Die DSGVO Anforderungen stellen Unternehmen jeder Größe vor erhebliche organisatorische und technische Herausforderungen. Seit dem Inkrafttreten der Datenschutz-Grundverordnung gilt sie unmittelbar in allen EU-Mitgliedstaaten und betrifft weltweit jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet. Die Durchsetzung hat sich in den vergangenen Jahren erheblich verschärft, und Aufsichtsbehörden prüfen die Einhaltung der DSGVO Anforderungen zunehmend systematisch.
Dieser Leitfaden erklärt, welche DSGVO Anforderungen für Ihr Unternehmen gelten, wie Sie diese umsetzen und welche Prioritäten Sie setzen sollten. Für eine praktische Umsetzungshilfe empfehlen wir ergänzend unsere DSGVO Checkliste.
Die sieben Grundsätze der DSGVO
Die DSGVO Anforderungen basieren auf sieben fundamentalen Grundsätzen, die in Artikel 5 DSGVO verankert sind. Jede Verarbeitungstätigkeit muss diese Grundsätze einhalten.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Personenbezogene Daten müssen auf rechtmäßige, faire und transparente Weise verarbeitet werden. Dies erfordert eine gültige Rechtsgrundlage und eine klare Kommunikation gegenüber den betroffenen Personen.
Zweckbindung. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung zu anderen Zwecken ist nur unter engen Voraussetzungen zulässig.
Datenminimierung. Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Laut einer Studie des BfDI verstoßen rund 40% der geprüften Unternehmen gegen diesen Grundsatz, was ihn zu einem der häufigsten Mängel bei Datenschutzprüfungen macht.
Richtigkeit. Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand gehalten werden. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden — ein Aspekt, der eng mit dem Recht auf Löschung verknüpft ist.
Integrität und Vertraulichkeit. Angemessene technische und organisatorische Maßnahmen müssen den Schutz vor unbefugter Verarbeitung, Verlust oder Zerstörung sicherstellen.
Rechenschaftspflicht. Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können. Dies ist eine der anspruchsvollsten DSGVO Anforderungen, da sie eine lückenlose Dokumentation verlangt.
Welche Rechtsgrundlagen erlaubt die DSGVO?
Artikel 6 DSGVO definiert sechs Rechtsgrundlagen, auf die sich jede Verarbeitung stützen muss. Die Wahl der richtigen Rechtsgrundlage ist eine der zentralen DSGVO Anforderungen.
Einwilligung und ihre Voraussetzungen
Die Einwilligung muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich sein. Bei besonderen Kategorien personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich. Die EDPB-Leitlinien geben detaillierte Hinweise zur korrekten Einholung und dokumentieren die häufigsten Fehler, die Unternehmen bei der Einholung von Einwilligungen begehen.
Vertragserfüllung, berechtigtes Interesse und weitere Rechtsgrundlagen
Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags erforderlich ist oder wenn ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, sofern die Interessen der betroffenen Person nicht überwiegen. Unternehmen müssen für jede Verarbeitung auf Grundlage des berechtigten Interesses eine dokumentierte Interessenabwägung durchführen. Die Verarbeitung ist auch zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. In Deutschland ergeben sich solche Verpflichtungen häufig aus dem Handelsgesetzbuch, der Abgabenordnung oder branchenspezifischen Gesetzen.
Was verlangt die DSGVO bei Betroffenenrechten?
Die Stärkung der Rechte betroffener Personen gehört zu den wichtigsten DSGVO Anforderungen. Unternehmen müssen Verfahren einrichten, um diese Rechte effizient und fristgerecht zu erfüllen.
Auskunftsrecht und Informationspflichten
Das Auskunftsrecht nach DSGVO gibt betroffenen Personen das Recht, eine Bestätigung darüber zu erhalten, ob ihre Daten verarbeitet werden, und Zugang zu diesen Daten zu erhalten. Die Antwortfrist beträgt einen Monat und kann in komplexen Fällen um zwei weitere Monate verlängert werden. Unser englischsprachiger Leitfaden zu Data Subject Access Requests bietet weitere praktische Hinweise.
Darüber hinaus verpflichten die Artikel 13 und 14 DSGVO den Verantwortlichen zu umfassenden Informationspflichten bei der Datenerhebung. Datenschutzhinweise müssen klar, verständlich und leicht zugänglich sein. Eine Studie der Berliner Datenschutzbeauftragten ergab, dass über 60% der untersuchten Datenschutzhinweise nicht den Anforderungen der DSGVO entsprachen. Dieses Defizit zeigt, wie wichtig es ist, Datenschutzhinweise regelmäßig zu überprüfen und an aktuelle Vorgaben anzupassen.
Löschungsrecht und Datenübertragbarkeit
Das Recht auf Löschung nach der DSGVO erlaubt betroffenen Personen, die Löschung ihrer Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Dieses Recht ist insbesondere bei widerrufener Einwilligung oder bei Daten, deren ursprünglicher Verarbeitungszweck entfallen ist, relevant. Das Recht auf Datenübertragbarkeit ermöglicht es betroffenen Personen, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln. Beide Rechte erfordern technische Vorbereitungen in den IT-Systemen, damit Daten zuverlässig identifiziert, extrahiert und in geeigneten Formaten bereitgestellt werden können. Unternehmen sollten frühzeitig prüfen, ob ihre bestehenden Systeme diese Anforderungen erfüllen.
Sicherheitsanforderungen und Risikovorsorge
Artikel 32 DSGVO verlangt technische und organisatorische Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die konkreten DSGVO Anforderungen umfassen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit dauerhaft sicherzustellen
- Die Fähigkeit, bei physischen oder technischen Zwischenfällen die Daten rasch wiederherzustellen
- Ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen
Meldepflichten und Datenschutz-Folgenabschätzung
Bei einer Datenschutzverletzung muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden, sofern die Verletzung ein Risiko für die Rechte der betroffenen Personen darstellt. In Deutschland sind die Meldungen an die jeweilige Landesdatenschutzbehörde zu richten.
Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt. Dies gilt insbesondere bei der systematischen Überwachung öffentlich zugänglicher Bereiche, bei automatisierten Einzelentscheidungen und bei der umfangreichen Verarbeitung besonderer Datenkategorien. Ergänzend bietet unser englischsprachiger Data Protection Impact Assessment Guide eine praxisnahe Anleitung.
Wie werden DSGVO-Verstöße sanktioniert?
Die Sanktionen bei Verstößen gegen DSGVO Anforderungen können erheblich sein. Die Verordnung unterscheidet zwei Bußgeldstufen, die sich am Schweregrad des Verstoßes orientieren. Für Verstöße gegen organisatorische Pflichten drohen Bußgelder in erheblicher Höhe; für Verstöße gegen die Grundsätze der Verarbeitung und die Betroffenenrechte sind die Höchstbeträge nochmals deutlich höher. Aufsichtsbehörden in der EU haben in den vergangenen Jahren Einzelstrafen im dreistelligen Millionenbereich verhängt, was die Bedeutung der Compliance unterstreicht. Eine vollständige Analyse finden Sie in unserem Beitrag zu GDPR Fines.
Dokumentationspflichten der DSGVO
Die Rechenschaftspflicht der DSGVO bedeutet, dass Unternehmen nicht nur die Vorschriften einhalten, sondern diese Einhaltung auch jederzeit nachweisen können müssen. Zu den wesentlichen Dokumentationspflichten gehören:
- Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten
- Dokumentierte Datenschutzrichtlinien und -verfahren
- Nachweise über eingeholte Einwilligungen
- Dokumentierte Interessenabwägungen bei berechtigtem Interesse
- Durchgeführte Datenschutz-Folgenabschätzungen
- Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO
Der BfDI betont regelmäßig, dass mangelnde Dokumentation einer der häufigsten Mängel bei Datenschutzprüfungen ist. Eine sorgfältige Dokumentation ist somit keine optionale Empfehlung, sondern eine verbindliche DSGVO Anforderung. Unternehmen sollten einen strukturierten Dokumentationsrahmen aufbauen, der alle relevanten Nachweise zentral und revisionssicher speichert. Dies umfasst auch regelmäßige Aktualisierungen des Verzeichnisses der Verarbeitungstätigkeiten sowie die Dokumentation sämtlicher Datenschutzschulungen und der Teilnahme der Mitarbeiter.
FAQ
Gilt die DSGVO auch für kleine Unternehmen?
Ja, die DSGVO gilt grundsätzlich für alle Unternehmen, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe. Allerdings gibt es gewisse Erleichterungen: Kleinere Unternehmen sind unter bestimmten Voraussetzungen von der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten befreit, sofern die Verarbeitung kein Risiko darstellt und nur gelegentlich erfolgt.
Welche Strafen drohen bei Verstößen gegen die DSGVO?
Die DSGVO sieht erhebliche Bußgelder vor, die sich an der Schwere des Verstoßes, der Dauer, der Zahl der Betroffenen und den ergriffenen Abhilfemaßnahmen orientieren. Zusätzlich können betroffene Personen Schadensersatzansprüche geltend machen.
Was ist der Unterschied zwischen DSGVO und BDSG?
Die DSGVO ist eine EU-Verordnung, die unmittelbar in allen Mitgliedstaaten gilt. Das BDSG (Bundesdatenschutzgesetz) ist das deutsche Umsetzungsgesetz, das die DSGVO in bestimmten Bereichen ergänzt und konkretisiert — etwa bei der Benennung von Datenschutzbeauftragten, bei Beschäftigtendatenschutz und bei Datenverarbeitung zu Forschungszwecken. Mit dem Vollwirksamwerden der zentralen Vorschriften der EU-KI-Verordnung am 2. August 2026 müssen Unternehmen ihre DSGVO-Anforderungen künftig parallel zu den neuen KI-Pflichten erfüllen — insbesondere bei Hochrisiko-KI-Systemen drohen zusätzliche Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
