Framework

DSGVO-Compliance, automatisiert und kontinuierlich

Über Checkbox-Compliance hinausgehen. Matproof automatisiert Ihr Verarbeitungsverzeichnis, DSFA-Workflows und Betroffenenrechte — für kontinuierliche DSGVO-Konformität.

Demo anfragen

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO), offiziell EU-Verordnung 2016/679, ist das wegweisende Datenschutzgesetz der Europäischen Union, das die Art und Weise, wie Organisationen weltweit mit personenbezogenen Daten umgehen, grundlegend verändert hat. Seit dem 25. Mai 2018 in Kraft, schuf die DSGVO einen einheitlichen Datenschutzrahmen für alle EU- und EWR-Mitgliedstaaten und ersetzte das Flickwerk nationaler Gesetze auf Basis der Datenschutzrichtlinie von 1995. Sie gilt weithin als die umfassendste und einflußreichste Datenschutzverordnung weltweit.

Die DSGVO basiert auf sieben Grundsätzen, die jede Verarbeitung personenbezogener Daten regeln: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; sowie Rechenschaftspflicht. Diese Grundsätze sind nicht nur aspirativ - sie bilden die rechtliche Grundlage, anhand derer alle Verarbeitungstätigkeiten bewertet werden. Organisationen müssen die Einhaltung jedes Grundsatzes nachweisen können, ein Konzept, das als Rechenschaftsprinzip nach Art. 5(2) bekannt ist.

Eines der bedeutendsten Merkmale der DSGVO ist ihr extraterritorialer Geltungsbereich. Gemäss Art. 3 gilt die Verordnung nicht nur für in der EU ansäßige Organisationen, sondern auch für jede Organisation weltweit, die EU-Einwohnern Waren oder Dienstleistungen anbietet oder deren Verhalten überwacht. Dies bedeutet, dass ein Technologieunternehmen in den USA, ein Fintech-Startup in Singapur oder ein SaaS-Anbieter in Israel die DSGVO einhalten muss, wenn es personenbezogene Daten von Personen in der EU verarbeitet - unabhängig davon, wo die Daten tatsächlich verarbeitet werden.

In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt, das nationale Bestimmungen in Bereichen hinzufügt, in denen die DSGVO den Mitgliedstaaten Spielraum läßt. Das BDSG stellt in mehreren Bereichen strengere Anforderungen - insbesondere schreibt es die Bestellung eines Datenschutzbeauftragten für jede Organisation mit 20 oder mehr Beschäftigten vor, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Deutschland verfügt zudem über 16 Landesdatenschutzbehörden neben dem Bundesbeauftragten (BfDI), was eine komplexe, aber robuste Durchsetzungslandschaft schafft.

Wer muss die DSGVO einhalten?

Die DSGVO gilt für praktisch jede Organisation, die personenbezogene Daten von Personen in der EU/dem EWR verarbeitet, sei es als Verantwortlicher (der Zwecke und Mittel der Verarbeitung bestimmt) oder als Auftragsverarbeiter (der Daten im Auftrag eines Verantwortlichen verarbeitet). Die Verordnung kennt keine Umsatzschwelle oder Mindestunternehmensgröße - selbst Einzelunternehmer und Kleinstunternehmen müssen sie einhalten.

Verantwortliche

Jedes in der EU ansäßige Unternehmen, das personenbezogene Daten verarbeitet
Nicht-EU-Unternehmen, die EU-Einwohnern Waren/Dienstleistungen anbieten
Nicht-EU-Unternehmen, die das Verhalten von EU-Einwohnern überwachen
Öffentliche Stellen und Behörden
Gesundheitsdienstleister und Pharmaunternehmen
Finanzdienstleistungs- und Versicherungsunternehmen

Auftragsverarbeiter

Cloud-Service- und Hosting-Anbieter
SaaS-Plattformen, die Kundendaten verarbeiten
Lohnbuchhaltungs- und HR-Dienstleister
Marketing- und Analyseplattformen
IT-Outsourcing- und Managed-Service-Anbieter
Kundensupport- und Callcenter-Anbieter

Besondere Aufmerksamkeit gilt für Organisationen, die besondere Kategorien personenbezogener Daten (Art. 9) verarbeiten - einschließlich Gesundheitsdaten, biometrischer Daten, genetischer Daten, raßischer oder ethnischer Herkunft, politischer Meinungen, religiöser Überzeugungen, Gewerkschaftszugehörigkeit und Daten zum Sexualleben oder der sexüllen Orientierung. Die Verarbeitung solcher Daten erfordert die Erfüllung einer der spezifischen Bedingungen in Art. 9(2), und Organisationen, die diese Kategorien in großem Umfang verarbeiten, müssen einen DSB bestellen und in der Regel DPIAs durchführen.

Not sure if you're compliant?

Take the free GDPR readiness assessment — 10 questions, 3 minutes.

Check your readiness

DSGVO-Kernanforderungen im Detail

1. Rechtsgrundlage für die Verarbeitung (Art. 6)

Jede Verarbeitungstätigkeit muss eine gültige Rechtsgrundlage haben. Die DSGVO sieht sechs Rechtsgrundlagen vor: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliche Aufgabe und berechtigte Interessen. Organisationen müssen die Rechtsgrundlage für jede Verarbeitungstätigkeit vor Beginn der Verarbeitung identifizieren und dokumentieren. Die Einwilligung muss freiwillig, bestimmt, informiert und eindeutig sein - und muss ebenso einfach widerrufen wie erteilt werden können. Berechtigte Interessen erfordern eine dokumentierte Abwägungsprüfung (Interessenabwägung).

2. Betroffenenrechte (Art. 12-22)

Die DSGVO gewährt Betroffenen acht Rechte: das Recht auf Information (Transparenz), Auskunftsrecht (Auskunftsanspruch), Recht auf Berichtigung, Recht auf Löschung (Recht auf Vergeßenwerden), Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht sowie Rechte bei automatisierter Entscheidungsfindung und Profiling. Organisationen müssen Betroffenenanfragen innerhalb eines Monats beantworten (um zwei Monate verlängerbar bei komplexen Anfragen) und die Antwort in den meisten Fällen kostenlos bereitstellen.

3. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Verantwortliche und Auftragsverarbeiter mit mehr als 250 Beschäftigten - oder solche, die Daten verarbeiten, die Risiken bergen, besondere Kategorien betreffen oder sich auf strafrechtliche Verurteilungen beziehen - müssen detaillierte Verzeichniße von Verarbeitungstätigkeiten (VVT/Verarbeitungsverzeichnis) führen. Diese Verzeichniße müssen die Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Empfänger, internationale Übermittlungen, Aufbewahrungsfristen und eine Beschreibung der Sicherheitsmaßnahmen enthalten. Die Verzeichniße müssen der Aufsichtsbehörde auf Anfrage zur Verfügung stehen.

4. Datenschutz-Folgenabschätzung (Art. 35)

Eine DSFA ist obligatorisch, wenn die Verarbeitung voraußichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Dies umfasst systematisches und umfangreiches Profiling mit erheblichen Auswirkungen, die Verarbeitung besonderer Datenkategorien in großem Umfang und die systematische Überwachung öffentlich zugänglicher Bereiche. Die DSFA muss die Verarbeitungsvorgänge beschreiben, Notwendigkeit und Verhältnismäßigkeit bewerten, Risiken evaluieren und Maßnahmen zu deren Bewältigung identifizieren. Bleiben Risiken nach der Minderung hoch, ist eine vorherige Konsultation der Aufsichtsbehörde nach Art. 36 erforderlich.

5. Datenschutzbeauftragter (Art. 37-39)

Ein DSB muss von öffentlichen Stellen bestellt werden, von Organisationen, deren Kerntätigkeit eine regelmäßige und systematische Überwachung betroffener Personen in großem Umfang erfordert, oder von Organisationen, die besondere Datenkategorien in großem Umfang verarbeiten. In Deutschland erweitert das BDSG diese Anforderung auf jedes Unternehmen mit 20 oder mehr Beschäftigten, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Der DSB muss über Fachkenntniße im Datenschutzrecht verfügen, unabhängig agieren, direkt der höchsten Leitungsebene berichten und darf für die Ausübung seiner Aufgaben nicht abberufen oder benachteiligt werden.

6. Meldung von Datenschutzverletzungen (Art. 33-34)

Verletzungen des Schutzes personenbezogener Daten müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden, es sei denn, die Verletzung führt voraußichtlich nicht zu einem Risiko für die Betroffenen. Die Meldung muss die Art der Verletzung, die ungefähre Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen enthalten. Führt die Verletzung voraußichtlich zu einem hohen Risiko für die Betroffenen, müssen diese ebenfalls unverzüglich informiert werden. Auftragsverarbeiter müssen Verantwortliche unverzüglich nach Bekanntwerden einer Verletzung benachrichtigen.

7. Internationale Datenübermittlungen (Art. 44-49)

Übermittlungen personenbezogener Daten außerhalb der EU/des EWR sind nur zulässig, wenn das Empfängerland ein angemeßenes Schutzniveau bietet (Angemeßenheitsbeschluss) oder wenn geeignete Garantien vorhanden sind. Standardvertragsklauseln (SVKs) sind der am häufigsten genutzte Übermittlungsmechanismus, obwohl verbindliche interne Datenschutzvorschriften (BCRs) für konzerninterne Übermittlungen verfügbar sind. Nach dem Schrems-II-Urteil müssen Organisationen, die SVKs verwenden, zudem ein Transfer Impact Asseßment (TIA) durchführen, um die Datenschutzgesetze des Empfängerlandes zu bewerten und bei Bedarf ergänzende Maßnahmen zu implementieren.

8. Auftragsverarbeitungsverträge (Art. 28)

Wenn ein Verantwortlicher einen Auftragsverarbeiter beauftragt, muss ein schriftlicher Auftragsverarbeitungsvertrag (AVV) vorliegen. Der AVV muss Gegenstand und Daür der Verarbeitung, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten, Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegen. Auftragsverarbeiter müssen hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten und dürfen ohne Genehmigung des Verantwortlichen keine Unterauftragsverarbeiter einsetzen.

Strafen bei DSGVO-Verstößen

Die DSGVO führte die höchsten Datenschutzbußgelder ein, die je verhängt wurden, und die Durchsetzungstätigkeit hat seit 2018 von Jahr zu Jahr deutlich zugenommen. Bis 2025 haben Aufsichtsbehörden in ganz Europa kumulative Bußgelder von über 4 Milliarden EUR verhängt.

Bis zu 20 Mio. EUR / 4%

Bußgelder der oberen Stufe für Verstöße gegen Verarbeitungsgrundsätze, Betroffenenrechte und Regeln für internationale Übermittlungen (je nachdem, welcher Betrag höher ist)

Bis zu 10 Mio. EUR / 2%

Bußgelder der unteren Stufe für administrative und organisatorische Verstöße einschließlich Verarbeitungsverzeichnis, DSB-Bestellung und Sicherheitsmaßnahmen

Strafrechtliche Sanktionen

Das deutsche BDSG ergänzt strafrechtliche Haftung von bis zu 3 Jahren Freiheitsstrafe für vorsätzliche unbefugte Datenverarbeitung oder Erschleichung von Daten

Zivilrechtliche Haftung

Betroffene haben Anspruch auf Schadensersatz für materielle und immaterielle Schäden (Art. 82), was EU-weite Sammelklagen ermöglicht

Bemerkenswerte DSGVO-Bußgelder umfassen Meta (1,2 Mrd. EUR für internationale Übermittlungen), Amazon (746 Mio. EUR für gezielte Werbung) und WhatsApp (225 Mio. EUR für Transparenzmängel). In Deutschland erhielt H&M ein Bußgeld von 35,3 Mio. EUR für Mitarbeiterüberwachung, und 1&1 Telecom wurde mit 9,55 Mio. EUR für unzureichende Authentifizierungsverfahren belegt. Diese Fälle zeigen, dass die Durchsetzung Unternehmen jeder Größe in allen Branchen betrifft.

Wie Sie DSGVO-Compliance erreichen

DSGVO-Compliance ist kein einmaliges Projekt, sondern ein fortlaufendes Programm. Hier ist ein strukturierter Ansatz zum Aufbau und zur Aufrechterhaltung eines umfassenden DSGVO-Compliance-Rahmenwerks:

1
Datenmapping und Verarbeitungsverzeichnis
Kartieren Sie alle personenbezogenen Datenflüsse in Ihrer Organisation: welche Daten Sie erheben, woher sie stammen, wie sie verarbeitet werden, wer Zugriff hat, wo sie gespeichert werden und mit wem sie geteilt werden. Erstellen und pflegen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT). Dies bildet die Grundlage für alle weiteren DSGVO-Compliance-Aktivitäten und muss bei Änderung der Verarbeitungstätigkeiten aktualisiert werden.
2
Rechtsgrundlagenbewertung und Datenschutzhinweise
Bestimmen und dokumentieren Sie für jede Verarbeitungstätigkeit die geeignete Rechtsgrundlage. Aktualisieren Sie Datenschutzhinweise gemäß den DSGVO-Transparenzanforderungen (Art. 13-14), die klar kommunizieren, welche Daten Sie erheben, warum, auf welcher Rechtsgrundlage, wie lange Sie sie aufbewahren und welche Rechte Betroffene haben. Überprüfen und aktualisieren Sie Einwilligungsmechanismen, wo die Einwilligung die Rechtsgrundlage ist.
3
DSB-Bestellung und Governance
Prüfen Sie, ob Ihre Organisation zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. In Deutschland ist dies für Unternehmen mit 20 oder mehr Beschäftigten in der automatisierten Datenverarbeitung obligatorisch. Etablieren Sie eine Datenschutz-Governance-Struktur mit klaren Rollen, Verantwortlichkeiten und Berichtslinien. Implementieren Sie regelmäßige Datenschutzschulungen für alle Mitarbeiter, die personenbezogene Daten verarbeiten.
4
Prozesse für Betroffenenrechte
Implementieren Sie Prozesse und Systeme zur Bearbeitung von Betroffenenanfragen innerhalb der vorgeschriebenen Einmonatsfrist. Dies umfasst Auskunftsanfragen, Löschungsanfragen, Übertragbarkeitsanfragen und Widersprüche. Stellen Sie sicher, dass Sie alle personenbezogenen Daten einer Person über alle Systeme hinweg identifizieren und abrufen können und dass Löschungsprozesse an alle relevanten Datenspeicher und Auftragsverarbeiter weitergegeben werden.
5
Erkennung und Meldung von Datenschutzverletzungen
Implementieren Sie technische Maßnahmen zur zeitnahen Erkennung von Datenschutzverletzungen und etablieren Sie einen Incident-Response-Plan, der die 72-Stunden-Meldefrist erfüllt. Definieren Sie Eskalationsverfahren, Meldevorlagen und Entscheidungskriterien für die Risikobewertung gegenüber Betroffenen. Führen Sie regelmäßige Übungen zur Reaktion auf Datenschutzverletzungen durch, um sicherzustellen, dass Ihr Team unter Echtzeitdruck die straffen Fristen einhalten kann.
6
Lieferantenmanagement und internationale Übermittlungen
Überprüfen Sie alle Auftragsverarbeiterbeziehungen und stellen Sie sicher, dass angemeßene Auftragsverarbeitungsverträge vorhanden sind. Für internationale Datenübermittlungen implementieren Sie geeignete Garantien (SVKs, BCRs oder Angemeßenheitsbeschlüsse) und führen Sie Transfer Impact Asseßments durch, wo erforderlich. Nutzen Sie Matproof zur Zentralisierung der Lieferanten-Compliance-Verfolgung, Automatisierung des AVV-Managements und Aufrechterhaltung der laufenden Überwachung Ihrer Verarbeitungskette.

Häufig gestellte Fragen zur DSGVO

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO), offiziell EU-Verordnung 2016/679, ist das umfassende Datenschutzgesetz der Europäischen Union. Seit dem 25. Mai 2018 in Kraft, regelt sie, wie Organisationen personenbezogene Daten von Personen in der EU/dem EWR erheben, verarbeiten, speichern und übermitteln. Die DSGVO ersetzte die Datenschutzrichtlinie von 1995 und gilt unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung, obwohl Mitgliedstaaten ergänzende Bestimmungen hinzufügen können.

Gilt die DSGVO für Unternehmen außerhalb der EU?

Ja. Die DSGVO hat gemäß Art. 3 extraterritorialen Geltungsbereich. Sie gilt für jede Organisation - unabhängig von ihrem Sitz -, die personenbezogene Daten von Personen in der EU/dem EWR verarbeitet, wenn sie diesen Waren oder Dienstleistungen anbietet oder deren Verhalten innerhalb der EU/des EWR überwacht. Das bedeutet, dass ein US-basiertes SaaS-Unternehmen mit EU-Kunden die DSGVO einhalten muss, einschließlich der Benennung eines EU-Vertreters nach Art. 27.

Welche Strafen gibt es bei DSGVO-Verstößen?

Die DSGVO etabliert ein zweistufiges Sanktionssystem. Die obere Stufe sieht Bußgelder von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verstöße gegen Verarbeitungsgrundsätze, Betroffenenrechte und Regeln für internationale Übermittlungen vor. Die untere Stufe verhängt Bußgelder von bis zu 10 Millionen EUR oder 2% des Umsatzes für administrative und organisatorische Verstöße. In Deutschland ergänzt das BDSG strafrechtliche Sanktionen von bis zu 3 Jahren Freiheitsstrafe für bestimmte Verstöße.

Brauche ich einen Datenschutzbeauftragten (DSB)?

Gemäss der DSGVO ist ein DSB obligatorisch für öffentliche Stellen, Organisationen, deren Kerntätigkeit eine regelmäßige und systematische Überwachung betroffener Personen in großem Umfang umfasst, oder Organisationen, die besondere Datenkategorien in großem Umfang verarbeiten. In Deutschland senkt das BDSG diese Schwelle erheblich: Jedes Unternehmen mit 20 oder mehr Beschäftigten, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, muss einen Datenschutzbeauftragten bestellen. Der DSB kann intern oder extern sein.

Was ist eine DSFA und wann ist sie erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung, die gemäß Art. 35 erforderlich ist, wenn eine Verarbeitung 'voraußichtlich ein hohes Risiko' für Betroffene mit sich bringt. Dies umfasst systematisches Profiling, umfangreiche Verarbeitung besonderer Datenkategorien und systematische Überwachung öffentlicher Bereiche. Aufsichtsbehörden veröffentlichen auch Listen von Verarbeitungstätigkeiten, die eine DSFA erfordern. Die DSFA muss die Verarbeitung beschreiben, Notwendigkeit und Verhältnismäßigkeit bewerten, Risiken evaluieren und Minderungsmaßnahmen identifizieren.

Was ist die 72-Stunden-Meldefrist bei Datenschutzverletzungen?

Gemäss Art. 33 müssen Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, es sei denn, die Verletzung führt voraußichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Die Meldung muss die Verletzung beschreiben, betroffene Personen, wahrscheinliche Folgen und ergriffene Maßnahmen benennen. Führt die Verletzung voraußichtlich zu einem hohen Risiko für Betroffene, müssen diese gemäß Art. 34 ebenfalls direkt benachrichtigt werden.