Bei geschäftsmäßiger Datenübermittlung: immer (§38 Abs. 1 S. 2).

Cookies

§25 TDDDG: Einwilligung für alle nicht-essentiellen Cookies. Echtes Opt-in Pflicht.

Zahlungsdienstleister (PayPal, Klarna, Stripe) handeln in der Regel eigenverantwortlich (eigene ZAG-Lizenz). Kein AVV nötig, aber Information in der Datenschutzerklärung nach Art. 13 Abs. 1 lit. e. Fulfilment-Dienstleister hingegen sind Auftragsverarbeiter und brauchen einen AVV.

Newsletter: Double-Opt-In ist der deutsche Standard (§7 Abs. 2 Nr. 3 UWG). Bestandskundenausnahme (§7 Abs. 3 UWG) nur bei: Adresse im Kaufkontext erhalten + ähnliche Produkte + kein Widerspruch + Hinweis auf Widerspruchsrecht bei Erhebung und in jeder E-Mail. Tracking von Öffnungsraten erfordert zusätzlich Einwilligung nach §25 TDDDG.

Häufigste Verstöße:

  • Cookie-Banner ohne echte Ablehnoption (Dark Patterns)
  • Google Analytics ohne Einwilligung
  • Newsletter mit vorausgefülltem Anmeldefeld im Bestellprozess
  • Kundenkonten ohne Löschoption (Art. 17)
  • Google Fonts extern eingebunden (LG München I, 3 O 17493/20: 100 EUR Schadensersatz, Tausende Abmahnungen folgten)

Referenzfall: notebooksbilliger.de (10,4 Mio. EUR, Videoüberwachung von Mitarbeitern ohne Rechtsgrundlage).

corporate_fare

AG (Aktiengesellschaft)

Börsennotiert und nicht-börsennotiert

expand_more

DSB Pflicht

Praktisch immer. Deutlich über 20 Personen + typischerweise Art. 37 DSGVO-Trigger.

Haftung

§93 AktG: Vorstand haftet persönlich, Beweislastumkehr. Keine Haftungsobergrenze.

Corporate-Governance-Verschärfung: §91 Abs. 2 AktG verpflichtet den Vorstand zu einem Frühwarnsystem für bestandsgefährdende Entwicklungen. Millionenbußgelder und Reputationsschäden durch DSGVO-Verstöße können bestandsgefährdend sein. Die Business Judgment Rule (§93 Abs. 1 S. 2 AktG) schützt nur, wer sich nachweislich fachlich beraten ließ und Empfehlungen dokumentiert umsetzte.

Konzernspezifisch: Kein „Konzernprivileg" in der DSGVO, aber berechtigtes Interesse für konzerninterne Datenübermittlung wird in ErwGr. 48 anerkannt. Internationale Transfers im Konzern benötigen SCCs oder BCRs (Art. 46/47). Whistleblowing-Hotline nach HinSchG muss DSGVO-konform sein (§14 HinSchG).

D&O-Versicherung: Vorsätzliche Datenschutzverstöße sind typischerweise nicht gedeckt.

construction

Handwerksbetrieb

Meisterbetriebe und Handwerksfirmen

expand_more

DSB Pflicht

In der Regel nein. Typische Betriebe mit 5 bis 15 Mitarbeitern bleiben unter §38 BDSG.

VVT Pflicht

Ja. Kundendaten, Mitarbeiterdaten, Buchhaltung = regelmäßige Verarbeitung.

„Das betrifft uns nicht" ist der häufigste und gefährlichste Fehler. Jeder Betrieb, der elektronisch Kunden-, Mitarbeiter- oder Lieferantendaten verwaltet, unterliegt der DSGVO vollständig.

GPS-Tracking von Firmenwagen: Hochsensibel. Lückenlose Überwachung ist unzulässig (§26 BDSG, Art. 88 DSGVO). Nur mit transparenter Betriebsvereinbarung oder Individualvereinbarung. Mitarbeiter müssen vorab informiert werden.

Häufigste Verstöße:

  • Kundendaten auf privaten Handys der Mitarbeiter (Baustellenfotos in WhatsApp)
  • Bewerbungen per E-Mail unbegrenzt aufbewahrt statt nach 6 Monaten gelöscht
  • Keine Verpflichtung der Mitarbeiter auf Datengeheimnis (§53 BDSG)
  • Referenzfotos mit sichtbaren Kennzeichen oder Gesichtern ohne Einwilligung
  • GPS-Tracking ohne Information und ohne verhältnismäßige Ausgestaltung

Tipp: Pragmatischer Einstieg: VVT mit den 5 bis 7 wichtigsten Verarbeitungen anlegen (Vorlagen der Handwerkskammer nutzen). Firmenhandys statt private Geräte.

edit_note

Autor / Content Creator

Blogger, Influencer, selbstständige Autoren

expand_more

DSB Pflicht

In der Regel nein (§38 BDSG).

Ab wann reguliert?

Sofort. Website + Kontaktformular = personenbezogene Daten = DSGVO.

Die Schwelle ist extrem niedrig: IP-Adressen sind personenbezogene Daten (EuGH C-582/14, Breyer). Jede Website mit Analytics, jeder Newsletter, jedes Social-Media-Profil fällt unter die DSGVO. Rein journalistische Tätigkeit ist privilegiert (Art. 85 DSGVO), aber kommerzielles Bloggen, Influencer-Marketing und Affiliate-Links sind es nicht.

Social-Media-Fanpages: Gemeinsame Verantwortlichkeit mit der Plattform (EuGH C-210/16, Wirtschaftsakademie). Art. 26 DSGVO verlangt ein Joint Controller Agreement mit Meta, Google etc.

Häufigste Verstöße:

  • Google Fonts extern eingebunden (LG München I 2022: 100 EUR Schadensersatz, Tausende Abmahnungen)
  • Social-Media-Plugins ohne 2-Klick-Lösung (EuGH C-40/17, Fashion ID)
  • Newsletter ohne Double-Opt-In und funktionierendes Widerrufsverfahren
  • Fehlende Joint-Controller-Vereinbarung für Fanpages
  • Affiliate-Tracking nicht in der Datenschutzerklärung offengelegt

Tipp: Google Fonts lokal einbinden. Newsletter-Tool mit EU-Sitz wählen (Brevo, CleverReach). Shariff-Lösung statt direkte Social-Media-Plugins.

rocket_launch

Startup / Tech-Unternehmen

SaaS, Plattformen, datengetriebene Modelle

expand_more

DSB Pflicht

Ab Skalierung: ja. In Tech-Startups verarbeitet faktisch jeder Mitarbeiter Daten = 20 MA ≈ §38 BDSG.

Privacy by Design

Art. 25 DSGVO: Muss bereits in der Produktentwicklung berücksichtigt werden, nicht nachträglich.

Die 20-Personen-Schwelle ist ein kritischer Meilenstein, der häufig unbemerkt überschritten wird. Werkstudenten, Praktikanten und Freelancer zählen mit.

Investor Due Diligence: Data Protection DD ist inzwischen Standard bei VC-Investments. Geprüft wird: DSB-Benennung, VVT, DSFA, AVV-Verträge, Rechtsgrundlagen des Geschäftsmodells, Drittlandtransfers. Fehlender Datenschutz ist ein Dealbreaker.

Als SaaS-Anbieter: Häufig Auftragsverarbeiter nach Art. 28. Standard-DPA/AVV für Kunden vorbereiten, Subprozessor-Liste veröffentlichen, Änderungen mitteilen. Enterprise-Kunden erwarten SOC 2 oder ISO 27001.

Häufigste Verstöße:

  • Privacy by Design vergessen: Produkt gebaut, Datenschutz nachträglich draufgesetzt
  • Unklare Rollenverteilung: Verantwortlicher vs. Auftragsverarbeiter vs. Joint Controller
  • Product Analytics (Mixpanel, Amplitude) ohne Nutzereinwilligung
  • Fehlende Subprozessor-Transparenz gegenüber eigenen Kunden

Referenzfälle: TikTok (345 Mio. EUR Kinderaccounts, 530 Mio. EUR Datentransfer China), Clearview AI (mehrfach zweistellige Millionenbußgelder, biometrische Gesichtserkennung).

Gesetzliche Grundlagen im Detail

Alle zentralen Pflichten, Rechte und Konsequenzen mit Artikelreferenz. Nutzen Sie die Suche oben oder filtern Sie nach Kategorie.

gavel Alle Angaben beziehen sich auf DSGVO, BDSG und TDDDG in der zum April 2026 geltenden Fassung. Keine Rechtsberatung.
Rechtsgrundlage Welche Gesetze regeln den Datenschutz in Deutschland?
expand_more

Drei Gesetze bilden das Fundament:

  • 1.DSGVO (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 unmittelbar geltendes EU-Recht und hat Vorrang vor nationalem Recht. Sie gilt für jede Verarbeitung personenbezogener Daten durch natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen.
  • 2.BDSG (Bundesdatenschutzgesetz) in der Neufassung von 2018 ergänzt die DSGVO dort, wo die Verordnung Öffnungsklauseln vorsieht: §26 BDSG (Beschäftigtendaten), §38 BDSG (DSB-Schwelle von 20 Personen), §42 BDSG (Strafvorschriften), §22 BDSG (besondere Datenkategorien).
  • 3.TDDDG (vormals TTDSG), seit Mai 2024 unter diesem Namen in Kraft, setzt die ePrivacy-Richtlinie (2002/58/EG) in deutsches Recht um. §25 TDDDG regelt die Einwilligungspflicht für Cookies, Tracking-Pixel, Fingerprinting und jeden Zugriff auf Endgeräte.

Weitere relevante Vorschriften:

  • SGB X: Sozialdatenschutz
  • §203 StGB: Strafbare Verletzung von Berufsgeheimnissen (Ärzte, Anwälte, Steuerberater)
  • §7 UWG: Wettbewerbsrechtliches Werbeverbot ohne Einwilligung
  • §5 DDG: Impressumspflicht für Telemedien
  • Landesdatenschutzgesetze: Für öffentliche Stellen der Bundesländer
  • KDG/DSG-EKD: Kirchliche Datenschutzgesetze (katholisch/evangelisch)
Rechtsgrundlage Wer muss einen Datenschutzbeauftragten bestellen?
expand_more

Die Pflicht greift in mehreren Fällen, und ein einziger genügt:

  • §38 Abs. 1 S. 1 BDSG: Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Gezählt werden Köpfe, keine Vollzeitäquivalente: Teilzeitkräfte, Freelancer, Praktikanten und Leiharbeiter zählen jeweils als eine Person.
  • Art. 37 Abs. 1 lit. b DSGVO: Die Kerntätigkeit besteht in Verarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordern (z.B. Tracking, Scoring, Videoüberwachung großer Bereiche).
  • Art. 37 Abs. 1 lit. c DSGVO: Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 (Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen) oder von Daten über Straftaten nach Art. 10.
  • §38 Abs. 1 S. 2 BDSG: Eine DSFA nach Art. 35 ist erforderlich, oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der Marktforschung verarbeitet. Beides unabhängig von der Mitarbeiterzahl.

Intern oder extern: Art. 37 Abs. 6 erlaubt beides. Ein interner DSB genießt besonderen Kündigungsschutz (§38 Abs. 2 i.V.m. §6 Abs. 4 BDSG: Schutz während Amtszeit und ein Jahr danach). Ein externer DSB vermeidet dieses Arbeitsrechtsproblem.

Wer darf nicht DSB sein (Interessenkonflikt): Geschäftsführer, IT-Leiter, Personalleiter, Marketingleiter. Bestätigt durch mehrere Gerichtsurteile (BVerwG und diverse OVG-Entscheidungen).

Konsequenz bei Nicht-Benennung: Bußgeld Stufe 1 nach Art. 83 Abs. 4 lit. a (bis 10 Mio. EUR / 2% Umsatz) plus §43 Abs. 1 BDSG (bis 50.000 EUR Ordnungswidrigkeit). Die Aufsichtsbehörde kann die Benennung anordnen (Art. 58 Abs. 2 lit. d).

Rechtsgrundlage Gilt die DSGVO auch für kleine Unternehmen und Startups?
expand_more

Ja, ausnahmslos. Die DSGVO kennt keine Untergrenze nach Unternehmensgröße. Jedes Unternehmen, das personenbezogene Daten verarbeitet (und das tut praktisch jedes), unterliegt der vollständigen Verordnung.

Die einzige Erleichterung betrifft das VVT: Art. 30 Abs. 5 DSGVO nimmt Organisationen mit weniger als 250 Mitarbeitern aus, aber nur dann, wenn die Verarbeitung:

  • kein Risiko für die Rechte der Betroffenen birgt,
  • nur gelegentlich erfolgt, und
  • keine besonderen Datenkategorien (Art. 9/10) betrifft.

In der Praxis erfüllt fast kein Unternehmen alle drei Bedingungen gleichzeitig. Allein die regelmäßige Verarbeitung von Mitarbeiter- oder Kundendaten gilt nicht als „gelegentlich". Die Datenschutzkonferenz (DSK) stellt ausdrücklich fest: De facto braucht jedes Unternehmen ein VVT.

Dies gilt gleichermaßen für Vereine, Stiftungen, Freiberufler und Handwerksbetriebe. „Wir sind zu klein" oder „das betrifft uns nicht" ist keine rechtlich haltbare Position.

Rechtsgrundlage Welche Rechtsgrundlagen erlauben die Datenverarbeitung?
expand_more

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig. Die sechs Erlaubnistatbestände:

  • lit. a) Einwilligung: Freiwillig, informiert, bestimmt und unmissverständlich. Jederzeit widerrufbar. Beweislast beim Verantwortlichen. Strenge Anforderungen (siehe eigener Eintrag).
  • lit. b) Vertragserfüllung: Verarbeitung ist für die Erfüllung eines Vertrags mit dem Betroffenen erforderlich oder für vorvertragliche Maßnahmen. Beispiele: Bestellabwicklung, Lohnabrechnung, Mietvertrag.
  • lit. c) Rechtliche Verpflichtung: Verarbeitung ist zur Erfüllung einer gesetzlichen Pflicht erforderlich. Beispiele: Steuerliche Aufbewahrungspflichten (§147 AO), Meldepflichten an Sozialversicherungsträger.
  • lit. d) Lebenswichtige Interessen: Schutz lebenswichtiger Interessen einer Person. Eng auszulegen, nur in Notfällen (z.B. bewusstloser Patient in der Notaufnahme).
  • lit. e) Öffentliches Interesse: Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Primär für Behörden relevant.
  • lit. f) Berechtigtes Interesse: Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen, sofern die Interessen der Betroffenen nicht überwiegen. Erfordert eine dokumentierte Interessenabwägung. Beispiele: Direktwerbung an Bestandskunden (ErwGr. 47), IT-Sicherheit, Betrugsprävention.

Für besondere Datenkategorien (Art. 9: Gesundheit, Biometrie, Religion, politische Überzeugung etc.) reichen die Rechtsgrundlagen des Art. 6 nicht aus. Zusätzlich muss eine Ausnahme nach Art. 9 Abs. 2 vorliegen, etwa ausdrückliche Einwilligung (lit. a), Arbeitsrecht (lit. b) oder Gesundheitsversorgung (lit. h).

Pflichten Was ist das Verzeichnis von Verarbeitungstätigkeiten (VVT)?
expand_more

Das VVT nach Art. 30 DSGVO ist die zentrale Dokumentationspflicht und das erste Dokument, das Aufsichtsbehörden bei einer Prüfung anfordern. Es muss schriftlich (auch elektronisch) vorliegen und auf Anfrage vorgelegt werden (Art. 30 Abs. 4).

Pflichtinhalte für Verantwortliche (Art. 30 Abs. 1):

  • Name und Kontaktdaten des Verantwortlichen, des Vertreters und des DSB
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern, einschließlich Drittlandübermittlungen
  • Vorgesehene Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32)

Auftragsverarbeiter brauchen ein eigenes VVT nach Art. 30 Abs. 2 mit: Name/Kontakt, Kategorien der Verarbeitung je Auftraggeber, Drittlandtransfers und TOM-Beschreibung.

Ein fehlendes oder unvollständiges VVT wird als systemisches Compliance-Versagen gewertet und fällt unter Bußgeldstufe 1: bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a).

Pflichten Welche technischen und organisatorischen Maßnahmen (TOM) sind Pflicht?
expand_more

Art. 32 DSGVO verlangt Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und des Risikos. Konkret nennt das Gesetz:

  • a)Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • b)Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen
  • c)Fähigkeit, Daten nach einem Zwischenfall rasch wiederherzustellen (Disaster Recovery)
  • d)Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen

Acht Kontrollbereiche (orientiert an §64 BDSG): Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot.

Häufige Verstöße und Referenzfälle: Fehlende Verschlüsselung, gemeinsam genutzte Passwörter, veraltete Software, fehlendes Backup-Konzept. 1&1 Telecom (9,55 Mio. EUR): unzureichende Anruferauthentifizierung. Vodafone (45 Mio. EUR): IT-Sicherheitsmängel.

Pflichten Wann ist eine Datenschutzfolgenabschätzung (DSFA) Pflicht?
expand_more

Art. 35 DSGVO schreibt eine DSFA vor, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt. Drei Fälle sind ausdrücklich genannt:

  • a)Systematische und umfassende Bewertung persönlicher Aspekte (Profiling) mit rechtlicher oder ähnlich erheblicher Wirkung
  • b)Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder Strafdaten (Art. 10)
  • c)Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die DSK-Positivliste ergänzt: umfangreiche Mitarbeiterüberwachung, KI-basierte Entscheidungen mit rechtlicher Wirkung, Verarbeitung biometrischer Daten, große Patientendatensysteme.

Pflichtinhalte (Art. 35 Abs. 7): Systematische Beschreibung der Verarbeitung und Zwecke, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung, Maßnahmen zur Risikominderung.

Ergibt die DSFA ein hohes Restrisiko, muss die Aufsichtsbehörde konsultiert werden (Art. 36). Antwortfrist: 8 Wochen, verlängerbar um 6 Wochen. Wichtig: Eine DSFA-Pflicht löst automatisch auch eine DSB-Pflicht aus (§38 Abs. 1 S. 2 BDSG), unabhängig von der Mitarbeiterzahl.

Pflichten Was muss bei einer Datenpanne passieren?
expand_more

Meldung an die Aufsichtsbehörde (Art. 33): Unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung. Verspätung muss begründet werden. Pflichtinhalte: Art der Verletzung, ungefähre Zahl der Betroffenen und Datensätze, Kontakt des DSB, wahrscheinliche Folgen, ergriffene Gegenmaßnahmen. Stufenmeldung ist zulässig (Art. 33 Abs. 4).

Benachrichtigung der Betroffenen (Art. 34): Zusätzlich erforderlich bei voraussichtlich hohem Risiko. Ausnahmen nur bei: wirksamer Verschlüsselung, nachträglicher Risikominimierung oder unverhältnismäßigem Aufwand (dann öffentliche Bekanntmachung).

Auftragsverarbeiter (Art. 33 Abs. 2): Müssen den Verantwortlichen unverzüglich informieren, in der Praxis noch am selben Tag.

Dokumentationspflicht (Art. 33 Abs. 5): Jede Datenpanne muss intern dokumentiert werden, auch wenn keine Meldung an die Behörde erforderlich ist. Fehlende oder verspätete Meldungen: Bußgeldstufe 1 (bis 10 Mio. EUR / 2% Umsatz).

Pflichten Auftragsverarbeitungsvertrag (AVV): Wann und was muss rein?
expand_more

Immer wenn ein Dritter in Ihrem Auftrag personenbezogene Daten verarbeitet (Cloud-Anbieter, Lohnbüro, IT-Dienstleister, Newsletter-Tool, CRM-Anbieter), verlangt Art. 28 DSGVO einen schriftlichen Vertrag.

Pflichtinhalte (Art. 28 Abs. 3):

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der Daten und Kategorien betroffener Personen
  • Verarbeitung nur auf dokumentierte Weisung
  • Vertraulichkeitsverpflichtung aller Mitarbeiter
  • Angemessene TOM nach Art. 32
  • Regelung zu Unterauftragsverarbeitern (vorherige Genehmigung, Durchreichung aller Pflichten)
  • Unterstützung bei Betroffenenrechten und Datenpannenmeldungen
  • Löschung oder Rückgabe aller Daten nach Vertragsende
  • Prüf- und Kontrollrechte

Unterauftragsverarbeiter (Art. 28 Abs. 2/4): Vorherige schriftliche Genehmigung erforderlich (allgemein oder spezifisch). Bei allgemeiner Genehmigung: Änderungen müssen mitgeteilt werden, Widerspruchsrecht des Verantwortlichen. Auftragsverarbeiter bleibt voll haftbar.

Abgrenzung: Nicht jeder Dienstleister ist Auftragsverarbeiter. Zahlungsdienstleister (PayPal, Stripe) handeln eigenverantwortlich (eigene ZAG-Lizenz). Steuerberater handeln in der Regel eigenverantwortlich kraft Berufsrecht. Kein AVV nötig, aber Information in der Datenschutzerklärung.

Rechte Welche Rechte haben Betroffene nach der DSGVO?
expand_more

Die DSGVO gewährt umfangreiche Rechte, die Unternehmen aktiv erfüllen müssen:

  • Auskunftsrecht (Art. 15): Vollständige Auskunft, ob und welche Daten verarbeitet werden, plus Kopie. Erste Kopie kostenlos.
  • Berichtigung (Art. 16): Unrichtige Daten unverzüglich korrigieren, unvollständige ergänzen.
  • Löschung / Recht auf Vergessenwerden (Art. 17): Bei Zweckentfall, Widerruf der Einwilligung oder unrechtmäßiger Verarbeitung. Ausnahmen: Meinungsfreiheit, gesetzliche Pflichten, Rechtsansprüche.
  • Einschränkung (Art. 18): Während Prüfung einer Berichtigung, bei unrechtmäßiger Verarbeitung, für Rechtsansprüche.
  • Mitteilungspflicht (Art. 19): Jeder Empfänger muss über Berichtigung/Löschung/Einschränkung informiert werden.
  • Datenübertragbarkeit (Art. 20): Strukturiertes, maschinenlesbares Format. Nur bei Einwilligung oder Vertrag und automatisierter Verarbeitung.
  • Widerspruch (Art. 21): Jederzeit bei Art. 6 Abs. 1 lit. e/f. Bei Direktwerbung: absolutes Widerspruchsrecht ohne Abwägung.
  • Automatisierte Entscheidungen (Art. 22): Recht, nicht einer rein automatisierten Entscheidung mit rechtlicher Wirkung unterworfen zu werden. Recht auf menschliches Eingreifen.

Frist: Ein Monat (Art. 12 Abs. 3). Verlängerung um zwei Monate bei Komplexität, aber nur mit Begründung innerhalb des ersten Monats. Kostenlos als Grundregel. Ignorierte Anfragen sind einer der häufigsten Beschwerdegründe bei Aufsichtsbehörden.

Rechte Was macht eine wirksame Einwilligung aus?
expand_more

Art. 4 Nr. 11 und Art. 7 DSGVO setzen fünf kumulative Anforderungen:

  • Freiwillig: Keine Nachteile bei Verweigerung. Koppelungsverbot (Art. 7 Abs. 4): Vertragserfüllung darf nicht von einer nicht-erforderlichen Einwilligung abhängen.
  • Bestimmt: Für jeden Zweck eine separate Einwilligung. Pauschal für mehrere unverbundene Zwecke: unwirksam.
  • Informiert: Vor Erteilung muss klar sein: wer, was, wozu, und dass jederzeit widerrufbar.
  • Unmissverständlich: Aktives Handeln. Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit genügen nicht (ErwGr. 32, EuGH Planet49 C-673/17).
  • Widerrufbar: Widerruf so einfach wie Erteilung (Art. 7 Abs. 3). Ein Klick zum Einwilligen = maximal ein Klick zum Widerruf.

Im Arbeitsverhältnis (§26 Abs. 2 BDSG): Nur wirksam bei echter Wahlfreiheit oder wenn der Beschäftigte einen Vorteil erlangt. Machtgefälle macht Einwilligung grundsätzlich problematisch.

Besondere Kategorien (Art. 9): Erfordern ausdrückliche Einwilligung (höherer Standard als „normale" Einwilligung).

Beweislast: Der Verantwortliche muss nachweisen, dass eine wirksame Einwilligung vorliegt (Art. 7 Abs. 1). Ohne Dokumentation gilt sie als nicht erteilt.

Strafen Wie hoch sind die Bußgelder bei DSGVO-Verstößen?
expand_more

Stufe 1 (Art. 83 Abs. 4): Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes

Betrifft: Pflichten des Verantwortlichen/Auftragsverarbeiters (Art. 8, 11, 25 bis 39, 42, 43). Beispiele: fehlendes VVT, fehlender DSB, mangelnde TOM, verspätete Datenpannenmeldung, fehlende AVV.

Stufe 2 (Art. 83 Abs. 5): Bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes

Betrifft: Verarbeitungsgrundsätze (Art. 5, 6, 9), Betroffenenrechte (Art. 12 bis 22), Drittlandübermittlungen (Art. 44 bis 49), behördliche Anordnungen.

Entscheidend ist jeweils der höhere Betrag. Seit dem EuGH-Urteil Deutsche Wohnen (C-807/21) ist klargestellt, dass „Umsatz" sich auf den gesamten Konzernumsatz bezieht. Bußgelder können direkt gegen juristische Personen verhängt werden, ohne dass ein persönliches Verschulden eines Organmitglieds nachgewiesen werden muss.

Die Bemessung folgt 11 Kriterien (Art. 83 Abs. 2): Schwere und Dauer, Vorsatz/Fahrlässigkeit, ergriffene Gegenmaßnahmen, Kooperationsbereitschaft, frühere Verstöße, betroffene Datenkategorien, Art der Kenntniserlangung durch die Behörde.

Strafen Droht bei Datenschutzverstößen auch Gefängnis?
expand_more

Ja. Neben den Bußgeldern nach Art. 83 DSGVO sieht das deutsche Recht Freiheitsstrafen vor:

  • §42 Abs. 1 BDSG: Bis zu 3 Jahre Freiheitsstrafe für wissentliche unbefugte Übermittlung nicht öffentlicher Daten an eine Vielzahl von Personen oder deren geschäftsmäßige Verarbeitung.
  • §42 Abs. 2 BDSG: Bis zu 2 Jahre Freiheitsstrafe für unbefugte Verarbeitung nicht öffentlicher Daten gegen Entgelt, mit Bereicherungsabsicht oder in Schädigungsabsicht.
  • §203 StGB: Bis zu 1 Jahr Freiheitsstrafe für Verletzung von Berufsgeheimnissen (Ärzte, Anwälte, Steuerberater, Apotheker).

Die strafrechtliche Haftung trifft natürliche Personen: Geschäftsführer, IT-Verantwortliche, Mitarbeiter. Sie besteht unabhängig von und zusätzlich zu Bußgeldern gegen das Unternehmen.

§42 Abs. 3 BDSG: Strafantragsdelikt. Verfolgung nur auf Antrag des Betroffenen, des Verantwortlichen, des DSB oder der Aufsichtsbehörde.

Strafen Welche Bußgelder wurden in Deutschland tatsächlich verhängt?
expand_more

Vodafone Deutschland (BfDI, 2025): 45 Mio. EUR

30 Mio. EUR wegen IT-Sicherheitsmängeln, 15 Mio. EUR wegen mangelhafter Auftragsverarbeitung.

H&M (HmbBfDI Hamburg, 2020): 35,3 Mio. EUR

Systematische Überwachung von Mitarbeitern am Standort Nürnberg. Private Details (Gesundheit, Religion, Familie) erfasst und für bis zu 50 Führungskräfte zugänglich.

Deutsche Wohnen SE (BlnBDI Berlin, 2019): 14,5 Mio. EUR

Kein Löschkonzept: Mieterdaten ohne Zweck und ohne Löschfristen auf unbestimmte Zeit gespeichert. Fall führte zum EuGH-Urteil C-807/21 zur Konzernhaftung.

notebooksbilliger.de (LfD Niedersachsen, 2021): 10,4 Mio. EUR

Videoüberwachung von Mitarbeitern ohne Rechtsgrundlage über mindestens zwei Jahre.

1&1 Telecom (BfDI, 2019): 9,55 Mio. EUR

Unzureichende Authentifizierung im Callcenter. Anrufer konnten mit Name und Geburtsdatum auf fremde Kundendaten zugreifen. (Später auf 900.000 EUR reduziert.)

BREBAU GmbH (LfDI Bremen, 2022): 1,9 Mio. EUR

Erfassung von Ethnie, Religion, Behinderung und Schwangerschaft von Wohnungsbewerbern ohne Rechtsgrundlage.

Deutschland hat mit 18 unabhängigen Aufsichtsbehörden (BfDI + 16 Landesbehörden + BfDI als Bundesbeauftragter) eine der höchsten Überwachungsdichten in der EU.

Strafen Wie laufen behördliche Prüfungen und Kontrollen ab?
expand_more

Auslöser: Beschwerden von Betroffenen (Art. 77, häufigster Auslöser), eigene Datenpannenmeldungen, Medienberichte, systematische Branchenprüfungen (z.B. BayLDA Cookie-Audits), Hinweise von Wettbewerbern, Nachprüfungen.

Typischer Ablauf:

  • 1. Schriftlicher Fragebogen mit Anforderung von Dokumenten (VVT, TOM, AVV, DSFA, Einwilligungsnachweise, Datenschutzerklärungen)
  • 2. Dokumentenprüfung durch die Behörde
  • 3. Ggf. Vor-Ort-Kontrolle (Art. 58 Abs. 1 lit. f: Zugang zu Räumlichkeiten und IT-Systemen)
  • 4. Anhörung des Unternehmens
  • 5. Entscheidung: Verwarnung, Verweis, Anordnung oder Bußgeld

Zuständigkeit: Für private Unternehmen: die Behörde des Bundeslandes, in dem die Hauptniederlassung liegt. Für EU-weit tätige Unternehmen mit Sitz in Deutschland: die deutsche Behörde als federführende Aufsichtsbehörde (Art. 56, One-Stop-Shop).

Die Behörden können Verarbeitungen sofort stoppen (Art. 58 Abs. 2 lit. f). Das kann bedeuten, dass ein Geschäftsprozess von einem Tag auf den anderen eingestellt werden muss.

Website Was verlangt das Gesetz bei Cookies und Tracking?
expand_more

§25 TDDDG ist die zentrale Vorschrift. Die Regelung ist technologieneutral: sie erfasst Cookies, Fingerprinting, Pixel, Local Storage und jeden Zugriff auf Endgeräte.

Einwilligung erforderlich für: Analyse-Cookies (Google Analytics, Matomo mit Cookies), Werbe-/Tracking-Cookies, Remarketing-Pixel, Social-Media-Plugins mit Datenübermittlung, A/B-Testing-Tools, eingebettete Drittinhalte die Cookies setzen.

Keine Einwilligung nötig (§25 Abs. 2): Session-/Warenkorb-Cookies, Authentifizierung, Spracheinstellungen (wenn funktional nötig), Load-Balancing, das Cookie-Banner selbst.

Cookie-Banner-Anforderungen: Echtes Opt-in (keine vorangekreuzten Kästchen, EuGH Planet49 C-673/17), granulare Wahlmöglichkeiten, Ablehnung genauso einfach wie Zustimmung, keine Dark Patterns. BGH bestätigt 2020 (I ZR 7/16). Seit 01.04.2025: Einwilligungsverwaltungsverordnung (EinwVO) nach §26 TDDDG in Kraft.

Häufigster Verstoß: Tracking-Skripte die vor der Einwilligung laden, oder „Akzeptieren"-Buttons die deutlich prominenter sind als die Ablehnungsoption.

Website Was muss in einer Datenschutzerklärung stehen?
expand_more

Art. 13 und 14 DSGVO sind nicht verhandelbar. Bei Datenerhebung direkt beim Betroffenen muss zum Zeitpunkt der Erhebung mitgeteilt werden:

  • Identität und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage jeder einzelnen Verarbeitung
  • Berechtigte Interessen (falls Art. 6 Abs. 1 lit. f)
  • Empfänger oder Kategorien von Empfängern
  • Drittlandübermittlungen und Garantien (SCCs, DPF etc.)
  • Speicherdauer oder Kriterien für die Festlegung
  • Alle Betroffenenrechte (Art. 15 bis 22)
  • Recht auf Widerruf einer Einwilligung
  • Beschwerderecht bei der Aufsichtsbehörde
  • Ob Bereitstellung gesetzlich/vertraglich vorgeschrieben ist
  • Informationen zu automatisierten Entscheidungen inkl. Profiling

Fehlende oder unvollständige Datenschutzerklärungen: Bußgeldstufe 2 (Art. 83 Abs. 5: bis 20 Mio. EUR / 4% Umsatz), da Informationsrechte der Betroffenen verletzt.

Website Welche Regeln gelten für E-Mail-Marketing?
expand_more

§7 Abs. 2 Nr. 3 UWG: Werbung per E-Mail ohne vorherige ausdrückliche Einwilligung ist unzumutbare Belästigung. Der deutsche Standard ist Double-Opt-In: nach Adresseingabe muss ein Bestätigungslink geklickt werden.

Bestandskundenausnahme (§7 Abs. 3 UWG): Nur zulässig wenn alle vier Bedingungen gleichzeitig erfüllt sind:

  • E-Mail-Adresse im Zusammenhang mit einem Kauf erhalten
  • Werbung für eigene ähnliche Produkte/Dienstleistungen
  • Kunde hat nicht widersprochen
  • Hinweis auf Widerspruchsrecht bei Erhebung und in jeder E-Mail

DSGVO-Ebene: Zusätzlich braucht jede Verarbeitung eine Rechtsgrundlage nach Art. 6. Art. 21 Abs. 2 (Widerspruch gegen Direktwerbung) ist absolut und muss bei Erstkontakt ausdrücklich und getrennt dargestellt werden.

Tracking in E-Mails (Öffnungsraten, Klickverhalten) erfordert zusätzlich Einwilligung nach §25 TDDDG, da auf das Endgerät zugegriffen wird.

Beschäftigte Was regelt der Beschäftigtendatenschutz?
expand_more

§26 BDSG war die zentrale Vorschrift. Daten dürfen verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist.

Achtung: Der EuGH hat am 30.03.2023 (C-34/21) eine inhaltlich identische Landesnorm für unvereinbar mit Art. 88 DSGVO erklärt, da sie keine „spezifischeren Vorschriften" enthielt. §26 BDSG steht seitdem auf wackeligem rechtlichen Fundament. Viele Praktiker empfehlen, sich direkt auf Art. 6 Abs. 1 lit. b und f DSGVO zu stützen. Eine Gesetzesreform (Beschäftigtendatenschutzgesetz) ist geplant.

Erfasste Datenverarbeitungen:

  • Bewerbungsverfahren (Daten löschen nach ca. 6 Monaten, wenn keine Einwilligung in Talentpool)
  • Personalakten (Name, Adresse, Bankverbindung, Steuerklasse, SV-Nummer)
  • Zeiterfassung und Arbeitszeitdokumentation
  • Gehaltsabrechnung (häufig über externes Lohnbüro = AVV-pflichtig)
  • BEM-Verfahren (Betriebliches Eingliederungsmanagement, besondere Kategorie: Gesundheitsdaten)

Betriebsrat (§87 Abs. 1 Nr. 6 BetrVG): Mitbestimmungsrecht bei Einführung technischer Einrichtungen zur Verhaltens-/Leistungsüberwachung. §79a BetrVG: Der Arbeitgeber bleibt Verantwortlicher, auch wenn der Betriebsrat Daten verarbeitet.

§26 Abs. 4: Gilt auch für Bewerber und ehemalige Beschäftigte.

Beschäftigte Was ist bei Mitarbeiterüberwachung erlaubt und was nicht?
expand_more

Mitarbeiterüberwachung ist der sensibelste Bereich des Beschäftigtendatenschutzes. Die Grundregel: Verhältnismäßigkeit. Jede Überwachungsmaßnahme muss erforderlich, geeignet und angemessen sein.

Videoüberwachung am Arbeitsplatz:

  • Öffentlich zugängliche Räume: nur bei konkretem Sicherheitsbedürfnis, transparent (Hinweisschilder)
  • Nicht-öffentliche Arbeitsräume: nur in Ausnahmefällen (konkreter Verdacht auf Straftaten, zeitlich begrenzt, dokumentiert)
  • Lückenlose Dauerüberwachung: immer unzulässig
  • Referenzfall: notebooksbilliger.de (10,4 Mio. EUR Bußgeld)

GPS-Tracking von Firmenwagen: Nur mit Information der Mitarbeiter und verhältnismäßiger Ausgestaltung. Lückenlose Überwachung (jede Fahrt, jede Pause) ist unzulässig. Betriebsvereinbarung oder Individualvereinbarung erforderlich.

E-Mail-/Internetüberwachung: Bei rein dienstlicher Nutzung: Arbeitgeber kann als Verantwortlicher Zugriff nehmen. Bei erlaubter Privatnutzung: Arbeitgeber wird zum Telekommunikationsanbieter, Fernmeldegeheimnis (§3 TDDDG) greift. Zugriff auf private E-Mails dann grundsätzlich unzulässig.

Betriebsrat: §87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht bei allen technischen Einrichtungen, die objektiv zur Überwachung geeignet sind (auch wenn nicht beabsichtigt). Ohne Betriebsratsvereinbarung: rechtswidrig.

Unsicher, was für Sie gilt?

Wir analysieren Ihre individuelle Situation und sagen Ihnen genau, welche Pflichten bestehen und wie Sie sie effizient erfüllen.

Kostenlose Erstberatung