Leitfaden · Datenschutz-Grundverordnung

Die DSGVO.
Ohne Paragrafen-Lyrik.

Die Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018 in der gesamten EU. Sie regelt, wie Unternehmen personenbezogene Daten verarbeiten dürfen — und bestraft Verstöße mit bis zu 20 Mio. Euro. Dieser Leitfaden erklärt die sieben Grundsätze, die Pflichten für Unternehmen und die Umsetzung in acht Schritten.

25.05.2018
In Kraft in der gesamten EU
99
Artikel, 173 Erwägungsgründe
20 Mio.
Euro — Maximales Bußgeld
4 %
Jahresumsatz-Sanktion
Inhalt

8 Sektionen, ein Thema.

Gedacht für Geschäftsführer, Datenschutzkoordinatoren und IT-Verantwortliche, die wissen wollen, was die Verordnung konkret verlangt — und wie man sie pragmatisch umsetzt.

01
Grundlage

Was ist die DSGVO?

Die Datenschutz-Grundverordnung — offiziell Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten — ist das zentrale europäische Gesetz zum Schutz personenbezogener Daten. In Abkürzung: DSGVO. Auf Englisch: General Data Protection Regulation (GDPR).

Die DSGVO ist eine EU-Verordnung, keine Richtlinie. Sie gilt unmittelbar in allen 27 EU-Mitgliedstaaten und schafft erstmals einen einheitlichen Rechtsrahmen für den Umgang mit personenbezogenen Daten. Jeder Mitgliedstaat ergänzt sie durch nationale Gesetze — in Deutschland ist das Bundesdatenschutzgesetz (BDSG), das als Ausführungsgesetz zu bestimmten Öffnungsklauseln dient.

Die DSGVO enthält 99 Artikel und 173 Erwägungsgründe. Sie ist in elf Kapitel gegliedert und regelt alles vom Anwendungsbereich über die Rechte der betroffenen Person bis zu den Sanktionen. Im Zentrum steht ein einfaches Prinzip: Der Schutz personenbezogener Daten ist ein Grundrecht — und jeder Mensch darf selbst entscheiden, wer was über ihn weiß.

02
Chronologie

Seit wann gilt die DSGVO?

Die DSGVO trat am 24. Mai 2016 in Kraft, nach ihrer Veröffentlichung im Amtsblatt der EU. Zum Schutz der Unternehmen und Behörden galt jedoch eine zweijährige Übergangsfrist. Erst ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung in allen EU-Mitgliedstaaten unmittelbar anwendbar.

Die DSGVO löste die alte Datenschutzrichtlinie 95/46/EG ab, die seit 1995 galt. Während die alte Richtlinie von jedem Mitgliedstaat einzeln umgesetzt werden musste und so einen Flickenteppich erzeugte, gilt die Verordnung (EU) 2016/679 automatisch und einheitlich überall. Das ist der Kern des EU-Datenschutzrechts seit Mai 2018.

03
Geltungsbereich

Für wen gilt die DSGVO?

Der Anwendungsbereich der DSGVO ist weit. Sie greift in drei Konstellationen, die in Art. 3 geregelt sind:

  • Niederlassungsprinzip. Jeder Verantwortliche mit Niederlassung in der EU fällt unter die DSGVO — unabhängig davon, wo die Daten verarbeitet werden. Ein Hamburger Handwerksbetrieb mit AWS-Server in Frankfurt? DSGVO.
  • Marktortprinzip. Auch außereuropäische Anbieter unterliegen der DSGVO, sobald sie Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten. Ein US-Shop mit deutschem Checkout oder eine App, die in der EU getrackt wird, muss DSGVO-konform sein.
  • Völkerrechtliche Anwendung. Die DSGVO gilt auch dort, wo EU-Recht kraft Völkerrechts anwendbar ist — etwa in EU-Botschaften.

Es gibt keine Bagatellgrenze. Selbst ein Einzelunternehmer, der eine einzige Kundenliste in Excel pflegt, verarbeitet personenbezogene Daten im Sinne der DSGVO. Die Unternehmensgröße beeinflusst nur die konkreten Pflichten (etwa die Pflicht zur Benennung eines Datenschutzbeauftragten), nicht aber die grundsätzliche Anwendbarkeit.

Ausgenommen sind nur rein private und familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO) — das Adressbuch auf Ihrem Handy unterliegt nicht der DSGVO. Sobald Daten jedoch zu geschäftlichen Zwecken verarbeitet werden, greift die Verordnung.

04
Das Fundament

Die sieben Grundsätze nach Artikel 5

Artikel 5 DSGVO formuliert sieben Grundsätze, an denen sich jede Verarbeitung personenbezogener Daten messen lassen muss. Sie sind das Fundament der gesamten Verordnung — wer sie einhält, erfüllt den Kern der Datenschutz-Grundverordnung.

  1. Rechtmäßigkeit, Treu und Glauben, Transparenz. Jede Verarbeitung braucht eine Rechtsgrundlage aus Art. 6 DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen). Betroffene müssen klar verstehen, was mit ihren Daten passiert.
  2. Zweckbindung. Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Wer Kundenadressen zur Lieferung erhebt, darf sie nicht ohne weiteres für Werbung nutzen.
  3. Datenminimierung. Es werden nur die Daten verarbeitet, die für den konkreten Zweck tatsächlich erforderlich sind. Geburtsdatum für die Newsletter-Anmeldung? Überflüssig.
  4. Richtigkeit. Daten müssen sachlich richtig und aktuell sein. Falsche Daten sind zu berichtigen oder zu löschen.
  5. Speicherbegrenzung. Personenbezogene Daten werden nur so lange gespeichert, wie es der Zweck erfordert. Danach: löschen oder anonymisieren. Genau hier greift das Löschkonzept.
  6. Integrität und Vertraulichkeit. Technische und organisatorische Maßnahmen (TOM, Art. 32) müssen die Daten vor unbefugtem Zugriff, Verlust und Manipulation schützen.
  7. Rechenschaftspflicht. Der Verantwortliche muss die Einhaltung der sechs materiellen Grundsätze nachweisen können. Das ist der siebte Grundsatz und der eigentliche Game-Changer der DSGVO: nicht nur compliant sein — sondern beweisen, dass man es ist.
Der siebte Grundsatz — Rechenschaft — ist der eigentliche Kulturbruch. Früher reichte es, Datenschutz „irgendwie zu machen". Seit der DSGVO müssen Sie Ihre Entscheidungen dokumentieren.
Nils Oehmichen Nils Oehmichen · Datenschutzberater, frag.hugo
05
Betroffenenrechte

Acht Rechte. Ein Monat. Kostenlos.

Die DSGVO gibt jeder betroffenen Person acht starke Rechte gegenüber Unternehmen und Behörden. Unternehmen müssen auf entsprechende Anfragen innerhalb eines Monats reagieren (Art. 12 DSGVO). Die Auskunft ist kostenlos.

ArtikelRechtWas das heißt
Art. 15AuskunftWelche Daten hat das Unternehmen über mich?
Art. 16BerichtigungFalsche Daten korrigieren lassen
Art. 17Löschung („Recht auf Vergessenwerden")Daten endgültig entfernen lassen
Art. 18Einschränkung der VerarbeitungDaten einfrieren statt löschen
Art. 20DatenübertragbarkeitDaten als maschinenlesbaren Export erhalten
Art. 21WiderspruchInsbesondere gegen Werbung und Profiling
Art. 22Keine automatisierte EntscheidungRecht auf menschliche Prüfung
Art. 77Beschwerde bei der AufsichtsbehördeDirekt an die zuständige Datenschutzbehörde

Die Verletzung des Schutzes personenbezogener Daten (Datenpanne) muss nach Art. 33 DSGVO innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Ist die Panne mit hohem Risiko für die betroffenen Personen verbunden, sind diese nach Art. 34 zusätzlich unverzüglich zu benachrichtigen. Details in unserem Leitfaden Datenpanne melden: Die 72-Stunden-Frist.

06
Pflichten

Was Unternehmen konkret tun müssen

Wer personenbezogene Daten verarbeitet, ist Verantwortlicher nach Art. 4 Nr. 7 DSGVO — und hat damit eine Reihe konkreter Pflichten. Die wichtigsten im Überblick:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT). Nach Art. 30 DSGVO dokumentieren Sie jede Verarbeitung personenbezogener Daten. Kleine Unternehmen (unter 250 Mitarbeiter) sind befreit, sofern die Verarbeitung nicht regelmäßig, risikobehaftet oder sensibel ist — in der Praxis also selten.
  • Rechtsgrundlage prüfen (Art. 6). Für jede Verarbeitung muss eine der sechs Rechtsgrundlagen greifen. Einwilligung, Vertragserfüllung und berechtigte Interessen sind die häufigsten.
  • Datenschutzerklärung auf der Website. Nach Art. 13 DSGVO müssen Sie transparent informieren, welche Daten Sie wie lange und wozu verarbeiten.
  • Auftragsverarbeitungsvertrag (AVV). Wenn ein Dienstleister Daten für Sie verarbeitet (Cloud-Hoster, E-Mail-Marketing-Tool, Payroll-Provider), schließen Sie nach Art. 28 DSGVO einen AVV ab. Mehr: AVV — Pflicht, Inhalte und typische Fehler.
  • Datenschutzbeauftragter (DSB). Ein DSB ist nach Art. 37 DSGVO / § 38 BDSG verpflichtend bei: öffentlichen Stellen, Kerntätigkeit mit umfangreicher Überwachung, sensiblen Daten — und in Deutschland ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten automatisiert verarbeiten. Mehr: externer Datenschutzbeauftragter.
  • Datenschutz-Folgenabschätzung (DSFA, Art. 35). Bei Verarbeitungen mit voraussichtlich hohem Risiko (KI-Systeme, große Überwachungsprojekte) führen Sie vor Beginn eine DSFA durch. Details: DSFA-Anleitung.
  • Technische und organisatorische Maßnahmen (TOM, Art. 32). Verschlüsselung, Zugriffskontrolle, Backup, Incident Response — alles, was Sicherheit der Verarbeitung konkret umsetzt.
  • Löschkonzept. Personenbezogene Daten müssen gelöscht werden, sobald der Zweck entfällt. Ein Löschkonzept definiert Aufbewahrungsfristen pro Datenkategorie.
07
Sanktionen

Bußgelder und Verstöße

Nach Art. 83 DSGVO drohen bei Verstößen zwei Bußgeld-Staffeln. Maßgeblich ist immer der höhere Betrag.

10 Mio. €
oder 2 % Jahresumsatz

Formale Verstöße: fehlendes VVT, fehlender DSB, unzureichende TOM, fehlende Meldung einer Datenpanne.

20 Mio. €
oder 4 % Jahresumsatz

Grundsatz-Verstöße: Verletzung Art. 5, Art. 6, Art. 9, Betroffenenrechte, unrechtmäßige Verarbeitung.

Bei Konzernen wird der weltweite Jahresumsatz der gesamten Unternehmensgruppe herangezogen — das erklärt, warum Sanktionen gegen Meta, Amazon oder TikTok in Milliardenhöhe möglich sind.

In Deutschland haben die Aufsichtsbehörden laut ihren Tätigkeitsberichten seit 2018 Bußgelder im dreistelligen Millionenbereich verhängt. Die häufigsten Verstöße: fehlende Rechtsgrundlage bei Cookie-Bannern, unsaubere AVV, nicht gemeldete Datenpannen, fehlende Auskunftserteilung nach Art. 15. Der Hamburger Datenschutzbeauftragte ist im deutschen Vergleich aktiv — siehe den jährlichen HmbBfDI-Tätigkeitsbericht.

08
Umsetzung

Die DSGVO in 8 Schritten

DSGVO-Umsetzung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wer frisch einsteigt, arbeitet sich pragmatisch durch acht Stationen — genau in dieser Reihenfolge:

  1. Bestandsaufnahme. Welche personenbezogenen Daten verarbeitet Ihr Unternehmen? Welche Dienstleister sind involviert? Welche Rechtsgrundlage gilt?
  2. VVT erstellen. Das Verzeichnis ist Ihr Inventar. Ohne VVT wissen Sie nicht, was Sie tun — und können es auch nicht beweisen.
  3. AVV-Verträge abschließen. Jeder Auftragsverarbeiter braucht einen AVV nach Art. 28. Bestandsaufnahme der Tools (E-Mail, CRM, Cloud, Payroll) und AVV einholen.
  4. Datenschutzerklärung aktualisieren. Nach Art. 13 müssen Sie transparent machen, was Sie tun. Nutzen Sie unseren Hugo Check für 29 automatisierte Prüfpunkte.
  5. Datenschutzbeauftragten benennen. Intern oder extern. Für viele KMU ist ein externer DSB die wirtschaftlich überlegene Variante.
  6. TOM umsetzen. Verschlüsselung (TLS, Festplatten), Zugriffskontrolle, Backup, Incident Response.
  7. Löschkonzept erstellen. Pro Datenkategorie: Aufbewahrungsfrist, Löschregel, Verantwortlicher.
  8. Schulen und kontinuierlich verbessern. Jährliche Mitarbeiterschulungen, regelmäßige Audits, Anpassung an neue Verarbeitungen.
Das Wichtigste in Kürze Die DSGVO gilt seit 25. Mai 2018 in der gesamten EU. Sie schützt personenbezogene Daten natürlicher Personen, verpflichtet Unternehmen zu sieben Grundsätzen (Art. 5) und gewährt Betroffenen acht Rechte. Bußgelder reichen bis 20 Mio. Euro oder 4 % Jahresumsatz. Wer VVT, AVV, DSB, Datenschutzerklärung, TOM und Löschkonzept sauber aufgestellt hat, erfüllt den Kern der Datenschutz-Grundverordnung.
Weiterlesen

Zum Thema

Leitfaden
Datenschutz — der Leitfaden
Der große Überblick: DSGVO, BDSG, die 7 Grundsätze, Pflichten im Unternehmen.
 Service
Externer Datenschutzbeauftragter
DSB nach Art. 37 DSGVO / § 38 BDSG — ab 149 €/Monat.
 Produkt
Hugo DSB — Datenschutz-Plattform
VVT, AVV, Datenpannen, DSAR, TOMs, DSE-Generator, Löschkonzept.
 Tool
Hugo Check — Website-Scanner
29 DSGVO-Checks in 60 Sekunden — kostenlos.
 Vertiefung
Welche Daten nicht an Dritte weitergegeben werden dürfen
Sensible Datenkategorien, Berufsgeheimnis, § 203 StGB — DSGVO in der Praxis.
Nils Oehmichen, Datenschutzberater
Ihr DSGVO-Berater
Nils Oehmichen

Nils ist seit über einem Jahrzehnt als Datenschutzberater und externer Datenschutzbeauftragter tätig. TÜV-zertifiziert, Mitglied im BVMID, Absolvent der FH Lübeck — und bekannt für pragmatische Lösungen statt Paragrafen-Lyrik.

TÜV-zertifiziert BVMID-Mitglied FH Lübeck 10+ Jahre DSB-Praxis
Vollständiges Profil → LinkedIn
Häufige Fragen

DSGVO — was Menschen fragen.

Was ist die DSGVO einfach erklärt?
Die DSGVO (Datenschutz-Grundverordnung) ist die europäische Verordnung zum Schutz personenbezogener Daten. Sie gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und regelt, wie Unternehmen und Behörden Daten von natürlichen Personen erheben, speichern, verarbeiten und löschen dürfen. Kerngedanke: Jeder Mensch darf selbst über seine Daten bestimmen.
Was sind die 7 Grundsätze der DSGVO?
Nach Artikel 5 DSGVO sind das: 1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, 2) Zweckbindung, 3) Datenminimierung, 4) Richtigkeit, 5) Speicherbegrenzung, 6) Integrität und Vertraulichkeit, 7) Rechenschaftspflicht. Der Verantwortliche muss die Einhaltung aller sechs materiellen Grundsätze auch nachweisen können.
Wann liegt ein Verstoß gegen die DSGVO vor?
Ein Verstoß liegt vor, sobald personenbezogene Daten ohne gültige Rechtsgrundlage (Art. 6 DSGVO) verarbeitet werden, gegen die Grundsätze des Art. 5 verstoßen wird oder die Rechte der betroffenen Person verletzt werden. Auch fehlende technisch-organisatorische Maßnahmen nach Art. 32, nicht gemeldete Datenpannen nach Art. 33 und fehlende Verzeichnisse nach Art. 30 sind meldepflichtige Verstöße.
Was bedeutet die DSGVO für Privatpersonen?
Privatpersonen erhalten durch die DSGVO acht starke Rechte gegenüber Unternehmen und Behörden: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehörde (Art. 77) und das Recht auf Schadenersatz (Art. 82).
Für wen gilt die DSGVO?
Die DSGVO gilt für jedes Unternehmen, jede Behörde und jeden Verein in der EU, der personenbezogene Daten verarbeitet. Außerdem für alle außereuropäischen Anbieter, die Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten (Marktortprinzip, Art. 3 DSGVO). Es gibt keine Bagatellgrenze — selbst ein Einzelunternehmer mit einer Kundenliste fällt unter die Verordnung.
Welche Bußgelder drohen bei DSGVO-Verstößen?
Nach Art. 83 DSGVO drohen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Leichtere Verstöße werden mit bis zu 10 Mio. Euro bzw. 2 Prozent geahndet. In Deutschland haben die Aufsichtsbehörden 2024 Bußgelder von über 25 Mio. Euro verhängt (Quelle: Tätigkeitsberichte der Landesdatenschutzbehörden).
Umsetzung

DSGVO. Aber pragmatisch.

15 Minuten Erstgespräch mit Nils reichen, um zu klären, was Ihr Unternehmen wirklich braucht — und was nicht.

Erstgespräch buchen Website kostenlos prüfen