Sichere dir Premium-Datenschutz zum Sonderpreis: 2 Jahre + 4 Monate zum speziellen Preis.

Sichern Sie sich 2 Jahre + 4 Monate zu einem Sonderpreis. Jetzt sichern!

Jetzt Angebot sichern!
  • Was ist die DSGVO in einfachen Worten?
  • Warum wurde die DSGVO eingeführt?
  • Für wen gilt die DSGVO?
  • Was gilt gemäß der DSGVO als personenbezogene Daten?
  • Welche Rechtsgrundlagen gibt es für die Verarbeitung personenbezogener Daten?
  • Die 7 wichtigsten Grundsätze der DSGVO
  • Datenrechte für Nutzer gemäß der DSGVO
  • Was ist eine Einwilligung gemäß der DSGVO und wie wird sie eingeholt?
  • Wie Unternehmen die Anforderungen der DSGVO erfüllen können
  • Durchsetzung der DSGVO und Strafen bei Verstößen
  • Gilt die DSGVO auch in den USA?
  • Welche Rolle spielen Cookies unter der DSGVO?
  • Häufige Missverständnisse über die DSGVO
  • Häufig gestellte Fragen zur DSGVO
  • Was ist die DSGVO in einfachen Worten?
  • Warum wurde die DSGVO eingeführt?
  • Für wen gilt die DSGVO?
  • Was gilt gemäß der DSGVO als personenbezogene Daten?
  • Welche Rechtsgrundlagen gibt es für die Verarbeitung personenbezogener Daten?
  • Die 7 wichtigsten Grundsätze der DSGVO
  • Datenrechte für Nutzer gemäß der DSGVO
  • Was ist eine Einwilligung gemäß der DSGVO und wie wird sie eingeholt?
  • Wie Unternehmen die Anforderungen der DSGVO erfüllen können
  • Durchsetzung der DSGVO und Strafen bei Verstößen
  • Gilt die DSGVO auch in den USA?
  • Welche Rolle spielen Cookies unter der DSGVO?
  • Häufige Missverständnisse über die DSGVO
  • Häufig gestellte Fragen zur DSGVO

Was ist die DSGVO? Ein einfacher Leitfaden zum EU-Datenschutz

EMPFOHLEN 27.04.2026 19 Minuten
Jennifer Pelegrin
Verfasst von Jennifer Pelegrin
Katarina Glamoslija
Überprüft von Katarina Glamoslija
Kate Davidson
Bearbeitet von Kate Davidson
illustration_what is the gdpr- simple guide to eu data protection

Wenn Dein Unternehmen personenbezogene Daten von Personen in der EU erhebt, nutzt oder nachverfolgt, gilt die Datenschutz-Grundverordnung (DSGVO). Es spielt keine Rolle, wo Dein Unternehmen ansässig ist: Dieses europäische Datenschutzgesetz hat globale Reichweite und verändert grundlegend, wie Unternehmen mit personenbezogenen Daten umgehen.

Die im Jahr 2016 verabschiedete und seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) legt klare Regeln fest, was als personenbezogene Daten gilt, wie diese genutzt werden dürfen und welche Rechte Einzelpersonen in Bezug auf ihre Daten haben.

Dieser Leitfaden erklärt, was die DSGVO ist, für wen sie gilt und welche Aspekte Unternehmen kennen müssen, um die Vorschriften einzuhalten.

Was ist die DSGVO in einfachen Worten?

Die DSGVO ist ein EU-Datenschutzgesetz, das die personenbezogenen Daten von Menschen in der EU schützt. Dazu gehören alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann, wie Namen, E-Mail-Adressen, IP-Adressen oder Cookies.

Die DSGVO gibt Menschen mehr Kontrolle über ihre Daten. Außerdem verpflichtet sie Unternehmen, Daten fair zu verarbeiten, die Zwecke ihrer Erhebung zu erklären und sie sicher zu speichern. Sie hat ältere EU-Datenschutzregeln ersetzt, als sie in Kraft trat.

Warum wurde die DSGVO eingeführt?

Vor der DSGVO basierte der Datenschutz in der EU auf der Datenschutzrichtlinie von 1995. Damals war das Internet noch neu, und Unternehmen verarbeiteten deutlich weniger personenbezogene Daten. Mit dem technologischen Fortschritt und der zunehmenden Nutzung von Online-Diensten im Alltag wurde jedoch deutlich, dass diese alten Regeln nicht mehr ausreichten.

Im Jahr 2012 schlug die Europäische Kommission daher neue Gesetze vor, um die Datenschutzrechte zu stärken und sie an die digitale Wirtschaft anzupassen. Nach mehreren Jahren der Diskussion wurde die DSGVO im Jahr 2016 verabschiedet und trat 2018 in Kraft.

Im Gegensatz zur alten Richtlinie gilt sie direkt in allen EU-Ländern, schafft einheitliche Standards und gibt den Menschen stärkere Rechte über ihre persönlichen Daten.

In einer vernetzten Welt ist Datenschutz wichtiger denn je, und Gesetze wie die DSGVO sollen den Nutzern die Kontrolle über ihre Daten zurückgeben.

Für wen gilt die DSGVO?

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU erhebt, nutzt oder speichert. Dies gilt unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb des Europäischen Wirtschaftsraums (EWR) hat. Das Gesetz richtet sich also nach den Daten und nicht nach dem Standort des Unternehmens.

Die Verordnung definiert zwei Schlüsselrollen:

  • Verantwortlicher: Entscheidet, warum und wie personenbezogene Daten verarbeitet werden.
  • Auftragsverarbeiter: Verarbeitet Daten im Auftrag des Verantwortlichen, beispielsweise Cloud-Anbieter oder Zahlungsdienstleister.

An infographic showing who the GDPR applies to.

Unternehmen im EWR

Der EWR umfasst die 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen. Jede Organisation mit Sitz im EWR muss bei der Verarbeitung personenbezogener Daten die DSGVO einhalten, auch wenn diese Verarbeitung außerhalb Europas stattfindet. Beispiel: Ein Unternehmen mit Sitz in Deutschland, Österreich oder Luxemburg, das Server in Deutschland, Österreich oder Luxemburg nutzt, muss dennoch die DSGVO-Vorschriften befolgen.

Unternehmen außerhalb des EWR

Eine Organisation ist nicht allein durch ihren Standort außerhalb des EWR von der DSGVO befreit. Wenn das Unternehmen auf folgende Weise mit den personenbezogenen Daten von EU-Bürgern interagiert, gilt die DSGVO dennoch:

  • Es bietet EU-Bürgern Waren oder Dienstleistungen an, sei es kostenlos oder gegen Entgelt.
  • Es überwacht das Verhalten von Personen in der EU, z. B. durch die Verfolgung von Online-Aktivitäten mittels Cookies oder Profiling.

Beispielsweise muss eine Bildungsplattform mit Sitz in der Schweiz oder den USA, die sich jedoch an Studierende in Deutschland oder Österreich richtet, die DSGVO einhalten. Gleiches gilt für jedes Unternehmen außerhalb des EWR, das als Auftragsverarbeiter für ein Unternehmen innerhalb des EWR tätig ist.

Wenn ein Dienst nur zufällig von innerhalb der EU zugänglich ist, ohne sich speziell an EU-Nutzer zu richten oder deren personenbezogene Daten zu verarbeiten, fällt er möglicherweise nicht in den Anwendungsbereich der DSGVO. Unternehmen, die keine eindeutigen Anstrengungen unternehmen, EU-Bürger auszuschließen, müssen jedoch damit rechnen, dass die Aufsichtsbehörden dennoch entscheiden, dass die DSGVO gilt.

Außerdem gibt es einige spezifische Arten von Daten, die von der Verordnung ausgenommen sind, darunter Daten, die zu Zwecken der nationalen Sicherheit, der Strafverfolgung oder rein aus persönlichen oder privaten Gründen erhoben werden.

Was gilt gemäß der DSGVO als personenbezogene Daten?

Im Sinne der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine lebende Person beziehen, die direkt oder indirekt identifiziert werden kann. Beispiele hierfür sind:

  • Vollständige Namen
  • Wohnadressen
  • E-Mail-Adressen mit dem Namen einer Person
  • Personalausweis- oder Reisepassnummern
  • IP-Adressen
  • Cookie-IDs
  • Werbe-Identifikatoren auf Geräten
  • Krankenakten

Die DSGVO unterscheidet zudem zwischen pseudonymisierten Daten, die noch mit einer Person in Verbindung gebracht werden können, und wirklich anonymisierten Daten, bei denen dies nicht möglich ist. Letztere fallen nicht in den Anwendungsbereich der Verordnung.

Darüber hinaus definiert die DSGVO besondere Kategorien personenbezogener Daten, zu denen beispielsweise rassische oder ethnische Herkunft, religiöse Überzeugungen, politische Meinungen und biometrische Daten zählen. Die Verarbeitung dieser Art von Informationen ist aufgrund der damit verbundenen höheren Risiken grundsätzlich verboten, es sei denn, es liegen ganz bestimmte Umstände vor.

Welche Rechtsgrundlagen gibt es für die Verarbeitung personenbezogener Daten?

Die DSGVO erlaubt es Organisationen nicht, personenbezogene Daten einfach so zu verarbeiten, nur weil sie es wollen. Es muss ein klarer rechtlicher Grund vorliegen. Die Verordnung definiert sechs Optionen:

  • Einwilligung: Wenn eine Person klar zugestimmt hat, dass seine Daten verwendet werden dürfen. Die Einwilligung muss freiwillig, spezifisch und leicht widerrufbar sein. Schweigen oder vorab angekreuzte Kästchen sind nicht zulässig.
  • Vertrag: Die Verarbeitung ist notwendig, um einen Vertrag mit der Person zu erfüllen (zum Beispiel die Verarbeitung von Zahlungsdaten, um einen Kauf abzuschließen).
  • Gesetzliche Verpflichtung: Manchmal verpflichtet das Gesetz eine Organisation zur Verarbeitung personenbezogener Daten. Ein Beispiel hierfür ist die Verpflichtung von Krankenhäusern, Krankenakten aufzubewahren.
  • Lebenswichtige Interessen: Die Verarbeitung ist notwendig, um das Leben einer Person zu schützen, zum Beispiel in einem medizinischen Notfall.
  • Öffentliche Aufgabe: Die Datenverarbeitung ist notwendig, um eine öffentliche Aufgabe oder Pflicht im öffentlichen Interesse zu erfüllen (oft relevant für Behörden).
  • Berechtigte Interessen: Dies erlaubt Organisationen, Daten zu verarbeiten, wenn sie einen triftigen Grund haben, der die Rechte der betroffenen Person nicht außer Kraft setzt, wie beispielsweise die Nutzung von Daten zur Aufrechterhaltung von Cybersicherheitssystemen.

Die 7 wichtigsten Grundsätze der DSGVO

Die DSGVO basiert auf sieben zentralen Prinzipien, die festlegen, wie personenbezogene Daten verarbeitet werden sollen. Diese Grundsätze definieren Standards für Fairness, Sicherheit und Verantwortlichkeit im Umgang mit Daten.
Core principles of the GDPR with a short summary of each.

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

Dieser Grundsatz besagt, dass Daten nur aus gültigen, von der DSGVO erlaubten Gründen erhoben und genutzt werden dürfen, zum Beispiel mit der Einwilligung der betroffenen Person oder zur Erbringung einer Dienstleistung. Außerdem müssen Daten fair verarbeitet werden, ohne Menschen in die Irre zu führen oder ihre Informationen auf unerwartete Weise zu nutzen. Transparenz ist dabei entscheidend: Organisationen müssen klar und verständlich erklären, welche Daten sie erheben, warum sie das tun und wie sie verwendet werden.

2. Zweckbindung

Gemäß der DSGVO dürfen personenbezogene Daten nur für einen bestimmten, klar definierten Zweck erhoben werden. Die Organisationen müssen den Betroffenen zum Zeitpunkt der Erhebung mitteilen, warum ihre Daten erfasst werden. Einmal erhoben, dürfen sie nicht für Zwecke verwendet werden, die mit dem ursprünglichen Zweck nicht vereinbar sind.

3. Datenminimierung

Die DSGVO verlangt von Organisationen, nur die personenbezogenen Daten zu erheben, die für einen bestimmten Zweck notwendig sind. Dieser Grundsatz hilft dabei, die Menge der über eine Person gespeicherten Daten zu begrenzen. Dadurch werden Risiken gemindert, falls diese Daten jemals verloren gehen oder missbraucht werden. Er sorgt dafür, dass die Datenerhebung zielgerichtet und relevant bleibt.

4. Richtigkeit

Personenbezogene Daten müssen korrekt sein. Wenn eine Organisation Informationen über eine Person speichert, muss sie sicherstellen, dass die Daten korrekt sind und bei Bedarf aktualisiert werden. Wenn sich Angaben ändern oder Fehler festgestellt werden, ist die Organisation dafür verantwortlich, diese zu korrigieren. Durch die Gewährleistung der Richtigkeit der Daten werden Fehler vermieden, die Auswirkungen auf die Betroffenen haben könnten, insbesondere wenn die Informationen zur Entscheidungsfindung über sie verwendet werden.

5. Speicherbegrenzung

Organisationen sollten personenbezogene Daten nicht länger aufbewahren, als sie sie benötigen. Sobald die Daten ihren Zweck erfüllt haben, sollten sie gelöscht oder anonymisiert werden. Dieser Grundsatz stellt sicher, dass Daten nicht „auf Vorrat" ohne klaren Grund gespeichert werden. Er hilft auch dabei, die Risiken zu verringern, die mit der unnötigen Speicherung von Informationen verbunden sind, z. B. Datenlecks oder Datenschutzprobleme.

6. Integrität und Vertraulichkeit

Die Sicherheit personenbezogener Daten ist unerlässlich. Organisationen müssen sie davor schützen, von Personen eingesehen, gestohlen oder verändert zu werden, die keinen Zugriff darauf haben sollten. Das bedeutet, dass bei Technologie und Datenverarbeitung gute Sicherheitsvorkehrungen getroffen werden müssen.

7. Rechenschaftspflicht

Die Rechenschaftspflicht bedeutet, dass von Organisationen nicht nur erwartet wird, die Vorschriften der DSGVO einzuhalten, sondern dass sie dies auch nachweisen müssen. Dazu gehört beispielsweise der Nachweis, dass sie relevante Maßnahmen zum Schutz personenbezogener Daten ergriffen haben, wie das Führen von Aufzeichnungen über die Verarbeitung, die Schulung von Mitarbeitern und die Einführung von Datenschutzrichtlinien.

Datenrechte für Nutzer gemäß der DSGVO

Recht auf Information

Du hast das Recht zu erfahren, wann eine Organisation Deine personenbezogenen Daten erfasst und warum. Das bedeutet, dass Unternehmen von Anfang an klar darlegen müssen, welche Daten sie erfassen, wie sie diese nutzen wollen und an wen sie diese möglicherweise weitergeben.

Die Informationen sollten leicht verständlich sein, damit Du eine fundierte Entscheidung darüber treffen kannst, ob Du mit der Weitergabe Deiner Daten einverstanden bist.

Recht auf Auskunft

Das bedeutet, dass Du jede Organisation fragen kannst, welche personenbezogenen Daten sie über Dich gespeichert hat. Du kannst eine Kopie der Daten anfordern und Details darüber erhalten, wie sie verwendet und an wen sie weitergegeben werden. Organisationen sind verpflichtet, diese Informationen innerhalb einer angemessenen Frist bereitzustellen.

Dieses Recht ist jedoch nicht absolut, sondern darf die Rechte und Freiheiten anderer, einschließlich Geschäftsgeheimnisse oder geistiges Eigentum, nicht beeinträchtigen.

Recht auf Berichtigung

Wenn Deine bei einer Organisation gespeicherten personenbezogenen Daten falsch oder unvollständig sind, hast Du das Recht, deren Berichtigung zu verlangen. Dies gilt unabhängig davon, ob es sich um einen falsch geschriebenen Namen, eine veraltete Adresse oder fehlende Informationen handelt. Die Organisation muss die Daten in jedem Fall korrigieren.

Recht auf Löschung (Recht auf Vergessenwerden)

Du kannst eine Organisation auffordern, Deine personenbezogenen Daten zu löschen, wenn es keinen triftigen Grund mehr gibt, sie zu speichern. Dies wird oft als „Recht auf Vergessenwerden" bezeichnet. Es gilt, wenn die Daten für den ursprünglichen Zweck nicht mehr benötigt werden oder wenn sie unrechtmäßig verarbeitet wurden.

Dieses Recht ist jedoch nicht absolut, da Unternehmen die Daten behalten dürfen, wenn sie gesetzlich dazu verpflichtet sind oder andere triftige Gründe vorliegen.

Recht auf Einschränkung der Verarbeitung

Dieses Recht ermöglicht es Dir, eine Organisation aufzufordern, die Nutzung Deiner personenbezogenen Daten einzuschränken. Du kannst dies verlangen, wenn Du glaubst, dass die Daten ungenau sind, unrechtmäßig verarbeitet wurden oder von der Organisation nicht mehr benötigt werden, Du aber möchtest, dass sie für einen Rechtsanspruch aufbewahrt werden. Solange die Einschränkung gilt, darf die Organisation die Daten zwar speichern, aber nicht für andere Zwecke verwenden, es sei denn, Du gibst Deine Zustimmung oder es liegen rechtliche Gründe dafür vor.

Recht auf Datenübertragbarkeit

Dieses Recht ermöglicht es Dir, eine Kopie Deiner personenbezogenen Daten in einem zugänglichen Format zu erhalten. Du kannst auch verlangen, dass die Daten direkt an eine andere Organisation übermittelt werden, sofern dies technisch möglich ist. Dadurch erhältst Du mehr Kontrolle über Deine Daten, sodass Du leichter den Anbieter wechseln oder Deine Daten an einen anderen Ort übertragen kannst, ohne ganz von vorne anfangen zu müssen.

Widerspruchsrecht

Du hast das Recht, der Verwendung Deiner personenbezogenen Daten zu widersprechen, insbesondere wenn diese für Direktmarketingzwecke genutzt werden. Wenn Du Widerspruch einlegst, muss die Organisation die Nutzung Deiner Daten einstellen, es sei denn, sie kann nachweisen, dass sie einen triftigen, legitimen Grund hat, die Verarbeitung fortzusetzen.

Rechte im Zusammenhang mit automatisierten Entscheidungen

Du hast auch das Recht, Entscheidungen anzufechten, die vollständig durch automatisierte Prozesse getroffen wurden, insbesondere wenn die Entscheidung erhebliche Auswirkungen hat, z. B. die Bewilligung eines Kredits oder einer Anstellung. Die DSGVO gibt Dir in solchen Fällen das Recht, eine menschliche Überprüfung zu verlangen. Du kannst also beantragen, dass eine Person die Entscheidung überprüft, statt sie allein Algorithmen oder automatisierten Systemen zu überlassen.

Was ist eine Einwilligung gemäß der DSGVO und wie wird sie eingeholt?

Eine Einwilligung nach der DSGVO muss strengen Anforderungen entsprechen, um gültig zu sein. Damit sie wirksam ist, muss Deine Einwilligung:
Requirements for valid GDPR consent.

  • Freiwillig erfolgen: Du musst eine echte Wahl haben, ohne Druck oder negative Konsequenzen, wenn Du Nein sagst.
  • Konkret und informiert erfolgen: Die Organisation muss Dir mitteilen, wer sie ist, welche Daten sie sammelt, warum sie diese benötigt und wie sie verwendet werden.
  • Eindeutig erfolgen: Die Einwilligung muss durch eine klare, bestätigende Handlung erfolgen, wie das Ankreuzen eines Kästchens oder das Unterzeichnen eines Formulars. Schweigen oder vorab angekreuzte Kästchen zählen nicht.

Menschen haben auch das Recht, ihre Einwilligung jederzeit zu widerrufen, und das sollte genauso einfach sein, wie sie zu erteilen. Sobald die Einwilligung widerrufen wurde, darf das Unternehmen Deine Daten für diesen Zweck nicht mehr verwenden. Für Dienste, die sich an Nutzer unter 16 Jahren richten, ist in der Regel die elterliche Einwilligung erforderlich, wobei einige EU-Länder diese Schwelle auf 13 Jahre gesenkt haben.

Wie Unternehmen die Anforderungen der DSGVO erfüllen können

Es gibt bestimmte Schritte, die jede Organisation unternehmen sollte, um DSGVO-konform zu bleiben und die Privatsphäre zu schützen.

Verarbeitungsprotokolle (RoPA)

Gemäß Artikel 30 der DSGVO sind Unternehmen dazu verpflichtet, ihre Verarbeitung personenbezogener Daten zu dokumentieren. Diese Aufzeichnungen sollten die Gründe für die Verarbeitung, die Arten der erhobenen Daten, die Empfänger der Daten, die Aufbewahrungsfristen und die getroffenen Sicherheitsmaßnahmen umfassen.

Auch wenn kleine Unternehmen unter Umständen ausgenommen sind, wenn ihre Verarbeitung selten und risikoarm ist, ist das Führen dieser Aufzeichnungen entscheidend, um im Falle einer Anfrage durch die Behörden die Einhaltung der DSGVO nachweisen zu können.

Datenschutz-Folgenabschätzungen (DSFA)

Wenn ein Unternehmen beabsichtigt, personenbezogene Daten auf eine Weise zu verarbeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen könnte, muss es eine DSFA (Datenschutz-Folgenabschätzung) durchführen. Dies ist beispielsweise bei dem Einsatz neuer Technologien, der großflächigen Überwachung öffentlicher Räume oder der umfangreichen Verarbeitung besonderer Kategorien von Daten verpflichtend.

Der Zweck einer DSFA ist es, potenzielle Risiken zu identifizieren und zu reduzieren, bevor die Datenverarbeitung beginnt. Wenn trotz ergriffener Maßnahmen hohe Risiken bestehen bleiben, muss das Unternehmen die Datenschutzbehörde konsultieren, also die nationale Stelle in jedem EU-Land, die für die Durchsetzung der DSGVO-Konformität zuständig ist, bevor es fortfährt.

Ernennung eines Datenschutzbeauftragten (DSB)

Einige Organisationen sind gemäß der DSGVO verpflichtet, einen DSB zu ernennen. Diese Person ist dafür verantwortlich, zu überwachen, wie personenbezogene Daten innerhalb des Unternehmens behandelt werden, und sicherzustellen, dass die Anforderungen der DSGVO eingehalten werden.
Three criteria for when a Data Protection Officer is required under GDPR.Du musst einen Datenschutzbeauftragten benennen, wenn:

  • Du Nutzer regelmäßig oder systematisch in großem Umfang überwachst, z. B. durch die Verfolgung ihres Online-Verhaltens.
  • Du besondere Kategorien von Daten, wie Gesundheits-, genetische oder biometrische Daten, in großem Umfang verarbeitest.
  • Du eine Behörde oder öffentliche Einrichtung bist (mit Ausnahmen für Gerichte oder unabhängige Justizbehörden).

Der Datenschutzbeauftragte kann ein interner Mitarbeiter oder ein externer Experte sein, der per Dienstleistungsvertrag beauftragt wird. In jedem Fall muss er unabhängig agieren, die Mitarbeiter beraten, Datenschutzmaßnahmen überwachen und als Hauptansprechpartner für die Datenschutzbehörden fungieren.

Sicherheitsvorkehrungen bei der Datenübermittlung

Die DSGVO verlangt von Unternehmen, dass sie bei der Übermittlung personenbezogener Daten außerhalb der EU das gleiche Schutzniveau gewährleisten. Um die DSGVO-Standards einzuhalten, müssen Unternehmen Sicherheitsvorkehrungen treffen, um die Daten zu schützen.

Es gibt mehrere anerkannte Möglichkeiten, Datenübermittlungen zu schützen:

  • Angemessenheitsbeschlüsse: Daten können in Länder übermittelt werden, für die die EU festgestellt hat, dass sie ein angemessenes Datenschutzniveau bieten.
  • Vertragliche Garantien: Unternehmen können spezifische Klauseln in Verträgen mit Empfängern außerhalb der EU festlegen, um den Datenschutz zu gewährleisten.
  • Ausnahmeregelungen: In einigen Fällen sind Übermittlungen zulässig, wenn die betroffene Person ausdrücklich zugestimmt hat oder wenn dies aus vertraglichen Gründen erforderlich ist.

Sicherheitskontrollen und Verschlüsselung gemäß der DSGVO

Unternehmen müssen außerdem strenge Sicherheitskontrollen gemäß der DSGVO einführen, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung oder Verlust zu schützen. Dazu gehören technische Maßnahmen wie Verschlüsselung und organisatorische Schritte wie die Beschränkung des Zugriffs auf autorisiertes Personal.

Verschlüsselung spielt eine entscheidende Rolle beim Schutz der Privatsphäre und der Freiheit in offenen Gesellschaften und ist nach wie vor eines der wirksamsten Mittel gegen Datenverletzungen.

Meldung von Datenschutzverletzungen

Wenn durch eine Datenschutzverletzung die Rechte oder Freiheiten von Personen gefährdet sind, müssen Unternehmen die zuständige Datenschutzbehörde innerhalb von 72 Stunden benachrichtigen. Besteht ein hohes Risiko, müssen auch die betroffenen Personen informiert werden.

Werden Datenschutzverletzungen nicht innerhalb der vorgeschriebenen Frist gemeldet, kann dies zu Strafen führen. Daher ist es für Unternehmen wichtig, über klare Prozesse zu verfügen, um Datenschutzverletzungen effizient zu erkennen, zu bewerten und darauf zu reagieren.

Sensibilisierung und Schulung der Mitarbeiter

Die Einhaltung der DSGVO hängt nicht nur von Richtlinien ab, sondern auch davon, wie gut die Mitarbeiter diese verstehen und anwenden können. Sie benötigen klare Anweisungen und regelmäßige Schulungen, um verantwortungsvoll mit personenbezogenen Daten umzugehen und die Rechte der Betroffenen zu wahren. Ein solches Bewusstsein im gesamten Unternehmen hilft, Verstöße zu verhindern und unterstützt die laufenden Bemühungen zur Einhaltung der Vorschriften.

Durchsetzung der DSGVO und Strafen bei Verstößen

Jedes Land im EWR hat eine Datenschutzbehörde, die die Einhaltung der Datenschutzvorschriften durch Organisationen überwacht. Diese Behörden können Untersuchungen durchführen, Unterlagen anfordern und sogar Inspektionen vornehmen, um sicherzustellen, dass Unternehmen ihren Verpflichtungen nachkommen.

Wird bei einem Unternehmen ein Verstoß gegen die DSGVO festgestellt, können die Strafen erheblich sein. Die schwerwiegendsten Verstöße können zu Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens führen. Zusätzlich zu den finanziellen Strafen können die Behörden auch Abhilfemaßnahmen verhängen. So können sie das Unternehmen beispielsweise anweisen, die Verarbeitung bestimmter Daten einzustellen oder seine Datenschutzmaßnahmen zu verbessern.

Durch diese Durchsetzungsbefugnisse wird sichergestellt, dass die Einhaltung der DSGVO keine Option ist. Unternehmen, die personenbezogene Daten verarbeiten, müssen ihre Verantwortung daher unbedingt ernst nehmen, denn sonst drohen ihnen kostspielige Konsequenzen.

Gilt die DSGVO auch in den USA?

Die DSGVO ist zwar eine EU-Verordnung, doch sie macht nicht an den Grenzen Europas halt. US-Unternehmen können in ihren Anwendungsbereich fallen, wenn sie personenbezogene Daten von Personen in der EU verarbeiten. Unternehmen in den USA müssen die DSGVO also unter Umständen einhalten, selbst wenn sie keine Niederlassung in Europa haben, aber bestimmte Kriterien erfüllen.

DSGVO-Konformität für US-Unternehmen

Gemäß Artikel 3 der DSGVO müssen sich US-Unternehmen an die DSGVO halten, wenn sie entweder eine Niederlassung in der EU haben oder Waren oder Dienstleistungen an Personen in der EU anbieten, auch wenn die Dienstleistung kostenlos ist. Die Überwachung des Online-Verhaltens von EU-Bürgern, beispielsweise durch Cookies, Tracking oder gezielte Werbung, bringt ein US-Unternehmen ebenfalls in den Anwendungsbereich der DSGVO.

Um die Vorschriften einzuhalten, müssen US-Unternehmen:

  • die Arten der von ihnen erhobenen personenbezogenen Daten prüfen.
  • eine klare Rechtsgrundlage für die Verarbeitung jedes Datentyps schaffen (z. B. Einwilligung oder vertragliche Notwendigkeit),
  • alle Datenübermittlungen von der EU in die USA prüfen und sicherstellen, dass angemessene Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) vorhanden sind.
  • einen DSGVO-Beauftragten innerhalb der EU benennen, sofern sie dort über keine physische Präsenz verfügen.
  • vorab die Einwilligung für die Datenerhebung auf der Website und für Cookies einholen.
  • die Datenschutzerklärungen aktualisieren, um den Verpflichtungen der DSGVO und den Rechten der betroffenen Personen Rechnung zu tragen.

DSGVO vs CCPA und CPRA

Während die DSGVO eine klare Einwilligung vor der Verarbeitung personenbezogener Daten verlangt, verfolgen der California Consumer Privacy Act (CCPA) und dessen Nachfolgegesetz, der California Privacy Rights Act (CPRA), einen anderen Ansatz, indem sie ein Opt-out-Modell anwenden.

In Kalifornien benötigen Unternehmen im Allgemeinen keine vorherige Einwilligung, um personenbezogene Daten zu erheben oder zu verarbeiten, außer in bestimmten Fällen, z. B. beim Verkauf oder der Weitergabe von Daten, beim Umgang mit Daten von Minderjährigen oder bei der Verarbeitung sensibler Informationen.

Stattdessen legen diese Gesetze den Schwerpunkt auf Transparenz und verlangen von Unternehmen, Nutzer über ihre Datenpraktiken zu informieren und einfache Möglichkeiten zum Widerspruch gegen den Verkauf oder die Weitergabe ihrer personenbezogenen Daten bereitzustellen. Insgesamt liegt der Schwerpunkt in Kalifornien somit eher auf der Kontrolle und Transparenz für die Nutzer als auf einer vorherigen Einwilligung.

Für US-Unternehmen zeigt sich hier ein wichtiger Unterschied: Die strengen Einwilligungsanforderungen der DSGVO finden in den USA keine Entsprechung. Unternehmen, die in beiden Regionen tätig sind, müssen ihre Praktiken daher entsprechend anpassen.

Welche Rolle spielen Cookies unter der DSGVO?

Unter der DSGVO gelten Cookies, die eine Person identifizieren oder ihr Online-Verhalten nachverfolgen können, als personenbezogene Daten. Dazu gehören auch Techniken, die über herkömmliche Cookies hinausgehen, wie beispielsweise Browser-Fingerprinting. Mit dieser Technik lassen sich Nutzer anhand ihrer Geräte- und Browsereinstellungen eindeutig identifizieren.
Types of cookies that do and don't require user consent under GDPR.
Websites müssen den Nutzern die Wahl lassen, welche Arten von Cookies sie akzeptieren. Dieses Konzept ist als „granulare Einwilligung" bekannt. Für streng notwendige Cookies ist jedoch keine Einwilligung erforderlich.

Die DSGVO legt fest, wie die Einwilligung eingeholt werden muss. Die Verwendung von Cookies unterliegt in der EU jedoch auch der ePrivacy-Richtlinie. Diese ergänzt die DSGVO, indem sie Online-Tracking-Technologien wie Cookies speziell regelt. Deshalb zeigen viele Websites Besuchern aus der EU Cookie-Banner an und bitten sie, ihre Einstellungen zu verwalten, bevor nicht unbedingt notwendige Cookies gesetzt werden.

Wenn Du das Tracking beim Surfen minimieren möchtest, kann Dir die Nutzung eines virtuellen privaten Netzwerks (VPN) helfen privater zu surfen, da es Deine IP-Adresse maskiert und Deinen Datenverkehr verschlüsselt.

Häufige Missverständnisse über die DSGVO

Obwohl die DSGVO schon seit Jahren in Kraft ist, gibt es immer noch weit verbreitete Missverständnisse darüber, was sie für Unternehmen wirklich bedeutet. Lass uns diese aufklären.

Die DSGVO gilt nur für EU-Unternehmen

Oft wird angenommen, dass die DSGVO nur Unternehmen innerhalb der EU betrifft, doch die Verordnung hat eine viel größere Reichweite. Jedes Unternehmen mit Sitz außerhalb der EU, einschließlich Unternehmen in den USA und der Schweiz, muss die Vorschriften einhalten, wenn es Waren oder Dienstleistungen für Personen in der EU anbietet oder deren Online-Verhalten überwacht, beispielsweise durch Tracking-Technologien.

Eine Einwilligung ist immer erforderlich

Ein weiteres häufiges Missverständnis ist, dass die DSGVO immer eine Einwilligung zur Verarbeitung personenbezogener Daten verlangt. In Wirklichkeit ist die Einwilligung jedoch nur eine von mehreren Rechtsgrundlagen. Unternehmen können sich auch auf einen Vertrag, eine gesetzliche Verpflichtung, ein lebenswichtiges Interesse, eine öffentliche Aufgabe oder ein berechtigtes Interesse stützen, sofern die Rechte des Einzelnen gewahrt bleiben. Eine Einwilligung ist nur dann unerlässlich, wenn keine andere Rechtsgrundlage vorliegt.

Bei der DSGVO geht es nur um Bußgelder

Viele sehen die DSGVO lediglich als ein System zur Verhängung hoher Bußgelder, doch ihr Kernziel ist es, Datenschutzrechte zu stärken und einen verantwortungsvollen Umgang mit Daten zu fördern. Auch wenn die Strafen erheblich sein können, liegt der Fokus darauf, sicherzustellen, dass Organisationen personenbezogene Daten transparent, sicher und im Einklang mit den Rechten der Menschen verarbeiten.

Die DSGVO stoppt jegliches Marketing

Eine weitere falsche Vorstellung ist, dass die DSGVO Marketing unmöglich macht. Die Verordnung verbietet Marketing nicht gänzlich, sondern setzt Grenzen, um sicherzustellen, dass personenbezogene Daten fair verwendet werden. Unternehmen können mit einer geeigneten Rechtsgrundlage, sei es Einwilligung oder berechtigtes Interesse, weiterhin Marketing gegenüber Personen in der EU betreiben, solange die Datenschutzrechte gewahrt bleiben.

Häufig gestellte Fragen zur DSGVO

Wo finde ich den vollständigen Text der DSGVO?

Den vollständigen Text der Datenschutz-Grundverordnung (DSGVO) findest Du auf der EUR-Lex-Website, auf der alle offiziellen EU-Rechtsvorschriften zu finden sind. Die verbindliche und rechtsverbindliche Fassung ist im Amtsblatt der Europäischen Union veröffentlicht, das ebenfalls über EUR-Lex zugänglich ist.

Was sind die Kriterien für die Beantragung der Löschung Deiner Daten gemäß DSGVO?

Du kannst die Löschung Deiner personenbezogenen Daten beantragen, wenn diese nicht mehr benötigt werden, wenn Du Deine Einwilligung widerrufst oder wenn sie unrechtmäßig verarbeitet wurden. Das Recht auf Löschung gilt auch, wenn die Daten erhoben wurden, als Du noch minderjährig warst.

Was ist ein Auskunftsersuchen?

Mit einem Auskunftsersuchen kannst Du eine Organisation bitten, zu bestätigen, ob sie Deine personenbezogenen Daten gespeichert hat. Du kannst auch eine Kopie anfordern und fragen, wie diese Daten verarbeitet werden.

Was bedeutet Datenminimierung?

Datenminimierung bedeutet, dass nur die personenbezogenen Daten erhoben werden, die zur Erreichung eines bestimmten Zwecks erforderlich sind. Organisationen dürfen keine zusätzlichen oder nicht relevanten Informationen anfordern, wodurch das Risiko von Missbrauch oder Datenschutzverletzungen verringert wird.

Wer setzt die DSGVO durch?

Jeder EU-Mitgliedstaat hat eine Datenschutzbehörde, die die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) überwacht. Datenschutzbehörden können Beschwerden untersuchen, Unternehmen prüfen und bei Nichteinhaltung Geldbußen verhängen.

Machen Sie den ersten Schritt, um sich online zu schützen. Testen Sie ExpressVPN risikofrei.

Hol dir ExpressVPN
Content Promo ExpressVPN for Teams
Jennifer Pelegrin

Jennifer Pelegrin

Jennifer Pelegrin is a writer at the ExpressVPN Blog, where she creates clear, engaging content on digital privacy, cybersecurity, and technology. With experience in UX writing, SEO, and technical content, she specializes in breaking down complex topics for a wider audience. Before joining ExpressVPN, she worked with global brands across different industries, bringing an international perspective to her writing. When she’s not working, she’s traveling, exploring new cultures, or spending time with her cat, who occasionally supervises her writing.

  • VERWANDTE BEITRÄGE
  • MEHR VON DIESEM AUTOR
So löschst Du Dein Temu-Konto dauerhaft
So löschst Du Dein Temu-Konto dauerhaft
Andrew Copeland 19.04.2026 11 Minuten
Was ist eine Subnetzmaske? Warum sie für Dein Netzwerk wichtig ist
Was ist eine Subnetzmaske? Warum sie für Dein Netzwerk wichtig ist
Jennifer Pelegrin 15.04.2026 15 Minuten
Keine Netzwerkverbindung: Warum sie auftritt und wie du sie behebst
Keine Netzwerkverbindung: Warum sie auftritt und wie du sie behebst
Ernest Sheptalo 14.04.2026 19 Minuten
Was ist AES-Verschlüsselung?
Was ist AES-Verschlüsselung?
Michael Pedley 11.04.2026 11 Minuten
Was sind IP-Adress-Klassen? Bedeutung für VPNs und Cybersicherheit
Was sind IP-Adress-Klassen? Bedeutung für VPNs und Cybersicherheit
Akash Deep 08.04.2026 17 Minuten
Was ist eine Subnetzmaske? Warum sie für Dein Netzwerk wichtig ist
Was ist eine Subnetzmaske? Warum sie für Dein Netzwerk wichtig ist
Jennifer Pelegrin 15.04.2026 15 Minuten
Spyware auf dem iPhone erkennen und löschen (komplette Sicherheitsanleitung)
Spyware auf dem iPhone erkennen und löschen (komplette Sicherheitsanleitung)
Jennifer Pelegrin 04.03.2026 14 Minuten
So erhältst Du kostenloses WLAN (legal & sicher) | 7 Wege
So erhältst Du kostenloses WLAN (legal & sicher) | 7 Wege
Jennifer Pelegrin 18.02.2026 9 Minuten
DoS vs. DDoS-Angriffe: Unterschiede und Schutzmaßnahmen
DoS vs. DDoS-Angriffe: Unterschiede und Schutzmaßnahmen
Jennifer Pelegrin 04.02.2026 10 Minuten
Safari vs. Chrome: Bester Browser für Apple-Nutzer in 2026
Safari vs. Chrome: Bester Browser für Apple-Nutzer in 2026
Jennifer Pelegrin 14.01.2026 15 Minuten
2.4GHz vs. 5GHz: Welche Wi-Fi-Frequenz ist die passende für Sie?
2.4GHz vs. 5GHz: Welche Wi-Fi-Frequenz ist die passende für Sie?
Jennifer Pelegrin 13.01.2026 10 Minuten
VPN auf dem iPhone einrichten: Schritt-für-Schritt-Anleitung
VPN auf dem iPhone einrichten: Schritt-für-Schritt-Anleitung
Jennifer Pelegrin 05.01.2026 8 Minuten

ExpressVPN ist stolzer Unterstützer von

Sprache wählen
Erste Schritte