• Start
V-Hub by Vodafone BusinessDigitalisierungSicherheitDie DSGVO: Ihr Leitfaden zur EU-Datenschutz-Grundverordnung
Schmuckbild
Digitalisierung

Die DSGVO: Ihr Leitfaden zur EU-Datenschutz-Grundverordnung

Vodafone-LogoV-Hub Redaktion
25.11.2025
10 Min.

    Die Datenschutz-Grundverordnung (DSGVO) prägt seit 2018 den Umgang mit personenbezogenen Daten in Europa. Eine aktuelle Studie des Bitkom zeigt: 61 % der deutschen Unternehmen sind der Meinung, dass die DSGVO die Datensicherheit in Unternehmen verbessert habe – und weltweit Maßstäbe setze. Bei vielen Firmen herrscht jedoch Unsicherheit über die konkreten Anforderungen.

    Wer die EU-DSGVO richtig umsetzt, schafft Vertrauen bei Kund:innen und vermeidet kostspielige Bußgelder. Dieser Ratgeber zeigt Ihnen, wie Sie die europäische Datenschutz-Grundverordnung erfolgreich in Ihrem Unternehmen etablieren.

    Inhaltsverzeichnis

    Was ist die DSGVO und seit wann gilt sie?Welche Unternehmen müssen die Datenschutz-Grundverordnung beachten?Die wichtigsten Artikel der DSGVO im ÜberblickBetroffenenrechte nach der europäischen Datenschutz-Grundverordnung

    Was ist die DSGVO und seit wann gilt sie?

    Die Datenschutz-Grundverordnung (DSGVO) stellt die rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union dar. Die EU-DSGVO 2016/679 wurde am 27. April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft. Seit diesem Datum ersetzt die europäische Datenschutz-Grundverordnung die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten.
    Die DSGVO harmonisiert den Datenschutz europaweit und schafft einheitliche Standards für die Verarbeitung personenbezogener Daten. Der DSGVO-Gesetzestext umfasst 99 Artikel und 173 Erwägungsgründe, die detailliert regeln, wie Unternehmen mit personenbezogenen Daten umgehen müssen.
    Das Hauptziel der EU-Datenschutz-Grundverordnung besteht darin, natürlichen Personen mehr Kontrolle über ihre persönlichen Daten zu geben. Gleichzeitig soll sie den freien und sicheren Datenverkehr innerhalb der EU fördern und Unternehmen Rechtssicherheit bieten.
    Die Umsetzung der DSGVO in Deutschland erfolgte durch das neue Bundesdatenschutzgesetz (BDSG-neu), das die europäischen Vorgaben konkretisiert und ergänzt. Unternehmen können den DSGVO-Originaltext und weitere Informationen auf der offiziellen EU-Website sowie bei „Gesetze im Internet“ einsehen.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Welche Unternehmen müssen die Datenschutz-Grundverordnung beachten?

    Die Geltung der DSGVO erstreckt sich auf alle Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten – unabhängig davon, wo das Unternehmen seinen Sitz hat. Das Marktortprinzip der EU-DSGVO sorgt dafür, dass auch Firmen außerhalb der EU die Datenschutz-Grundverordnung befolgen müssen, wenn sie Waren oder Dienstleistungen in der EU anbieten.
    Für deutsche Unternehmen gilt die DSGVO grundsätzlich ab dem ersten Mitarbeitenden. Besondere Regelungen greifen bei Unternehmen mit mehr als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – diese müssen eine:n Datenschutzbeauftragte:n bestellen.
    Die europäische Datenschutz-Grundverordnung unterscheidet zwischen verschiedenen Rollen:
    • Verantwortliche bestimmen die Zwecke und Mittel der Datenverarbeitung. Das können Unternehmen, Behörden oder andere Stellen sein, die über die Verarbeitung personenbezogener Daten entscheiden.
    • Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen. Dazu gehören beispielsweise Cloud-Anbieter, IT-Dienstleister und externe Callcenter. Es kann sich aber auch um natürliche Personen, Behörden oder Einrichtungen handeln.
    • Betroffene sind die natürlichen Personen, deren personenbezogene Daten verarbeitet werden – also Kund:innen, Website-Besucher:innen oder auch die Belegschaft Ihres Unternehmens.
    Die Datenschutz-Grundverordnung der EU gilt auch für die öffentliche Verwaltung, Vereine und andere Organisationen. Selbst kleine Handwerksbetriebe oder Einzelunternehmen müssen die DSGVO-Bestimmungen einhalten, sobald sie personenbezogene Daten verarbeiten.
    Die wichtigsten Artikel der DSGVO sind in einem Schaubild dargestellt.
    Die wichtigsten Artikel der DSGVO im Überblick

    Die wichtigsten Artikel der DSGVO im Überblick

    Der DSGVO-Text gliedert sich in verschiedene Kapitel, die unterschiedliche Aspekte des Datenschutzes regeln. Die wichtigsten Artikel der DSGVO für Unternehmen sind:
    Artikel 5 der DSGVO definiert die Grundsätze für die Verarbeitung personenbezogener Daten. Dazu gehören Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität.
    Artikel 6 der DSGVO regelt speziell die Rechtmäßigkeit der Verarbeitung. Personenbezogene Daten dürfen nur verarbeitet werden, wenn mindestens eine der sechs Rechtsgrundlagen vorliegt: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliche Aufgabe oder berechtigte Interessen.
    Artikel 7 der DSGVO konkretisiert die Bedingungen für eine Einwilligung. Diese muss freiwillig, spezifisch, informiert und unmissverständlich erfolgen. Betroffene können ihre Einwilligung jederzeit für die Zukunft widerrufen.
    Artikel 9 der DSGVO regelt den Umgang mit bestimmten personenbezogenen Daten, die nur nach ausdrücklicher Einwilligung der Betroffenen verarbeitet werden dürfen. Dazu zählen Gesundheitsdaten, biometrische Daten, politische oder religiöse Überzeugungen und eine mögliche Gewerkschaftszugehörigkeit.
    Artikel 12–22 der DSGVO definieren die Rechte der betroffenen Personen und die Pflichten der verarbeitenden Stellen, darunter das Auskunftsrecht und die Auskunftspflicht. Zudem sind hier das Recht auf Berichtigung, Löschung/Widerspruchsrecht und Datenübertragbarkeit näher spezifiziert. Hinzu kommt die Zulässigkeit automatisierter Entscheidungen im Zusammenhang mit Profiling (siehe Infokasten).
    Automatisierte Entscheidungen und Profiling: Was ist erlaubt und was nicht?

    Eine sogenannte automatisierte Entscheidung wird rein auf der automatischen Verarbeitung personenbezogener Daten getroffen. Solche Entscheidungen können gemäß Artikel 22 der DSGVO untersagt sein. Das gilt, wenn sie erhebliche Auswirkungen auf die betroffenen Personen haben und wenn keine passende Rechtsgrundlage für eine solche automatisierte Entscheidung vorliegt.

    Ein Beispiel für eine unzulässige automatisierte Entscheidung: Ein Algorithmus sortiert mögliche Kandidat:innen für eine ausgeschriebene Stelle aus dem Bewerbungsprozess aus, ohne dass eine manuelle Nachprüfung durch eine:n Recruiter:in stattfindet. Der automatisierte Versand von Bußgeldern z.B. wegen Geschwindigkeitsüberschreitungen ist hingegen erlaubt – weil es eine Rechtsgrundlage gibt.

    Artikel 25 der DSGVO fordert Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default).
    Artikel 28 der DSGVO umfasst Details zur Auftragsverarbeitung – beispielsweise, wenn ein Dienstleister im Auftrag eines Unternehmens personenbezogene Daten verarbeitet. Hierbei kommt beiden Stellen eine besondere Verantwortung zu. Deshalb muss ein Auftragsverarbeitungsvertrag (AVV) zwischen Auftraggeber und Auftragnehmer geschlossen werden. Er regelt unter anderem, welche Daten verarbeitet werden, wie lange und warum. Der Dienstleister ist zur Vertraulichkeit verpflichtet, darf nur gemäß AVV handeln und muss garantieren, dass er DSGVO-konform arbeitet.
    Artikel 32 der DSGVO verpflichtet zu angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.
    Artikel 35 der DSGVO regelt die Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungsvorgängen.
    Diese und weitere Artikel der DSGVO bilden das Fundament für eine rechtskonforme Datenverarbeitung und sollten bei der Digitalisierung von Geschäftsprozessen stets berücksichtigt werden.
    Junge Frau am Laptop nutzt Cloud-Services

    Whitepaper: Cloud Security

    Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

    • Veränderte Sicherheitsarchitekturen
    • Neue Verantwortlichkeiten
    • Studien, Insights und Praxisbeispiele
    • Zero Trust & Co. als Sicherheitsmodelle
    Jetzt downloaden

    Betroffenenrechte nach der europäischen Datenschutz-Grundverordnung

    Die EU-Datenschutz-Grundverordnung stärkt die Rechte natürlicher Personen erheblich. Unternehmen müssen diese Betroffenenrechte respektieren und entsprechende Prozesse etablieren. Die wichtigsten Betroffenenrechte sind:
    Informationspflicht (Art. 13–14 DSGVO): Betroffene müssen transparent über die Datenverarbeitung informiert werden. Dazu gehören Zweck, Rechtsgrundlage, Speicherdauer und Empfänger der Daten.
    Auskunftsrecht (Art. 15 DSGVO): Personen können jederzeit Auskunft darüber verlangen, welche Daten über sie gespeichert sind und wie diese verarbeitet werden.
    Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige personenbezogene Daten müssen unverzüglich korrigiert oder vervollständigt werden, sofern betroffene Personen dies verlangen.
    Recht auf Löschung (Art. 17 DSGVO): Das „Recht auf Vergessenwerden“ ermöglicht die Löschung personenbezogener Daten unter bestimmten Voraussetzungen.
    Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Betroffene können die Verarbeitung ihrer Daten unter bestimmten Umständen einschränken lassen.
    Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Personen können ihre Daten in einem strukturierten, gängigen Format erhalten und an andere Anbieter übertragen.
    Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Verarbeitung ihrer Daten für die Zukunft widersprechen, insbesondere bei Direktwerbung.
    Unternehmen müssen auf Anfragen binnen eines Monats reagieren und geeignete Verfahren zur Bearbeitung von Betroffenenrechten etablieren. Die Digitalisierung kann hier helfen: Automatisierte Systeme können Auskunftsersuchen effizient bearbeiten und die Einhaltung der Fristen sicherstellen.

    Technische und organisatorische Maßnahmen nach der DSGVO

    Die Datenschutz-Grundverordnung verpflichtet Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen (TOM). Diese sollen die Sicherheit der Verarbeitung gewährleisten und die Rechte der Betroffenen schützen.

    Technische Maßnahmen

    • Verschlüsselung sensibler Daten sowohl bei der Übertragung als auch bei der Speicherung. Moderne 256-Bit-Verschlüsselung gilt heute als Standard und bietet deutlich mehr Sicherheit als frühere 128-Bit-Verfahren.
    • Zugangskontrollen stellen sicher, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können. Multi-Faktor-Authentifizierung erhöht die Sicherheit zusätzlich.
    • Regelmäßige Back-ups schützen vor Datenverlust und ermöglichen die schnelle Wiederherstellung nach Sicherheitsvorfällen.
    • Firewalls und Intrusion-Detection-Systeme schützen vor unbefugten Zugriffen von außen.

    Organisatorische Maßnahmen

    • Datenschutzrichtlinien und Arbeitsanweisungen für Mitarbeitende schaffen klare Regeln im Umgang mit personenbezogenen Daten.
    • Regelmäßige Schulungen sensibilisieren das Personal für Datenschutzthemen und aktuelle Bedrohungen.
    • Verfahrensverzeichnisse dokumentieren alle Verarbeitungstätigkeiten systematisch.
    • Incident-Response-Pläne regeln das Vorgehen bei Datenschutzverletzungen.
    Die Cloud-Technologie kann bei der Umsetzung der TOM unterstützen: Professionelle Cloud-Anbieter ermöglichen oft höhere Sicherheitsstandards als lokale IT-Infrastrukturen und übernehmen die Wartung und Aktualisierung der Systeme.
    Mann steht inmitten einer Server-Racklandschaft in einem Rechenzentrum

    Vodafone Total Cloud Professional Services

    Wir beraten Sie in jeder Phase Ihres Cloud-Projekts und erarbeiten mit Ihnen, welche IT-Ressourcen Sie haben – und welche Sie brauchen. Zusammen entwerfen wir in unserer Roadmap das Design und den Aufbau Ihrer optimalen IT-Landschaft.

    • Effiziente Beratung auf den Punkt
    • Alles aus einer Hand
    Jetzt informieren

    Datenschutz-Folgenabschätzung und Meldepflichten

    Bei risikoreichen Verarbeitungsvorgängen schreibt die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) vor. Diese systematische Bewertung hilft dabei, Datenschutzrisiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu entwickeln.

    Eine DSFA ist erforderlich bei:

    • Systematischer und umfassender Bewertung persönlicher Aspekte durch automatisierte Verarbeitung
    • Umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten
    • Systematischer Überwachung öffentlich zugänglicher Bereiche
    Die Datenschutz-Folgenabschätzung umfasst eine Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie eine Risikoanalyse für die Rechte und Freiheiten der Betroffenen.

    Meldepflichten bei Datenpannen

    Die EU-DSGVO verpflichtet zur Meldung von Datenschutzverletzungen. Verstöße müssen binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.
    Bei hohem Risiko müssen auch die Betroffenen selbst unverzüglich informiert werden. Ein hohes Risiko liegt vor, wenn den betroffenen Personen erhebliche Beeinträchtigungen und Konsequenzen drohen – etwa, wenn Unbefugte Zugriff auf Bankverbindungen von Kund:innen erlangt haben.
    Die Meldung muss folgende Informationen enthalten:
    • Art der Datenschutzverletzung
    • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
    • Wahrscheinliche Folgen der Datenschutzverletzung
    • Ergriffene oder vorgeschlagene Maßnahmen
    Moderne IT-Systeme können bei der Einhaltung der Meldepflichten unterstützen: Automatische Monitoring-Tools erkennen Sicherheitsvorfälle frühzeitig und ermöglichen eine schnelle Reaktion.

    Bußgelder und Sanktionen bei DSGVO-Verstößen

    Die Datenschutz-Grundverordnung sieht empfindliche Bußgelder für Verstöße vor. Die Aufsichtsbehörden können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist.
    Hierbei werden zwei Kategorien von Verstößen unterschieden:
    1. Weniger schwerwiegende Verstöße gegen technische und organisatorische Maßnahmen, Meldepflichten oder Zusammenarbeit mit Aufsichtsbehörden können mit bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden.
    2. Verstöße gegen Grundsätze der Verarbeitung, Betroffenenrechte oder internationale Datenübermittlungen können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes nach sich ziehen.
    Die Aufsichtsbehörden berücksichtigen dabei verschiedene Faktoren:
    • Art, Schwere und Dauer des Verstoßes
    • Vorsätzliches oder fahrlässiges Handeln
    • Maßnahmen zur Minderung des Schadens
    • Grad der Verantwortung des Unternehmens
    • Frühere Verstöße
    • Kooperationsbereitschaft mit der Aufsichtsbehörde
    • Betroffene Kategorien personenbezogener Daten
    Eine proaktive DSGVO-Compliance kann Bußgelder vermeiden und das Vertrauen von Kund:innen und Partnerunternehmen stärken. Investitionen in den Datenschutz zahlen sich langfristig aus und können sogar Wettbewerbsvorteile schaffen.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    DSGVO-konforme Digitalisierung in der Praxis

    Die Digitalisierung von Geschäftsprozessen bietet Unternehmen große Chancen – sie muss jedoch DSGVO-konform erfolgen. Hier sind praktische Ansätze für verschiedene Bereiche:
    Cloud-Services und SaaS-Lösungen
    Bei der Auswahl von Cloud-Anbietern sollten Sie auf EU-Standorte und entsprechende Zertifizierungen achten – wie ISO 27701 und 27018 (basierend auf der übergreifenden Norm ISO 27001) oder BSI C5. Auftragsverarbeitungsverträge (AVV) regeln die datenschutzkonforme Zusammenarbeit mit externen Dienstleistern.
    Customer Relationship Management (CRM)
    CRM-Systeme verarbeiten umfangreiche Kundendaten. Achten Sie auf Einwilligungsverwaltung, Auskunftsfunktionen und Löschroutinen. Die Datenminimierung sollte bereits bei der Systemkonfiguration berücksichtigt werden.
    E-Mail-Marketing und Newsletter
    Double-Opt-in-Verfahren stellen sicher, dass Einwilligungen rechtswirksam sind. Einfache Abmeldemöglichkeiten und transparente Datenschutzerklärungen sind Pflicht.
    Website-Analytics und Tracking
    Cookie-Banner müssen echte Wahlmöglichkeiten bieten. Wichtig ist außerdem die Anonymisierung oder Pseudonymisierung von Nutzerdaten, denn sie reduziert Datenschutzrisiken. Eine Alternative sind Cookieless Tracking-Methoden, die immer mehr an Bedeutung gewinnen. Dazu zählen sogenannte eTags, Fingerprinting und das Tracking über Nutzeraccounts – für all diese Vorgehen sind in der Regel aber auch Einwilligungen der Nutzer:innen notwendig.
    Personal-Apps und HR-Software
    Bei der Digitalisierung von Personalprozessen müssen die Rechte der Mitarbeitenden besonders geschützt werden. Transparenz über Datenverwendung und Zweckbindung sind essenziell.
    Internet of Things (IoT) und Smart Devices
    IoT-Geräte sammeln oft umfangreiche Daten. Deshalb sollten Sie Privacy by Design bereits bei der Geräteauswahl berücksichtigen. Regelmäßige Updates und sichere Datenübertragung sind wichtig.
    Für alle Bereiche gilt:
    Die DSGVO-konforme Digitalisierung erfordert eine enge Zusammenarbeit zwischen IT, Datenschutz und Fachabteilungen. Frühzeitige Beratung und kontinuierliche Überprüfung der Prozesse helfen dabei, Compliance sicherzustellen und gleichzeitig die Vorteile der Digitalisierung zu nutzen.

    Das Wichtigste zur DSGVO in Kürze

    • Die Datenschutz-Grundverordnung gilt seit Mai 2018 EU-weit und harmonisiert den Datenschutz für alle Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten.
    • Sechs Rechtsgrundlagen legitimieren die Datenverarbeitung: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliche Aufgabe oder berechtigte Interessen.
    • Betroffene haben umfassende Rechte wie Datenauskunft, -berichtigung, -löschung und -übertragbarkeit – Unternehmen müssen binnen eines Monats auf Anfragen reagieren.
    • Technische und organisatorische Maßnahmen wie Verschlüsselung, Zugangskontrollen und Mitarbeiterschulungen sind verpflichtend und schützen vor Datenschutzverletzungen.
    • Datenschutzverletzungen müssen binnen 72 Stunden der Aufsichtsbehörde gemeldet werden – bei hohem Risiko sind auch die Betroffenen zu informieren.
    • Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – proaktive Compliance schützt vor Sanktionen.
    • Die DSGVO-konforme Digitalisierung erfordert Privacy by Design, sorgfältige Anbieterauswahl und kontinuierliche Überprüfung der Datenschutzmaßnahmen.
    Vodafone-LogoV-Hub Redaktion
    25.11.2025
      # Tags:SicherheitDigitalTippsBusiness Basics
      Das könnte Sie auch interessieren:
      Security

      SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

      Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren