- Rechtsgrundlage
- EU-Verordnung 2016/679 (General Data Protection Regulation, GDPR)
- Gilt seit
- 25.05.2018
- Wer ist betroffen?
- Alle, die personenbezogene Daten von Personen in der EU verarbeiten
- Bußgelder
- Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist die DSGVO?
Die DSGVO (Datenschutz-Grundverordnung, englisch GDPR) ist eine EU-weite Verordnung zum Schutz personenbezogener Daten. Sie gilt unmittelbar in allen Mitgliedstaaten und schafft einen einheitlichen Rahmen dafür, wie Unternehmen mit Daten wie Namen, Adressen, E-Mails, IP-Adressen oder Gesundheitsdaten umgehen müssen.
Welche Grundsätze gelten?
- Rechtmäßigkeit: Daten dürfen nur mit gültiger Rechtsgrundlage verarbeitet werden (z. B. Einwilligung oder Vertrag).
- Zweckbindung: Daten dürfen nur für festgelegte, eindeutige Zwecke genutzt werden.
- Datenminimierung: Es dürfen nur so viele Daten erhoben werden wie nötig.
- Integrität & Vertraulichkeit: Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden.
- Rechenschaftspflicht: Unternehmen müssen die Einhaltung nachweisen können.
Welche Rechte haben Betroffene?
Personen haben u. a. das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden"), Datenübertragbarkeit sowie das Recht, einer Verarbeitung zu widersprechen. Unternehmen müssen Anfragen in der Regel binnen eines Monats beantworten.
Welche Bußgelder drohen?
Verstöße können mit Bußgeldern von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Das macht die DSGVO zu einem der schärfsten Datenschutzgesetze weltweit.
DSGVO und NIS2 – wie hängt das zusammen?
DSGVO und NIS2 verfolgen unterschiedliche Ziele – Datenschutz auf der einen, Cybersicherheit auf der anderen Seite – überschneiden sich aber stark bei den Sicherheitsmaßnahmen. Wer ein ISMS betreibt und technische sowie organisatorische Maßnahmen (TOMs) umsetzt, erfüllt häufig Anforderungen beider Regelwerke zugleich. Auch die Pflichten gegenüber Dienstleistern greifen ineinander: Wo die DSGVO einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 verlangt, fordert NIS2 die Absicherung der Lieferkette.
Wird bei einem Ransomware-Angriff zugleich ein für NIS2 relevanter Dienst gestört und werden personenbezogene Kundendaten verschlüsselt, muss das betroffene Unternehmen zwei Meldewege parallel bedienen: die Datenpanne binnen 72 Stunden an die Datenschutz-Aufsichtsbehörde nach der DSGVO sowie die NIS2-Meldekette mit Erstmeldung binnen 24 Stunden, Bewertung binnen 72 Stunden und Abschlussbericht binnen eines Monats an die zuständige Behörde. Ein gemeinsamer Incident-Response-Prozess verhindert, dass Fristen übersehen werden.
Weiterführende Quelle: EUR-Lex – Datenschutz-Grundverordnung (EU) 2016/679
Häufige Fragen
Was ist die DSGVO einfach erklärt?
Die DSGVO (Datenschutz-Grundverordnung, EU-Verordnung 2016/679) ist das zentrale EU-Datenschutzgesetz und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten. Sie regelt einheitlich, wie Unternehmen personenbezogene Daten wie Namen, Adressen, E-Mails oder Gesundheitsdaten verarbeiten, schützen und dokumentieren müssen. Zentrale Grundsätze sind Rechtmäßigkeit, Zweckbindung, Datenminimierung sowie die Rechenschaftspflicht, also der Nachweis der Einhaltung.
Für wen gilt die DSGVO?
Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten – unabhängig von ihrer Größe und nach dem Marktortprinzip auch für Anbieter mit Sitz außerhalb der EU, sofern sie EU-Bürger ansprechen. Betroffene Personen haben dabei Rechte auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit, die Unternehmen in der Regel binnen eines Monats erfüllen müssen.
Welche Bußgelder drohen bei DSGVO-Verstößen?
Bei Verstößen gegen die DSGVO drohen Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Diese Obergrenze macht die DSGVO zu einem der schärfsten Datenschutzgesetze weltweit. Sie ist deutlich höher angesetzt als die NIS2-Bußgelder, die bei wesentlichen Einrichtungen bis 10 Mio. EUR oder 2 % des weltweiten Umsatzes reichen.