EuroComply
Konto erstellen

General Data Protection Regulation

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO) ist das europäische Datenschutzrecht für alle Unternehmen, unabhängig von ihrem Sitz, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten. Sie gilt unmittelbar seit 25. Mai 2018 und wird durch nationale Datenschutzbehörden durchgesetzt — in Deutschland durch 16 Landesdatenschutzbeauftragte (für nicht-öffentliche Stellen) und den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikationsanbieter. Höchste Geldbuße: 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes (Artikel 83).

Free GDPR Fine Risk Calculator

What does GDPR require and when does it apply?

GDPR applies to All sectors processing EU personal data organisations across all EU member states. The key deadline is In force since May 25, 2018. Non-compliance carries a maximum penalty of €20M or 4% of global turnover. Core obligations include maintain records of processing activities (ropa) and conduct data protection impact assessments.

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours
DeadlineIn force since May 25, 2018
Max fine€20M or 4% of global turnover
Primary sectorsAll sectors processing EU personal data
Source: Official Journal of the EU — General Data Protection RegulationReviewed:
TL;DR

GDPR: €20M or 4% of global turnover max fine

GDPR applies to All sectors processing EU personal data organisations in all EU member states. Key deadline: In force since May 25, 2018.

Source: Official Journal of the European Union — General Data Protection Regulation

Who does GDPR apply to?

Die DSGVO gilt für jede Organisation — öffentlich oder privat, EU-ansässig oder nicht —, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeitet. Dies umfasst sowohl die Bereitstellung von Waren oder Dienstleistungen als auch die Überwachung des Verhaltens von EU-Bewohnern.

  • In der EU ansässige Verantwortliche und Auftragsverarbeiter, unabhängig vom Verarbeitungsort
  • Nicht-EU-Verantwortliche und -Auftragsverarbeiter, die Waren oder Dienstleistungen für Personen in der EU anbieten
  • Nicht-EU-Verantwortliche und -Auftragsverarbeiter, die das Verhalten von Personen in der EU überwachen
  • Alle wirtschaftlichen Sektoren ohne Ausnahmen — das BDSG ergänzt die DSGVO um nationale Regelungen (z. B. Bestellungspflicht für Datenschutzbeauftragte ab § 38 BDSG)
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artikel 3 (Räumlicher Anwendungsbereich)Reviewed:

What are the penalties for GDPR non-compliance?

Die DSGVO sieht zwei Bußgeldstufen vor. Die niedrigere Stufe (Artikel 83 Absatz 4) trifft auf Verfahrensverstöße (fehlende Dokumentation, fehlende Datenschutzbeauftragte, nicht gemeldete Datenpannen) und wird mit bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes geahndet — jeweils der höhere Betrag. Die höhere Stufe (Artikel 83 Absatz 5) gilt für Verstöße gegen Verarbeitungsgrundsätze und Betroffenenrechte und kann bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes betragen.

Maximum fine€20 million or 4% of global annual turnover, whichever is higher
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen)Reviewed:

When does GDPR apply?

Die DSGVO ist unmittelbar seit 25. Mai 2018 in allen EU-Mitgliedstaaten anwendbar. In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) 2018 ergänzt, das nationale Spezifika regelt und parallel anzuwenden ist.

  • 2016-05-24 — Entry into force
  • 2018-05-25 — Direct applicability across all EU member states
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artikel 99 (Inkrafttreten und Anwendung)Reviewed:

Wie erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO

Art. 30 DSGVO verpflichtet grundsätzlich alle Verantwortlichen und Auftragsverarbeiter zur Führung eines schriftlichen Verzeichnisses ihrer Verarbeitungstätigkeiten. Eine Ausnahme für Organisationen mit weniger als 250 Mitarbeitenden gilt nur dann, wenn die Verarbeitung gelegentlich erfolgt, kein Risiko für die Rechte und Freiheiten betroffener Personen birgt und keine besonderen Kategorien personenbezogener Daten umfasst — was in der Praxis die wenigsten Unternehmen vollständig erfüllen. So setzen Sie die Anforderungen um.

  1. 1

    Verarbeitungstätigkeiten inventarisieren

    Listen Sie jeden eigenständigen Zweck auf, zu dem Ihre Organisation personenbezogene Daten verarbeitet (Personal, Marketing, Kundensupport, Analytics usw.).

  2. 2

    Pflichtfelder pro Tätigkeit dokumentieren

    Für jede Tätigkeit erfassen: Verantwortlicher und Kontakt, Verarbeitungszwecke, Kategorien betroffener Personen und Daten, Empfänger, internationale Übermittlungen und Garantien, Speicherdauer, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

  3. 3

    Rechtsgrundlage identifizieren

    Markieren Sie jede Tätigkeit mit der zutreffenden Rechtsgrundlage nach Art. 6 DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigtes Interesse). Bei besonderen Kategorien zusätzlich eine Bedingung nach Art. 9.

  4. 4

    Schriftlich und auf Anforderung verfügbar halten

    Das Verzeichnis ist schriftlich, auch in elektronischer Form, zu führen und der Aufsichtsbehörde auf Anforderung zur Verfügung zu stellen.

  5. 5

    Bei Änderungen aktualisieren

    Das Verzeichnis ist zu aktualisieren, wenn sich Verarbeitungszwecke, Empfänger, Speicherdauern oder technische Maßnahmen wesentlich ändern.

20 Mio. EUR oder 4 %

Höchste Bußgeldstufe nach Art. 83 Abs. 5 DSGVO: bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Vorjahresumsatzes — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die Grundsätze der Verarbeitung oder Betroffenenrechte.

Verordnung (EU) 2016/679, Art. 83 Abs. 5

Deadline

In force since May 25, 2018

Max Fine

€20M or 4% of global turnover

Sectors Affected

All sectors processing EU personal data

20 Mio. EUR oder 4 %

Höchste Bußgeldstufe nach Art. 83 Abs. 5 DSGVO: bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Vorjahresumsatzes — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die Grundsätze der Verarbeitung oder Betroffenenrechte.

Verordnung (EU) 2016/679, Art. 83 Abs. 5

Key regulatory facts: General Data Protection Regulation
Official nameRegulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Reg. No.(EU) 2016/679
CELEX32016R0679
Typeregulation
In force2016-05-24
Applies from2018-05-25
Max fine€20 million or 4% of global annual turnover, whichever is higher
Authorities
National Data Protection Authorities (member-state)
European Data Protection Board (EDPB) (EU)
European Data Protection Supervisor (EU)for EU institutions
Source(EU) 2016/679 — EUR-Lex Official Journal

How do I comply with GDPR?

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours

Does GDPR apply to your business?

Find out in 2 minutes with our free regulation checker.

Check now — free

GDPR by Country

🇩🇪

Germany

🇫🇷

France

🇳🇱

Netherlands

🇪🇸

Spain

🇮🇹

Italy

🇦🇹

Austria

🇧🇪

Belgium

🇵🇱

Poland

🇸🇪

Sweden

🇮🇪

Ireland

🇵🇹

Portugal

🇩🇰

Denmark

🇫🇮

Finland

🇨🇿

Czech Republic

🇷🇴

Romania

🇭🇺

Hungary

🇸🇰

Slovakia

🇧🇬

Bulgaria

🇭🇷

Croatia

🇬🇷

Greece

🇱🇺

Luxembourg

🇪🇪

Estonia

🇱🇻

Latvia

🇱🇹

Lithuania

🇸🇮

Slovenia

🇲🇹

Malta

Explore GDPR in depth

Penalties & Fines

Maximum fine tiers, Article-by-Article breakdown, and mitigation factors.

Enforcement Timeline

Key dates, application milestones, and per-Member-State transposition status.

GDPR by Industry

💻

SaaS & Software

💳

Fintech & Financial Services

🏥

Healthcare & MedTech

🏭

Manufacturing & Industry

🛒

E-commerce & Retail

🎓

EdTech & Education

🚚

Logistics & Transport

Energy & Utilities

📡

Telecoms & Media

👥

HR & Recruitment

⚖️

Legal & Professional Services

🏛️

Public Sector & NGOs

GDPR by Role

Non-EU Companies

GDPR applies to organisations established outside the EU whenever they offer goods or services to people in the EU, or monitor the behaviour of people in the EU. Article 27 requires most non-EU controllers to designate, in writing, a representative established in the Union — a frequently overlooked obligation.

Related Regulations

AI Act

The EU AI Act classifies AI systems by risk level and imposes obligations on providers and deployers. High-risk systems face mandatory conformity assessments, documentation, and human oversight requirements.

NIS2

NIS2 expands cybersecurity obligations to essential and important entities across critical sectors. It mandates risk management, incident reporting, and supply chain security.

eIDAS 2.0

eIDAS 2.0 updates the framework for electronic identification and trust services, introducing the EU Digital Identity Wallet. It enables cross-border digital identity verification and expands recognised trust services.

Explore GDPR in depth

Penalties & Fines

See enforcement patterns, fine tier tables, and real enforcement cases across EU member states.

Deadline Timeline

Key milestones, implementation phases, and country-specific deadlines and phased rollout dates.

Industry Guides

Sector-specific GDPR guidance for SaaS, fintech, healthcare, and other affected industries.

Next step — classify

Classify your AI systems

Use the free regulation checker to find out exactly which GDPR obligations apply to your business in 2 minutes.

Classify your AI systems

Check Your Compliance Obligations

Find out which GDPR obligations apply to your organisation in under 2 minutes.

Run EU Compliance Checker

Recent GDPR Articles

EDPB/EDPS: Clinical Trials—Health Data Safeguards Required

8 Jun 2026

Ex machina : financial stability in the age of artificial intelligence

8 Jun 2026

Screening credibility : artificial Intelligence, evidence and fair asylum procedures in EU law

8 Jun 2026

Frequently Asked Questions

What are the GDPR Article 32 technical measures for a SaaS company in Frankfurt?
GDPR Article 32 requires SaaS companies to implement technical measures proportionate to risk: encryption of personal data in transit (TLS 1.2+) and at rest; pseudonymisation of production datasets; regular automated backups with tested restore procedures; access control with least-privilege principles and audit logs; and a documented incident response procedure with 72-hour breach notification capacity. For a Frankfurt-hosted SaaS, using an EU-first infrastructure stack — EU LLM, EU database, EU-hosted data — directly reduces Article 32 exposure.
What GDPR compliance software works for EU startups?
EU startups need GDPR software covering data mapping (ROPA under Article 30), DPIA automation (Article 35), processor agreement tracking (Article 28), and breach notification workflows (Articles 33–34). EuroComply is free for up to one system, EU-hosted in Frankfurt, and adds AI Act and NIS2 coverage in one platform. Iubenda (Italian company) covers cookie consent and policy generation from €27.99/yr. For startups that have grown to more than 50 employees, DataGuard (Munich) provides a managed service.
What are GDPR fines for SMEs in 2025?
Under GDPR Article 83, fines fall into two tiers. Less severe infringements carry a maximum of €10M or 2% of global annual turnover, whichever is higher. More severe infringements — core principles, data subject rights, international transfers — carry a maximum of €20M or 4% of global annual turnover. The EDPB's 2023 guidelines clarify that supervisory authorities must account for the organisation's size. Germany (BfDI) and the Netherlands (AP) are the most active enforcement jurisdictions for SME fines.
What is a DPIA under GDPR?
A Data Protection Impact Assessment (DPIA) is a mandatory pre-deployment risk assessment under GDPR Article 35. It is required when processing is likely to result in a high risk to individual rights — large-scale profiling, processing biometric or health data, or systematic monitoring of public areas. A DPIA must describe the processing, assess necessity and proportionality, identify risks and mitigation measures, and record the outcome. Failing to complete a required DPIA is an Article 35 infringement carrying fines of up to €10M or 2% of global turnover.
How do I generate an EU-compliant privacy policy?
An EU-compliant privacy policy under GDPR Articles 13–14 must disclose: controller identity and contact details; DPO contact if applicable; lawful basis for each processing activity; data categories collected; recipients and cross-border transfers; retention periods; and data subject rights. It must be written in clear, plain language. Automated generators can produce a compliant base document — iubenda (Italian company, from €27.99/yr) and EuroComply both cover GDPR Articles 13–14 policy generation. Legal counsel should review anything involving sensitive data or complex transfer chains.
How do I set up a GDPR-compliant cookie consent banner?
A GDPR-compliant cookie consent banner must require active opt-in (pre-ticked boxes are unlawful); allow granular consent by category (functional, analytics, marketing); present options without dark patterns; link to the privacy policy; and record consent with a timestamp and version number. Cookiebot (EU-sovereign, from €9/month) and Usercentrics (EU-sovereign, from €60/month) are the leading EU CMPs meeting EDPB guidelines. Both are operated by Usercentrics GmbH (Munich, Germany) — not subject to the US CLOUD Act.
What is a GDPR processor agreement template?
A GDPR Data Processing Agreement (DPA) under Article 28 must bind the processor to: process personal data only on documented controller instructions; maintain confidentiality; implement Article 32 security measures; assist with data subject rights requests; delete or return data on contract termination; and make available all information necessary to demonstrate compliance. Standard Contractual Clauses (Module 2 or 3) are required for transfers to countries without an adequacy decision. EuroComply provides a standard DPA template under its editorial framework.

For informational purposes only. This is not legal advice — consult qualified legal counsel.

Last verified: · Source: EUR-Lex 32016R0679 · Editorial policy