Framework Typ: Gesetz
Gesetz

DSGVO

Die DSGVO regelt, wie Unternehmen in der EU personenbezogene Daten erheben, verarbeiten und schützen müssen. Sie gilt für jedes Unternehmen, das Daten von EU-Bürgerinnen und -Bürgern verarbeitet.

Vollständiger Name
Datenschutz-Grundverordnung (EU) 2016/679
In Kraft seit Mai 2018

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine EU-Verordnung, die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar gilt. Sie löste die europäische Datenschutzrichtlinie von 1995 ab und schafft einen einheitlichen Rechtsrahmen für den Umgang mit personenbezogenen Daten.

Hinter der DSGVO steckt ein einfaches Prinzip: Menschen sollen die Kontrolle über ihre eigenen Daten behalten. Unternehmen müssen nachweisen können, dass sie Daten nur dann verarbeiten, wenn sie dafür einen klaren Rechtsgrund haben.

Wer ist betroffen?

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet. Das gilt unabhängig davon, wo das Unternehmen selbst sitzt. Ein Unternehmen in den USA, das Daten von EU-Kunden verarbeitet, fällt genauso unter die Verordnung wie ein KMU in München.

Personenbezogene Daten sind alle Informationen, die sich einer natürlichen Person zuordnen lassen: Name, E-Mail-Adresse, IP-Adresse, Standortdaten oder auch eine Kundennummer, sofern sie einer Person zugeordnet werden kann.

Kurz: Wer Mitarbeiter hat, Kunden betreut oder eine Website betreibt, verarbeitet personenbezogene Daten und ist damit betroffen.

Kernanforderungen

Die DSGVO stellt konkrete Pflichten an Unternehmen. Die wichtigsten im Überblick:

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Du musst dokumentieren, welche personenbezogenen Daten du zu welchem Zweck verarbeitest. Das VVT ist die Grundlage jeder Datenschutzprüfung und für die meisten Unternehmen verpflichtend (Art. 30 DSGVO).

Rechtsgrundlage für jede Verarbeitung

Jede Datenverarbeitung braucht einen Rechtsgrund: Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung oder berechtigtes Interesse (Art. 6 DSGVO). Ohne Rechtsgrundlage ist die Verarbeitung unzulässig.

Informationspflichten

Betroffene Personen müssen wissen, wer ihre Daten verarbeitet, zu welchem Zweck und wie lange. Das passiert typischerweise über eine Datenschutzerklärung (Art. 13 und 14 DSGVO).

Technische und organisatorische Maßnahmen (TOM)

Du musst angemessene Sicherheitsmaßnahmen für personenbezogene Daten umsetzen, zum Beispiel Verschlüsselung, Zugriffskontrolle und sichere Authentifizierung (Art. 32 DSGVO).

Meldepflicht bei Datenpannen

Verletzt du den Schutz personenbezogener Daten, musst du das innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Betroffene Personen sind in schwerwiegenden Fällen ebenfalls zu informieren (Art. 33 und 34 DSGVO).

Datenschutzbeauftragter (DSB)

Unternehmen, die regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten oder besondere Kategorien von Daten verarbeiten, müssen einen DSB bestellen (Art. 37 DSGVO). Ein externer DSB ist dabei eine schlanke und rechtssichere Lösung für KMU.

Konsequenzen bei Nichteinhaltung

Die DSGVO hat Zähne. Aufsichtsbehörden können bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist.

Für KMU ist das Bußgeldrisiko selten in dieser Größenordnung, aber Abmahnungen, Reputationsschäden und der Aufwand für nachtрägliche Korrekturen sind teuer genug. Behörden prüfen heute aktiv, vor allem nach Datenpannen und Beschwerden von Betroffenen.

Wie hilft Digimojo?

Datenschutz ist kein einmaliges Projekt, sondern laufende Arbeit. Als externer Datenschutzbeauftragter übernimmt Digimojo die Beratung, Dokumentation und laufende Betreuung deines Datenschutzes. Du bekommst einen festen Ansprechpartner, der deine Situation kennt und dich bei Behördenanfragen, Datenpannen und der laufenden Pflege deiner Dokumentation begleitet.

DigimojoCOMPLY unterstützt dich mit einer strukturierten Plattform für dein Verzeichnis der Verarbeitungstätigkeiten, deine Datenschutzrichtlinien und deine technischen und organisatorischen Maßnahmen.

Externer Datenschutzbeauftragter

Du willst DSGVO-Compliance ohne internen Aufwand?

Als externer Datenschutzbeauftragter übernehmen wir Beratung, Dokumentation und laufende Betreuung. Fest, verlässlich, persönlich.
Zum externen Datenschutzbeauftragten

Mehr zum Thema

Die 7 Grundsätze der DSGVO

Die DSGVO legt sieben Grundsätze für die Verarbeitung personenbezogener Daten fest. Diese umfassen die Rechtmäßigkeit der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität/Vertraulichkeit. Die verantwortliche Stelle muss die Einhaltung der Grundsätze sicherstellen und alle Prozesse dokumentieren. Klare Richtlinien und Einwilligungserklärungen sowie regelmäßige Überprüfungen helfen bei der Umsetzung.

→ Weiterlesen
Verzeichnis der Verarbeitungstätigkeiten: Alles, was du wissen musst

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Dokumentationspflicht für Unternehmen und Organisationen nach der DSGVO. Es ist eine Liste aller Verarbeitungsvorgänge personenbezogener Daten, die in einem Unternehmen oder einer Organisation durchgeführt werden. Die Pflicht zur Erstellung gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unabhängig von der Größe des Unternehmens oder der Art der personenbezogenen Daten. Das Verzeichnis dient dazu, den Verantwortlichen für die Verarbeitung personenbezogener Daten seine Rechenschaftspflicht gegenüber der Datenschutz-Aufsichtsbehörde und den betroffenen Personen nachzuweisen. Es kann auch als Grundlage für die Planung und Umsetzung von Datenschutzmaßnahmen dienen und als Instrument zur Kontrolle und Überwachung der Einhaltung der DSGVO eingesetzt werden.

→ Weiterlesen
Auskunftsrecht nach DSGVO: Was Unternehmen beachten müssen

Unternehmen sind verpflichtet, auf Auskunftsersuchen von Betroffenen nach der DSGVO zu reagieren. Um einen effizienten und rechtskonformen Prozess zu gewährleisten, sollten Unternehmen einen Prozess und Workflow zur Bearbeitung von Auskunftsersuchen implementieren. Dieser Prozess sollte die Identifizierung des Betroffenen, die Bewertung der Anfrage und die Erstellung der Auskunft umfassen.

→ Weiterlesen
Videoüberwachung und Datenschutz: Was Unternehmen wissen müssen

Dieser Artikel beleuchtet die rechtlichen Anforderungen an die Videoüberwachung in Unternehmen unter Berücksichtigung der DSGVO. Erfahre, welche Schritte du befolgen musst, um datenschutzkonform zu handeln und welche Fallstricke es zu vermeiden gilt.

→ Weiterlesen
Google Analytics GA4 DSGVO-konform nutzen: Tipps und Alternativen

Google Analytics ist ein beliebtes Tool zur Analyse von Website-Traffic. Doch die DSGVO stellt an die Nutzung von Analytics einige Anforderungen. In diesem Artikel erfährst du, wie du Google Analytics GA4 DSGVO-konform nutzen kannst und welche Alternativen es gibt.

→ Weiterlesen
EU Digital-Omnibus – Was die größte DSGVO-Reform für KMU bedeutet

Der EU Digital-Omnibus ist die größte Reform der DSGVO seit 2018. Am 19. November 2025 hat die EU-Kommission ein umfassendes Gesetzespaket vorgelegt, das nicht nur die Datenschutzgrundverordnung modernisieren, sondern auch NIS2, den AI Act und andere Digital-Verordnungen besser verzahnen soll. Die EU spricht von „Vereinfachung" – doch was bedeutet das konkret für dein Unternehmen? Die Realität: Es gibt einzelne Erleichterungen wie einen Single-Entry-Point für Vorfallsmeldungen oder eine höhere Schwelle für Datenpannen-Meldungen. Gleichzeitig steigt aber das Tempo regulatorischer Änderungen insgesamt. NIS2 ist aktiv, der AI Act tritt phasenweise in Kraft, der Cyber Resilience Act kommt 2026. Das eigentliche Problem ist nicht eine einzelne Verordnung – sondern die Frage, ob dein Compliance-System flexibel genug ist, um mit diesem Tempo Schritt zu halten. In diesem Artikel erfährst du, was sich konkret ändert, warum „Vereinfachung" nicht automatisch weniger Arbeit bedeutet und welche Strategie du jetzt brauchst, um regulatorischen Änderungen nicht hinterherzulaufen.

→ Weiterlesen
AVV mit OpenAI / ChatGPT abschließen – so geht’s

Unter bestimmten Lizenzmodellen (z. B. Enterprise, API) bietet OpenAI ein Data Processing Addendum (DPA) an, das als Auftragsverarbeitungsvertrag (AVV) dient. Nicht alle ChatGPT-Versionen ermöglichen dies, insbesondere Free oder Plus. In diesem Artikel erfährst du, welche Lizenzen infrage kommen, wie du den Vertrag praktisch abschließt, worauf du achten solltest und welche zusätzlichen Anforderungen der AI Act künftig stellt.

→ Weiterlesen
Aufbewahrungsfristen für Bewerbungsunterlagen: Sicher, Gesetzeskonform

Dieser Artikel erklärt Dir, wie Du Bewerbungsunterlagen sicher und im Einklang mit der DSGVO und anderen Gesetzen in Deutschland aufbewahrst. Du erfährst alles über Fristen, sichere Aufbewahrung und praktische Tipps.

→ Weiterlesen
Das Marktortprinzip

Das Marktortprinzip ist ein entscheidender Faktor für die Chancengleichheit und den Schutz der Verbraucher im internationalen Handel. Es legt fest, dass die Gesetze des Marktes, auf dem ein Unternehmen tätig ist, gelten, und nicht die des Unternehmenssitzes. Dies hat weitreichende Auswirkungen auf die DSGVO-Konformität und die Wettbewerbsregeln.

→ Weiterlesen
E-Mail Verteiler und Massen-Emails - so vermeidest du Pannen

E-Mail-Verteiler können eine Datenschutzfalle sein, wenn sie nicht korrekt gehandhabt werden. Dieser Artikel bietet praktische Tipps, um Datenschutzverstöße im E-Mail-Verkehr zu vermeiden und die DSGVO einzuhalten.

→ Weiterlesen

Aus dem Magazin

Bewerbungen per E-Mail? Warum das zur DSGVO-Falle wird – und wie du es besser machst

Wenn ein Bewerber die Löschung seiner Daten fordert, wird aus einer simplen Anfrage schnell ein Compliance-Albtraum – besonders bei E-Mail-Bewerbungen. Wir zeigen, warum strukturierte HR-Prozesse nicht nur rechtlich sicherer, sondern auch effizienter sind.

→  Weiterlesen
Navigieren durch das neue Trans-Atlantic-Data-Privacy-Framework: ein umfassender Leitfaden für Unternehmen

Das Trans-Atlantic-Data-Privacy-Framework (TADPF) ist das neue Datenschutzabkommen zwischen der EU und den USA. Dieser Blogpost erklärt, was das TADPF für dein Unternehmen bedeutet und wie du dich darauf vorbereiten kannst

→  Weiterlesen
Verarbeitungsverzeichnis aktuell halten: So etablierst du einen einfachen Pflege-Prozess

Ein Verarbeitungsverzeichnis ist kein Einmalprojekt. Hier zeigen wir dir, wann du prüfen solltest, wie du Änderungen dokumentierst und wie ein einfacher Pflege-Prozess in der Praxis aussieht.

→  Weiterlesen

Verwandte Frameworks

ISO 27701

ISO 27701 erweitert ISO 27001 um konkrete Datenschutzanforderungen. Sie verbindet Informationssicherheit und DSGVO-Compliance in einem gemeinsamen Managementsystem.

→ Mehr erfahren

NIS-2

NIS-2 verpflichtet Unternehmen in kritischen Sektoren zu konkreten Cybersicherheitsmaßnahmen und Meldepflichten. In Deutschland sind rund 29.500 Unternehmen betroffen.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Gesetz
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn