Was ist die DSGVO? Vollständiger Leitfaden zum EU-Datenschutz (2026)

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO) ist das verbindliche Datenschutzrecht der Europäischen Union, das seit dem 25. Mai 2018 gilt. Sie verleiht Einzelpersonen Rechte über ihre personenbezogenen Daten, legt Organisationen, die diese verarbeiten, Compliance-Pflichten auf und erstreckt sich auf jede Organisation weltweit, die Personen in der EU gezielt anspricht oder überwacht.
Die Datenschutz-Grundverordnung, weithin als DSGVO bekannt, ist das einflussreichste Datenschutzgesetz der Welt. Als Verordnung (EU) 2016/679 am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht, wurde sie nach einer zweijährigen Übergangsfrist am 25. Mai 2018 anwendbar. Sie gilt unmittelbar in jedem EU-Mitgliedstaat und erstreckt sich über Artikel 3 auf Organisationen mit Sitz an jedem beliebigen Ort der Welt, die personenbezogene Daten von Personen in der EU verarbeiten.
Dieser Leitfaden erläutert die DSGVO von Grund auf: ihre Entstehung, ihren räumlichen Anwendungsbereich, ihre sieben Grundprinzipien, zentrale Begriffsbestimmungen, die sechs Rechtsgrundlagen für die Verarbeitung, einen Überblick über die Betroffenenrechte, wer sie durchsetzt, wie Sanktionen aussehen, ihr Verhältnis zum nationalen Recht sowie die neuesten Entwicklungen von 2024 bis 2026. Für eine ausführliche Behandlung einzelner Themen nutzen Sie die verlinkten begleitenden Leitfäden.
Für den breiteren EU-rechtlichen Kontext siehe unseren Überblick über das EU-Datenschutzrecht.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Fachperson für Datenschutzrecht.
Kurzantwort: Was ist die DSGVO?
Die DSGVO ist eine unmittelbar geltende EU-Verordnung, die einheitliche Regeln für die Erhebung, Speicherung, Nutzung und Weitergabe personenbezogener Daten von Personen in der EU und dem Europäischen Wirtschaftsraum festlegt. "Verordnung" ist dabei das Schlüsselwort: Anders als eine EU-Richtlinie verlangt eine Verordnung keine nationalen Umsetzungsgesetze der Mitgliedstaaten. Sie wurde am selben Tag automatisch in allen 27 EU-Mitgliedstaaten verbindliches Recht.
Im Kern erfüllt die DSGVO drei Funktionen. Sie gewährt Einzelpersonen (den "betroffenen Personen") durchsetzbare Rechte über ihre personenbezogenen Daten. Sie legt den Organisationen (den "Verantwortlichen" und "Auftragsverarbeitern"), die diese Daten verarbeiten, Pflichten auf. Und sie richtet in jedem Mitgliedstaat unabhängige Aufsichtsbehörden ein, die Beschwerden untersuchen und bei Verstößen Bußgelder verhängen.
Die DSGVO löste die Richtlinie 95/46/EG ab, die Datenschutzrichtlinie von 1995, die den EU-Datenschutz über zwei Jahrzehnte lang regelte.

Geschichte und Zweck
Die Datenschutzrichtlinie von 1995
Der erste bedeutende Datenschutzrahmen der EU war die im Oktober 1995 angenommene Richtlinie 95/46/EG. Eine Richtlinie gilt nicht unmittelbar; jeder Mitgliedstaat musste ein eigenes nationales Umsetzungsgesetz erlassen. Das Ergebnis war ein Flickenteppich aus 28 unterschiedlichen nationalen Gesetzen. Unternehmen, die europaweit tätig waren, mussten in jedem Land ein anderes Compliance-Regime bewältigen.
Die Richtlinie funktionierte für das Zeitalter der Einwahlverbindungen einigermaßen, wurde jedoch zunehmend unzureichend, als soziale Medien, Cloud-Dienste und Smartphones in den 2000er- und frühen 2010er-Jahren personenbezogene Daten in bis dahin unbekanntem Ausmaß erzeugten.
Vom Vorschlag zur Annahme
Der Europäische Datenschutzbeauftragte (EDSB) dokumentiert, dass die Europäische Kommission erstmals im Januar 2012 vorschlug, die Richtlinie durch eine Verordnung zu ersetzen. Die Wahl einer Verordnung statt einer neuen Richtlinie löste das Flickenteppichproblem: Ein einheitliches Regelwerk sollte einheitlich in allen Mitgliedstaaten gelten.
Die Verhandlungen zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission dauerten vier Jahre und umfassten mehr als 3.000 parlamentarische Änderungsanträge. Der Rat nahm seine Position am 8. April 2016 an. Das Europäische Parlament billigte den endgültigen Text am 14. April 2016. Die Verordnung wurde am 4. Mai 2016 im Amtsblatt veröffentlicht, mit dem 25. Mai 2018 als Datum des Wirksamwerdens, wodurch Organisationen zwei Jahre Vorbereitungszeit erhielten.
Weiterentwicklung nach dem Wirksamwerden
Die DSGVO hat den Datenschutz 2018 nicht eingefroren. Der Europäische Datenschutzausschuss (EDSA) hat Dutzende Leitlinien zur Auslegung einzelner Bestimmungen veröffentlicht. Gerichte in ganz Europa haben wegweisende Urteile zu Einwilligung, berechtigten Interessen und internationalen Datenübermittlungen gefällt. Die kumulierten DSGVO-Bußgelder überschritten Anfang 2026 die Marke von 7,1 Milliarden Euro, davon allein rund 1,15 Milliarden Euro im Jahr 2025.
Im April 2026 jährte sich die Annahme der DSGVO im April 2016 zum zehnten Mal. Der EDSA merkte an, dass die Verordnung den ersten umfassenden Datenschutzrahmen eines ganzen Kontinents begründet und die Datenschutzgesetzgebung in mehr als 150 Ländern unmittelbar beeinflusst hat.
Räumlicher Anwendungsbereich: Wer muss die Vorschriften einhalten? (Artikel 3)
Artikel 3 der DSGVO ist für ein nationales oder regionales Gesetz ungewöhnlich weit gefasst. Er legt zwei Hauptkriterien für die Anwendbarkeit fest.
Das Niederlassungskriterium (Artikel 3 Absatz 1)
Die DSGVO gilt für jeden Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten "im Rahmen der Tätigkeiten einer Niederlassung" in der EU verarbeitet. Eine Niederlassung erfordert keine förmliche Gründung; eine Zweigstelle, Tochtergesellschaft oder eine stabile Struktur jeder Art genügt.
Entscheidend ist, dass die Verarbeitung nicht auf EU-Boden stattfinden muss. Ein in Berlin ansässiges Unternehmen, das Kundendaten auf Servern in den Vereinigten Staaten verarbeitet, unterliegt weiterhin der DSGVO, weil die Verarbeitung im Rahmen der Tätigkeiten seiner EU-Niederlassung erfolgt.
Das Zielgerichtetheitskriterium (Artikel 3 Absatz 2)
Organisationen ohne EU-Niederlassung müssen dennoch konform handeln, wenn sie:
- Personen in der EU Waren oder Dienstleistungen anbieten, unabhängig davon, ob eine Zahlung erforderlich ist; oder
- Das Verhalten von Personen in der EU überwachen, unter anderem durch Website-Analysen, verhaltensbasierte Werbung, Standortverfolgung und Cookie-basiertes Profiling.
Die EDSA-Leitlinien 3/2018 zum räumlichen Anwendungsbereich stellen klar, dass die bloße Erreichbarkeit einer Website aus der EU nicht genügt. Es müssen Anhaltspunkte für eine Absicht vorliegen, EU-Bewohner gezielt anzusprechen: die Annahme von Euro, Inhalte in EU-Sprachen oder ausdrückliche Bezugnahmen auf EU-Kunden sind allesamt Indikatoren.
Die Pflicht zum EU-Vertreter (Artikel 27)
Nicht-EU-Organisationen, die aufgrund des Zielgerichtetheitskriteriums der DSGVO unterliegen, müssen schriftlich einen Vertreter innerhalb der EU benennen. Dieser Vertreter fungiert als Ansprechpartner für Aufsichtsbehörden und Betroffene.

Die sieben Grundsätze der Datenverarbeitung (Artikel 5)
Artikel 5 der DSGVO legt sieben Grundsätze fest, die für jede Verarbeitungstätigkeit gelten. Ihre Verletzung löst die höhere Bußgeldstufe aus (bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes). Der Rechenschaftspflicht-Grundsatz in Artikel 5 Absatz 2 legt der Organisation die Beweislast auf, die Einhaltung aller sieben Grundsätze nachzuweisen.
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
Jede Verarbeitung benötigt eine gültige Rechtsgrundlage nach Artikel 6. Sie muss in einer Weise erfolgen, die Personen vernünftigerweise erwarten würden, und darf keinen ungerechtfertigten Schaden verursachen. Organisationen müssen Personen durch zugängliche Datenschutzhinweise klar mitteilen, was mit ihren Daten geschieht.
2. Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Wer E-Mail-Adressen für Bestellbestätigungen erhebt und sie später ohne gesonderte Rechtsgrundlage für Marketing nutzt, verstößt gegen diesen Grundsatz. Begrenzte Ausnahmen bestehen für Archivierung, wissenschaftliche Forschung und statistische Zwecke.
3. Datenminimierung
Es dürfen nur personenbezogene Daten verarbeitet werden, die dem Zweck angemessen und erheblich sowie auf das für den festgelegten Zweck notwendige Maß beschränkt sind. Organisationen sollten Daten nicht "auf Vorrat" erheben, falls sie später einmal nützlich sein könnten.
4. Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Organisationen müssen alle angemessenen Maßnahmen ergreifen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Die Leitlinien der ICO zu den Datenschutzgrundsätzen weisen darauf hin, dass Richtigkeit bedeutet, dass die Daten im Kontext nicht irreführend sein dürfen, nicht lediglich technisch korrekt.
5. Speicherbegrenzung
Daten dürfen in personenbezogener Form nur so lange aufbewahrt werden, wie es für den Verarbeitungszweck erforderlich ist. Ist der Zweck erfüllt, muss die Organisation die Daten löschen oder anonymisieren. Aufbewahrungsfristen müssen dokumentiert werden; eine unbegrenzte Speicherung ist nicht zulässig.
6. Integrität und Vertraulichkeit (Sicherheit)
Personenbezogene Daten müssen mit geeigneten technischen und organisatorischen Sicherheitsmaßnahmen verarbeitet werden, um sie vor unbefugtem Zugriff, unbeabsichtigtem Verlust, Zerstörung oder Beschädigung zu schützen. Dieser Grundsatz bildet die Grundlage der Meldepflichten bei Datenschutzverletzungen nach den Artikeln 33 und 34.
7. Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung aller sechs vorstehenden Grundsätze verantwortlich und muss diese nachweisen können. Dies ist eine aktive Pflicht: Führen von Verzeichnissen der Verarbeitungstätigkeiten, Durchführung von Datenschutz-Folgenabschätzungen, wo erforderlich, Bestellung eines Datenschutzbeauftragten, wo vorgeschrieben, sowie die Bereitstellung von Compliance-Nachweisen gegenüber Aufsichtsbehörden.
Zentrale Begriffsbestimmungen (Artikel 4)
Artikel 4 der DSGVO enthält 26 Begriffsbestimmungen. Die sechs, die in jeder Compliance-Analyse durchgehend vorkommen, sind:
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die "betroffene Person") beziehen. Die Definition ist bewusst weit und technologieneutral gefasst. Sie erfasst Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, Cookie-Kennungen, Standortdaten, genetische Daten, biometrische Daten, Fotografien sowie jede Kombination von Daten, die eine Person direkt oder indirekt identifizieren könnte.
Die Europäische Kommission betont, dass die DSGVO unabhängig davon gilt, ob Daten digital, auf Papier oder durch Videoüberwachung erfasst werden.
Verarbeitung
"Verarbeitung" erfasst praktisch jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird: Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Auslesen, Verwendung, Offenlegung, Kombination, Einschränkung, Löschung oder Vernichtung. Die Definition ist bewusst weit gefasst; wer personenbezogene Daten in irgendeiner Weise handhabt, verarbeitet sie.
Verantwortlicher
Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Verantwortliche legen fest, warum Daten erhoben werden und wie sie genutzt werden. Sie tragen die primäre DSGVO-Compliance-Verantwortung.
Auftragsverarbeiter
Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen. Ein Cloud-Hosting-Unternehmen, das die Kundendatenbank eines Einzelhändlers speichert, agiert als Auftragsverarbeiter. Auftragsverarbeiter müssen den Weisungen des Verantwortlichen folgen, angemessene Sicherheitsmaßnahmen umsetzen und einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 abschließen. Die EDSA-Leitlinien 07/2020 bieten ausführliche Hinweise zur Rollenbestimmung.
Betroffene Person
Die natürliche Person, deren personenbezogene Daten verarbeitet werden. Betroffene Personen sind die Rechteinhaber nach Kapitel III der DSGVO.
Besondere Kategorien personenbezogener Daten
Artikel 9 nennt Datenkategorien, die besonders sensibel sind und zusätzlichen Schutz erfordern: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. Die Verarbeitung dieser Kategorien ist grundsätzlich untersagt; nur die spezifischen, in Artikel 9 Absatz 2 aufgeführten Ausnahmen erlauben sie.
Die sechs Rechtsgrundlagen für die Verarbeitung (Artikel 6)
Jede Verarbeitung muss auf einer der sechs in Artikel 6 genannten Rechtsgrundlagen beruhen. Verantwortliche müssen die anwendbare Grundlage bestimmen und dokumentieren, bevor die Verarbeitung beginnt. Grundlagen können nachträglich nicht ausgetauscht werden.
| Rechtsgrundlage | Wann sie gilt | Typisches Beispiel |
|---|---|---|
| Einwilligung | Die betroffene Person gibt eine freiwillige, spezifische, informierte und eindeutige Willensbekundung ab | Newsletter-Anmeldung mit ausdrücklichem Opt-in-Kästchen |
| Vertragliche Erforderlichkeit | Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen auf deren Wunsch erforderlich | Nutzung einer Lieferadresse zur Erfüllung einer Online-Bestellung |
| Rechtliche Verpflichtung | Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung nach EU-Recht oder dem Recht eines Mitgliedstaats erforderlich | Aufbewahrung von Gehaltsunterlagen für steuerliche Zwecke |
| Lebenswichtige Interessen | Die Verarbeitung ist erforderlich, um das Leben der betroffenen Person oder einer anderen Person zu schützen | Weitergabe medizinischer Daten im Notfall |
| Öffentliches Interesse / Öffentliche Gewalt | Die Verarbeitung ist für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt erforderlich | Überwachung der öffentlichen Gesundheit durch eine Behörde |
| Berechtigte Interessen | Die Verarbeitung ist für die berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen oder Grundrechte der betroffenen Person nicht überwiegen | Betrugsprävention, Netzwerksicherheit, Direktwerbung (mit Sorgfalt) |
Die Einwilligung wird häufig fälschlich als Standardgrundlage angesehen. Die EDSA-Leitlinien 1/2024 zu berechtigten Interessen stellen klar, dass berechtigte Interessen eine Abwägungsprüfung erfordern und nicht für Verarbeitungen herangezogen werden können, die eindeutig die Rechte Einzelner überwiegen.
Ausführliche Hinweise dazu, wann eine Einwilligung erforderlich ist und was sie gültig macht, finden Sie in unserem Leitfaden zu den Einwilligungsanforderungen der DSGVO.
Betroffenenrechte im Überblick (Kapitel III)
Kapitel III der DSGVO gewährt Betroffenen acht Kategorien von Rechten. Verantwortliche müssen auf Anfragen zu Rechten unverzüglich und innerhalb eines Monats reagieren (bei komplexen Anfragen um zwei weitere Monate verlängerbar). Die Antworten müssen kostenlos sein.
| Recht | Artikel | Bedeutung |
|---|---|---|
| Recht auf Information | Art. 13, 14 | Klare Informationen über die Verarbeitung durch Datenschutzhinweise erhalten |
| Auskunftsrecht | Art. 15 | Bestätigung der Verarbeitung und eine Kopie der gespeicherten personenbezogenen Daten erhalten |
| Recht auf Berichtigung | Art. 16 | Unrichtige oder unvollständige Daten berichtigen lassen |
| Recht auf Löschung ("Recht auf Vergessenwerden") | Art. 17 | Daten löschen lassen, wenn sie nicht mehr erforderlich sind, die Einwilligung widerrufen wurde oder die Verarbeitung rechtswidrig war |
| Recht auf Einschränkung der Verarbeitung | Art. 18 | Die Verarbeitung unter bestimmten Umständen einschränken, während ein Streit geklärt wird |
| Recht auf Datenübertragbarkeit | Art. 20 | Personenbezogene Daten in einem strukturierten, maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln |
| Widerspruchsrecht | Art. 21 | Der auf berechtigten Interessen beruhenden Verarbeitung oder der Direktwerbung widersprechen |
| Rechte im Zusammenhang mit automatisierten Entscheidungen | Art. 22 | Nicht ausschließlich einer automatisierten Entscheidung unterworfen werden, die rechtliche oder ähnlich erhebliche Wirkung entfaltet |
Keines dieser Rechte gilt absolut. Die DSGVO nennt spezifische Gründe, aus denen Verantwortliche Anfragen ablehnen oder einschränken dürfen. Eine ausführliche Behandlung jedes Rechts und der jeweiligen Reaktionspflichten der Organisationen finden Sie in unserem Leitfaden zu den Betroffenenrechten nach der DSGVO.
Durchsetzung: Wie die DSGVO überwacht wird

Nationale Aufsichtsbehörden
Jeder EU-Mitgliedstaat verfügt über mindestens eine unabhängige Datenschutzbehörde. Aufsichtsbehörden verfügen nach Artikel 58 über drei Kategorien von Befugnissen:
- Untersuchungsbefugnisse: Prüfungen, Zugang zu Räumlichkeiten, Anordnung der Bereitstellung von Informationen sowie die Durchführung von Datenschutzprüfungen.
- Abhilfebefugnisse: Verwarnungen, Rügen, Anordnungen zur Herstellung der Rechtmäßigkeit, vorübergehende oder endgültige Verarbeitungsverbote sowie Bußgelder.
- Genehmigungs- und Beratungsbefugnisse: Genehmigung von Binding Corporate Rules, Abgabe von Stellungnahmen, Genehmigung von Standardvertragsklauseln.
Zu den bekannten Datenschutzbehörden zählen die irische Datenschutzkommission (DPC), die französische CNIL, die deutschen Landesdatenschutzbeauftragten, die italienische Garante und die spanische AEPD.
Der Europäische Datenschutzausschuss (EDSA)
Der EDSA ist die unabhängige EU-Einrichtung, die alle nationalen Datenschutzbehörden und den Europäischen Datenschutzbeauftragten zusammenführt. Er ersetzte die Artikel-29-Datenschutzgruppe mit dem Wirksamwerden der DSGVO. Der EDSA erlässt verbindliche Beschlüsse bei grenzüberschreitenden Streitigkeiten, veröffentlicht Auslegungsleitlinien und koordiniert die Durchsetzung über die Mitgliedstaaten hinweg.
Der One-Stop-Shop-Mechanismus
Für Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, benennt der One-Stop-Shop-Mechanismus der DSGVO eine einzige "federführende Aufsichtsbehörde": in der Regel die Behörde des Mitgliedstaats, in dem sich die EU-Hauptniederlassung der Organisation befindet. Andere "betroffene" Behörden können Einwände gegen Beschlussentwürfe erheben, und ungeklärte Streitigkeiten werden dem EDSA für einen verbindlichen Beschluss vorgelegt.
Die irische DPC hat sich gemessen am Bußgeldvolumen als dominierende Durchsetzungsbehörde etabliert, weil so viele große Technologieunternehmen (Meta, Google, Apple, TikTok, LinkedIn, X) ihre europäische Hauptniederlassung in Dublin haben.
Sanktionen (Artikel 83 und 84)
Die DSGVO sieht zwei Stufen von Bußgeldern vor:
Untere Stufe (Artikel 83 Absatz 4): bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern nach den Artikeln 8, 11, 25 bis 39, 42 und 43 (einschließlich der Pflichten zum Datenschutzbeauftragten, zum Datenschutz durch Technikgestaltung und zur Meldung von Datenschutzverletzungen).
Obere Stufe (Artikel 83 Absatz 5): bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen die Grundprinzipien (Artikel 5), die Rechtsgrundlagen (Artikel 6), die Einwilligungsvoraussetzungen (Artikel 7), die Vorschriften zu besonderen Kategorien (Artikel 9), die Betroffenenrechte (Kapitel III) sowie die Vorschriften für internationale Übermittlungen (Kapitel V).
Mitgliedstaaten können nach Artikel 84 zusätzliche Sanktionen vorsehen, einschließlich strafrechtlicher Sanktionen.
Bemerkenswerte Durchsetzungsbeispiele:
- Die irische DPC verhängte 2025 ein Bußgeld von 530 Millionen Euro gegen TikTok wegen rechtswidriger Übermittlungen von EU-Nutzerdaten nach China.
- Die irische DPC verhängte 2023 ein Bußgeld von 1,2 Milliarden Euro gegen Meta wegen rechtswidriger Datenübermittlungen in die Vereinigten Staaten über Standardvertragsklauseln.
- Die irische DPC verhängte im Dezember 2024 ein Bußgeld von 251 Millionen Euro gegen Meta wegen Mängeln bei der Meldung von Datenschutzverletzungen und der Datensicherheit im Zusammenhang mit der "View As"-Sicherheitslücke von 2018.
- LinkedIn wurde 2024 mit einem Bußgeld von 310 Millionen Euro belegt, weil das Unternehmen verhaltensbasierte Werbung ohne gültige Rechtsgrundlage betrieben hatte.
Die kumulierten DSGVO-Bußgelder überschritten Anfang 2026 die Marke von 7,1 Milliarden Euro. Die vollständige Aufschlüsselung der Bußgeldberechnung und die vollständige Liste bedeutender Durchsetzungsmaßnahmen finden Sie in unserem Leitfaden zu DSGVO-Bußgeldern und Strafen.
DSGVO und nationale Umsetzungsgesetze
Obwohl es sich um eine unmittelbar geltende Verordnung handelt, enthält die DSGVO mehr als 50 Öffnungsklauseln, die Mitgliedstaaten erlauben oder verpflichten, einzelne Bestimmungen durch nationales Recht zu ergänzen, einzuschränken oder anzupassen. Das Ergebnis ist, dass DSGVO-Compliance in Deutschland nicht identisch ist mit DSGVO-Compliance in Frankreich oder Irland.
Häufige Bereiche nationaler Abweichungen umfassen:
Einwilligungsalter bei Kinderdaten. Artikel 8 legt den Standardwert auf 16 Jahre fest, erlaubt Mitgliedstaaten jedoch, ihn auf mindestens 13 Jahre abzusenken. Das Vereinigte Königreich (das die DSGVO vor dem Brexit anwendete) legte ihn auf 13 Jahre fest.
Besondere Kategorien personenbezogener Daten. Artikel 9 Absatz 4 erlaubt Mitgliedstaaten, zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten, genetischen Daten und biometrischen Daten zu Identifizierungszwecken festzulegen.
Beschäftigtendaten. Artikel 88 erlaubt Mitgliedstaaten, spezifische Vorschriften für Beschäftigtendaten zu erlassen, einschließlich Vorstellungsgesprächsprüfungen und Überwachung am Arbeitsplatz.
Meinungsfreiheit und Journalismus. Artikel 85 verpflichtet Mitgliedstaaten, den Datenschutz mit der Meinungsfreiheit in Einklang zu bringen, einschließlich für journalistische, akademische und künstlerische Zwecke.
Daten zu strafrechtlichen Verurteilungen. Artikel 10 überlässt es den Mitgliedstaaten, unter welchen Bedingungen Aufzeichnungen über Straftaten von privaten Stellen verarbeitet werden dürfen.
Organisationen, die in mehreren Mitgliedstaaten tätig sind, müssen nicht nur die DSGVO selbst, sondern auch das jeweils anwendbare nationale Umsetzungsgesetz in jedem relevanten Staat prüfen.
Aktuelle Entwicklungen: 2024 bis 2026
DSGVO-Verfahrensverordnung (Verordnung (EU) 2025/2518)
Ein anhaltender Kritikpunkt an der DSGVO war, dass grenzüberschreitende Durchsetzungsverfahren zu lange dauerten. Der One-Stop-Shop-Mechanismus erforderte eine umfangreiche Zusammenarbeit zwischen der federführenden Behörde und den betroffenen Behörden, ohne verbindliche Fristen.
Die EU reagierte darauf mit der Verordnung (EU) 2025/2518, der DSGVO-Verfahrensverordnung. Sie wurde am 12. Dezember 2025 im Amtsblatt veröffentlicht, trat am 1. Januar 2026 in Kraft und wird ab dem 2. April 2027 angewendet (mit Übergangsregelungen zum Schutz laufender Untersuchungen).
Wesentliche Änderungen:
- Verbindliche Frist von 15 Monaten für Untersuchungen der federführenden Behörde, verlängerbar um 12 Monate bei komplexen Fällen.
- Standardisierte Verfahren für Beschwerdeführer und untersuchte Parteien.
- Erweiterte Transparenzpflichten hinsichtlich der Durchsetzungsfristen.
- Klargestellte Beteiligungsrechte für Beschwerdeführer während des Durchsetzungsverfahrens.
Diese Verordnung ändert nicht die materiellen DSGVO-Pflichten; sie regelt, wie Aufsichtsbehörden zusammenarbeiten und welche Verfahrensrechte den Parteien zustehen.
Der Digital-Omnibus-Vorschlag (November 2025)
Am 19. November 2025 nahm die Europäische Kommission ein weitreichendes Digital-Omnibus-Paket an, das Änderungen an mehreren EU-Digitalgesetzen vorschlägt, einschließlich der DSGVO, des Datengesetzes, der ePrivacy-Richtlinie, NIS 2 und weiterer. Stand Mai 2026 ist der Digital Omnibus lediglich ein Gesetzgebungsvorschlag; er ist noch nicht in Kraft getreten und durchläuft das ordentliche EU-Gesetzgebungsverfahren unter Beteiligung des Europäischen Parlaments und des Rates.
Zu den zentralen vorgeschlagenen DSGVO-Änderungen zählen:
- Einschränkung der Dokumentationspflicht nach Artikel 30 für Organisationen mit weniger als 750 Beschäftigten, sofern die Verarbeitung kein hohes Risiko birgt.
- Änderung der Artikel 13, 14 und 15 zur Einführung von Beschränkungen des Umfangs der Informationsrechte in bestimmten Fällen.
- Anpassung des Zweckbindungsgrundsatzes in Artikel 5 Absatz 1 Buchstabe b.
- Einführung einer "zentralen Anlaufstelle" für Meldungen von Datenschutzverletzungen im neuen Artikel 33a.
- Überarbeitung von Artikel 22 zu automatisierten Entscheidungen.
Der EDSA und der EDSB gaben Anfang 2026 eine gemeinsame Stellungnahme ab, in der sie bestimmte Vereinfachungselemente begrüßten, jedoch erhebliche Bedenken hinsichtlich der vorgeschlagenen Änderungen an der Definition personenbezogener Daten äußerten, die ihrer Ansicht nach über die etablierte Rechtsprechung des EuGH hinausgehen und den Begriff erheblich einengen würden. Der aktuelle DSGVO-Text bleibt in Kraft, bis etwaige Änderungen den Gesetzgebungsprozess durchlaufen haben und förmlich veröffentlicht wurden.
Das EU-KI-Gesetz und die DSGVO
Das EU-KI-Gesetz trat zwischen 2024 und 2026 nach einem gestaffelten Zeitplan in Anwendung. Der EDSA hat bestätigt, dass die Verarbeitung personenbezogener Daten zur Entwicklung oder zum Einsatz von KI-Systemen den Pflichten der DSGVO unterliegt, und arbeitet mit dem KI-Büro der Kommission an gemeinsamen Leitlinien zum Zusammenspiel zwischen dem KI-Gesetz und der DSGVO, deren Annahme für 2026 erwartet wird. Der Kernsatz ist eindeutig: Die Einhaltung des KI-Gesetzes ersetzt nicht die Einhaltung der DSGVO.
Der globale Einfluss der DSGVO
Seit 2018 hat die DSGVO die Datenschutzgesetzgebung in mehr als 150 Ländern beeinflusst. Brasiliens Lei Geral de Proteção de Dados (LGPD), Japans geändertes Gesetz zum Schutz personenbezogener Informationen (APPI), Südkoreas Gesetz zum Schutz personenbezogener Informationen (PIPA) sowie Indiens Digital Personal Data Protection Act von 2023 übernehmen allesamt von der DSGVO abgeleitete Konzepte. Kaliforniens CCPA und CPRA führten DSGVO-artige Betroffenenrechte in das US-Recht ein.
Der Angemessenheitsrahmen der Europäischen Kommission verstärkt diesen Einfluss zusätzlich: Länder, die personenbezogene Daten ungehindert aus der EU empfangen möchten, müssen einen Schutz nachweisen, der "im Wesentlichen gleichwertig" ist, wodurch die DSGVO-Konformität faktisch zu einem globalen Maßstab wird.
Frequently Asked Questions
Wofür steht die Abkürzung DSGVO?
DSGVO steht für Datenschutz-Grundverordnung, im Englischen General Data Protection Regulation (GDPR). Es handelt sich um die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, angenommen am 14. April 2016 und anwendbar seit dem 25. Mai 2018. Die Verordnung vereinheitlicht das Datenschutzrecht in allen EU-Mitgliedstaaten und im Europäischen Wirtschaftsraum und löst die Datenschutzrichtlinie von 1995 ab.
Gilt die DSGVO auch außerhalb Europas?
Ja. Artikel 3 verleiht der DSGVO eine extraterritoriale Reichweite. Jede Organisation weltweit, die Personen in der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Personen in der EU überwacht (etwa durch Website-Analysen, verhaltensbasierte Werbung oder Tracking), muss die DSGVO unabhängig von ihrem Standort einhalten. Ein Unternehmen in den Vereinigten Staaten, Kanada oder Japan unterliegt der DSGVO, wenn es personenbezogene Daten von Personen in der EU in diesen Zusammenhängen verarbeitet.
Was sind die sieben Grundsätze der DSGVO?
Die sieben Grundsätze nach Artikel 5 sind: (1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz; (2) Zweckbindung; (3) Datenminimierung; (4) Richtigkeit; (5) Speicherbegrenzung; (6) Integrität und Vertraulichkeit (Sicherheit); und (7) Rechenschaftspflicht. Diese Grundsätze gelten für jede Verarbeitung personenbezogener Daten. Der Rechenschaftspflicht-Grundsatz legt dem Verantwortlichen die Beweislast auf, die Einhaltung der übrigen sechs Grundsätze nachzuweisen.
Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?
Ein Verantwortlicher entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten und trägt die primäre DSGVO-Compliance-Verantwortung. Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen nach dessen Weisungen. Beispiel: Ein Einzelhändler (Verantwortlicher), der einen Cloud-Hosting-Anbieter (Auftragsverarbeiter) zur Speicherung von Kundendaten nutzt. Verantwortliche und Auftragsverarbeiter müssen einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 abschließen.
Was sind die sechs Rechtsgrundlagen für die Verarbeitung?
Artikel 6 legt sechs Rechtsgrundlagen fest: (1) Einwilligung der betroffenen Person; (2) vertragliche Erforderlichkeit; (3) Erfüllung einer rechtlichen Verpflichtung; (4) Schutz lebenswichtiger Interessen; (5) Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt; und (6) berechtigte Interessen des Verantwortlichen oder eines Dritten. Jede Verarbeitungstätigkeit muss vor Beginn der Verarbeitung auf einer dieser Grundlagen beruhen.
Wie hoch sind die maximalen DSGVO-Bußgelder?
Die höchste Stufe der DSGVO-Bußgelder beträgt 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen zentrale Grundsätze, Rechtsgrundlagen, Betroffenenrechte und internationale Übermittlungsvorschriften. Eine untere Stufe von 10 Millionen Euro oder 2 % gilt für eher verfahrensbezogene Verstöße. Das bislang höchste DSGVO-Bußgeld beträgt 1,2 Milliarden Euro und wurde 2023 von der irischen DPC gegen Meta wegen rechtswidriger Datenübermittlungen verhängt.
Was ist die DSGVO-Verfahrensverordnung?
Die Verordnung (EU) 2025/2518, bekannt als DSGVO-Verfahrensverordnung, wurde im Dezember 2025 veröffentlicht und trat am 1. Januar 2026 mit Anwendung ab dem 2. April 2027 in Kraft. Sie führt verbindliche Fristen für grenzüberschreitende Durchsetzungsverfahren ein (ein Untersuchungsfenster von 15 Monaten, verlängerbar um 12 Monate), standardisierte Verfahrensrechte für Beschwerdeführer und untersuchte Parteien sowie verbesserte Transparenz. Sie ändert nicht die materiellen Pflichten der DSGVO selbst.
Was ist der EU-Digital-Omnibus, und wie wirkt er sich auf die DSGVO aus?
Der Digital Omnibus ist ein von der Europäischen Kommission am 19. November 2025 angenommener Gesetzgebungsvorschlag, der mehrere EU-Digitalgesetze einschließlich der DSGVO ändern würde. Stand Mai 2026 befindet er sich noch in der Verhandlung zwischen dem Europäischen Parlament und dem Rat und ist nicht in Kraft getreten. Zu den vorgeschlagenen DSGVO-Änderungen zählen die Einschränkung der Dokumentationspflichten für kleinere Organisationen, die Änderung der Informationsrechte, die Anpassung der Meldevorschriften bei Datenschutzverletzungen sowie die Überarbeitung der Vorschriften zu automatisierten Entscheidungen. Der aktuelle DSGVO-Text bleibt in Kraft, bis etwaige Änderungen förmlich angenommen und veröffentlicht wurden.
Wann trat die DSGVO in Kraft?
Die DSGVO wurde am 14. April 2016 angenommen, am 4. Mai 2016 veröffentlicht und trat nach einer zweijährigen Übergangsfrist am 25. Mai 2018 in Kraft. Sie löste die Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) ab. Die DSGVO wurde am 14. April 2016 angenommen und wurde am 25. Mai 2018 anwendbar. Am 25. Mai 2026 jährte sich das Wirksamwerden der DSGVO zum achten Mal.
Sources and References
- Vollständiger Text der DSGVO — Verordnung (EU) 2016/679(eur-lex.europa.eu).gov
- Richtlinie 95/46/EG — Datenschutzrichtlinie von 1995(eur-lex.europa.eu).gov
- Konsolidierter Text der DSGVO (EUR-Lex)(eur-lex.europa.eu).gov
- Europäischer Datenschutzausschuss (EDSA)(edpb.europa.eu).gov
- EDSA-Leitlinien 3/2018 zum räumlichen Anwendungsbereich (Artikel 3)(edpb.europa.eu).gov
- EDSA — Grundsätze des Artikels 5(edpb.europa.eu).gov
- EDSA-Leitlinien 1/2024 zu berechtigten Interessen (Artikel 6 Absatz 1 Buchstabe f)(edpb.europa.eu).gov
- EDSA-Leitlinien 07/2020 — Verantwortlicher und Auftragsverarbeiter(edpb.europa.eu).gov
- EDSA-KMU-Leitfaden — Verantwortlicher gegenüber Auftragsverarbeiter(edpb.europa.eu).gov
- EDSA-KMU-Leitfaden — Achtung der Rechte von Einzelpersonen(edpb.europa.eu).gov
- Gemeinsame Stellungnahme von EDSA und EDSB zum Digital Omnibus (2026)(edpb.europa.eu).gov
- EDSA — 10 Jahre DSGVO (2026)(edpb.europa.eu).gov
- EDSB — Geschichte der DSGVO(edps.europa.eu).gov
- Europäische Kommission — Grundsätze der DSGVO(commission.europa.eu).gov
- Europäische Kommission — Verantwortlicher gegenüber Auftragsverarbeiter(commission.europa.eu).gov
- Europäische Kommission — Datenschutz erklärt(commission.europa.eu).gov
- Europäische Kommission — Angemessenheitsbeschlüsse(commission.europa.eu).gov
- Europäische Kommission — Datenschutz in der EU(commission.europa.eu).gov
- ICO — Leitfaden zu den Datenschutzgrundsätzen(ico.org.uk).gov
- Artikel 3 DSGVO — Räumlicher Anwendungsbereich(gdpr-info.eu)
- Artikel 5 DSGVO — Grundsätze(gdpr-info.eu)
- Artikel 6 DSGVO — Rechtmäßigkeit der Verarbeitung(gdpr-info.eu)
- DSGVO Kapitel 3 — Rechte der betroffenen Person(gdpr-info.eu)