EU-Datenschutzrecht: DSGVO, KI-Verordnung und die Digitalreformen 2025/2026

Die Verordnung (EU) 2016/679, die DSGVO, legt einen einheitlichen Datenschutzstandard für alle 27 EU-Mitgliedstaaten fest und bindet jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet. Verstöße können nach Artikel 83 mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden.
Die Europäische Union hat das weltweit umfassendste Datenschutzregelwerk geschaffen. In seinem Zentrum steht die Datenschutz-Grundverordnung (DSGVO), ein einheitliches Regelwerk, das in jedem EU-Land gilt. Darum herum gruppieren sich sektorspezifische Gesetze für elektronische Kommunikation, künstliche Intelligenz, Datenmärkte, Online-Plattformen und algorithmische Torwächter.
Diese Seite ist die zentrale Übersicht zum EU-Datenschutzrecht. Sie erklärt, wie die einzelnen Regelwerke zusammenwirken, gibt einen Überblick über die wichtigsten Rechtsinstrumente und deren aktuellen Stand und verlinkt zu ausführlichen Leitfäden für jeden EU-Mitgliedstaat und jedes DSGVO-Teilthema.
Dieser Beitrag dient ausschließlich der Information und stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Datenschutzanwältin, einen qualifizierten Datenschutzanwalt oder eine Fachperson für Datenschutz.
Kurz erklärt
Die DSGVO ist EU-Recht zum Schutz personenbezogener Daten. Sie gilt für jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet. Die Sanktionen reichen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Jeder EU-Mitgliedstaat setzt sie über seine eigene Datenschutzaufsichtsbehörde durch, koordiniert durch den Europäischen Datenschutzausschuss (EDSA).
Die DSGVO ist nicht das einzige EU-Datenschutzgesetz. Die ePrivacy-Richtlinie regelt Cookies und die elektronische Kommunikation. Die EU-KI-Verordnung regelt Systeme künstlicher Intelligenz. Die Datenverordnung (Data Act), der Daten-Governance-Rechtsakt, das Gesetz über digitale Dienste und das Gesetz über digitale Märkte bilden zusammen ein umfassenderes digitales Regelwerk. Die DSGVO-Verfahrensverordnung von 2025 strafft die grenzüberschreitende Durchsetzung, und der Digital-Omnibus-Vorschlag von 2025 vereinfacht derzeit mehrere dieser Instrumente gleichzeitig.
Die Datenschutz-Grundverordnung (DSGVO): Das zentrale EU-Datenschutzrecht
Die Datenschutz-Grundverordnung, die Verordnung (EU) 2016/679, wurde am 14. April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft. Sie löste die Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) ab, die zu einem uneinheitlichen Flickenteppich nationaler Gesetze geführt hatte.
Da es sich bei der DSGVO um eine Verordnung und nicht um eine Richtlinie handelt, gilt sie unmittelbar in allen Mitgliedstaaten, ohne dass ihre Kernvorschriften in nationales Recht umgesetzt werden müssten. Räumt die DSGVO den Mitgliedstaaten einen Gestaltungsspielraum ein, etwa beim Einwilligungsalter für Kinderdaten, bei zusätzlichen Bedingungen für Beschäftigtendaten oder bei bestimmten Ausnahmen, füllen nationale Durchführungsgesetze diese Lücken.

Räumlicher Anwendungsbereich (Artikel 3)
Die DSGVO gilt in drei Fallgruppen. Erstens für jede Organisation mit einer Niederlassung in der EU, die im Rahmen der Tätigkeiten dieser Niederlassung personenbezogene Daten verarbeitet, unabhängig davon, wo die Verarbeitung physisch stattfindet. Zweitens für jede Organisation außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbietet. Drittens für jede Organisation außerhalb der EU, die das Verhalten von Personen in der EU beobachtet.
Diese weitreichende extraterritoriale Geltung bedeutet, dass ein Unternehmen in den Vereinigten Staaten, Indien oder Australien die DSGVO einhalten muss, wenn es sich an Kundinnen und Kunden in der EU richtet oder deren Verhalten online verfolgt. Die Leitlinien 3/2018 des EDSA zum räumlichen Anwendungsbereich legen Artikel 3 im Detail aus.
Die sieben Grundsätze (Artikel 5)
Jede Verarbeitungstätigkeit muss sieben Grundsätzen genügen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; sowie Rechenschaftspflicht. Der Grundsatz der Rechenschaftspflicht verlangt von Organisationen, die Einhaltung der Vorschriften nachzuweisen, nicht nur zu behaupten.
Sechs Rechtsgrundlagen für die Verarbeitung (Artikel 6)
Eine Verarbeitung ist nur rechtmäßig, wenn sie auf einer von sechs Rechtsgrundlagen beruht: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder Ausübung öffentlicher Gewalt, oder berechtigte Interessen. Organisationen müssen ihre Rechtsgrundlage vor Beginn der Verarbeitung festlegen und dokumentieren; ein nachträglicher Wechsel ist nicht zulässig.
Die Einwilligung muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich erfolgen. Der Widerruf muss ebenso einfach möglich sein wie die Erteilung. Bereits angekreuzte Kästchen und gekoppelte Einwilligungen genügen dem Einwilligungsstandard der DSGVO nicht.
Rechte der betroffenen Personen (Artikel 15 bis 22)
Die DSGVO gewährt Einzelpersonen acht durchsetzbare Rechte: Auskunft, Berichtigung, Löschung (das „Recht auf Vergessenwerden"), Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Rechte im Zusammenhang mit automatisierten Entscheidungen einschließlich Profiling. Organisationen müssen innerhalb eines Kalendermonats antworten; bei komplexen Fällen kann diese Frist um zwei Monate verlängert werden.
Pflichten von Verantwortlichen und Auftragsverarbeitern
Verantwortliche legen die Zwecke und Mittel der Verarbeitung fest. Auftragsverarbeiter handeln nach den Weisungen der Verantwortlichen. Jedes Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter muss durch einen schriftlichen Vertrag geregelt sein. Verantwortliche müssen unter den vorgeschriebenen Voraussetzungen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten (DSB) bestellen, vor risikoreichen Verarbeitungen Datenschutz-Folgenabschätzungen (DSFA) durchführen und Verzeichnisse von Verarbeitungstätigkeiten führen.
Meldung von Datenschutzverletzungen (Artikel 33 und 34)
Verantwortliche müssen ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren. Birgt die Verletzung ein hohes Risiko für die betroffenen Personen, müssen Verantwortliche zudem die betroffenen Personen unverzüglich benachrichtigen.
Sanktionen (Artikel 83)
Die zweistufige Bußgeldstruktur der DSGVO sieht Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (untere Stufe) sowie von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (obere Stufe) vor, je nachdem, welcher Betrag jeweils höher ist. Seit Mai 2018 haben die Datenschutzaufsichtsbehörden der EU in mehr als 2.700 Verfahren Geldbußen von insgesamt über 6,8 Milliarden Euro verhängt.
Ausführliche Informationen zu jedem Thema finden Sie in den unten aufgeführten DSGVO-Unterseiten.
Die DSGVO in allen 27 Mitgliedstaaten
Die DSGVO ist in jedem EU-Land dasselbe Gesetz, doch nationale Durchführungsgesetze, nationale Aufsichtsbehörden und nationale Gerichtsentscheidungen prägen, wie sie in der Praxis angewendet wird.

Nationale Durchführungsgesetze regeln die Bereiche, in denen die DSGVO den Mitgliedstaaten einen Gestaltungsspielraum einräumt. Das deutsche Bundesdatenschutzgesetz (BDSG) legt strenge Regeln für die Überwachung von Beschäftigten und die Mitbestimmung durch Betriebsräte fest. Das französische Gesetz „Informatique et Libertés" ist seit 1978 in Kraft und wurde zur Harmonisierung mit der DSGVO aktualisiert. Das irische Datenschutzgesetz von 2018 legt das Mindestalter für die Einwilligung von Kindern auf 16 Jahre fest. Jeder Mitgliedstaat verfügt über eigene ergänzende Vorschriften.
Nationale Aufsichtsbehörden untersuchen Beschwerden, führen Prüfungen durch und verhängen Geldbußen. Die irische Datenschutzkommission (DPC) ist die federführende Aufsichtsbehörde für die meisten großen US-Technologieunternehmen, da diese ihren EU-Hauptsitz in Irland haben. Die irische DPC hat über den One-Stop-Shop-Mechanismus DSGVO-Bußgelder in Höhe von insgesamt rund 4 Milliarden Euro verhängt, der größte nationale Anteil nach Gesamtsumme.
Der One-Stop-Shop-Mechanismus ermöglicht es Organisationen mit Niederlassungen in mehreren Mitgliedstaaten, für die grenzüberschreitende Verarbeitung nur mit einer einzigen federführenden Aufsichtsbehörde zu kommunizieren. Betroffene Aufsichtsbehörden in anderen Mitgliedstaaten können Einwände erheben, und Streitfälle werden dem EDSA zur verbindlichen Entscheidung vorgelegt. Die weiter unten behandelte DSGVO-Verfahrensverordnung stärkt diesen Mechanismus ab April 2027 durch verbindliche Fristen.
Der Abschnitt mit den Leitfäden zu den Mitgliedstaaten weiter unten verlinkt zur Seite über das Durchführungsgesetz und die Aufsichtsbehörde jedes EU-Landes auf dieser Website.
Die ePrivacy-Richtlinie und die zurückgezogene ePrivacy-Verordnung
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) regelt den Schutz der Privatsphäre in der elektronischen Kommunikation. Sie ist der Ursprung der EU-Regeln zur Cookie-Einwilligung. Artikel 5 Absatz 3 der Richtlinie verlangt eine Einwilligung, bevor Informationen auf dem Gerät einer Nutzerin oder eines Nutzers gespeichert oder ausgelesen werden, die Regel, die hinter den Cookie-Bannern auf praktisch jeder europäischen Website steht.
Die ePrivacy-Richtlinie ist eine Richtlinie und keine Verordnung, weshalb jeder Mitgliedstaat sie unterschiedlich in nationales Recht umgesetzt hat. Deutschland, Frankreich, Spanien und andere Länder sind im Rahmen ihrer jeweiligen nationalen Umsetzung zu unterschiedlichen Auffassungen darüber gelangt, was als wirksame Cookie-Einwilligung gilt.
Der Vorschlag für eine ePrivacy-Verordnung wurde im Januar 2017 vorgelegt. Er sollte die ePrivacy-Richtlinie durch eine unmittelbar geltende Verordnung ersetzen und die Regeln zu Cookies und zum Schutz der Kommunikationsprivatsphäre enger an die DSGVO angleichen. Der Vorschlag blieb im Rat jahrelang blockiert, da keine Einigung über die Vorratsspeicherung von Daten und die Verarbeitung auf Grundlage berechtigter Interessen erzielt werden konnte.
Am 11. Februar 2025 zog die Europäische Kommission den Vorschlag für die ePrivacy-Verordnung im Rahmen ihres Arbeitsprogramms 2025 formell zurück. Die Kommission begründete dies damit, dass von den Mitgesetzgebern keine Einigung mehr zu erwarten sei und der Vorschlag angesichts nachfolgender Rechtsvorschriften überholt sei. Die derzeitige ePrivacy-Richtlinie und ihre nationalen Umsetzungen bleiben daher auf unbestimmte Zeit in Kraft.
Der Digital-Omnibus-Vorschlag vom November 2025 greift einen Teil dieser unerledigten Vorhaben auf, indem er vorschlägt, die Regeln zur Cookie-Einwilligung aus der ePrivacy-Richtlinie in die DSGVO zu überführen und die Liste der Verarbeitungstätigkeiten zu erweitern, die ohne Einwilligung erfolgen dürfen. Eine ausführliche Darstellung der aktuellen Regeln finden Sie in unserem Leitfaden zur ePrivacy-Richtlinie.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689)
Die EU-KI-Verordnung ist weltweit das erste umfassende Regelwerk zur Regulierung künstlicher Intelligenz. Sie wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft.
Die KI-Verordnung verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in vier Stufen ein: unannehmbares Risiko (grundsätzlich verboten), hohes Risiko (strenge Compliance-Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine verpflichtenden Vorgaben). KI-Systeme, die personenbezogene Daten verarbeiten, unterliegen häufig gleichzeitig sowohl der KI-Verordnung als auch der DSGVO.

Der gestaffelte Umsetzungszeitplan
Die KI-Verordnung gilt in Phasen:
- 2. Februar 2025: Die verbotenen KI-Praktiken und die Pflichten zur KI-Kompetenz wurden anwendbar. Systeme, die unterschwellige Manipulation, Social Scoring durch Behörden und die meisten Formen der biometrischen Echtzeit-Identifizierung im öffentlichen Raum einsetzen, sind seit diesem Zeitpunkt verboten.
- 2. August 2025: Die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI) wurden anwendbar. Die Mitgliedstaaten müssen nationale zuständige Behörden benennen und nationale Bußgeldvorschriften erlassen. Die Steuerungsstrukturen auf EU-Ebene (KI-Gremium, wissenschaftliches Gremium und Beratungsforum) sind einsatzbereit.
- 2. Dezember 2026: Die Transparenzpflichten und die Kennzeichnungspflichten für KI-generierte Inhalte gelten (dieses Datum wurde durch die politische Einigung zum Digital Omnibus vom Mai 2026 vom 2. August 2026 verschoben). Ab diesem Zeitpunkt gilt außerdem ein neues Verbot für KI-Systeme, die intime Bildaufnahmen ohne Einwilligung der abgebildeten Person erzeugen.
- 2. Dezember 2027: Compliance-Frist für eigenständige Hochrisiko-KI-Systeme nach Anhang III (durch die politische Einigung zum Digital Omnibus vom 2. August 2026 verschoben).
- 2. August 2028: Compliance-Frist für Hochrisiko-KI, die in regulierte Produkte nach Anhang I eingebettet ist.
Vereinfachung der KI-Verordnung durch den Digital Omnibus (Mai 2026)
Am 7. Mai 2026 erzielten das Europäische Parlament und der Rat im Rahmen des Digital Omnibus eine vorläufige politische Einigung zur Änderung der KI-Verordnung. Neben den oben genannten Änderungen des Zeitplans weitet die Einigung die für KMU geltenden regulatorischen Ausnahmen auf kleine Unternehmen mittlerer Kapitalisierung (Small Mid-Caps) aus, engt bestimmte Hochrisiko-Einstufungen ein und stärkt die Aufsichtsbefugnisse des KI-Büros. Die förmliche Annahme wird vor dem 2. August 2026 erwartet.
Die DSGVO-Verfahrensverordnung (Verordnung (EU) 2025/2518)
Jahrelang litt der One-Stop-Shop-Mechanismus der DSGVO unter verfahrensrechtlicher Uneinheitlichkeit: Aufsichtsbehörden wandten unterschiedliche Zulässigkeitsmaßstäbe an, Untersuchungen zogen sich ohne verbindliche Fristen über Jahre hin, und Beschwerdeführende in kleineren Mitgliedstaaten hatten nur eingeschränkten Einblick in ihre grenzüberschreitenden Verfahren.
Die DSGVO-Verfahrensverordnung, die Verordnung (EU) 2025/2518, wurde 2025 verabschiedet, um diese Probleme zu beheben. Sie trat am 1. Januar 2026 in Kraft und gilt ab dem 2. April 2027.
Zu den wichtigsten Regelungen zählen:
- Einheitliche Zulässigkeitsmaßstäbe: Bei der Beurteilung, ob eine Beschwerde zulässig ist, gelten dieselben Kriterien, unabhängig davon, in welchem Mitgliedstaat sie eingereicht wird.
- Verbindliche 15-Monats-Frist für Untersuchungen: Die federführende Aufsichtsbehörde muss ihre Untersuchung innerhalb von 15 Monaten abschließen, wobei bei besonders komplexen Fällen eine Verlängerung um 12 Monate möglich ist.
- Mechanismus zur frühzeitigen Erledigung: Federführende Aufsichtsbehörden können Beschwerden bereits vor Beginn förmlicher Kooperationsverfahren erledigen, was den Verwaltungsaufwand verringert und Verfahren beschleunigt.
- Erweiterte Verfahrensrechte: Sowohl die untersuchten Parteien als auch die Beschwerdeführenden haben das Recht, vor Erlass einer endgültigen Entscheidung Einsicht in die vorläufigen Feststellungen zu nehmen und dazu Stellung zu beziehen.
Der Digital-Omnibus-Vorschlag vom November 2025
Am 19. November 2025 veröffentlichte die Europäische Kommission den Digital Omnibus als Teil eines Digitalpakets gemeinsam mit der Datenunion-Strategie und den europäischen Business Wallets. Der Digital Omnibus ist ein einheitlicher Gesetzgebungsvorschlag, der mehrere bestehende digitale Rechtsakte zugleich vereinfachen und ändern soll: die DSGVO, die KI-Verordnung, die ePrivacy-Richtlinie, die Datenverordnung, den Cybersicherheitsrechtsakt und weitere.
Zu den wichtigsten DSGVO-bezogenen Vorschlägen zählen:
- Vereinfachung der Cookie-Einwilligung: Die Regeln zur Cookie-Einwilligung würden aus der ePrivacy-Richtlinie in die DSGVO überführt, mit einer erweiterten Liste einwilligungsfreier Tätigkeiten sowie der Möglichkeit, Einwilligungspräferenzen mit einem einzigen Klick für sechs Monate festzulegen oder auf Browser- beziehungsweise Geräteebene zu speichern.
- Harmonisierte DSFA-Listen: Der EDSA würde EU-weite Listen von Verarbeitungstätigkeiten erstellen, für die eine DSFA erforderlich ist oder nicht. Von der Kommission genehmigte Listen würden abweichende nationale Listen ersetzen.
- Einheitliche Meldestelle: ein einheitlicher Mechanismus zur Meldung von Cybersicherheitsvorfällen und Verletzungen des Schutzes personenbezogener Daten nach der DSGVO, der NIS-2-Richtlinie und weiteren Rechtsakten.
Mitte 2026 befindet sich der Digital Omnibus in den Trilogverhandlungen zwischen Kommission, Parlament und Rat. Im Falle seiner Annahme würden die DSGVO-Änderungen die Verordnung (EU) 2016/679 förmlich aktualisieren.
Der EDSA und der Kohärenzmechanismus
Der Europäische Datenschutzausschuss (EDSA) ist das unabhängige EU-Gremium, das für die einheitliche Anwendung der DSGVO in allen Mitgliedstaaten zuständig ist. Er setzt sich aus den Leiterinnen und Leitern jeder nationalen Aufsichtsbehörde sowie dem Europäischen Datenschutzbeauftragten (EDSB) zusammen.
Zu seinen wichtigsten Aufgaben zählen die Herausgabe von Leitlinien, Empfehlungen und bewährten Verfahren, der Erlass verbindlicher Entscheidungen bei Streitfällen im Rahmen des One-Stop-Shop-Mechanismus sowie die Durchführung koordinierter Durchsetzungsmaßnahmen im Rahmen des Koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework, CEF).
Der EDSB beaufsichtigt den Umgang der EU-Organe selbst mit personenbezogenen Daten und berät zu EU-Rechtsvorschriften mit datenschutzrechtlicher Relevanz.
Kohärenzmechanismus: Erlässt eine nationale Aufsichtsbehörde eine Maßnahme, die betroffene Personen in anderen Mitgliedstaaten berühren könnte, muss sie dem EDSA einen Beschlussentwurf vorlegen. Erhebt eine betroffene Aufsichtsbehörde einen relevanten und begründeten Einwand, dem die federführende Aufsichtsbehörde nicht folgen möchte, erlässt der EDSA eine verbindliche Entscheidung. Dieser Mechanismus führte 2023 zu dem Bußgeld von 1,2 Milliarden Euro gegen Meta, dem bislang höchsten DSGVO-Bußgeld, als der EDSA das niedrigere von der irischen DPC vorgeschlagene Bußgeld verwarf.
Koordinierte Durchsetzung 2026: Die CEF-Aktion des EDSA für 2026 konzentriert sich auf die Transparenz- und Informationspflichten der DSGVO. Alle nationalen Aufsichtsbehörden führen zu diesem Thema parallele Untersuchungen durch. Im Jahr 2025 lag der Schwerpunkt der CEF auf dem Recht auf Löschung.
Das umfassendere digitale Regelwerk der EU
Die DSGVO bildet das Fundament, doch das EU-Datenrecht reicht weit darüber hinaus. Mehrere ergänzende Rechtsinstrumente regeln bestimmte Sektoren oder Arten von Datentätigkeiten.
Daten-Governance-Rechtsakt (Data Governance Act, DGA): Verordnung (EU) 2022/868, anwendbar seit September 2023. Der DGA schafft Vertrauensrahmen für die freiwillige gemeinsame Datennutzung zwischen Unternehmen sowie zwischen dem öffentlichen und dem privaten Sektor. Er schafft anerkannte Datenvermittlungsdienste und lässt Organisationen für Datenaltruismus zu. Sind personenbezogene Daten betroffen, gilt daneben die DSGVO.
Datenverordnung (Data Act): Verordnung (EU) 2023/2854, anwendbar seit dem 12. September 2025. Die Datenverordnung gibt Nutzerinnen und Nutzern vernetzter Produkte (intelligente Geräte, Industriemaschinen, Fahrzeuge) das Recht, auf die durch die Nutzung dieser Produkte erzeugten Daten zuzugreifen und sie weiterzugeben. Sie regelt den Datenaustausch zwischen Unternehmen sowie zwischen Unternehmen und Behörden. Sind personenbezogene Daten betroffen, gilt gleichzeitig die DSGVO.
Gesetz über digitale Dienste (Digital Services Act, DSA): Verordnung (EU) 2022/2065. Der DSA regelt Online-Vermittlungsdienste und Plattformen mit Pflichten zur Inhaltsmoderation, Transparenz und zum Datenzugang für Forschende. Sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) unterliegen zusätzlichen Pflichten. Am 2. Juli 2025 veröffentlichte die Kommission einen delegierten Rechtsakt, der qualifizierten Forschenden Zugang zu internen Daten der VLOPs zur Untersuchung systemischer Risiken ermöglicht.
Gesetz über digitale Märkte (Digital Markets Act, DMA): Verordnung (EU) 2022/1925. Der DMA richtet sich an „Torwächter"-Plattformen (Google, Meta, Apple, Amazon, Microsoft, ByteDance) mit Pflichten zu Interoperabilität, Datenübertragbarkeit und Einwilligung. Im April 2025 erließ die Kommission ihre ersten Entscheidungen wegen Nichteinhaltung: Apple erhielt ein Bußgeld von 500 Millionen Euro wegen Beschränkungen der Kundenlenkung im App Store, Meta ein Bußgeld von 200 Millionen Euro, weil es Nutzerinnen und Nutzern keinen weniger datenintensiven Dienst anbot.
NIS-2-Richtlinie: Richtlinie (EU) 2022/2555. NIS-2 legt Betreibern wesentlicher Dienste und digitalen Anbietern Pflichten zur Cybersicherheit und zur Meldung von Vorfällen auf. Datenschutzverletzungen, die zugleich Cybersicherheitsvorfälle darstellen, können sowohl Meldepflichten nach der DSGVO als auch nach NIS-2 auslösen, eine Komplexität, die der Vorschlag einer einheitlichen Meldestelle im Digital Omnibus beheben soll.
Angemessenheitsbeschlüsse und internationale Datenübermittlungen
Die Übermittlung personenbezogener Daten aus der EU in Drittländer richtet sich nach Kapitel V der DSGVO. Ein Angemessenheitsbeschluss der Europäischen Kommission erlaubt den freien Datenverkehr in ein Zielland ohne zusätzliche Garantien.
Stand Mai 2026 bestehen Angemessenheitsbeschlüsse für: Andorra, Argentinien, Brasilien (2026), Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich, die Vereinigten Staaten (für Organisationen, die nach dem EU-US-Datenschutzrahmen zertifiziert sind), Uruguay und die Europäische Patentorganisation (2025).
EU-US-Datenschutzrahmen (Data Privacy Framework, DPF): Die Kommission erließ den Angemessenheitsbeschluss zum DPF am 10. Juli 2023 und ersetzte damit das für ungültig erklärte Privacy Shield. Der Rahmen stützt sich auf Zusagen der US-Regierung zur Begrenzung des Zugriffs von Nachrichtendiensten sowie auf den Datenschutz-Überprüfungsgerichtshof (Data Protection Review Court, DPRC) als Rechtsbehelfsmechanismus. Anfang 2026 verfügten über 2.800 Organisationen über eine aktive DPF-Zertifizierung. Das Gericht der Europäischen Union wies am 3. September 2025 eine Klage gegen den Beschluss ab (Rechtssache T-553/23), doch ein weiteres Rechtsmittel vor dem EuGH (Rechtssache C-703/25 P, eingereicht am 31. Oktober 2025) ist noch anhängig.
Besteht kein Angemessenheitsbeschluss, können Übermittlungen auf Standardvertragsklauseln (SCCs, aktualisiert im Juni 2021), verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) oder spezifische Ausnahmetatbestände gestützt werden. Organisationen, die SCCs verwenden, müssen zusätzlich eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) durchführen.
DSGVO-Unterseiten auf dieser Website
Diese Seiten behandeln die wichtigsten DSGVO-Themen im Detail:
- Was ist die DSGVO? Der vollständige Leitfaden zum EU-Datenschutz
- DSGVO-Einwilligungsanforderungen: Was gilt als wirksame Einwilligung
- Betroffenenrechte nach der DSGVO: Auskunft, Löschung und Datenübertragbarkeit
- Meldung von Datenschutzverletzungen nach der DSGVO: Die 72-Stunden-Regel erklärt
- DSGVO-Bußgelder und Sanktionen: Vollständige Liste und Leitfaden
- DSGVO-Compliance-Checkliste für Unternehmen
- DSGVO für kleine Unternehmen: Vereinfachter Compliance-Leitfaden
- EU-Cookie-Recht (ePrivacy-Richtlinie) erklärt
Leitfäden zu den EU-Mitgliedstaaten
Jeder EU-Mitgliedstaat verfügt über ein eigenes nationales Durchführungsgesetz und eine unabhängige Aufsichtsbehörde. Diese Seiten erläutern, wie die DSGVO in jedem Land angewendet wird, was das nationale Recht ergänzt und wie die jeweilige Aufsichtsbehörde sie durchsetzt:
- Österreich: Datenschutzrecht (DSG)
- Belgien: Datenschutzrecht
- Bulgarien: Datenschutzrecht
- Kroatien: Datenschutzrecht
- Zypern: Datenschutzrecht
- Tschechien: Datenschutzrecht
- Dänemark: Datenschutzrecht
- Estland: Datenschutzrecht
- Finnland: Datenschutzrecht
- Frankreich: Datenschutzrecht (CNIL)
- Deutschland: Datenschutzrecht (BDSG)
- Griechenland: Datenschutzrecht (HDPA)
- Ungarn: Datenschutzrecht (NAIH)
- Irland: Datenschutzrecht (DPC)
- Italien: Datenschutzrecht (Garante)
- Lettland: Datenschutzrecht
- Litauen: Datenschutzrecht (VDAI)
- Luxemburg: Datenschutzrecht (CNPD)
- Malta: Datenschutzrecht
- Niederlande: Datenschutzrecht (AP)
- Polen: Datenschutzrecht (UODO)
- Portugal: Datenschutzrecht (CNPD)
- Rumänien: Datenschutzrecht (ANSPDCP)
- Slowakei: Datenschutzrecht
- Slowenien: Datenschutzrecht
- Spanien: Datenschutzrecht (AEPD / LOPDGDD)
- Schweden: Datenschutzrecht (IMY)
Nicht-EU-Mitglieder des EWR, die die DSGVO über das EWR-Abkommen anwenden:
Weiterführende Leitfäden
Frequently Asked Questions
Gilt die DSGVO auch für Unternehmen außerhalb der Europäischen Union?
Ja. Die DSGVO gilt für jede Organisation weltweit, die Personen in der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Personen in der EU beobachtet. Ein Unternehmen benötigt keine physische Präsenz in Europa, um unter die DSGVO zu fallen. Artikel 3 begründet diesen weiten räumlichen Anwendungsbereich, und die Leitlinien 3/2018 des EDSA zum räumlichen Anwendungsbereich erläutern, wie er auf Organisationen außerhalb der EU angewendet wird.
Wie hoch ist das Höchstbußgeld nach der DSGVO?
Das Höchstbußgeld beträgt 20 Millionen Euro oder 4 Prozent des weltweiten Gesamtjahresumsatzes der Organisation aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist. Diese obere Bußgeldstufe gilt für Verstöße gegen die Kernprinzipien der Verarbeitung, gegen die Rechte der betroffenen Personen und gegen die Regeln zur internationalen Datenübermittlung. Das bislang höchste Einzelbußgeld beträgt 1,2 Milliarden Euro, das die irische Datenschutzkommission 2023 gegen Meta wegen rechtswidriger Übermittlung von Nutzerdaten aus der EU in die Vereinigten Staaten verhängte.
Kommt die ePrivacy-Verordnung noch?
Nein. Die Europäische Kommission hat den Vorschlag für die ePrivacy-Verordnung im Februar 2025 im Rahmen ihres Arbeitsprogramms 2025 formell zurückgezogen. Der Vorschlag war seit 2017 blockiert. Die bestehende ePrivacy-Richtlinie (2002/58/EG) und ihre nationalen Umsetzungen bleiben in Kraft. Einige ePrivacy-Fragen werden nun im Rahmen des Digital-Omnibus-Vorschlags vom November 2025 behandelt, der vorschlägt, die Regeln zur Cookie-Einwilligung in den Rahmen der DSGVO zu überführen.
Was ist die DSGVO-Verfahrensverordnung?
Die Verordnung (EU) 2025/2518 ist eine neue EU-Verordnung, die die grenzüberschreitende Durchsetzung der DSGVO im Rahmen des One-Stop-Shop-Mechanismus strafft. Sie trat am 1. Januar 2026 in Kraft und gilt ab dem 2. April 2027. Sie führt verbindliche 15-Monats-Fristen für Untersuchungen, einheitliche Zulässigkeitsmaßstäbe für Beschwerden in allen Mitgliedstaaten, einen Mechanismus zur frühzeitigen Erledigung sowie erweiterte Verfahrensrechte für Parteien und Beschwerdeführende ein.
Was ist der EU Digital Omnibus und wie wirkt er sich auf die DSGVO aus?
Der Digital Omnibus ist ein Vorschlag der Europäischen Kommission, der am 19. November 2025 als Teil eines Digitalpakets veröffentlicht wurde. Für die DSGVO sehen die wichtigsten Vorschläge vor, die Regeln zur Cookie-Einwilligung aus der ePrivacy-Richtlinie in die DSGVO zu überführen, die Listen der DSFA-Pflichten auf EU-Ebene zu harmonisieren und eine einheitliche Meldestelle für Datenschutzverletzungen und Cybersicherheitsvorfälle zu schaffen. Der Omnibus schlägt zudem Fristverlängerungen bei der KI-Verordnung sowie Vereinfachungen für KMU und kleine Unternehmen mittlerer Kapitalisierung vor. Mitte 2026 befindet er sich in den Trilogverhandlungen.
Welche Länder können personenbezogene Daten aus der EU ohne zusätzliche Garantien erhalten?
Stand Mai 2026 hat die Europäische Kommission folgenden Zielländern Angemessenheitsbeschlüsse erteilt: Andorra, Argentinien, Brasilien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich, die Vereinigten Staaten (für Organisationen, die nach dem EU-US-Datenschutzrahmen zertifiziert sind), Uruguay und die Europäische Patentorganisation. Personenbezogene Daten können ohne Standardvertragsklauseln oder andere zusätzliche Mechanismen in diese Länder übermittelt werden.
Wie wirkt die EU-KI-Verordnung mit der DSGVO zusammen?
Die EU-KI-Verordnung und die DSGVO gelten gleichzeitig für KI-Systeme, die personenbezogene Daten verarbeiten. Die KI-Verordnung legt Anbietern und Betreibern von KI-Systemen Pflichten zur Risikoeinstufung, Transparenz, Protokollierung und Konformitätsbewertung auf. Verarbeitet ein KI-System personenbezogene Daten, gelten zugleich die Anforderungen der DSGVO, einschließlich Rechtsgrundlage, Datenminimierung, Zweckbindung und DSFA bei risikoreicher Verarbeitung. EDSA und Kommission erarbeiten gemeinsame Leitlinien zum Zusammenspiel beider Instrumente, deren Annahme für 2026 vorgesehen ist.
Sources and References
- DSGVO Volltext, Verordnung (EU) 2016/679(eur-lex.europa.eu).gov
- Europäische Kommission: Datenschutz in der EU(commission.europa.eu).gov
- Leitlinien 3/2018 des EDSA zum räumlichen Anwendungsbereich (Artikel 3)(edpb.europa.eu).gov
- Leitlinien 1/2024 des EDSA zum berechtigten Interesse(edpb.europa.eu).gov
- Europäische Kommission: Angemessenheitsbeschlüsse für internationale Datenübermittlungen(commission.europa.eu).gov
- Angemessenheitsbeschluss zum EU-US-Datenschutzrahmen (Juli 2023)(ec.europa.eu).gov
- Europäischer Datenschutzausschuss (EDSA)(edpb.europa.eu).gov
- EDSA: 1,2-Milliarden-Euro-Bußgeld gegen Facebook (verbindliche Entscheidung)(edpb.europa.eu).gov
- EDSA CEF 2026: Koordinierte Durchsetzung zur Transparenz(edpb.europa.eu).gov
- GDPR Enforcement Tracker: Datenbank zu Bußgeldern und Sanktionen(enforcementtracker.com)
- ePrivacy-Richtlinie 2002/58/EG, Volltext(eur-lex.europa.eu).gov
- EU-KI-Verordnung, Verordnung (EU) 2024/1689, Volltext(eur-lex.europa.eu).gov
- EU-KI-Verordnung: Digitalstrategie der Europäischen Kommission(digital-strategy.ec.europa.eu).gov
- Rat der EU: Politische Einigung zur Vereinfachung der KI-Verordnung (Mai 2026)(consilium.europa.eu).gov
- EU-Digitalpaket: Überblick der Kommission(digital-strategy.ec.europa.eu).gov
- EU-Datenverordnung, Verordnung (EU) 2023/2854(digital-strategy.ec.europa.eu).gov
- Daten-Governance-Rechtsakt, Verordnung (EU) 2022/868(digital-strategy.ec.europa.eu).gov
- Gesetz über digitale Dienste: Europäische Kommission(commission.europa.eu).gov
- Gesetz über digitale Märkte: Europäische Kommission(commission.europa.eu).gov