Skip to main content
ComplianceWiki

DSGVO (Datenschutz Grundverordnung) – Definition & Bedeutung

23. November 2025
DSGVO - Definition und Bedeutung der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Datenschutzgesetz der Europäischen Union. Sie legt fest, wie personenbezogene Daten verarbeitet, gespeichert und geschützt werden müssen – sowohl von Unternehmen als auch von öffentlichen Stellen. Ziel ist es, die Grundrechte natürlicher Personen zu schützen, ein einheitliches Datenschutzniveau in Europa zu schaffen und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten. Es ist jedoch nicht zu verwechseln mit dem EU Data Act, der als weitere europäische Verordnung den fairen Zugang zu Daten sowie die Nutzung von Daten innerhalb der Europäischen Union regeln soll.

Was regelt die DSGVO und welche Bedeutung hat sie?

Die DSGVO (Verordnung (EU) 2016/679)  regelt vor allem, unter welchen rechtlichen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Transparenz- und Dokumentationspflichten Unternehmen haben und welche Rechte Betroffene gegenüber Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). Sie definiert ein umfassendes System aus Rechtsgrundlagen (Art. 6), Schutzmaßnahmen (Art. 25, 32), Risikoabwägungen (Art. 35) und Kontrollmechanismen (Art. 30, 33), das europaweit ein einheitliches Datenschutzniveau sicherstellen soll. Damit schafft die DSGVO nicht nur einen verpflichtenden Rechtsrahmen, sondern bildet auch die Grundlage für Vertrauen in digitale Geschäftsmodelle, Cloud-Anwendungen und datenbasierte Services. Die Verordnung gilt dabei für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Unternehmenssitz.

Wichtige Grundprinzipien der DSGVO

Die Grundprinzipien sind das Fundament der gesamten Verordnung: Sie geben vor, wie jede Verarbeitung (rechtlich) auszurichten ist, und dienen Aufsichtsbehörden als Maßstab, um die Rechtmäßigkeit und Angemessenheit datenschutzrelevanter Prozesse zu beurteilen. Allerdings geben die Grundprinzipien keine Hinweise auf konkrete technische Implementierungen oder die Art und Weise der genauen Datenverarbeitung.
(Grundprinzipien gemäß Art. 5 DSGVO):

  • Rechtmäßigkeit, Transparenz und Fairness (Art. 5 Abs. 1 lit. a): Verarbeitung nur auf gültiger Rechtsgrundlage, nachvollziehbar für Betroffene.
  • Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für klar definierte Zwecke verarbeitet werden.
  • Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie notwendig dürfen verarbeitet werden.
  • Richtigkeit (Art. 5 Abs. 1 lit. d): Daten müssen korrekt und aktuell sein.
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Löschung, sobald Daten nicht mehr benötigt werden.
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Sicherheit durch technische und organisatorische Maßnahmen.
  • Rechenschaftspflicht (Art. 5 Abs. 2): Verantwortliche müssen jederzeit nachweisen können, dass sie die Grundsätze einhalten.

Die Betroffenenrechte

Die DSGVO stellt den Schutz personenbezogener Daten in den Vordergrund, die bereits nach definitorischer Weise auf natürliche Personen zurückzuführen sind, demnach sprechen wir von „Betroffenen“ der Datenverarbeitung. Die im Rahmen der Verordnung festgelegten Betroffenenrechte stellen sicher, dass jede Person Kontrolle über ihre Daten behält und gegenüber Unternehmen wirksame Ansprüche auf Transparenz, Korrektur, Einschränkung oder Löschung durchsetzen kann. Unternehmen sind entsprechend verpflichtet, klare interne Abläufe zur Bearbeitung solcher Anfragen einzurichten.

Betroffenenrechte (Art. 12–22 DSGVO):

  • Auskunftsrecht: Art. 15
  • Recht auf Berichtigung: Art. 16
  • Recht auf Löschung („Recht auf Vergessenwerden“): Art. 17
  • Recht auf Einschränkung der Verarbeitung: Art. 18
  • Datenübertragbarkeit: Art. 20
  • Widerspruchsrecht: Art. 21
  • Recht auf Nichtunterworfenheit gegenüber automatisierten Entscheidungen: Art. 22

Pflichten für Unternehmen

Unternehmen müssen die ihnen von der Datenschutz-Grundverordnung auferlegten Pflichten nicht nur formal erfüllen, sondern auch laufend überprüfen und dokumentieren, ob ihre Prozesse den gesetzlichen Anforderungen entsprechen. Dazu gehören regelmäßige Audits, Überwachung von Dienstleistern, Aktualisierung technischer Maßnahmen bei neuen Risiken sowie der Nachweis, dass Mitarbeitende angemessen geschult und Datenschutzrichtlinien im Alltag tatsächlich angewendet werden. Unternehmen haben dabei insbesondere die folgenden Pflichten:

  • Verzeichnis von Verarbeitungstätigkeiten: Art. 30
  • Datenschutz-Folgenabschätzung (DSFA): Art. 35
  • Meldung von Datenschutzverletzungen: Art. 33 (72-Stunden-Regel)
  • Benachrichtigung der Betroffenen: Art. 34
  • Technische und organisatorische Maßnahmen (TOMs): Art. 32
  • Datenschutz durch Technikgestaltung („Privacy by Design“): Art. 25
  • Auftragsverarbeitung: Art. 28 (AV-Verträge)
  • Bestellung eines Datenschutzbeauftragten: Art. 37–39

Rechtliche Einordnung

  • Rechtsakt: EU-Verordnung 2016/679
  • In Kraft: seit 25. Mai 2018
  • Unmittelbar geltendes EU-Recht in allen Mitgliedstaaten (Art. 288 AEUV)
  • Sanktionsrahmen: Art. 83 (bis 20 Mio. € oder 4 % Weltjahresumsatz)
  • Regelungen zu Rechtsbehelfen und Haftung: Art. 77 – 82
  • Ergänzt durch nationale Gesetze wie das BDSG in Deutschland

DSGVO im Vergleich zu ISO 27001

Auch wenn die Verordnung im direkten Vergleich mit der ISO27001 (international anerkannter Standard für Informationssicherheits-Managementsysteme) einige Gemeinsamkeiten aufweist, unterscheiden sich diese beiden Regelwerke dennoch erheblich. Im Vergleich zur DSGVO bietet ISO 27001 einen strukturierten Sicherheitsrahmen, während die DSGVO verbindlich vorgibt, was geschützt werden muss – ISO 27001 hingegen definiert wie dieser Schutz organisatorisch und auch technisch umgesetzt werden kann.

Ausrichtung:

  • DSGVO: Verpflichtendes Datenschutzrecht (Art. 1–2)
  • ISO 27001: Freiwilliger Sicherheitsstandard (ISMS)

Inhalte:

  • DSGVO: Personenbezogene Daten, Betroffenenrechte (Art. 12–22), Rechtsgrundlagen (Art. 6)
  • ISO 27001: Informationssicherheit, Risikoanalyse, Maßnahmenkatalog (Annex A)

Verbindlichkeit:

  • DSGVO: Gesetz, Bußgelder gemäß Art. 83
  • ISO 27001: Zertifizierung möglich, aber nicht vorgeschrieben

Beratung zur DSGVO durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der rechtssicheren Umsetzung der DSGVO und dem Aufbau nachhaltiger Datenschutzstrukturen. Dazu gehören die Erstellung von Verarbeitungstätigkeiten (Art. 30), die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35), die Entwicklung geeigneter technischer und organisatorischer Maßnahmen (Art. 32), die Bewertung von Auftragsverarbeitern (Art. 28), interne Richtlinien, Mitarbeiterschulungen rund um das Thema Datenschutz (auch im Kontext des EU AI Act) und Begleitung bei Datenschutzvorfällen gemäß Art. 33–34.

Auf Wunsch übernimmt Elsen GRC die Funktion des externen Datenschutzbeauftragten gemäß Art. 37–39.

Sprechen Sie mich gerne direkt an!

Bild: Immo Wegmann – Unsplash.com

Quellen:

  1. Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
  2. Europäische Kommission – Data Protection
  3. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Tags:

Next Post

You May Also Like

Das neue Cloud-Verbot für Schweizer Behörden schränkt den Einsatz internationaler Cloud-Dienste stark ein. Warum Microsoft 365, AWS & Co. betroffen sind und welche Folgen das für Governance, Risk und Compliance von Unternehmen hat. News Cloud-Verbot für Schweizer Behörden: Schluss mit Microsoft 365, AWS und Google Cloud?

Cloud-Verbot für Schweizer Behörden: Schluss mit Microsoft 365, AWS und Google Cloud?

Mario Elsen30. November 2025
EU AI Act - Definition und Bedeutung für Unternehmen in der EU GovernanceWiki EU AI Act – Definition, Bedeutung & Pflichten für Unternehmen

EU AI Act – Definition, Bedeutung & Pflichten für Unternehmen

Mario Elsen26. Oktober 2025
SOC 2 ist ein international anerkanntes Prüf- und Berichtswesen, das die Sicherheits- und Kontrollmaßnahmen von Serviceanbietern bewertet, insbesondere im Cloud- und SaaS-Umfeld. Grundlage sind die Trust Services Criteria (Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit, Datenschutz). SOC2 ist insbesondere in den USA von hoher Bedeutung und vergleichbar mit der internationalen Norm ISO 270001 ComplianceWiki SOC 2 (Service Organization Control 2) – Definition & Bedeutung

SOC 2 (Service Organization Control 2) – Definition & Bedeutung

Mario Elsen16. November 2025

One Comment

Leave a Reply

Share