Vier Bausteine, ein Regelwerk. Die DSGVO bündelt Rollen, Grundsätze, Rechte und Sanktionen.
TL;DR: Die DSGVO gilt seit dem 25. Mai 2018 als unmittelbares Recht in der gesamten EU. Sie regelt jede Verarbeitung personenbezogener Daten und verteilt die Verantwortung auf Verantwortliche und Auftragsverarbeiter. Die Pflichten sind überschaubar – das Verarbeitungsverzeichnis, eine Rechtsgrundlage je Zweck, Transparenz, Betroffenenrechte und eine geübte Meldekette. Bußgelder sind zweistufig: bis 10 Millionen Euro oder 2 Prozent Jahresumsatz für formale Verstöße, bis 20 Millionen Euro oder 4 Prozent für die schwerwiegenden Tatbestände – jeweils der höhere Betrag.
Was die DSGVO regelt – und was sie nicht regelt
Acht Jahre nach Anwendungsbeginn ist die DSGVO immer noch das Regelwerk, das in Compliance-Workshops für die meisten Missverständnisse sorgt. Sie wird zugleich überschätzt – als universelle Datenpolizei – und unterschätzt – als formalistische Pflicht für die Rechtsabteilung. Beides verfehlt das, was sie tatsächlich ist: ein operativ einfordertes Managementsystem für jede Verarbeitung personenbezogener Daten.
Formell ist die Datenschutz-Grundverordnung die Verordnung (EU) 2016/679 und seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Sie gilt ohne nationales Umsetzungsgesetz, überlagert abweichende Landesregelungen und verlangt von jedem, der personenbezogene Daten verarbeitet, denselben Mindeststandard.
Was die DSGVO regelt, lässt sich auf einen Satz reduzieren: jede Verarbeitung personenbezogener Daten, ganz oder teilweise automatisiert, sowie die nicht-automatisierte Verarbeitung in strukturierten Dateisystemen. „Personenbezogen“ heißt: alle Daten, mit denen sich eine natürliche Person identifizieren lässt – direkt oder indirekt.
Was sie nicht regelt: Daten juristischer Personen (außer mittelbar über Mitarbeiterdaten), Verarbeitungen im rein privaten Bereich und – mit Einschränkungen – die nationale Sicherheit. Diese Bereiche fallen unter andere Rechtsregime.
Warum „einfach“ ein irreführendes Wort ist
Wir sehen in Beratungsgesprächen oft, dass Unternehmen die DSGVO entweder unterschätzen („haben wir doch alles geregelt“) oder maßlos überdimensionieren („die Bußgelder ruinieren uns sofort“). Beide Pole entstehen aus derselben Lücke: fehlender Überblick über die eigene Datenverarbeitung. Wer das Verzeichnis nie aufgebaut hat, kennt seine Risiken nicht und reagiert entweder zu locker oder zu panisch.
Die folgenden Abschnitte arbeiten den Stoff systematisch ab. Den Anfang machen die Rollen, weil sie über Zuständigkeit und Haftung entscheiden.
Die zentralen Rollen: Verantwortlicher und Auftragsverarbeiter
Die DSGVO unterscheidet zwei Hauptrollen, beide mit Legaldefinition in Artikel 4. Wer sie verwechselt, baut sein Vertragswerk schief auf – und manchmal die ganze Compliance.
Der Verantwortliche (Art. 4 Nr. 7) entscheidet über Zwecke und Mittel der Verarbeitung. Das ist die Stelle, die die Datenverarbeitung initiiert, ihr Ziel definiert und sie steuert. Beispiel: Ein Unternehmen, das Kundendaten zur Vertragsabwicklung verarbeitet, ist der Verantwortliche.
Der Auftragsverarbeiter (Art. 4 Nr. 8) verarbeitet Daten im Auftrag des Verantwortlichen und nach dessen Weisung. Das ist der externe Dienstleister – etwa der Cloud-Anbieter, der Newsletter-Provider oder der externe Buchhalter. Zwischen beiden muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen.
Eine dritte Konstellation ist die gemeinsame Verantwortlichkeit (Art. 26). Sie greift, wenn zwei oder mehr Stellen gemeinsam über Zwecke und Mittel entscheiden – etwa Anbieter und Plattform bei eingebetteten Social-Media-Funktionen. Hier braucht es eine ausdrückliche Vereinbarung über die Verantwortungsverteilung.
Was die Rollen-Mischung kostet
Wer in Verträgen den Begriff „Auftragsverarbeiter“ für einen Dienstleister verwendet, der tatsächlich eigene Zwecke verfolgt, hat ein Problem. Die Aufsicht stuft die Rolle nach der Realität ein, nicht nach der Vertragsbezeichnung. Falsche Rollen-Definitionen führen zu fehlenden Rechtsgrundlagen, falschen Informationspflichten und – im Extremfall – zur Haftung des Verantwortlichen für eigentlich fremde Verarbeitungen. In Audits ist die Rollen-Inventur deshalb der erste Schritt vor jeder weiteren Prüfung.
So weit die Rollenlogik. Die nächste Säule sind die Grundsätze, die jede Verarbeitung erfüllen muss.
Die sechs Grundsätze des Artikel 5
Artikel 5 Absatz 1 DSGVO listet sechs Grundsätze, die jeder Verarbeitung zugrunde liegen müssen. Sie sind keine Lyrik, sondern operativ relevant – jede Datenpanne wird gegen diesen Katalog geprüft.
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – jede Verarbeitung braucht eine Rechtsgrundlage und muss für die Betroffenen erkennbar sein.
- Zweckbindung – Daten dürfen nur für die festgelegten, eindeutigen und legitimen Zwecke erhoben werden.
- Datenminimierung – nur die für den Zweck erforderlichen Daten dürfen erhoben werden.
- Richtigkeit – Daten müssen sachlich richtig und auf aktuellem Stand sein.
- Speicherbegrenzung – Aufbewahrung nur so lange, wie es der Zweck erfordert.
- Integrität und Vertraulichkeit – Schutz vor unbefugter Verarbeitung, Verlust oder Schädigung.
Ergänzt werden diese durch die Rechenschaftspflicht in Absatz 2: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können. Das ist der Grund, warum Dokumentation kein Selbstzweck ist – ohne sie schlägt eine Aufsichtsanfrage durch.
Wo die Grundsätze in der Praxis kippen
Die Grundsätze klingen abstrakt, kollidieren aber regelmäßig mit operativem Bedarf. Marketing möchte Daten länger speichern, weil sich Lookalike-Modelle so besser trainieren. Vertrieb möchte sie für „mögliche spätere Anfragen“ behalten. Das ist nachvollziehbar, aber ohne saubere Rechtsgrundlage nicht haltbar. Hier zeigt sich, dass DSGVO-Compliance nicht in der Rechtsabteilung beginnt, sondern in den Prozessen der Fachbereiche.
Auf der Basis der Grundsätze stehen die Pflichten – und die sind dichter, als die Schlagworte vermuten lassen.
Pflichten in der Praxis: Verzeichnis, Information, DSFA
Drei Pflichten ziehen sich durch jede Unternehmens-Realität, unabhängig von Branche oder Größe.
Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30) listet alle Verarbeitungen mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Löschfristen und technischen Maßnahmen. Es ist der erste Beleg gegenüber der Aufsicht. Ausnahmen für Kleinstunternehmen sind eng gefasst und in der Praxis selten anwendbar – die meisten Unternehmen führen das Verzeichnis.
Die Informationspflichten (Art. 13 und 14) verlangen, dass Betroffene bei Erhebung ihrer Daten klar und transparent informiert werden – über Identität des Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte. Die typische Datenschutzerklärung erfüllt diese Pflicht, wenn sie sie auch tatsächlich abbildet und nicht nur das Bauchgefühl der Agentur.
Die Datenschutz-Folgenabschätzung (DSFA, Art. 35) ist Pflicht, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Die Aufsichtsbehörden führen Positiv-Listen, was als hochriskant gilt – etwa automatisierte Entscheidungen mit Rechtswirkung, umfassende Beobachtung öffentlicher Bereiche oder die Verarbeitung sensibler Daten in großem Umfang.
Daneben gibt es die Meldepflicht bei Datenpannen (Art. 33): 72 Stunden ab Kenntnis muss eine Meldung an die Aufsichtsbehörde erfolgen, wenn ein Risiko für die Betroffenen besteht. Wer diese Frist überschreitet, muss das in der Meldung begründen.
Betroffenenrechte: was die DSGVO Bürgern garantiert
Die DSGVO garantiert in den Artikeln 12 bis 22 eine Reihe von Rechten, die jedes Unternehmen in Prozesse gießen muss. Verzögerte oder ablehnende Antworten sind ein häufiger Grund für Beschwerden bei der Aufsicht.
Die wichtigsten Rechte im Überblick:
| Recht | Artikel | Wesentlicher Inhalt |
|---|---|---|
| Auskunft | Art. 15 | Welche Daten werden zu welchem Zweck verarbeitet, an wen weitergegeben, wie lange gespeichert? |
| Berichtigung | Art. 16 | Unrichtige Daten korrigieren, unvollständige ergänzen |
| Löschung | Art. 17 | „Recht auf Vergessenwerden“ mit klar geregelten Ausnahmen |
| Einschränkung | Art. 18 | Verarbeitung beschränken bei Streit über Richtigkeit oder Rechtsgrundlage |
| Datenübertragbarkeit | Art. 20 | Daten in strukturiertem, maschinenlesbarem Format mitnehmen |
| Widerspruch | Art. 21 | Verarbeitung auf Grundlage berechtigter Interessen widersprechen |
| Automatisierte Entscheidung | Art. 22 | Nicht ausschließlich automatisierten Entscheidungen mit Rechtswirkung unterworfen werden |
Die Frist für die Beantwortung beträgt in der Regel einen Monat – verlängerbar um zwei weitere Monate bei besonders komplexen Anfragen, mit Begründung gegenüber dem Antragsteller. Wer Anfragen ohne Antwort lässt oder reflexhaft ablehnt, riskiert Beschwerden, die schnell zu Bußgeldverfahren werden.
So weit die Pflichten. Dann zur Sanktionsseite, die die Aufmerksamkeit der Geschäftsleitung erfahrungsgemäß am stärksten bindet.
Die Bußgeldlogik im Klartext
Artikel 83 DSGVO sieht ein zweistufiges Sanktionssystem vor. Beide Stufen folgen demselben Prinzip: Es gilt der höhere der beiden möglichen Beträge – ein fester Höchstbetrag oder ein prozentualer Anteil am weltweiten Jahresumsatz.
Die erste Stufe (Art. 83 Abs. 4) gilt für formale Verstöße: Verstöße gegen Pflichten der Verantwortlichen und Auftragsverarbeiter – etwa Verzeichnispflichten, Datenschutz-by-Design, fehlende Auftragsverarbeitungsverträge oder unzureichende Sicherheitsmaßnahmen. Höchstbetrag: 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes – der höhere Betrag.
Die zweite Stufe (Art. 83 Abs. 5) gilt für schwerwiegende Verstöße: Verletzung der Grundsätze, der Rechtsgrundlagen, der Betroffenenrechte oder unzulässige Drittland-Übermittlungen. Höchstbetrag: 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes – der höhere Betrag.
Bei der konkreten Bußgeldbemessung berücksichtigen die Aufsichtsbehörden Faktoren aus Art. 83 Abs. 2: Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, getroffene Maßnahmen, Kategorien betroffener Daten, frühere Verstöße, Zusammenarbeit mit der Aufsicht. Die deutschen Behörden orientieren sich zusätzlich an einem Bußgeldmodell der Datenschutzkonferenz, das mit Umsatzkategorien und Schwere-Faktoren rechnet – Endbetrag jeweils unter der gesetzlichen Obergrenze.
Was Unternehmen zur Größenordnung wissen sollten
Die spektakulärsten DSGVO-Bußgelder lagen in den vergangenen Jahren bei mehreren Hundert Millionen Euro – jeweils gegen sehr große Plattformen. Für mittelständische Unternehmen sind realistische Größenordnungen deutlich kleiner: typische Verfahren enden im fünf- bis sechsstelligen Bereich, mit Schwerpunkten bei fehlenden Auftragsverarbeitungsverträgen, mangelhaften Datenschutzerklärungen und verspäteten Meldungen.
Wichtig ist dabei: Die Aufsichtsbehörden setzen vermehrt auf Bußgelder als Erziehungsinstrument – also auf eine Höhe, die abschreckt, aber nicht ruiniert. Eine pauschale Drohkulisse „Millionen droht jedem“ entspricht weder der Spruchpraxis noch der Bußgeldbemessungssystematik.
Internationale Datenübermittlung und die Schrems-II-Welt
Die DSGVO erlaubt internationale Datentransfers nur, wenn im Empfängerland ein „angemessenes Schutzniveau“ besteht oder zusätzliche Garantien gegeben sind. Nach dem Schrems-II-Urteil des EuGH von 2020 reichen Standardvertragsklauseln allein häufig nicht aus – Unternehmen müssen ein Transfer-Impact-Assessment durchführen und prüfen, ob im Drittland behördliche Zugriffe drohen.
Für Übermittlungen in die USA besteht seit Juli 2023 das EU-US-Datenschutzrahmenwerk (Data Privacy Framework). Es ersetzt das nach Schrems II ungültig gewordene Privacy Shield und stützt sich auf einen Angemessenheitsbeschluss der EU-Kommission. Anbieter müssen sich beim US Department of Commerce zertifizieren lassen; deren Status ist öffentlich abrufbar.
Die Konsequenz für die operative Praxis: Wer Cloud-Dienste, SaaS oder Analytics aus Nicht-EU-Ländern einsetzt, muss prüfen, welche Mechanismen tragen – Angemessenheitsbeschluss, Standardvertragsklauseln plus Transfer-Impact-Assessment oder eigene Garantien wie Binding Corporate Rules. Eine pauschale „die DSGVO erlaubt das“ oder „die DSGVO verbietet das“ gibt es nicht. Mehr dazu findet sich im Beitrag zu EU-Digitalregulierung im Überblick, der die DSGVO als Fundament der weiteren Verordnungen einordnet.
Wo wir typische DSGVO-Programme scheitern sehen
In der Beratung sehen wir, dass DSGVO-Compliance selten an mangelndem Wissen scheitert. Sie scheitert an Übersetzung in den Alltag.
Drei Muster wiederholen sich. Erstens ist das Verarbeitungsverzeichnis vorhanden, aber nicht gepflegt – neue Tools, neue Prozesse, neue Lieferanten landen nicht im Verzeichnis, das auf einem Stand von vor drei Jahren bleibt. Zweitens werden Auftragsverarbeitungsverträge unterzeichnet, ohne ihre Pflichten zu prüfen – insbesondere die Sub-Dienstleister-Listen und die Audit-Rechte. Drittens reagieren Unternehmen auf Betroffenenanfragen ad hoc und uneinheitlich, statt einen geübten Prozess zu haben.
Pragmatisch hilft eine jährliche Inventur: einmal im Jahr alle Verarbeitungen prüfen, die Dienstleister-Liste aktualisieren, einen Betroffenenanfragen-Testlauf machen. Wer das diszipliniert tut, hat im Audit Argumente. Wer es nicht tut, ist im Audit auf Glück angewiesen.
DSGVO ist Teil des größeren Pakets aus digitaler Souveränität und EU-Regulierung. Wer sie isoliert behandelt, doppelt Arbeiten mit NIS2, AI Act und DORA. Wer sie als Fundament begreift, hat die Basis für die anderen Verordnungen schon gelegt.
Drei nächste Schritte für die kommenden vier Wochen:
- Verarbeitungsverzeichnis aktualisieren – alle in den vergangenen 12 Monaten eingeführten Tools und Prozesse ergänzen.
- Auftragsverarbeitungsverträge prüfen – Sub-Dienstleister-Listen, Drittland-Transfers und Audit-Rechte gegen die aktuelle Realität abgleichen.
- Betroffenenanfragen-Prozess testen – einen anonymen Testlauf einer Auskunftsanfrage durchführen, die Frist messen, Schwachstellen beseitigen.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) – EUR-Lex, Amtsblatt der EU
- DSGVO – Bußgelder und Strafen – DSGVO-Gesetz.de
- Datenschutzkonferenz – Bußgeldmodell – DSK, Stand 2019
- Bußgeldradar Datenschutz – Datenschutzkanzlei
- Übersicht zur DSGVO – eRecht24
