Art. 5 DSGVO klingt nach trockener Theorie. Ist es aber nicht. Dieser Artikel zeigt alle sieben Grundsätze auf, die Ihr Unternehmen direkt betreffen. Sie erfahren, welche vier davon in der Praxis am häufigsten zu Problemen führen und wie Sie Bußgelder vermeiden.
Art. 5 der Datenschutz-Grundverordnung ist die zentrale Norm. Hier stehen die Spielregeln, an denen Aufsichtsbehörden jede Datenverarbeitung messen. Sieben Grundsätze, eine Rechenschaftspflicht. Kein Unternehmen kommt daran vorbei.
Die Grundsätze gelten ausnahmslos. Sie binden Konzerne genauso wie den Handwerksbetrieb mit fünf Mitarbeitern. Und sie greifen ineinander: Ohne klaren Zweck keine Datenminimierung. Ohne Richtigkeit keine verlässliche Verarbeitung.
Wer nach den "vier wichtigen Grundsätzen des Datenschutzes" sucht, meint in der Regel die operativen Kernprinzipien: Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und Richtigkeit. Diese vier bestimmen den Alltag jeder Datenschutzberatung.
Bevor wir in die Tiefe gehen, hier der komplette Rahmen aus Art. 5 Abs. 1 und Abs. 2 DSGVO:
| Grundsatz | DSGVO-Referenz | Kernaussage |
|---|---|---|
| Rechtmäßigkeit, Treu und Glauben, Transparenz | Art. 5 Abs. 1 lit. a | Verarbeitung nur mit Rechtsgrundlage, fair und nachvollziehbar |
| Zweckbindung | Art. 5 Abs. 1 lit. b | Erhebung nur für festgelegte, eindeutige und legitime Zwecke |
| Datenminimierung | Art. 5 Abs. 1 lit. c | Nur dem Zweck angemessene und notwendige Daten |
| Richtigkeit | Art. 5 Abs. 1 lit. d | Sachlich richtig und auf dem neuesten Stand |
| Speicherbegrenzung | Art. 5 Abs. 1 lit. e | Löschung nach Zweckentfall |
| Integrität und Vertraulichkeit | Art. 5 Abs. 1 lit. f | Angemessene Sicherheit der Daten |
| Rechenschaftspflicht | Art. 5 Abs. 2 | Nachweispflicht des Verantwortlichen |
Die vier fettgedruckten Grundsätze stehen im Fokus dieses Artikels. Sie werfen in der Praxis die meisten Fragen auf.
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage aus Art. 6 DSGVO. Ohne Rechtsgrundlage ist die Verarbeitung schlicht rechtswidrig. Punkt.
In der Praxis stützen sich Unternehmen meist auf drei Rechtsgrundlagen: Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse. Die Einwilligung spielt vor allem im Marketing eine Rolle.
Transparenz bedeutet: Betroffene müssen wissen, was mit ihren Daten passiert. Verständlich, vollständig, proaktiv. Eine Datenschutzerklärung in Juristendeutsch reicht nicht. Die DSGVO verlangt ausdrücklich "klare und einfache Sprache" (Art. 12 Abs. 1).
Fehler in der Datenschutzerklärung gehören zu den häufigsten Abmahngründen. Lassen Sie Ihre Website regelmäßig prüfen, etwa mit unserem kostenlosen Datenschutz-Check.
Viele Unternehmen berufen sich pauschal auf ein "berechtigtes Interesse" für Werbe-E-Mails, ohne die vorgeschriebene Interessenabwägung durchzuführen und zu dokumentieren. Das ist einer der Klassiker, den Aufsichtsbehörden bei Beschwerden sofort prüfen.
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Nutzung für andere Ziele ist verboten, es sei denn, der neue Zweck ist mit dem ursprünglichen kompatibel.
Klingt logisch. Scheitert trotzdem regelmäßig in der Praxis:
Die Dokumentation der Zweckbindung erfolgt über das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Für jede Verarbeitungstätigkeit muss der Zweck klar benannt sein. Ein DSGVO-Audit deckt Lücken in der Zweckdokumentation schnell auf.
Art. 5 Abs. 1 lit. c DSGVO verlangt: Nur die Daten erheben, die Sie tatsächlich brauchen. Daten "auf Vorrat" sammeln, weil sie "irgendwann nützlich sein könnten"? Verboten.
In der Praxis sehen wir regelmäßig Verstöße:
Der Grundsatz lässt sich konkret umsetzen: Pflichtfelder in Formularen auf das Minimum beschränken. Optionale Felder kennzeichnen. Quartalsweise prüfen, ob gespeicherte Datenkategorien noch erforderlich sind. Automatische Löschroutinen einrichten.
Personenbezogene Daten müssen "sachlich richtig und erforderlichenfalls auf dem neuesten Stand" sein (Art. 5 Abs. 1 lit. d). Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Falsche Daten haben Konsequenzen: fehlerhafte Kreditentscheidungen, falsche Gehaltsabrechnungen, falsch adressierte Bescheide. Betroffene können nach Art. 16 DSGVO Berichtigung verlangen und bei Schäden Schadensersatz nach Art. 82 DSGVO fordern.
Was müssen Sie tun? Daten aus verlässlichen Erstquellen erheben. Jährlich die Datenqualität prüfen. Bei Unrichtigkeit sofort berichtigen. Und wenn Sie falsche Daten an Dritte weitergegeben haben: Diese nach Art. 19 DSGVO informieren.
Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.
Nils OehmichenDatenschutzberater bei frag.hugo
Genau das erleben wir bei vielen Mandanten. Die Grundsätze wirken abstrakt, bis man sie auf das eigene Unternehmen anwendet. Dann wird klar: Der Newsletter-Verteiler hat keine dokumentierte Zweckbindung. Das CRM sammelt Daten, die niemand braucht. Und ein Löschkonzept existiert nur als Vorsatz.
Die gute Nachricht: Es braucht kein Großprojekt. Fünf Schritte reichen für den Einstieg.
Neben den vier Kernprinzipien gehören drei weitere Grundsätze zum Gesamtbild:
Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Daten nur so lange aufbewahren, wie der Zweck es erfordert. Danach löschen, sofern keine gesetzlichen Aufbewahrungspflichten greifen. Ein dokumentiertes Löschkonzept ist Pflicht.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Angemessener Schutz durch technische und organisatorische Maßnahmen (TOM). Art. 32 DSGVO konkretisiert das: Verschlüsselung, Zugriffskontrolle, regelmäßige Überprüfung.
Rechenschaftspflicht (Art. 5 Abs. 2): Das verbindende Element. Sie müssen die Einhaltung aller Grundsätze nicht nur umsetzen, sondern nachweisen können. Beweislast liegt beim Unternehmen. Verarbeitungsverzeichnis, TOM-Dokumentation, Löschkonzept, Schulungsnachweise: All das gehört dazu.
Verstöße gegen Art. 5 DSGVO fallen unter die höchste Bußgeldkategorie: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Europaweit summierten sich DSGVO-Bußgelder bis Anfang 2026 auf rund 5,88 Milliarden Euro.
In Deutschland war das höchste Bußgeld 2025 die Sanktion von 45 Millionen Euro gegen Vodafone. Insgesamt verhängten deutsche Behörden 2025 rund 249 Bußgelder mit einer Gesamtsumme von 46,9 Millionen Euro.
Auch KMU sind betroffen. Die Bußgelder reichen schnell in den fünf- bis sechsstelligen Bereich. Ein externer Datenschutzbeauftragter hilft, diese Risiken systematisch zu minimieren.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gehört zu den aktivsten Aufsichtsbehörden in Deutschland. Allein 2025 verhängte die Behörde Bußgelder in Höhe von 775.000 Euro. Darunter ein Bußgeld von fast 500.000 Euro gegen ein Finanzunternehmen wegen automatisierter Kreditentscheidungen ohne korrekte Information der Betroffenen.
Hamburger Unternehmen stehen unter genauer Beobachtung. Als Datenschutzberatung in Hamburg kennen wir die Prüfschwerpunkte der HmbBfDI und setzen die Grundsätze praxisnah in Ihrem Unternehmen um.
Datenschutz-Grundsätze sicher umsetzen?
Wir prüfen Ihre DSGVO-Compliance und zeigen konkrete Handlungsfelder auf. Persönlich, praxisnah, für KMU.
Kostenlose Erstberatung buchen →Die vier operativ wichtigsten Grundsätze nach Art. 5 DSGVO sind Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und Richtigkeit. Sie bestimmen den gesamten Lebenszyklus personenbezogener Daten im Unternehmen und werden von Aufsichtsbehörden am häufigsten geprüft.
Verstöße gegen Art. 5 DSGVO fallen unter die höchste Bußgeldkategorie: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Deutsche Aufsichtsbehörden verhängten 2025 Bußgelder in Höhe von rund 46,9 Millionen Euro.
Die sieben Grundsätze für die Verarbeitung personenbezogener Daten stehen in Art. 5 DSGVO. Art. 5 Abs. 1 enthält die materiellen Grundsätze, Art. 5 Abs. 2 die Rechenschaftspflicht. Weitere Artikel konkretisieren einzelne Grundsätze: Art. 6 die Rechtmäßigkeit, Art. 13/14 die Transparenz, Art. 17 die Löschpflicht.
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet Unternehmen, die Einhaltung aller Datenschutzgrundsätze jederzeit nachweisen zu können. Dafür brauchen Sie ein Verarbeitungsverzeichnis, dokumentierte Rechtsgrundlagen, ein Löschkonzept, TOM-Dokumentation und Schulungsnachweise.
Ja. Die Grundsätze gelten ausnahmslos für jedes Unternehmen, das personenbezogene Daten verarbeitet. Auch ein Betrieb mit drei Mitarbeitern muss Zweckbindung, Datenminimierung und Rechenschaftspflicht einhalten. Ein DSGVO-Audit zeigt, wo Ihr Unternehmen steht.
Inhaltsverzeichnis
Was sind personenbezogene Daten nach der DSGVO? Definition, Beispiele, besondere Kategorien und was das für Ihr Unternehmen bedeutet.
Weiterlesen
Löschkonzept nach DSGVO erstellen: Praxis-Anleitung mit Aufbewahrungsfristen, DIN 66398 und detaillierter Checkliste für Hamburger KMU.
Weiterlesen
Datenschutzdokumentation nach DSGVO: Welche Dokumente Pflicht sind, wie Sie den Datenschutzbericht erstellen und typische Fehler vermeiden.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
