DSGVO erklärt: Definition, Geltungsbereich & Bußgelder (EU, 2018)

DSGVO erklärt: Definition, Geltungsbereich & Bußgelder (EU 2018) — verständlich & kompakt: Regeln, Anwendungsbereich, Strafen bis 4 % bzw. 20 Mio. €, praktische Compliance-Tipps.

Autor: Leandro Alegsa

16-02-2026 12:20

Die Datenschutz-Grundverordnung (DSGVO) — im Englischen General Data Protection Regulation (GDPR) — (Verordnung (EU) 2016/679) wurde am 27. April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft.

Die Verordnung wurde vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission gebilligt. Sie schützt die personenbezogenen Daten von Personen innerhalb der gesamten Europäischen Union und regelt zudem Datenexporte aus der EU in Drittländer.

Zweck und Geltungsbereich

Die DSGVO hat zwei Hauptziele: den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu stärken und zugleich den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten. Sie soll Bürgern mehr Kontrolle über ihre Daten geben und die Datenschutzregeln in der EU vereinheitlichen.

Wichtig zu wissen:

Die DSGVO ist eine Verordnung und damit unmittelbar in allen Mitgliedstaaten anwendbar; sie bedarf grundsätzlich keiner Umsetzung in nationales Recht. Allerdings erlaubt die Verordnung in bestimmten Bereichen nationale Regelungen und Ausnahmen (z. B. Arbeitsrecht, Zugang zu öffentlichen Dokumenten).
Die Verordnung gilt nicht nur für Unternehmen mit Sitz in der EU: Sie gilt auch für Verantwortliche und Auftragsverarbeiter außerhalb der EU, die Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von Personen in der EU beobachten.

Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
Zweckbindung (Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke)
Datenminimierung (nur so viele Daten sammeln wie nötig)
Richtigkeit (Daten müssen sachlich korrekt und aktuell sein)
Speicherbegrenzung (Daten nur so lange speichern wie nötig)
Integrität und Vertraulichkeit (angemessene Sicherheit einschließlich Schutz vor unbefugter Verarbeitung und Datenverlust)
Rechenschaftspflicht (Organisatorische und technische Nachweise, dass die Vorschriften eingehalten werden)

Rechte betroffener Personen

Die DSGVO stärkt die Rechte natürlicher Personen. Wichtige Rechte sind:

Recht auf Auskunft (welche Daten werden verarbeitet, zu welchem Zweck)
Recht auf Berichtigung unrichtiger Daten
Recht auf Löschung („Recht auf Vergessenwerden“) unter bestimmten Voraussetzungen
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit (Übermittlung der Daten an einen anderen Anbieter in einem strukturierten, gängigen Format)
Widerspruchsrecht gegen Verarbeitung, z. B. bei Direktwerbung
Recht, nicht einer ausschließlich automatisierten Entscheidung einschließlich Profiling unterworfen zu werden, die rechtliche Wirkung entfaltet oder ähnlich schwerwiegende Auswirkungen hat

Pflichten von Verantwortlichen und Auftragsverarbeitern

Dokumentationspflichten: Führung von Verarbeitungsverzeichnissen (für viele Unternehmen verpflichtend).
Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
Meldung von Datenpannen: Verletzungen des Schutzes personenbezogener Daten sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden; in manchen Fällen müssen auch die Betroffenen informiert werden.
Datenschutz-Folgenabschätzung (DSFA/DPIA): Bei Verarbeitungsvorgängen mit hohem Risiko ist eine Folgenabschätzung durchzuführen.
Bestellung eines Datenschutzbeauftragten (DSB/DPO): Für Behörden und bestimmte Unternehmen ist ein DSB vorgeschrieben (z. B. bei umfangreicher regelmäßiger und systematischer Überwachung oder Verarbeitung besonderer Kategorien personenbezogener Daten).
Verträge mit Auftragsverarbeitern: schriftliche Vereinbarungen, die Verarbeitungsvorgänge, technische und organisatorische Maßnahmen und Unterauftragsverhältnisse regeln.

Datenübermittlung in Drittländer

Für den Export personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) gelten besondere Regeln. Zulässig sind Übermittlungen in Länder mit Angemessenheitsbeschluss der EU-Kommission, oder auf Grundlage geeigneter Garantien wie Standardvertragsklauseln (SCC), verbindliche Unternehmensregeln (BCR) oder spezifische Ausnahmetatbestände.

Durchsetzung und Bußgelder

Aufsichtsbehörden in den Mitgliedstaaten überwachen die Einhaltung der DSGVO. Die Verordnung sieht ein abgestuftes System von Verwaltungsstrafen vor, die nach Art und Schwere des Verstoßes bemessen werden:

Bis zu 10.000.000 Euro oder bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist — für Verstöße gegen Pflichten wie Melde- und Dokumentationspflichten oder Pflichten bei Auftragsverarbeitung.
Bis zu 20.000.000 Euro oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist — für schwerwiegende Verstöße, z. B. gegen die Grundprinzipien der Verarbeitung, Rechte der Betroffenen oder Übermittlungen in Drittländer ohne geeignete Garantien.

Neben Bußgeldern können Betroffene zivilrechtliche Ansprüche auf Schadenersatz geltend machen. Sanktionen können je nach Einzelfall weitere Auswirkungen auf Geschäftstätigkeiten haben.

Praktische Schritte zur DSGVO-Compliance

Erstellen Sie ein vollständiges Verzeichnis der Verarbeitungstätigkeiten und prüfen Sie die Rechtsgrundlagen jeder Verarbeitung.
Überarbeiten Sie Datenschutzhinweise und Einwilligungserklärungen: klar, verständlich und leicht zugänglich.
Schließen Sie rechtskonforme Verträge mit Auftragsverarbeitern ab und prüfen Sie Drittlandübermittlungen.
Führen Sie technische und organisatorische Maßnahmen ein (Zugriffsrechte, Verschlüsselung, Backups, Logging).
Schulen Sie Mitarbeitende regelmäßig zum Datenschutz und zur Erkennung von Datenpannen.
Prüfen Sie, ob eine Datenschutz-Folgenabschätzung notwendig ist, und benennen Sie gegebenenfalls einen Datenschutzbeauftragten.

Fazit

Die DSGVO hat das europäische Datenschutzrecht maßgeblich modernisiert und setzt hohe Anforderungen an den Schutz personenbezogener Daten. Unternehmen und Behörden sollten die Verpflichtungen systematisch angehen, um Risiken zu minimieren und die Rechte der Betroffenen zu gewährleisten.

Durchgesetzte Regeln

Dieser Abschnitt benötigt weitere Informationen.

Die Allgemeine Datenschutzverordnung setzt Regeln durch, die Menschen vor einer Vielzahl von Datenschutzproblemen schützen. Sie setzt das Recht der Menschen durch, mit Unternehmen rechtmäßig zu vereinbaren, ihre privaten Informationen zu nutzen. Sie setzt auch das Recht der Menschen durch, dass ihre privaten Informationen für ein Unternehmen nicht mehr zugänglich sind. Sie setzt auch durch, dass Benutzer das Recht haben, ihre privaten Informationen öffentlich werden zu lassen oder nicht. Die Verordnung stellt auch sicher, dass keine persönlichen Daten verarbeitet werden, es sei denn, der Benutzer hat dem Verarbeiter der persönlichen Daten die Erlaubnis dazu erteilt.

Zeitleiste

25. Januar 2012: Der Vorschlag für das GDPR wurde veröffentlicht.
21. Oktober 2013: Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments stimmt darüber ab, ob GDPR die neue Regelung für die Menschen in Europa werden soll.
15. Dezember 2015: Das Europäische Parlament, der Rat und die Kommission (Formelles Trilog-Treffen) diskutieren über die allgemeine Datenschutzverordnung. An diesem Tag hat die GDPR zu einem gemeinsamen Vorschlag geführt.
17. Dezember 2015: Der LIBE-Ausschuss des Europäischen Parlaments stimmte für die Verhandlungen zwischen den drei Parteien.
8. April 2016: Die Allgemeine Datenschutzverordnung ist von der Europäischen Union verabschiedet worden. Der einzige Mitgliedsstaat, der dagegen stimmte, war Österreich, das argumentierte, dass mehrere Aspekte der neuen Verordnung im Vergleich zur Datenschutzrichtlinie nicht zufriedenstellend sind.
14. April 2016: Die Allgemeine Datenschutzverordnung ist vom Europäischen Parlament verabschiedet worden und ersetzt die bisher verwendete Datenschutzrichtlinie.
24. Mai 2016: Die Allgemeine Datenschutzverordnung ist weltweit in Gebrauch genommen worden, aber sie ist noch nicht vollständig durchgesetzt. Dies ist 20 Tage nach der Veröffentlichung der Allgemeinen Datenschutzverordnung im Amtsblatt der Europäischen Union.
25. Mai 2018: Die Allgemeine Datenschutzverordnung wird auf der ganzen Welt vollständig durchgesetzt. Dies ist zwei Jahre nach der Schaffung der Verordnung geschehen.
Juli/August 2018: GDPR wird in Island, Liechtenstein und Norwegen durchgesetzt. Diese drei Länder sind dem Gemeinsamen EWR-Ausschuss beigetreten, da sie sich alle bereit erklärt haben, die Verordnung zu befolgen.

Fragen und Antworten

F: Was ist die Allgemeine Datenschutzverordnung (GDPR)?

A: Die GDPR ist eine Verordnung, die vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission verabschiedet wurde und die persönlichen Daten der Menschen in der gesamten EU schützt.

F: Wann ist sie in Kraft getreten?

A: Sie ist am 25. Mai 2018 in Kraft getreten.

F: Was soll mit der GDPR erreicht werden?

A: Die GDPR zielt darauf ab, den Bürgern die Kontrolle über ihre persönlichen Daten zu geben und die Vorschriften für die Wirtschaftsbeziehungen mit anderen Ländern zu vereinfachen, indem die Verfahren in der EU standardisiert werden.

F: Ersetzt sie bestehende Gesetze?

A: Ja, sie ersetzt die Datenschutzrichtlinie von 1995.

F: Müssen lokale Gesetze geändert werden, um der GDPR zu entsprechen?

A: Nein, es sind keine Änderungen der lokalen Gesetze innerhalb der EU erforderlich, da diese Verordnung verbindlich ist.
F: Was passiert, wenn jemand oder ein Unternehmen die GDPR-Vorschriften nicht einhält? A: Es droht eine Geldstrafe von bis zu 20.000.000 Euro oder bis zu 4 % des Gewinns des Unternehmens aus dem Vorjahr, je nachdem, welche Zahl höher ist.

Suche in der Enzyklopädie