Glossar · EU-Datenschutzrecht DSGVO (General Data Protection Regulation)
Die seit Mai 2018 geltende europäische Verordnung, die personenbezogene Daten von EU-Bürgerinnen und EU-Bürgern schützt und prägt, wie Unternehmen weltweit mit deren Daten umgehen.
## Was die DSGVO tatsächlich regelt
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) trat am 25. Mai 2018 in Kraft und ersetzte die Datenschutzrichtlinie von 1995. Sie gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig vom Sitz der Organisation.
Personenbezogene Daten umfassen unter der DSGVO alles, was eine Person direkt oder indirekt identifizieren kann: Name, E-Mail, IP-Adresse, Geräte-ID, Standort, biometrische Daten, Online-Kennungen — die Definition ist bewusst weit gefasst.
## Die sieben Grundsätze
Die DSGVO etabliert sieben Grundsätze, die jede Verarbeitung personenbezogener Daten respektieren muss:
1. **Rechtmäßigkeit, Fairness und Transparenz** — Daten nur mit gültiger Rechtsgrundlage verarbeiten und dies klar erläutern
2. **Zweckbindung** — Daten nur für bestimmte, festgelegte Zwecke erheben
3. **Datenminimierung** — nur das erheben, was tatsächlich benötigt wird
4. **Richtigkeit** — Daten aktuell halten und Fehler korrigieren
5. **Speicherbegrenzung** — Daten nur so lange aufbewahren, wie nötig
6. **Integrität und Vertraulichkeit** — Daten gegen unbefugten Zugriff sichern
7. **Rechenschaftspflicht** — die Einhaltung nachweisen können
## Welche Rechte die DSGVO EU-Bürgerinnen und -Bürgern verleiht
EU-Einwohnerinnen und -Einwohner haben acht spezifische Rechte hinsichtlich ihrer personenbezogenen Daten:
- **Auskunftsrecht** (Artikel 15) — eine Kopie ihrer Daten verlangen
- **Recht auf Berichtigung** (Artikel 16) — unrichtige Daten korrigieren
- **Recht auf Löschung / Recht auf Vergessenwerden** (Artikel 17) — Löschung verlangen
- **Recht auf Einschränkung der Verarbeitung** (Artikel 18) — Nutzung der Daten begrenzen
- **Recht auf Datenübertragbarkeit** (Artikel 20) — Daten in maschinenlesbarem Format erhalten
- **Widerspruchsrecht** (Artikel 21) — Widerspruch gegen Verarbeitung einschließlich Direktwerbung
- **Rechte bei automatisierter Entscheidungsfindung** (Artikel 22) — Grenzen für KI-/Algorithmusentscheidungen
- **Recht auf Information** — wissen, wie Daten verarbeitet werden
## Warum die DSGVO die globale Tech-Welt geprägt hat
Der räumliche Anwendungsbereich der DSGVO (Artikel 3) bedeutet, dass sie extraterritorial gilt — jedes Unternehmen, das EU-Einwohnerinnen und -Einwohnern Waren/Dienstleistungen anbietet oder ihr Verhalten überwacht, muss sie einhalten, unabhängig vom Unternehmensstandort.
Das Ergebnis: Die meisten globalen Tech-Unternehmen haben für EU-Nutzerinnen und -Nutzer DSGVO-konforme Infrastruktur aufgebaut, und viele haben diese Schutzmaßnahmen weltweit ausgedehnt, anstatt getrennte Systeme zu betreiben.
Die Bußgeldstruktur machte die Durchsetzung glaubwürdig: Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Meta, Amazon und Dutzende weiterer großer Tech-Unternehmen haben bereits neunstellige Bußgelder erhalten.
## Warum die DSGVO für die Tool-Auswahl relevant ist
Für europäische Unternehmen, die Software auswählen, schafft die DSGVO zwei Compliance-Druckpunkte:
1. **Souveränität der Subprozessoren** — wenn Ihr Tool US-basierte Subprozessoren einsetzt, erfordern transatlantische Datentransfers zusätzliche Schutzmaßnahmen (SCCs, TIAs)
2. **Erfüllung der Betroffenenrechte** — Ihre Tools müssen Datenexport, -löschung und Zugriffsanfragen unterstützen; einige US-Tools tun dies nur unzureichend
EU-native Tools haben diese Anforderungen architektonisch eingebaut; US-Tools rüsten Compliance typischerweise über Konfiguration nach. Beide können technisch Compliance erreichen, aber der Aufwand unterscheidet sich erheblich.
## Aktuelle Entwicklungen
- **Schrems-II-Urteil (2020)** erklärte den EU-US Privacy Shield für ungültig und erschwerte transatlantische Transfers
- **Standardvertragsklauseln** wurden 2021 aktualisiert, um Schrems-II-Bedenken zu adressieren
- **EU-US Data Privacy Framework** (2023) ersetzte den Privacy Shield, sieht sich aber laufenden rechtlichen Anfechtungen ausgesetzt
- **DSGVO-Überprüfung** läuft 2025-2026 — eine mögliche „DSGVO 2.0" könnte uneinheitliche Durchsetzung und Compliance-Last für KMU adressieren
War das hilfreich?
Danke für Ihr Feedback!