Wiki

Datenschutz-Grundverordnung

Von Manuela Hoffmann ·Veröffentlicht am 3. Juni 2026 ·6 Min. Lesezeit

Die Datenschutz-Grundverordnung (kurz: DSGVO; englisch: General Data Protection Regulation, GDPR) ist eine unmittelbar geltende EU-Verordnung. Sie regelt einheitlich den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Verordnung trat am 25. Mai 2018 in Kraft und ersetzte die bis dahin geltende EU-Datenschutzrichtlinie aus dem Jahr 1995. Ihr amtliches Aktenzeichen lautet Verordnung (EU) 2016/679.[1]

Entstehung und rechtlicher Rahmen

Das Europäische Parlament und der Rat der EU verabschiedeten die Datenschutz-Grundverordnung am 27. April 2016. Nach einer zweijährigen Übergangsfrist gilt sie seit dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar und verbindlich. Eine gesonderte Umsetzung in nationales Recht ist nicht erforderlich.

In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) die Verordnung. Es füllt Öffnungsklauseln aus, etwa im Bereich des Beschäftigtendatenschutzes. Verfassungsrechtliche Grundlage ist das Recht auf informationelle Selbstbestimmung. Das Bundesverfassungsgericht leitete dieses Recht 1983 im Volkszählungsurteil aus dem allgemeinen Persönlichkeitsrecht und der Menschenwürde ab.[2]

Der räumliche Anwendungsbereich ist bewusst weit gefasst. Die Verordnung gilt für jeden Verantwortlichen, der Daten von Personen verarbeitet, die sich in der EU aufhalten. Entscheidend ist nicht der Sitz des Unternehmens, sondern der Aufenthaltsort der betroffenen Person. Dieses sogenannte Marktortprinzip erfasst damit auch Unternehmen außerhalb Europas, die Waren oder Dienstleistungen an EU-Bürger anbieten.

Grundsätze der Datenschutz-Grundverordnung

Art. 5 DSGVO enthält die zentralen Grundsätze, an denen sich jede Datenverarbeitung messen lassen muss. Sie bilden das normative Fundament des europäischen Datenschutzrechts.

Die Datenschutz-Grundverordnung im Überblick: Kernprinzipien

Die Verordnung verankert folgende Grundsätze verbindlich:

  • Rechtmäßigkeit, Treu und Glauben, Transparenz: Daten dürfen nur auf einer gesetzlich anerkannten Rechtsgrundlage und nachvollziehbar verarbeitet werden.
  • Zweckbindung: Die Erhebung erfolgt nur für festgelegte, eindeutige Zwecke. Eine zweckfremde Weiterverarbeitung ist unzulässig.
  • Datenminimierung: Es dürfen nur Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
  • Richtigkeit: Gespeicherte Daten müssen sachlich korrekt und aktuell sein.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger gespeichert werden als nötig.
  • Integrität und Vertraulichkeit: Die Verarbeitung muss durch technische und organisatorische Maßnahmen abgesichert sein.
  • Rechenschaftspflicht: Verantwortliche müssen die Einhaltung dieser Grundsätze aktiv nachweisen können.

Übergeordnet gilt das Verbotsprinzip: Datenverarbeitung ist grundsätzlich untersagt. Sie ist nur erlaubt, wenn eine gesetzliche Grundlage oder eine freiwillige, informierte Einwilligung der betroffenen Person vorliegt.

Rechtsgrundlagen für die Datenverarbeitung

Art. 6 DSGVO listet abschließend auf, worauf eine rechtmäßige Verarbeitung gestützt werden kann. Neben der Einwilligung (lit. a) kommen die Vertragserfüllung (lit. b), rechtliche Verpflichtungen (lit. c), der Schutz lebenswichtiger Interessen (lit. d), öffentliche Aufgaben (lit. e) sowie das berechtigte Interesse (lit. f) des Verantwortlichen in Betracht.

Besondere Kategorien personenbezogener Daten genießen nach Art. 9 DSGVO erhöhten Schutz. Dazu zählen Gesundheitsdaten, biometrische Daten sowie Angaben zur ethnischen Herkunft oder sexuellen Orientierung. Sie dürfen grundsätzlich nur mit ausdrücklicher Einwilligung oder auf Basis einer ausdrücklichen gesetzlichen Ausnahme verarbeitet werden.

Im digitalen Marketing hat die Frage der Rechtsgrundlage erhebliche praktische Bedeutung. Tracking-Technologien, die personenbezogene Daten erzeugen, erfordern regelmäßig eine Einwilligung. Das Transparency and Consent Framework (TCF) von IAB Europe ist ein branchenweit eingesetzter Standard, der die Einholung und Verwaltung solcher Einwilligungen technisch standardisiert.

Betroffenenrechte

Die Artikel 12–23 DSGVO regeln die Rechte der betroffenen Personen. Ziel ist es, die informationelle Selbstbestimmung gegenüber datenverarbeitenden Organisationen durchsetzbar zu machen.

Zu den wichtigsten Rechten zählen:

  • Auskunftsrecht (Art. 15): Betroffene können jederzeit erfragen, ob und welche Daten über sie verarbeitet werden.
  • Recht auf Berichtigung (Art. 16): Unrichtige Daten müssen auf Verlangen korrigiert werden.
  • Recht auf Löschung (Art. 17): Das sogenannte „Recht auf Vergessenwerden“ verpflichtet Verantwortliche unter bestimmten Voraussetzungen zur Datenlöschung.
  • Recht auf Einschränkung der Verarbeitung (Art. 18): Betroffene können verlangen, dass ihre Daten vorübergehend nicht weiterverarbeitet werden.
  • Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in einem strukturierten, maschinenlesbaren Format herausgegeben werden.
  • Widerspruchsrecht (Art. 21): Der Verarbeitung zu Direktmarketingzwecken kann jederzeit ohne Angabe von Gründen widersprochen werden.

Das Widerspruchsrecht hat praktische Auswirkungen auf den Aufbau eigener Datenbestände. Unternehmen dürfen First Party Data nur dann rechtskonform nutzen, wenn die Erhebung auf einer tragfähigen Rechtsgrundlage beruht.

Pflichten für Verantwortliche und Auftragsverarbeiter

Die Verordnung unterscheidet zwei Hauptrollen. Der Verantwortliche (Art. 4 Nr. 7) entscheidet über Zweck und Mittel der Verarbeitung. Der Auftragsverarbeiter (Art. 4 Nr. 8) handelt im Auftrag und nach Weisung des Verantwortlichen. Zwischen beiden Parteien ist ein schriftlicher Auftragsverarbeitungsvertrag Pflicht.

Zentrale Pflichten des Verantwortlichen umfassen das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30) und die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Vorgängen (Art. 35). Datenpannen müssen der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden (Art. 33). In vielen Fällen ist zudem die Benennung eines Datenschutzbeauftragten vorgeschrieben (Art. 37–39).

Art. 25 DSGVO verlangt außerdem „Privacy by Design“ und „Privacy by Default“. Datenschutz muss bereits bei der Systementwicklung mitgedacht werden. Dieser Ansatz gewinnt im Zuge der digitalen Transformation strategisch an Bedeutung.

Aufsicht, Durchsetzung und Sanktionen

Jeder EU-Mitgliedstaat hat eine unabhängige Datenschutzaufsichtsbehörde einzurichten. In Deutschland sind dies die Länderbehörden sowie auf Bundesebene der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Sie können Verstöße untersuchen, Verwarnungen aussprechen und Bußgelder verhängen.

Das Sanktionsregime ist zweistufig. Schwere Verstöße — etwa gegen die Grundsätze der Art. 5 und 6 oder die Betroffenenrechte — werden mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet. Weniger schwere Verstöße können mit bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes sanktioniert werden.

Technologien wie Cookie-Matching oder der Betrieb von Data Management Platforms stehen regelmäßig im Fokus von Aufsichtsbehörden. Beide Verfahren sind oft mit der Weitergabe personenbezogener Daten an Dritte verbunden.

Bedeutung für die digitale Wirtschaft

Die Verordnung hat Geschäftsmodelle zahlreicher digitaler Unternehmen grundlegend verändert. Werbenetzwerke, Plattformen und Datenhändler mussten ihre Prozesse und technischen Infrastrukturen anpassen. Der schrittweise Wegfall von Third-Party-Cookies in gängigen Browsern ist auch eine Folge des regulatorischen Drucks. Er beschleunigt die Entwicklung datenschutzkonformer Alternativen — etwa der Identifikationslösung UTIQ, die ohne browserbasierte Tracking-Mechanismen auskommt.

Gleichzeitig hat die Datenschutz-Grundverordnung das gesellschaftliche Bewusstsein für den Wert persönlicher Daten gestärkt. Unternehmen, die Datenschutz als Qualitätsmerkmal verstehen, können damit das Vertrauen von Kunden und Partnern gewinnen. Auch der Einsatz von KI-Systemen im Unternehmenskontext ist eng mit den Anforderungen der Verordnung verknüpft, da für Training und Betrieb solcher Systeme häufig personenbezogene Daten verarbeitet werden.[3]

Literaturempfehlungen

  • Paul Voigt, Axel von dem Bussche: DS-GVO. Praxiskommentar. Springer Gabler, Wiesbaden 2018.
  • Jürgen Kühling, Benedikt Buchner (Hrsg.): DS-GVO BDSG Kommentar. C.H. Beck, München 2020.
  • Kai-Uwe Plath (Hrsg.): DSGVO/BDSG – Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG. Otto Schmidt, Köln 2018.

Fußnoten

  1. Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO), Zusammenfassung bei EUR-Lex
  2. BfDI – Grundlagen des Datenschutzrechts: Recht auf informationelle Selbstbestimmung und Verbotsprinzip
  3. Statista – Datenschutz im Internet: gesellschaftliche Wahrnehmung und DSGVO-Relevanz