Seit wann gilt die DSGVO?

Die Datenschutz-Grundverordnung (Verordnung EU 2016/679) gilt in allen EU-Mitgliedstaaten unmittelbar seit dem 25. Mai 2018. Eine vorherige Übergangsfrist von zwei Jahren nach Verabschiedung (April 2016) war den Unternehmen zur Umsetzung eingeräumt worden.

Wie hoch sind die Bußgelder bei DSGVO-Verstößen?

Nach Artikel 83 DSGVO drohen je nach Verstoßklasse bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes bei formalen Verstößen, bis zu 20 Millionen Euro oder 4 Prozent Weltumsatz bei schweren Verstößen. Der jeweils höhere Betrag gilt.

Brauche ich einen Datenschutzbeauftragten?

In Deutschland regelt § 38 BDSG die Pflicht: Ein Datenschutzbeauftragter ist vorgeschrieben, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn sensible Daten in großem Umfang verarbeitet werden. Dies kann intern oder extern besetzt werden.

DSGVO: Datenschutz-Grundverordnung 2026 einfach erklärt

Auf einen Blick

In Kraft seit: 25. Mai 2018, Verordnung (EU) 2016/679, gilt in allen EU-Staaten unmittelbar.
Anwendung: jede Verarbeitung personenbezogener Daten durch Unternehmen, Vereine, Behörden in der EU oder für EU-Bürger.
Bußgelder: bis 20 Mio Euro oder 4 Prozent weltweiter Jahresumsatz (jeweils höherer Wert).
Kernprinzipien: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz, Rechenschaftspflicht.
Deutsche Ergänzung: das BDSG regelt nationale Öffnungsklauseln, vor allem Beschäftigtendatenschutz.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO, englisch: GDPR) ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten in allen Mitgliedstaaten einheitlich regelt. Anders als eine Richtlinie gilt sie unmittelbar, ohne dass sie jedes Land erst in eigenes Recht umsetzen muss.

Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Standortdaten, Bewerbungsunterlagen, Gesundheitsdaten, aber auch Profilfotos und Social-Media-Aktivität fallen darunter.

Die DSGVO verfolgt zwei Hauptziele: Erstens, den Schutz der Grundrechte natürlicher Personen im digitalen Raum. Zweitens, den freien Verkehr von Daten innerhalb der EU sicherzustellen, damit Unternehmen grenzüberschreitend arbeiten können, ohne in 27 nationalen Datenschutzregelungen zu ertrinken.

Rechtsgrundlage

Die rechtliche Grundlage ist die Verordnung (EU) 2016/679, ergänzt in Deutschland durch das Bundesdatenschutzgesetz (BDSG). Die DSGVO wurde am 27. April 2016 verabschiedet und trat nach zweijähriger Übergangsfrist am 25. Mai 2018 in Kraft.

Wichtige Artikel im Überblick:

Art. 5: Grundsätze der Verarbeitung (Rechtmäßigkeit, Zweckbindung, Richtigkeit usw.)
Art. 6: Rechtsgrundlagen für Verarbeitung (Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse)
Art. 13 und 14: Informationspflichten bei Datenerhebung
Art. 15 bis 22: Betroffenenrechte (Auskunft, Löschung, Datenübertragbarkeit, Widerspruch)
Art. 32: Technische und organisatorische Maßnahmen
Art. 33 und 34: Meldepflicht bei Datenpannen (binnen 72 Stunden)
Art. 83: Bußgelder

Wer muss die DSGVO beachten?

Räumlich gilt das sogenannte Marktortprinzip (Art. 3 DSGVO): Die Verordnung erfasst jede Stelle, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig davon, wo die Stelle ihren Sitz hat. Ein US-Shop, der Ware an deutsche Kunden verschickt, ist genauso betroffen wie eine Berliner Arztpraxis.

Sachlich trifft die DSGVO jede Organisation, die Daten verarbeitet:

Unternehmen jeder Größe, vom Einzelunternehmer bis zum Konzern.
Vereine, Stiftungen, Parteien.
Öffentliche Stellen wie Behörden und Gerichte (mit einigen Sonderregeln).
Freiberufler wie Ärzte, Anwälte, Steuerberater.

Ausnahmen gelten nur für rein persönliche oder familiäre Tätigkeiten (Haushaltsausnahme, Art. 2 Abs. 2 lit. c) und für bestimmte staatliche Bereiche wie Strafverfolgung (dort gilt die JI-Richtlinie).

Bußgelder und Sanktionen

Artikel 83 DSGVO sieht ein zweistufiges Bußgeldsystem vor:

Kategorie	Art der Verstöße	Maximales Bußgeld
Formalverstöße	Dokumentationspflicht, Datenschutzbeauftragter, Meldung von Datenpannen	10 Mio Euro oder 2 Prozent Weltumsatz
Schwere Verstöße	Rechtmäßigkeit, Einwilligung, Betroffenenrechte, Datentransfer in Drittländer	20 Mio Euro oder 4 Prozent Weltumsatz

Es gilt jeweils der höhere Wert. Für einen Konzern mit 10 Milliarden Euro Umsatz bedeutet das im Extremfall 400 Millionen Euro Bußgeld.

Spektakuläre Beispiele aus der Praxis: Meta (Irland) 2023 mit 1,2 Milliarden Euro wegen unzulässiger Datenübermittlung in die USA. Amazon 2021 mit 746 Millionen Euro (Luxemburg). Auf deutscher Ebene fielen Bußgelder bislang kleiner aus, im Schnitt bei 5.000 bis 500.000 Euro, mit Einzelspitzen bei 35 Millionen Euro (H&M, 2020).

Beispielrechnung: Datenpanne in einem Mittelstandsbetrieb

Eine GmbH mit 12 Millionen Euro Jahresumsatz schickt eine Bewerber-E-Mail an 200 Kandidaten, bei der alle Adressen im CC-Feld stehen (statt BCC). Ergebnis:

Datenpanne nach Art. 33 DSGVO, Meldung binnen 72 Stunden an die Landesdatenschutzbehörde.
Betroffenenbenachrichtigung nach Art. 34 DSGVO, da hohes Risiko.
Bußgeldkategorie: schwerer Verstoß gegen Art. 5 DSGVO.
Theoretisch möglich: bis 20 Mio Euro oder 4 Prozent Umsatz (480.000 Euro in diesem Fall).
Typisch verhängt bei erstmaligem Vorfall plus kooperativem Verhalten: 5.000 bis 50.000 Euro.

Wirksamer Schutz: vorgefertigte CC-BCC-Regeln im Mailclient, Datenschutzschulung einmal jährlich, ein dokumentiertes Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).

Schnittmenge mit der KI-Verordnung Wer KI-Systeme mit personenbezogenen Daten trainiert oder einsetzt, muss DSGVO und KI-Verordnung gleichzeitig einhalten. Typische Fragen: Rechtsgrundlage für das KI-Training, Informationspflichten nach Art. 13 DSGVO, automatisierte Entscheidungen nach Art. 22 DSGVO. Eine ISO 42001-Zertifizierung kann beides gleichzeitig dokumentieren.

Abgrenzung zum BDSG

Die DSGVO enthält sogenannte Öffnungsklauseln, bei denen nationale Gesetzgeber ergänzend regeln dürfen. Deutschland nutzt diese Klauseln im Bundesdatenschutzgesetz (BDSG), etwa für:

Beschäftigtendatenschutz (§ 26 BDSG): zulässige Datenverarbeitung im Arbeitsverhältnis.
Videoüberwachung (§ 4 BDSG): Regelung zu Kameras in öffentlichen Räumen.
Datenschutzbeauftragte (§ 38 BDSG): Schwellenwert ab 20 Personen oder sensiblen Daten.

In der Praxis gilt: DSGVO ist der Standard, BDSG präzisiert für Deutschland. Wenn eine Regelung in beiden vorkommt, geht meist die DSGVO vor, außer eine Öffnungsklausel gestattet die abweichende nationale Regelung.

Rechte der Betroffenen

Die DSGVO stärkt Betroffenenrechte massiv:

Auskunft (Art. 15): Was wurde über mich gespeichert?
Berichtigung (Art. 16): Falsche Daten korrigieren.
Löschung (Art. 17), oft "Recht auf Vergessenwerden" genannt.
Einschränkung der Verarbeitung (Art. 18).
Datenübertragbarkeit (Art. 20): Daten in strukturiertem Format mitnehmen.
Widerspruch (Art. 21), insbesondere gegen Direktwerbung.
Recht auf nicht-automatisierte Entscheidung (Art. 22).

Unternehmen müssen auf solche Anfragen binnen eines Monats reagieren und dürfen dafür keine Gebühr verlangen (nur bei offensichtlich unbegründeten oder häufigen Anfragen erlaubt).

Quellen und Rechtsstand

Verordnung (EU) 2016/679 (DSGVO), EUR-Lex
Bundesdatenschutzgesetz (BDSG), gesetze-im-internet.de
Bundesbeauftragter für den Datenschutz (BfDI), Tätigkeitsbericht 2024/2025
Europäischer Datenschutzausschuss (EDSA), Leitlinien 2024 und 2025

Zuletzt geprüft am 24.04.2026.

DSGVO: die Datenschutz-Grundverordnung der EU

Was ist die DSGVO?

Rechtsgrundlage

Wer muss die DSGVO beachten?

Bußgelder und Sanktionen

Beispielrechnung: Datenpanne in einem Mittelstandsbetrieb

Abgrenzung zum BDSG

Rechte der Betroffenen

Quellen und Rechtsstand

Noch Fragen zur DSGVO?

DSGVO: die Datenschutz-Grundverordnung der EU

Was ist die DSGVO?

Rechtsgrundlage

Wer muss die DSGVO beachten?

Bußgelder und Sanktionen

Beispielrechnung: Datenpanne in einem Mittelstandsbetrieb

Abgrenzung zum BDSG

Rechte der Betroffenen

Verwandte Begriffe im Glossar

Quellen und Rechtsstand

Noch Fragen zur DSGVO?