Datenschutz-Grundverordnung - DSGVO

Die Datenschutz-Grundverordnung ist die zentrale Datenschutzregelung der Europäischen Union. Sie gilt seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten und schafft einheitliche Standards für die Verarbeitung personenbezogener Daten. Ziel der Verordnung ist der Schutz der Privatsphäre und der freien informationellen Selbstbestimmung jedes Einzelnen sowie die Gewährleistung eines fairen, transparenten Umgangs mit Daten.

Für Unternehmen bedeutet die DSGVO eine klare rechtliche Verpflichtung: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine gesetzliche Grundlage oder eine ausdrückliche Einwilligung der betroffenen Person vorliegt.

Geltungsbereich und Verantwortung

Die DSGVO betrifft alle natürlichen und juristischen Personen, die personenbezogene Daten innerhalb der Europäischen Union verarbeiten – unabhängig davon, ob sie ihren Sitz in der EU haben. Auch Unternehmen außerhalb der EU sind verpflichtet, die Vorgaben einzuhalten, wenn sie Daten von Personen in der EU verarbeiten. Verantwortlich für die Einhaltung ist der sogenannte „Verantwortliche“, also das Unternehmen oder die Organisation, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Werden externe Dienstleister eingesetzt, gelten diese als „Auftragsverarbeiter“ und müssen vertraglich zur Einhaltung der Datenschutzvorgaben verpflichtet werden. 

Grundsätze der Datenverarbeitung

Die DSGVO basiert auf klar definierten Grundsätzen, die jede Datenverarbeitung leiten:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

• Zweckbindung – Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

• Datenminimierung – es dürfen nur so viele Daten erhoben werden, wie tatsächlich erforderlich sind.

• Richtigkeit – gespeicherte Daten müssen sachlich richtig und aktuell sein.

• Speicherbegrenzung – Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.

• Integrität und Vertraulichkeit – Schutz vor unbefugtem Zugriff oder Verlust.

Diese Prinzipien bilden den Kern des europäischen Datenschutzrechts und sind verbindlich für alle datenverarbeitenden Stellen.

Pflichten der Unternehmen

Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Dazu gehören Zugriffsregelungen, Verschlüsselung, regelmäßige Datensicherungen und Mitarbeiterschulungen. In bestimmten Fällen muss ein Datenschutzbeauftragter benannt werden, insbesondere wenn regelmäßig umfangreiche oder besonders sensible Daten verarbeitet werden. Zudem sind Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Die Dokumentationspflicht ist ein zentrales Element der DSGVO. Unternehmen müssen jederzeit nachweisen können, dass sie die Vorschriften einhalten – dieses Prinzip wird als „Rechenschaftspflicht“ bezeichnet.

Sanktionen und Bedeutung in der Praxis

Verstöße gegen die DSGVO können erhebliche Konsequenzen haben. Die Aufsichtsbehörden können Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist.

Für Unternehmen bedeutet die DSGVO nicht nur eine rechtliche Verpflichtung, sondern auch eine Chance, das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern zu stärken. Ein transparenter und verantwortungsbewusster Umgang mit Daten gilt zunehmend als Qualitätsmerkmal und Wettbewerbsvorteil.

(Stand: Oktober 2025/ng)