EuroComply
Konto erstellen
Back to blog
DSGVO 12 min read

Was ist die DSGVO? Ein vollständiger Leitfaden für Unternehmen

What you need to know: Was ist die DSGVO? Ein vollständiger Leitfaden für Unternehmen

Die DSGVO (Verordnung 2016/679) ist das EU-Datenschutzrecht. Dieser Leitfaden behandelt die 6 Rechtsgrundlagen, Betroffenenrechte, VVT, DSB, DSFA und Bußgelder nach Art. 83 — mit praktischen Hinweisen für KMU.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die Datenschutz-Grundverordnung (Verordnung 2016/679) ist das grundlegende Datenschutzrecht der Europäischen Union. Sie trat am 25. Mai 2018 in Kraft, ersetzte die Datenschutzrichtlinie von 1995 und gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet — unabhängig davon, wo diese Organisation ihren Sitz hat.

Dieser Leitfaden behandelt die wichtigsten Pflichten, die jedes Unternehmen kennen muss: Rechtsgrundlagen, Betroffenenrechte, Aufzeichnungspflichten, besondere Funktionen, Folgenabschätzungen, Meldung von Datenpannen, internationale Übermittlungen und Bußgelder.

Was ist die DSGVO?

Die DSGVO legt Regeln dafür fest, wie Organisationen personenbezogene Daten erheben, speichern, verwenden und weitergeben. Personenbezogene Daten sind alle Informationen, die eine lebende Person identifizieren können — Namen, E-Mail-Adressen, IP-Adressen, Gerätekennungen, Standortdaten, Gesundheitsdaten und vieles mehr.

Die Verordnung hat gemäß Artikel 3 einen extraterritorialen Anwendungsbereich. Sie gilt für:

  • Jede Organisation mit Niederlassung in der EU, unabhängig davon, wo die Verarbeitung stattfindet
  • Jede Organisation außerhalb der EU, die Betroffenen in der EU Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet (z. B. durch Cookies, Analysen, Profiling)

Ein US-amerikanisches SaaS-Unternehmen mit europäischen Kunden, ein Einzelhändler aus Singapur, der nach Deutschland liefert, und ein brasilianisches Personalvermittlungsunternehmen, das EU-Bewerber prüft — alle unterliegen der DSGVO.

Die zwei Rollen unter der DSGVO sind:

  • Verantwortlicher (Art. 4(7)) — bestimmt die Zwecke und Mittel der Verarbeitung. Trägt die primäre Compliance-Verantwortung.
  • Auftragsverarbeiter (Art. 4(8)) — verarbeitet Daten im Auftrag eines Verantwortlichen. Muss auf Grundlage eines Auftragsverarbeitungsvertrags handeln (Art. 28).

Die sechs Rechtsgrundlagen (Artikel 6)

Jede Verarbeitung personenbezogener Daten muss auf einer von sechs Rechtsgrundlagen beruhen. Es gibt keine Hierarchie — die richtige Grundlage hängt vom Kontext und Zweck der Verarbeitung ab.

| Rechtsgrundlage | Beschreibung | Typischer Anwendungsfall | |-----------------|--------------|--------------------------| | Einwilligung (Art. 6(1)(a)) | Freiwillig erteilte, spezifische, informierte und eindeutige Willensbekundung | Marketing-E-Mails, optionale Cookies | | Vertrag (Art. 6(1)(b)) | Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person | Bestellungsabwicklung, Erbringung einer Dienstleistung | | Rechtliche Verpflichtung (Art. 6(1)(c)) | Verarbeitung zur Erfüllung einer rechtlichen Pflicht nach EU- oder nationalem Recht | Steuerunterlagen, arbeitsrechtliche Pflichten | | Lebenswichtige Interessen (Art. 6(1)(d)) | Verarbeitung zum Schutz des Lebens | Medizinische Notfälle | | Öffentliche Aufgabe (Art. 6(1)(e)) | Verarbeitung in Ausübung öffentlicher Gewalt | Staatliche Aufgaben, öffentliche Stellen | | Berechtigte Interessen (Art. 6(1)(f)) | Verarbeitung auf Grundlage berechtigter Interessen, die nicht von den Rechten der betroffenen Person überwiegen | Betrugsprävention, Netzwerksicherheit, B2B-Marketing |

Die Einwilligung erfordert eine aktive Zustimmung. Vorausgefüllte Kästchen, gebündelte Einwilligung und Einwilligung als Bedingung für eine Dienstleistung erfüllen Artikel 6(1)(a) nicht. Berechtigte Interessen (Art. 6(1)(f)) erfordern einen dreistufigen Test: das berechtigte Interesse bestimmen, die Erforderlichkeit nachweisen und es gegen die Rechte und Freiheiten der betroffenen Person abwägen.

Betroffenenrechte (Artikel 15–22)

Die DSGVO gewährt natürlichen Personen acht durchsetzbare Rechte gegenüber Verantwortlichen. Jedes Recht hat spezifische Voraussetzungen, Ausnahmen und Antwortfristen (grundsätzlich ein Kalendermonat, verlängerbar um zwei Monate bei komplexen Fällen gemäß Art. 12(3)).

| Recht | Artikel | Bedeutung | |-------|---------|-----------| | Auskunft | Art. 15 | Recht auf Bestätigung der Verarbeitung und Erhalt einer Kopie der gespeicherten Daten | | Berichtigung | Art. 16 | Recht auf Korrektur unrichtiger oder unvollständiger Daten | | Löschung („Recht auf Vergessenwerden") | Art. 17 | Recht auf Löschung bei unrechtmäßiger Verarbeitung, Widerruf der Einwilligung oder wenn Daten nicht mehr erforderlich sind | | Einschränkung | Art. 18 | Recht auf Einschränkung der Verarbeitung, solange Richtigkeit oder Rechtmäßigkeit angefochten wird | | Datenübertragbarkeit | Art. 20 | Recht auf Erhalt der Daten in einem strukturierten, maschinenlesbaren Format (gilt nur für Einwilligungs- und Vertragsgrundlage) | | Widerspruch | Art. 21 | Recht auf Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen oder zu Direktmarketingzwecken (absolutes Recht für Marketing) | | Kein automatisierter Entscheid | Art. 22 | Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden | | Widerruf der Einwilligung | Art. 7(3) | Recht auf jederzeitigen Widerruf der Einwilligung ohne Nachteile |

Organisationen müssen Betroffenen eine Möglichkeit zur Ausübung dieser Rechte bereitstellen und dürfen für Standardanfragen keine Gebühr erheben (Art. 12(5)).

Zentrale Compliance-Pflichten

Verzeichnis von Verarbeitungstätigkeiten — VVT (Artikel 30)

Verantwortliche müssen ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen. Das VVT muss enthalten:

  • Name und Kontaktdaten des Verantwortlichen (und des DSB, sofern vorhanden)
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern, einschließlich Übermittlungen in Drittländer
  • Löschfristen (oder die zur Bestimmung herangezogenen Kriterien)
  • Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen

Die Ausnahme vom VVT für Organisationen mit weniger als 250 Beschäftigten (Art. 30(5)) ist eng begrenzt — sie gilt nicht, wenn die Verarbeitung nicht nur gelegentlich erfolgt, besondere Kategorien von Daten (Art. 9) betrifft oder ein Risiko für Rechte und Freiheiten mit sich bringen könnte. Die meisten Unternehmen können sich nicht darauf berufen.

Datenschutzbeauftragter — DSB (Artikel 37–39)

Die Bestellung eines DSB ist verpflichtend für:

  • Öffentliche Stellen und Behörden (Art. 37(1)(a))
  • Verantwortliche oder Auftragsverarbeiter, deren Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erfordert (Art. 37(1)(b)) — z. B. Adtech- und Tracking-Plattformen
  • Verantwortliche oder Auftragsverarbeiter, deren Kerntätigkeit eine umfangreiche Verarbeitung besonderer Kategorien von Daten umfasst (Art. 37(1)(c)) — Gesundheitsdaten, Biometrie, Strafregister

Unternehmen, die diese Schwellenwerte nicht erfüllen, können freiwillig einen DSB bestellen. Der DSB muss über Fachwissen im Datenschutzrecht verfügen (Art. 37(5)), darf wegen der Ausübung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38(3)) und muss unmittelbar der höchsten Managementebene berichten (Art. 38(3)).

Hinweis zur deutschen nationalen Regelung: Das Bundesdatenschutzgesetz (BDSG) enthält in § 38 eine nationale Regelung, die die Bestellungspflicht für Unternehmen mit in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder bei umfangreicher Verarbeitung besonderer Datenkategorien auch unterhalb der DSGVO-Schwellenwerte auslösen kann. Diese Regelung gilt ausschließlich in Deutschland und ist kein universelles EU-Recht.

Datenschutz-Folgenabschätzung — DSFA (Artikel 35)

Eine DSFA ist erforderlich, bevor eine Verarbeitung begonnen wird, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt. Die DSGVO legt drei Kategorien fest, die eine DSFA erfordern:

  1. Systematische und umfassende automatisierte Profilerstellung mit erheblichen Auswirkungen
  2. Umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9) oder von Daten zu strafrechtlichen Verurteilungen (Art. 10)
  3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Aufsichtsbehörden veröffentlichen Listen von Verarbeitungsvorgängen, für die eine DSFA erforderlich ist (Art. 35(4)). Eine DSFA muss eine Beschreibung der Verarbeitung, eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit, die ermittelten Risiken und die vorgesehenen Maßnahmen zur Behebung dieser Risiken enthalten (Art. 35(7)).

Ergibt die DSFA ein hohes Restrisiko, muss der Verantwortliche vor Beginn der Verarbeitung die Aufsichtsbehörde konsultieren (Art. 36).

Meldung von Datenpannen (Artikel 33–34)

Artikel 33 — Datenschutzverletzungen müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls gemeldet werden, sofern die Verletzung voraussichtlich kein Risiko für betroffene Personen mit sich bringt. Erfolgt die Meldung nach Ablauf von 72 Stunden, müssen die Gründe für die Verzögerung erläutert werden.

Artikel 34 — Ist eine Datenpanne voraussichtlich mit einem hohen Risiko für betroffene Personen verbunden, müssen diese unverzüglich in klarer und einfacher Sprache benachrichtigt werden.

Auftragsverarbeiter müssen ihren Verantwortlichen unverzüglich nach Bekanntwerden einer Datenpanne informieren (Art. 33(2)).

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Artikel 25)

Verantwortliche müssen sowohl zum Zeitpunkt der Konzeption der Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen umsetzen, um Datenschutzgrundsätze wirksam umzusetzen und die erforderlichen Garantien zu integrieren. Datensparsamkeit (nur das Notwendige erheben) und Zweckbindung (Daten nicht über den ursprünglichen Zweck hinaus verwenden) sind die zentralen Pflichten.

Internationale Datenübermittlungen (Kapitel V)

Die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) ist eingeschränkt. Eine Übermittlung darf nur stattfinden, wenn einer der folgenden Mechanismen anwendbar ist:

  • Angemessenheitsbeschluss (Art. 45) — Die Europäische Kommission hat das Datenschutzniveau des Ziellands als gleichwertig bewertet. Aktuelle Angemessenheitsbeschlüsse gelten für: Vereinigtes Königreich, Schweiz, Japan, Südkorea, Israel, Neuseeland, Kanada (kommerzielle Organisationen) und das EU-US Data Privacy Framework (DPF, verabschiedet Juli 2023 nach dem Schrems II-Urteil des Gerichtshofs der EU, das den Privacy Shield für ungültig erklärte).

  • Standardvertragsklauseln — SCC (Art. 46(2)(c)) — Von der Europäischen Kommission genehmigte Mustervertragsklauseln mit angemessenen Garantien. Die SCCs von 2021 ersetzten die alten Versionen von 2001/2004/2010. Nach Schrems II müssen Verantwortliche vor der Verwendung von SCCs eine Transfer Impact Assessment (TIA) durchführen, um zu prüfen, ob das Recht des Ziellands die Wirksamkeit der SCCs beeinträchtigt.

  • Verbindliche interne Datenschutzvorschriften — BCR (Art. 47) — Genehmigte konzerninterne Übermittlungsmechanismen für multinationale Unternehmen. Erfordern die Genehmigung einer Aufsichtsbehörde.

  • Ausnahmen (Art. 49) — Nur restriktiv anwendbar: ausdrückliche Einwilligung, Vertragserfüllung, öffentliches Interesse, Rechtsansprüche, lebenswichtige Interessen.

Das Schrems II-Urteil (C-311/18, Juli 2020) ist nach wie vor maßgebliche Rechtsprechung. Das EU-US DPF trägt vielen Bedenken Rechnung, seine Beständigkeit bei einer zukünftigen Anfechtung ist jedoch nicht garantiert. Organisationen, die sich auf US-Übermittlungen stützen, sollten SCC + TIA-Dokumentation als Rückfalllösung pflegen.

Bußgelder (Artikel 83)

Die DSGVO sieht eine zweistufige Bußgeldstruktur vor. Bußgelder werden anhand des jeweils höheren Betrags — absoluter Betrag oder prozentualer Anteil am weltweiten Jahresumsatz — bemessen.

| Stufe | Verstöße | Höchstbußgeld | |-------|----------|---------------| | Artikel 83(4) — Untere Stufe | Art. 8, 11 (Einwilligung von Kindern), Art. 25–39 (DSB, DSFA, VVT, Datenschutz durch Technikgestaltung), Art. 42–43 (Zertifizierung), Art. 41–44 (Zusammenarbeit mit Aufsichtsbehörde) | 10.000.000 € oder 2 % des weltweiten Jahresumsatzes | | Artikel 83(5) — Obere Stufe | Art. 5–7, 9 (Grundprinzipien, Rechtsgrundlage, besondere Kategorien), Art. 12–22 (Betroffenenrechte), Art. 44–49 (internationale Übermittlungen), Pflichten nach nationalem Recht gemäß Kapitel IX | 20.000.000 € oder 4 % des weltweiten Jahresumsatzes |

Die EU-Aufsichtsbehörden haben ihre Bereitschaft bewiesen, erhebliche Bußgelder zu verhängen. Meta wurde im Mai 2023 von der irischen Datenschutzkommission (DPC) mit 1,2 Milliarden Euro für rechtswidrige EU-US-Datenübermittlungen belegt. Amazon erhielt 2021 ein Bußgeld von 746 Millionen Euro von der luxemburgischen CNPD. TikTok wurde 2023 von der irischen DPC mit 345 Millionen Euro für Verstöße bei der Verarbeitung von Kinderdaten belegt.

Praktische Checkliste für KMU

DSGVO-Compliance ist kein einmaliges Projekt — sie ist ein fortlaufendes Programm. Für KMU, die neu im Bereich DSGVO sind, legen die folgenden fünf Schritte das Fundament:

  1. Datenflüsse kartieren. Identifizieren Sie jede Kategorie personenbezogener Daten, die Sie erheben, deren Herkunft, Verwendungszweck, Empfänger und Aufbewahrungsdauer. Dies ist die Grundlage für Ihr VVT.

  2. Rechtsgrundlagen festlegen. Dokumentieren Sie für jede Verarbeitungstätigkeit die Rechtsgrundlage. Aktualisieren Sie Ihre Datenschutzerklärung, um dies klar und in verständlicher Sprache widerzuspiegeln (Art. 13–14).

  3. Einwilligungsmechanismen überprüfen. Stellen Sie sicher, dass Marketing-Einwilligungen opt-in-basiert, spezifisch und dokumentiert sind. Prüfen Sie Cookie-Banner — vorausgefüllte Kästchen und berechtigte Interessen für Werbe-Cookies sind in den meisten EU-Rechtsordnungen nicht konform.

  4. Drittanbieter und Auftragsverarbeiter prüfen. Stellen Sie für jeden Anbieter oder jedes SaaS-Tool, das personenbezogene Daten in Ihrem Auftrag verarbeitet, sicher, dass ein konformer Auftragsverarbeitungsvertrag vorliegt (Art. 28). Führen Sie bei US-basierten Auftragsverarbeitern eine TIA durch und stellen Sie sicher, dass SCCs unterzeichnet sind (oder überprüfen Sie die DPF-Zertifizierung).

  5. Verfahren zur Reaktion auf Datenpannen einführen. Legen Sie fest, wer für die Erkennung von Datenpannen, die interne Eskalation, die Meldung an die Aufsichtsbehörde und die Benachrichtigung betroffener Personen verantwortlich ist. Führen Sie eine Tischübung durch.

Für Organisationen, die Gesundheitsdaten, Strafregister, biometrische Daten verarbeiten oder umfangreiche Profilerstellung betreiben, kommen DSFA-Pflichten hinzu; prüfen Sie außerdem, ob ein DSB erforderlich ist.


Zuletzt aktualisiert: April 2026.

Häufig gestellte Fragen

Gilt die DSGVO auch für mein Unternehmen außerhalb der EU?

Ja, wenn Ihr Unternehmen Personen in der EU anspricht oder beobachtet. Artikel 3(2) verleiht der DSGVO ausdrücklich extraterritoriale Wirkung: Sie gilt für jede Organisation außerhalb der EU, die Betroffenen in der Union Waren oder Dienstleistungen anbietet (einschließlich kostenloser Dienste) oder das Verhalten von Personen in der EU beobachtet — z. B. durch verhaltensbezogene Werbung, Analyse-Tracking oder Profiling. Ein US-amerikanisches Unternehmen mit einer mehrsprachigen europäischen Website, einem in Euro ausgewiesenen Abonnementangebot oder Tracking-Cookies auf EU-Besuchern verarbeitet personenbezogene Daten im Sinne der DSGVO und muss alle Pflichten erfüllen, einschließlich der Bestellung eines EU-Vertreters nach Artikel 27, sofern keine EU-Niederlassung vorhanden ist.

Wann ist ein Datenschutzbeauftragter (DSB) erforderlich?

Gemäß Artikel 37 ist ein DSB in drei Fällen verpflichtend: für öffentliche Stellen und Behörden; für Organisationen, deren Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erfordert (z. B. Adtech-Plattformen, Dienste zur Mitarbeiterüberwachung oder Standortdatenbroker); und für Organisationen, deren Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien nach Artikel 9 oder von Daten über strafrechtliche Verurteilungen nach Artikel 10 umfasst. „Kerntätigkeit" bezeichnet die primären Geschäftsaktivitäten — nicht die gelegentliche HR- oder Gehaltsabrechnung. Der DSB muss über Fachwissen im Datenschutzrecht verfügen, darf bei der Ausübung seiner Aufgaben keine Weisungen entgegennehmen und berichtet gemäß Artikel 38 unmittelbar an die höchste Managementebene.

Hinweis: In Deutschland kann § 38 BDSG eine Bestellungspflicht begründen, die über die DSGVO-Schwellen hinausgeht. Dies ist ausschließlich deutsches nationales Recht.

Welche Höchstbußgelder sieht die DSGVO vor?

Die Bußgeldstruktur der DSGVO nach Artikel 83 hat zwei Stufen. Die untere Stufe (Artikel 83(4)) umfasst Verstöße gegen Pflichten wie Datenschutz durch Technikgestaltung, DSFA-Anforderungen, DSB-Regeln und Verzeichnis der Verarbeitungstätigkeiten — bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die obere Stufe (Artikel 83(5)) erfasst Verstöße gegen die Grundprinzipien der Verarbeitung, Anforderungen an Rechtsgrundlagen, Betroffenenrechte und internationale Übermittlungsregeln — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Aufsichtsbehörden haben für große Organisationen konsequent den höheren Prozentsatz angewandt: Meta wurde 2023 von der irischen DPC mit 1,2 Milliarden Euro für rechtswidrige EU-US-Datenübermittlungen belegt.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Was ist die DSGVO? Ein vollständiger Leitfaden für Unternehmen

This article covers: Was ist die DSGVO?, Die sechs Rechtsgrundlagen (Artikel 6), Betroffenenrechte (Artikel 15–22).

  • Was ist die DSGVO?
  • Die sechs Rechtsgrundlagen (Artikel 6)
  • Betroffenenrechte (Artikel 15–22)
  • Zentrale Compliance-Pflichten
  • Internationale Datenübermittlungen (Kapitel V)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Was ist die DSGVO? Ein vollständiger Leitfaden für Unternehmen