Skip to content

Die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) der EU regelt, wie personenbezogene Daten von Einzelpersonen in der EU verarbeitet und übermittelt werden dürfen.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung (DSGVO) der EU wird das strengste Datenschutz- und Sicherheitsrecht der Welt geschaffen.

Mit dieser Verordnung werden die Grundsätze der Datenschutzrichtlinie von 1995 aktualisiert und modernisiert. Sie wurde 2016 angenommen und trat am 25. Mai 2018 in Kraft.

In der DSGVO ist Folgendes festgelegt:

  • Grundrechte von Einzelpersonen im digitalen Zeitalter
  • Pflichten derjenigen, die Daten verarbeiten
  • Methoden zur Gewährleistung der Einhaltung der Vorschriften
  • Sanktionen für diejenigen, die gegen die Vorschriften verstoßen.

Rechte von Personen

Die DSGVO listet die Rechte der betroffenen Person auf, d. h. der Personen, deren Daten verarbeitet werden. Die betroffenen Personen erhalten durch die Stärkung der Datenschutzrechte mehr Kontrolle über ihre personenbezogenen Daten, unter anderem durch

  • die Erfordernis der klaren Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogener Daten
  • den einfacheren Zugang der betroffenen Person zu ihren personenbezogenen Daten
  • das Recht auf Berichtigung, das Recht auf Löschung und das Recht auf „Vergessenwerden“
  • das Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der „Profilerstellung“
  • das Recht auf Übertragbarkeit der Daten von einem Dienstleister auf einen anderen.

Die Datenschutzverordnung regelt die Rechte natürlicher Personen und die Pflichten derjenigen, die die Daten verarbeiten, sowie derjenigen, die für die Verarbeitung der Daten verantwortlich sind.

Pflichten von Unternehmen und Organisationen

Die DSGVO regelt die allgemeinen Pflichten der Verantwortlichen und der Auftragsverarbeiter, d. h. derjenigen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten.

Dazu gehört die Pflicht, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist.

In bestimmten Fällen sind die Verantwortlichen auch verpflichtet, Verletzungen des Schutzes personenbezogener Daten zu melden. Alle Behörden und Unternehmen, die bestimmte riskante Datenverarbeitungen vornehmen, müssen zudem einen Datenschutzbeauftragten benennen.

Anwendung von Datenschutzvorschriften

Mit der Verordnung wird die bestehende Verpflichtung der Mitgliedstaaten bestätigt, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten, und ein Verfahren zur Gewährleistung einer einheitlichen Anwendung des Datenschutzrechts in der gesamten EU geschaffen.

In der DSGVO ist festgelegt, dass in grenzüberschreitenden Fällen, die mehrere nationale Aufsichtsbehörden betreffen, eine einheitliche Aufsichtsentscheidung getroffen wird. Dieses Prinzip der sogenannten einzigen Anlaufstelle bedeutet, dass ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten nur mit den Datenschutzbehörden in dem Mitgliedstaat verkehren muss, in dem es seinen Hauptsitz hat.

Der Europäische Datenschutzausschuss stellt sicher, dass die DSGVO uneingeschränkt und einheitlich angewandt wird. Dieser Ausschuss setzt sich aus Vertreterinnen und Vertretern aller 27 unabhängigen Aufsichtsbehörden zusammen.

Am 17. November 2025 nahm der Rat einen Rechtsakt an, mit dem die Zusammenarbeit zwischen den nationalen Datenschutzbehörden bei grenzüberschreitenden DSGVO-Beschwerden, die mehrere EU Staaten betreffen, schneller und effizienter werden soll. Dieser Rechtsakt soll 2026 in Kraft treten. Mit den Regeln werden administrative Verfahren vereinfacht und folgende Ziele verfolgt:

  • Zügige Bearbeitung grenzüberschreitender Beschwerden und verbesserte Zusammenarbeit
  • Achtung der Rechte von Beschwerdeführern und Parteien

Gemäß der DSGVO sind strenge Sanktionen gegen Verantwortliche oder Auftragsverarbeiter vorgesehen, die die Datenschutzvorschriften verletzen. Verantwortliche können mit Geldstrafen von bis zu 20 Millionen € oder 4 % ihres gesamten Jahresumsatzes belegt werden.

Außerdem können Einzelpersonen bei einer Aufsichtsbehörde Beschwerde einlegen und ein Recht auf gerichtlichen Rechtsbehelf und Entschädigung geltend machen. Sie haben das Recht, eine Entscheidung ihrer Datenschutzbehörde von ihrem nationalen Gericht überprüfen zu lassen, unabhängig davon, in welchem Mitgliedstaat der für die Verarbeitung Verantwortliche niedergelassen ist.

Übermittlung in Drittländer

Die DSGVO erfasst auch die Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen. Die Kommission ist dafür zuständig, das Schutzniveau zu beurteilen, das ein Gebiet oder ein verarbeitender Sektor in einem Drittland bietet.

Hat die Kommission keinen Angemessenheitsbeschluss bezüglich eines Gebiets oder eines Sektors getroffen, so kann die Übermittlung der personenbezogenen Daten trotzdem stattfinden, sofern es sich um besondere Fälle handelt oder geeignete Garantien für den Schutz bestehen.

Ein Fingerabdruck, daneben ein kleines Symbol eines Vorhängeschlosses. Beides vor dunkelblauem Hintergrund, umgeben von einigen gelben Sternen im Stil der EU-Flagge, einer Wolke aus weißen Punkten und einigen Einsen und Nullen.
Datenschutz in der EU

Datenschutz in der EU

Ein blau leuchtendes Vorhängeschloss vor dem Hintergrund eines mattblauen Schaltkreises.
Datenschutz im Rahmen der Strafverfolgung

Datenschutz im Rahmen der Strafverfolgung

Letzte Überprüfung: 22. Mai 2026