Wann müssen Betroffene über eine Datenpanne informiert werden?

Artikel 34 verpflichtet Verantwortliche, betroffene Personen unverzüglich zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt. Die Benachrichtigung muss in klarer und verständlicher Sprache erfolgen.

Was muss ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO Artikel 28 enthalten?

Artikel 28 schreibt vor, dass AVVs mindestens enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Arten personenbezogener Daten, Kategorien betroffener Personen und Pflichten des Auftragsverarbeiters (Verarbeitung nur auf dokumentierte Weisung, Vertraulichkeit, Sicherheitsmaßnahmen, Unterstützung bei Meldepflichten, Löschung nach Auftragsende und Ermöglichung von Audits).

Welche Strafen drohen bei DSGVO-Verstößen?

DSGVO-Verstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen, je nachdem welcher Betrag höher ist. Allein 2025 wurden über 1,1 Milliarden Euro Bußgelder verhängt, darunter TikTok (530 Mio. Euro) und Meta (479 Mio. Euro). Betroffene Personen haben zudem Anspruch auf Schadenersatz.

Wie hilft ein Trust Center bei der DSGVO-Konformität?

Ein Trust Center erfüllt eine Doppelrolle: Als Verantwortlicher bietet es einen strukturierten Rahmen zur Bewertung und Überwachung der eigenen Auftragsverarbeiter. Als Auftragsverarbeiter demonstriert es die eigene Compliance-Position gegenüber Kunden mit öffentlicher Unterauftragnehmer-Liste, AVV-Hosting und transparenten technischen und organisatorischen Maßnahmen.

DSGVO-Compliance: Vollständiger Leitfaden für 2026 (Artikel 28, 32, 33, 34)

Published 18. März 2026

By Anna Bley

DSGVO-Compliance: Vollständiger Leitfaden für 2026 (Artikel 28, 32, 33, 34)

Q: Was ist DSGVO-Compliance?

DSGVO-Compliance bedeutet, dass eine Organisation personenbezogene Daten von EU/EWR-Bürgern gemäß der Verordnung (EU) 2016/679 verarbeitet. Dazu gehören: eine rechtliche Grundlage für jede Verarbeitungstätigkeit, geeignete technisch-organisatorische Maßnahmen, die Wahrung von Betroffenenrechten, das Führen von Verarbeitungsverzeichnissen sowie die Meldung von Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde.

Q: Wer muss die DSGVO einhalten?

Jede Organisation, die personenbezogene Daten von Personen in der EU oder im EWR verarbeitet, muss die DSGVO einhalten — unabhängig davon, wo das Unternehmen selbst ansässig ist. Dies gilt auch für außereuropäische Unternehmen, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. B2B-SaaS-Unternehmen sind in der Regel gleichzeitig Verantwortliche (für eigene Kundendaten) und Auftragsverarbeiter (für Daten, die Kunden über die Plattform speichern).

Q: Was ist die 72-Stunden-Meldepflicht bei Datenpannen nach DSGVO?

DSGVO Artikel 33 verpflichtet Verantwortliche, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen.

DSGVO-Compliance 2026: Checkliste, Anforderungen aus Art. 28/32/33/34, aktuelle Bußgelder (über 7,1 Mrd. Euro), und wie Sie Compliance als Verantwortlicher und Auftragsverarbeiter nachweisen.

DSGVO

GDPR

Datenschutz

Compliance

DSGVO-Compliance: Vollständiger Leitfaden für 2026

Die Datenschutz-Grundverordnung (EU) 2016/679 gilt seit dem 25. Mai 2018. Die kumulierten Bußgelder überschreiten inzwischen 7 Milliarden Euro — allein 2025 wurden über 1,1 Milliarden Euro verhängt (374 Einzelentscheidungen). Für B2B-Unternehmen, die in der EU tätig sind, ist DSGVO-Compliance keine Option: Die Verordnung regelt, wie Sie personenbezogene Daten von EU- und EWR-Bürgern erheben, verarbeiten, speichern und schützen.

Dieser Leitfaden deckt alles ab: Wer muss die DSGVO einhalten, die Compliance-Checkliste für 2026, die zentralen Pflichten aus den Artikeln 28, 32, 33 und 34, die Konsequenzen bei Verstößen und wie Sie Compliance gegenüber Kunden und Behörden nachweisen.

Sprungmarken:

Wer muss die DSGVO einhalten?
DSGVO-Compliance-Checkliste für 2026
Artikel 32: Sicherheit der Verarbeitung
Artikel 33 und 34: Meldung von Datenschutzverletzungen
Artikel 28: Auftragsverarbeitungsverträge
DSGVO-Bußgelder und Durchsetzung 2025–2026
DSGVO-Compliance-Software
ISMS und Trust Center: Zwei Seiten derselben Medaille

Was ist DSGVO-Compliance?

DSGVO-Compliance bedeutet, dass Ihre Organisation personenbezogene Daten von EU/EWR-Bürgern gemäß der Verordnung (EU) 2016/679 — der Datenschutz-Grundverordnung — verarbeitet. Die Verordnung gilt, sobald personenbezogene Daten (alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen) erhoben, gespeichert, genutzt oder übermittelt werden.

Compliance beruht auf vier Säulen:

Rechtmäßigkeit: Jede Verarbeitungstätigkeit erfordert eine Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen nach Artikel 6)
Transparenz: Betroffene Personen müssen wissen, welche Daten zu welchem Zweck und wie lange verarbeitet werden (Artikel 12–14)
Sicherheit: Geeignete technische und organisatorische Maßnahmen schützen personenbezogene Daten (Artikel 32)
Rechenschaftspflicht: Organisationen müssen ihre Compliance jederzeit nachweisen können (Artikel 5 Abs. 2)

Für B2B-SaaS- und Technologieunternehmen ist Compliance besonders komplex, da die meisten Unternehmen gleichzeitig zwei Rollen einnehmen: Verantwortlicher (für eigene Kundendaten) und Auftragsverarbeiter (für Daten, die Kunden über Ihre Plattform bereitstellen). Jede Rolle bringt spezifische Pflichten mit sich.

Wer muss die DSGVO einhalten?

Die DSGVO gilt für jede Organisation, die:

In der EU oder dem EWR ansässig ist, unabhängig davon, wo die Daten verarbeitet werden
Außerhalb der EU ansässig ist, aber EU/EWR-Bürgern Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet (das „Marktortprinzip" nach Artikel 3 Abs. 2)

Es gibt keine Mindestgröße. Ein Fünf-Personen-SaaS-Startup mit EU-Kunden muss die DSGVO einhalten. Ein US-Unternehmen, das einen einzigen EU-Kunden bedient, muss sie einhalten.

Die konkreten Pflichten hängen von Ihrer Rolle ab:

Rolle	Definition	Wesentliche Pflichten
Verantwortlicher	Bestimmt Zweck und Mittel der Verarbeitung	Rechtsgrundlage, Datenschutzhinweise, Betroffenenrechte, AVV mit Auftragsverarbeitern, Datenschutz-Folgenabschätzungen
Auftragsverarbeiter	Verarbeitet Daten im Auftrag eines Verantwortlichen	AVV mit dem Verantwortlichen, Sicherheitsmaßnahmen, Meldung von Verletzungen an den Verantwortlichen, Regelungen zur Unterauftragsverarbeitung
Beides	Die meisten B2B-SaaS-Unternehmen	Alle oben genannten Pflichten in beide Richtungen

DSGVO-Compliance-Checkliste für 2026

Aufsichtsbehörden erwarten 2026 nachweisbare, operative Compliance — nicht nur Richtlinien. Folgendes muss vorhanden sein:

1. Datenerfassung und Verzeichnis der Verarbeitungstätigkeiten (Artikel 30)

Führen Sie ein vollständiges Inventar aller Verarbeitungstätigkeiten: welche Daten erhoben werden, von wem, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange und an welche Auftragsverarbeiter. Artikel 30 macht das Verzeichnis der Verarbeitungstätigkeiten (VVT) für die meisten Organisationen verpflichtend.

2. Rechtsgrundlage für jede Verarbeitungstätigkeit (Artikel 6)

Dokumentieren Sie die Rechtsgrundlage für jede Verarbeitungstätigkeit vor deren Beginn. Eine Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein — und jederzeit widerrufbar. Bei berechtigten Interessen ist eine Interessenabwägung erforderlich. Verarbeitung ohne dokumentierte Rechtsgrundlage kann die obere Bußgeldstufe auslösen.

3. Datenschutzhinweise (Artikel 12–14)

Stellen Sie betroffenen Personen bei der Datenerhebung klare, verständliche Informationen bereit. Die koordinierte Durchsetzungsmaßnahme des EDSA für 2026 konzentriert sich gezielt auf die Transparenzpflichten nach Artikel 12–14, was diese zum Schwerpunkt der Aufsichtsbehörden in allen EU-Mitgliedstaaten macht.

4. Mechanismen zur Wahrung von Betroffenenrechten (Artikel 15–22)

Implementieren Sie Prozesse zur Beantwortung von Auskunftsersuchen (Artikel 15), Berichtigung (Artikel 16), Löschung (Artikel 17), Einschränkung (Artikel 18), Datenübertragbarkeit (Artikel 20) und Widerspruch (Artikel 21) innerhalb eines Monats. Die koordinierte Durchsetzungsmaßnahme des EDSA 2025 fokussierte auf das Recht auf Löschung — Organisationen ohne funktionierende Löschworkflows wurden sanktioniert.

5. Auftragsverarbeitungsverträge mit allen Dienstleistern (Artikel 28)

Jeder Drittanbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, erfordert einen unterzeichneten AVV. Dazu gehören Cloud-Anbieter, Analysetools, CRM-Plattformen, Zahlungsdienstleister und alle Unterauftragnehmer. Siehe Anforderungen aus Artikel 28 im Detail weiter unten.

6. Technisch-organisatorische Maßnahmen (Artikel 32)

Implementieren Sie Verschlüsselung, Pseudonymisierung, Zugangskontrolle, Mehrfaktor-Authentifizierung und regelmäßige Sicherheitstests. Dokumentieren Sie diese Maßnahmen als Technisch-Organisatorische Maßnahmen (TOMs). Siehe Anforderungen aus Artikel 32 weiter unten.

7. Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen (Artikel 35)

Führen Sie vor Beginn jeder Verarbeitung, die „voraussichtlich ein hohes Risiko" für Betroffene zur Folge hat, eine DSFA durch. Risikokategorien umfassen die umfangreiche Verarbeitung besonderer Kategorien, systematisches Profiling und neue Technologien. DFSAs müssen Risiken identifizieren und die Maßnahmen zur Risikominderung dokumentieren.

8. Bestellung eines Datenschutzbeauftragten (Artikel 37)

Bestellen Sie einen DSB, wenn Ihre Kerntätigkeit die umfangreiche, regelmäßige und systematische Überwachung von Personen oder die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst. Öffentliche Stellen müssen stets einen DSB bestellen.

9. Prozesse zur Erkennung und Meldung von Datenschutzverletzungen (Artikel 33–34)

Halten Sie einen erprobten Incident-Response-Prozess bereit, der Verletzungen schnell erkennt, das Risikoniveau bewertet und die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt. Siehe Artikel 33–34 im Detail weiter unten.

10. Schutzmaßnahmen für internationale Datentransfers (Artikel 44–49)

Personenbezogene Daten dürfen nur in Länder mit einem Angemessenheitsbeschluss oder unter geeigneten Garantien (Standarddatenschutzklauseln, verbindliche unternehmensinterne Vorschriften) übermittelt werden. Nach dem TikTok-Bußgeld von 530 Millionen Euro im Mai 2025 für rechtswidrige Datenübermittlungen nach China prüfen Aufsichtsbehörden grenzüberschreitende Datenströme aktiv.

Wo ein ISMS beiträgt — und wo die DSGVO weitergeht

Ein gutes Informationssicherheits-Managementsystem (ISMS) liefert die von der DSGVO geforderte Struktur für technische und organisatorische Maßnahmen. Die DSGVO stellt jedoch zwei zusätzliche Anforderungsebenen auf, die ein ISMS als internes Governance-System allein nicht abbilden kann:

Operative Meldepflichten nach Artikeln 33 und 34 — mit engen externen Fristen
Verbindliche Pflichten im Auftragsverarbeitungsverhältnis nach Artikel 28 — vertraglich, fortlaufend und prüfbar

Artikel 32: Sicherheit der Verarbeitung

Artikel 32 fordert „geeignete technische und organisatorische Maßnahmen", die ein dem Risiko angemessenes Schutzniveau gewährleisten. Relevante Maßnahmen umfassen:

Pseudonymisierung und Verschlüsselung personenbezogener Daten
Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen
Fähigkeit, bei physischen oder technischen Zwischenfällen Verfügbarkeit und Zugang rasch wiederherzustellen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind — „insbesondere durch — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten".

Ein ISMS unterstützt Artikel 32. Doch die Artikel 28, 33 und 34 stellen Anforderungen mit Schnittstellen-Charakter, die ein ISMS als interne Lösung nicht abbilden kann.

Artikel 33 und 34: Meldung von Datenschutzverletzungen

Die DSGVO führt ein zweistufiges Melderegime für Verletzungen des Schutzes personenbezogener Daten ein.

Meldung an die Aufsichtsbehörde (Artikel 33)

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Erfolgt die Meldung nicht binnen 72 Stunden, ist eine Begründung für die Verzögerung beizufügen.

Inhalt der Meldung nach Artikel 33 Abs. 3:

Element	Beschreibung
Art der Verletzung	Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze
Kontaktdaten	Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
Wahrscheinliche Folgen	Beschreibung der wahrscheinlichen Folgen der Verletzung
Ergriffene Maßnahmen	Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung

Artikel 33 Abs. 4 erlaubt ausdrücklich eine phasenweise Meldung: Wenn nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, dürfen sie ohne unangemessene weitere Verzögerung schrittweise nachgeliefert werden.

Pflicht des Auftragsverarbeiters: Nach Artikel 33 Abs. 2 muss der Auftragsverarbeiter eine ihm bekannt gewordene Verletzung unverzüglich dem Verantwortlichen melden. Die DSGVO nennt hier keine konkrete Frist — die EDPB-Leitlinien empfehlen jedoch eine Meldung so schnell wie möglich, um dem Verantwortlichen die Einhaltung der 72-Stunden-Frist zu ermöglichen.

Dokumentationspflicht: Nach Artikel 33 Abs. 5 muss der Verantwortliche alle Verletzungen dokumentieren — einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen. Die Zahl der täglichen Datenpannen-Meldungen in der EU überschritt 2025 erstmals die Marke von 400 pro Tag.

Benachrichtigung der Betroffenen (Artikel 34)

Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche die betroffenen Personen unverzüglich benachrichtigen.

Die Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung beschreiben und mindestens folgende Informationen enthalten:

Name und Kontaktdaten des Datenschutzbeauftragten
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung

Ausnahmen von der Benachrichtigungspflicht (Artikel 34 Abs. 3):

Ausnahme	Erläuterung
Technische Schutzmaßnahmen	Der Verantwortliche hat geeignete Maßnahmen getroffen (z.B. Verschlüsselung), die die Daten für Unbefugte unzugänglich machen
Nachträgliche Maßnahmen	Nachträglich ergriffene Maßnahmen stellen sicher, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht
Unverhältnismäßiger Aufwand	In diesem Fall erfolgt stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme

Die Aufsichtsbehörde kann nach Artikel 34 Abs. 4 vom Verantwortlichen verlangen, die Betroffenen zu benachrichtigen, wenn sie der Ansicht ist, dass ein hohes Risiko besteht.

Artikel 28: Auftragsverarbeitungsverträge

Die DSGVO etabliert verbindliche Anforderungen für die Zusammenarbeit mit Auftragsverarbeitern.

Auswahl des Auftragsverarbeiters (Artikel 28 Abs. 1)

Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet".

Diese Formulierung begründet eine Sorgfaltspflicht bei der Auswahl — nicht nur bei Vertragsschluss, sondern fortlaufend.

Vertragliche Anforderungen (Artikel 28 Abs. 3)

Die Verarbeitung durch einen Auftragsverarbeiter muss auf Grundlage eines Vertrags oder anderen Rechtsinstruments erfolgen, das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.

Mindestinhalte des Auftragsverarbeitungsvertrags:

Anforderung	Rechtsgrundlage
Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen	Art. 28 Abs. 3 lit. a
Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen	Art. 28 Abs. 3 lit. b
Ergreifung aller gemäß Artikel 32 erforderlichen Maßnahmen	Art. 28 Abs. 3 lit. c
Bedingungen für Unterauftragsverarbeiter einhalten	Art. 28 Abs. 3 lit. d
Unterstützung bei Betroffenenrechten	Art. 28 Abs. 3 lit. e
Unterstützung bei Pflichten aus Artikel 32–36 (Sicherheit, Meldungen, Datenschutz-Folgenabschätzung)	Art. 28 Abs. 3 lit. f
Löschung oder Rückgabe der Daten nach Vertragsende	Art. 28 Abs. 3 lit. g
Zurverfügungstellung aller Informationen zum Nachweis der Einhaltung, Ermöglichung von Überprüfungen und Inspektionen	Art. 28 Abs. 3 lit. h

Unterauftragsverarbeitung (Artikel 28 Abs. 2 und 4)

Der Auftragsverarbeiter darf ohne vorherige schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuziehen.

Bei allgemeiner schriftlicher Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung informieren und ihm die Möglichkeit geben, Einspruch zu erheben.

Wird ein weiterer Auftragsverarbeiter hinzugezogen, müssen ihm dieselben Datenschutzpflichten auferlegt werden. Der ursprüngliche Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung durch den Unterauftragsverarbeiter.

Nachweis der Compliance (Artikel 28 Abs. 5)

Die Einhaltung genehmigter Verhaltensregeln (Artikel 40) oder eines genehmigten Zertifizierungsverfahrens (Artikel 42) kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen.

Warum die Sorgfaltspflicht kein einmaliger Vorgang ist

Die DSGVO spricht von der Auswahl eines geeigneten Auftragsverarbeiters — aber die Pflichten des Verantwortlichen enden nicht mit Vertragsschluss:

Artikel 28 Abs. 3 lit. h verpflichtet den Auftragsverarbeiter, alle erforderlichen Informationen bereitzustellen und Überprüfungen zu ermöglichen
Artikel 32 Abs. 1 lit. d verlangt ein Verfahren zur „regelmäßigen Überprüfung, Bewertung und Evaluierung" der Wirksamkeit der Maßnahmen
Rechenschaftspflicht nach Artikel 5 Abs. 2 verlangt, dass der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen kann

In der Praxis bedeutet das: Wer einen Auftragsverarbeiter einmal beauftragt und dann nicht mehr prüft, kann im Schadensfall seine Sorgfaltspflicht nur schwer nachweisen. Die initiale Due Diligence wird zur wiederkehrenden Notwendigkeit.

Sanktionen (Artikel 83)

Die DSGVO sieht ein zweistufiges Bußgeldsystem vor:

Verstoß	Bußgeld	Rechtsgrundlage
Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 8, 11, 25–39, 42, 43)	Bis 10 Mio. Euro oder 2% Jahresumsatz	Art. 83 Abs. 4
Grundsätze der Verarbeitung, Betroffenenrechte, Übermittlung in Drittländer (Art. 5–7, 9, 12–22, 44–49)	Bis 20 Mio. Euro oder 4% Jahresumsatz	Art. 83 Abs. 5
Nichtbefolgung einer Anweisung der Aufsichtsbehörde	Bis 20 Mio. Euro oder 4% Jahresumsatz	Art. 83 Abs. 6

Maßgeblich ist jeweils der höhere Betrag.

Relevanz für Auftragsverarbeitung und Meldepflichten:

Verstöße gegen Artikel 28 (Auftragsverarbeitung) und Artikel 32 (Sicherheit) fallen unter die untere Stufe (bis 10 Mio. Euro / 2%)
Verstöße gegen Artikel 33 (Meldung an Behörde) und Artikel 34 (Benachrichtigung Betroffener) fallen ebenfalls unter die untere Stufe
Die Nichtmeldung kann jedoch zusätzlich als Verstoß gegen Artikel 5 (Rechenschaftspflicht) gewertet werden — was die obere Stufe auslösen kann

Bei der Festsetzung der Bußgelder werden nach Artikel 83 Abs. 2 unter anderem berücksichtigt: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Maßnahmen zur Schadensbegrenzung, frühere Verstöße und die Zusammenarbeit mit der Aufsichtsbehörde.

DSGVO-Bußgelder und Durchsetzung 2025–2026

Die DSGVO-Durchsetzung hat sich deutlich beschleunigt. Die kumulierten Bußgelder seit Mai 2018 überschreiten 7 Milliarden Euro, allein 2025 wurden über 1,1 Milliarden Euro verhängt (374 Einzelentscheidungen) — und die täglichen Datenpannen-Meldungen überschritten erstmals die Marke von 400 pro Tag.

Bedeutende Durchsetzungsmaßnahmen in 2025

TikTok — 530 Millionen Euro (Mai 2025) Die irische Datenschutzbehörde (DPC) verhängte ein Bußgeld von 530 Millionen Euro gegen TikTok wegen rechtswidriger Übermittlung personenbezogener Daten von EU/EWR-Nutzern auf Server in China, unter Verstoß gegen Kapitel V der DSGVO. Ingenieure in China konnten routinemäßig auf sensible Daten von EU-Bürgern zugreifen, und TikTok versäumte es, angemessene Risikoabschätzungen hinsichtlich chinesischer Gesetze zur staatlichen Überwachung durchzuführen.

Meta — 479 Millionen Euro (2025) Ein Madrider Gericht stellte fest, dass Meta Nutzerdaten rechtswidrig verarbeitet und sich dadurch einen unlauteren Vorteil im Online-Werbemarkt verschafft hatte.

Vodafone Deutschland — 45 Millionen Euro (2025) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte zwei Bußgelder: 15 Millionen Euro für unzureichende interne Datenschutzkontrollen und 30 Millionen Euro für Sicherheitsmängel im Umgang mit Kundendaten über Kundenportale und Hotlines.

Durchsetzungsschwerpunkt 2026: Transparenz (Artikel 12–14)

Nach der koordinierten Durchsetzungsmaßnahme des EDSA 2025 zum Recht auf Löschung (Artikel 17) kündigte der EDSA am 14. Oktober 2025 an, dass die koordinierte Durchsetzungsmaßnahme 2026 die Transparenz- und Informationspflichten nach Artikel 12 bis 14 DSGVO in den Fokus nehmen wird. Organisationen ohne klare, vollständige und zugängliche Datenschutzhinweise stehen 2026 im Fokus der Aufsichtsbehörden.

Die Durchsetzung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden (LfDI) in Deutschland ist proaktiver geworden — Unternehmen des deutschen Mittelstands sind zunehmend von Prüfungen und Anfragen betroffen.

DSGVO-Compliance-Software: Worauf es ankommt

Die Komplexität der DSGVO-Compliance — von Datenmapping über Einwilligungsmanagement, AVV-Verwaltung und Meldepflichten bis zur kontinuierlichen Evidenzsammlung — hat einen ausgereiften Markt für Compliance-Software entstehen lassen. Für Unternehmen, die gleichzeitig DSGVO, NIS2 und DORA einhalten müssen, bietet unser EU-Compliance-Software-Kaufleitfaden einen strukturierten Vergleichsrahmen. Zentrale Funktionen im Überblick:

Funktion	Warum sie wichtig ist
Datenmapping / VVT-Automatisierung	Das manuelle Führen von Verzeichnissen nach Artikel 30 ist fehleranfällig
AVV- und Auftragsverarbeiter-Management	Artikel 28 erfordert die kontinuierliche Überwachung von Auftragsverarbeitern, nicht nur beim Vertragsschluss
Einwilligungsmanagement	Einwilligungsprotokolle müssen prüfbar sein; Cookie-Flows dürfen keine Dark Patterns verwenden
Meldeworkflows für Datenpannen	Die 72-Stunden-Frist erfordert vorgefertigte Benachrichtigungsvorlagen und Eskalationspfade
Kontinuierliche Evidenzsammlung	Die Rechenschaftspflicht nach Artikel 5 Abs. 2 erfordert jederzeit verfügbare Nachweise, keine Momentaufnahmen
Datenschutz-Management für Betroffenenrechte	DSAR-Workflows müssen innerhalb eines Monats beantwortet werden
Nachverfolgung grenzüberschreitender Transfers	Nach dem TikTok-Verfahren müssen Transfer Impact Assessments regelmäßig überprüft werden

Orbiq's Trust Center adressiert die spezifische Herausforderung, DSGVO-Compliance nach außen nachzuweisen — gegenüber Kunden, Interessenten und Prüfern — durch eine zentrale, stets aktuelle Dokumentationsplattform.

ISMS und Trust Center: Zwei Seiten derselben Medaille

Die Anforderungen der DSGVO lassen sich nicht mit einem einzigen System erfüllen. Governance braucht Struktur — dafür ist ein ISMS unverzichtbar. Doch die Artikel 28, 33 und 34 verlangen darüber hinaus operative Fähigkeiten:

Meldung von Datenschutzverletzungen innerhalb von 72 Stunden — an Aufsichtsbehörden und ggf. Betroffene
Dokumentation aller Verletzungen — auch derjenigen, die nicht meldepflichtig sind
Strukturierte Prüfung und Überwachung von Auftragsverarbeitern
Nachweisbare Sorgfalt bei der Auswahl und fortlaufenden Kontrolle von Dienstleistern

Die zwei Richtungen eines Trust Centers

Ein Trust Center unterstützt nicht nur die eingehende Prüfung eigener Dienstleister — es löst auch ein praktisches Problem auf der ausgehenden Seite: Wer selbst als Auftragsverarbeiter tätig ist, muss seinen Kunden die in Artikel 28 Abs. 3 lit. h geforderten Informationen bereitstellen.

In der Praxis bedeutet das: Jeder potenzielle oder bestehende Kunde kann — und wird — Nachweise verlangen. Ein Trust Center bündelt diese Dokumentation an einem professionellen Ort:

Dokument	Zweck	DSGVO-Bezug
Auftragsverarbeitungsvertrag (AVV)	Standardvertrag zur Unterzeichnung	Art. 28 Abs. 3
Technisch-organisatorische Maßnahmen (TOMs)	Nachweis der Sicherheitsmaßnahmen	Art. 32
Liste der Unterauftragsverarbeiter	Transparenz über Sub-Processors	Art. 28 Abs. 2
Zertifizierungen (ISO 27001, SOC 2)	Nachweis hinreichender Garantien	Art. 28 Abs. 5, Art. 42
Audit-Berichte und Penetrationstest-Zusammenfassungen	Unabhängige Prüfung der Maßnahmen	Art. 28 Abs. 3 lit. h
Sicherheitsrichtlinien	Dokumentation interner Prozesse	Art. 32
Verzeichnis von Verarbeitungstätigkeiten	Überblick über Datenverarbeitung	Art. 30
Datenschutz-Folgenabschätzungen (bei Bedarf)	Risikobewertung für kritische Verarbeitungen	Art. 35

Ohne ein Trust Center läuft diese Kommunikation über E-Mail, individuelle Anfragen und manuelle Prozesse — zeitaufwendig, fehleranfällig und schwer zu skalieren. Mit einem Trust Center wird aus reaktiver Dokumentensuche ein proaktiver Nachweis der eigenen Compliance. Lesen Sie auch unseren Leitfaden zur kontinuierlichen Überwachung für die Aufrechterhaltung stets aktueller Compliance-Nachweise.

Die doppelte Perspektive

Viele Unternehmen sind gleichzeitig Verantwortliche (gegenüber betroffenen Personen) und Auftragsverarbeiter (gegenüber ihren Kunden). Ein Trust Center adressiert beide Rollen:

Als Verantwortlicher (Inbound):

Prüfung und Überwachung eigener Auftragsverarbeiter
Sammlung und Pflege von AVVs, TOMs und Zertifikaten der Dienstleister
Dokumentation der Sorgfaltspflicht bei der Auswahl

Als Auftragsverarbeiter (Outbound):

Bereitstellung aller Nachweise für Kunden an einem Ort
Skalierbare Beantwortung von Security Questionnaires und Audits
Proaktive Transparenz statt reaktiver Dokumentensuche

Wer beide Welten verbindet, ist gut aufgestellt: Ein ISMS für die interne Steuerung, ein Trust Center für die externe Kommunikation — in beide Richtungen. So wird aus Compliance-Aufwand ein funktionierendes System und aus Dokumentation echte Resilienz.

Quellen & Referenzen

Verordnung (EU) 2016/679 (DSGVO) – Volltext — Amtsblatt der Europäischen Union. Der vollständige Text der Datenschutz-Grundverordnung.
GDPR Enforcement Tracker — CMS Law. Laufende Übersicht aller verhängten DSGVO-Bußgelder.
DLA Piper GDPR Fines and Data Breach Survey: Januar 2026 — Jährliche Umfrage zu DSGVO-Durchsetzungstrends.
EDSA – Ankündigung der koordinierten Durchsetzungsmaßnahme 2026 — Ankündigung des EDSA (14. Oktober 2025) zur Prüfung der Transparenzpflichten nach Artikel 12–14.
gdpr-info.eu – Artikel 28 (Auftragsverarbeiter) — Anforderungen an die Auftragsverarbeitung.
gdpr-info.eu – Artikel 32 (Sicherheit der Verarbeitung) — Technische und organisatorische Maßnahmen.
gdpr-info.eu – Artikel 33 (Meldung an die Aufsichtsbehörde) — 72-Stunden-Frist für Datenpannen.
gdpr-info.eu – Artikel 34 (Benachrichtigung Betroffener) — Kommunikation bei hohem Risiko.
gdpr-info.eu – Artikel 83 (Bußgelder) — Sanktionsrahmen.
EDPB – Guidelines 9/2022 on personal data breach notification — Leitlinien zur Meldung von Datenschutzverletzungen (Version 2.0, März 2023).
TikTok-Bußgeld — Irische DPC (Mai 2025) — Durchsetzungsmaßnahme der irischen DPC wegen rechtswidriger Datenübermittlungen nach China.
Surfshark Research: DSGVO-Bußgelder überschreiten 1 Mrd. Euro in 2025 — Jährliche Analyse des DSGVO-Durchsetzungsvolumens.