DSGVO-Compliance 2026: Grundsätze, Rechte & Nachweis
DSGVO-Compliance für 2026 erklärt: die 7 Grundsätze, 6 Rechtsgrundlagen, Betroffenenrechte, Checkliste, Bußgelder 2025–26 sowie die UK-/Norwegen-Divergenz.
DSGVO-Compliance 2026: Grundsätze, Rechte & Nachweis
DSGVO-Compliance bedeutet, personenbezogene Daten von Personen in der EU und im EWR strikt im Einklang mit der Verordnung (EU) 2016/679 zu verarbeiten – gestützt auf eine dokumentierte Rechtsgrundlage, unter Wahrung der sieben Grundsätze aus Artikel 5, unter Achtung der Betroffenenrechte, mit der Sicherung der Daten nach Artikel 32, mit Meldung von Datenpannen binnen 72 Stunden und – gemäß dem Grundsatz der Rechenschaftspflicht – mit der Fähigkeit, all dies jederzeit zu belegen. Acht Jahre nach ihrem Wirksamwerden am 25. Mai 2018 ist die DSGVO kein Projekt mit Enddatum mehr: Sie ist der grundlegende Betriebsstandard für jedes B2B-Unternehmen, das europäische Daten berührt, und das einheitliche Regelwerk, auf dem weitere europäische Gesetze – NIS2, DORA, der EU AI Act – heute aufbauen.
Dieser Pillar ist der Leitfaden zum gesamten Rahmenwerk auf Ebene des Hauptbegriffs. Die detaillierte Mechanik einzelner Artikel – Auftragsverarbeitungsverträge, Sicherheitsmaßnahmen und Meldepflichten bei Datenpannen – finden Sie in unserem begleitenden Referenzbeitrag zu den DSGVO-Artikeln 28, 32, 33 & 34.
Die wichtigsten Erkenntnisse
- Die DSGVO beruht auf sieben Grundsätzen (Artikel 5) und sechs Rechtsgrundlagen (Artikel 6). Jede Verarbeitungstätigkeit benötigt vor Beginn mindestens eine dokumentierte Rechtsgrundlage.
- Die Rechenschaftspflicht macht aus Compliance einen Nachweis. Sie müssen nicht nur einhalten – Sie müssen die Einhaltung mit Verzeichnissen, Richtlinien und Folgenabschätzungen belegen können.
- Die Durchsetzung beschleunigt sich. 2025 wurden rund 1,2 Mrd. EUR an Bußgeldern verhängt; im 1. Quartal 2026 stiegen die Bußgelder gegenüber dem Vorjahr um fast 400 % – angeführt von der französischen CNIL und der britischen ICO.
- Die Rechtslandschaft divergiert. Der UK Data (Use and Access) Act 2025 macht das UK-GDPR ab Februar 2026 deutlich flexibler, während Norwegen und der EWR bei der unveränderten EU-DSGVO bleiben – grenzüberschreitend tätige Unternehmen müssen sich am strengeren Maßstab orientieren.
- DSGVO-Nachweise sind wiederverwendbar. Dieselben Verzeichnisse, TOM und Zertifikate, die die DSGVO belegen, beantworten auch NIS2, DORA und Sicherheitsfragebögen von Kunden – wenn Sie sie in einem europäischen Trust Center bündeln.
Direkt zu:
- Wer die DSGVO einhalten muss
- Die 7 DSGVO-Grundsätze (Artikel 5)
- Die 6 Rechtsgrundlagen (Artikel 6)
- Betroffenenrechte (Artikel 12–22)
- Kernpflichten und die Checkliste 2026
- Bußgelder und Durchsetzung 2025–2026
- Was sich 2026 änderte: Omnibus, Datentransfers, KI
- DSGVO jenseits der EU-27: UK und Norwegen
- DSGVO, NIS2 und DORA: eine Nachweisbasis
- Von DSGVO-Nachweisen zum europäischen Trust Center
Wer die DSGVO einhalten muss
Die DSGVO gilt für die Verarbeitung personenbezogener Daten, sobald sich die betroffene Person in der EU oder im EWR befindet – nicht danach, wo das Unternehmen sitzt. Nach Artikel 3 (räumlicher Anwendungsbereich) erfasst die Verordnung jede Organisation, die entweder in der Union niedergelassen ist, oder Personen in der Union Waren oder Dienstleistungen anbietet, oder deren Verhalten beobachtet. Ein SaaS-Anbieter aus São Paulo oder San Francisco, der an einen Münchner Kunden verkauft, fällt klar in den Anwendungsbereich.
Zwei Rollen sind entscheidend, und die meisten B2B-Unternehmen nehmen beide zugleich ein:
- Verantwortlicher – Sie entscheiden über Zweck und Mittel der Verarbeitung. Für eigene Mitarbeiter-, Interessenten- und Kundenkontaktdaten sind Sie Verantwortlicher.
- Auftragsverarbeiter – Sie verarbeiten personenbezogene Daten im Auftrag eines anderen Verantwortlichen, auf dessen dokumentierte Weisung. Für die Daten, die Ihre Kunden in Ihre Plattform laden, sind Sie deren Auftragsverarbeiter.
Diese Doppelrolle ist der Grund, warum DSGVO-Compliance nie nur eine Übung in Datenschutzerklärungen ist. Als Verantwortlicher schulden Sie Pflichten gegenüber Betroffenen; als Auftragsverarbeiter Pflichten gegenüber Ihren Kunden nach den Auftragsverarbeitungsverträgen gemäß Artikel 28. Beide Richtungen richtig zu handhaben, entscheidet darüber, ob Sie eine Sicherheitsprüfung im Einkauf bestehen oder den Abschluss verlieren.
Die 7 DSGVO-Grundsätze (Artikel 5)
Alles in der DSGVO leitet sich aus den sieben Grundsätzen des Artikels 5 ab. Die ersten sechs stehen in Artikel 5 Abs. 1; der siebte – die Rechenschaftspflicht – in Artikel 5 Abs. 2 und ist derjenige, der aus „wir halten ein“ ein „wir können es belegen“ macht.
| # | Grundsatz (Artikel) | Was er praktisch verlangt |
|---|---|---|
| 1 | Rechtmäßigkeit, Treu und Glauben, Transparenz – Art. 5 Abs. 1 lit. a | Verarbeitung auf mindestens einer Rechtsgrundlage nach Artikel 6; keine unerwartete oder irreführende Nutzung; klare Information per Datenschutzhinweisen. |
| 2 | Zweckbindung – Art. 5 Abs. 1 lit. b | Erhebung für festgelegte, eindeutige und legitime Zwecke; keine unvereinbare Weiterverarbeitung. Archivierung, Forschung und Statistik nach Art. 89 Abs. 1 gelten nicht als unvereinbar. |
| 3 | Datenminimierung – Art. 5 Abs. 1 lit. c | Nur Daten, die dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind. |
| 4 | Richtigkeit – Art. 5 Abs. 1 lit. d | Daten richtig und erforderlichenfalls aktuell halten; unrichtige Daten unverzüglich löschen oder berichtigen. |
| 5 | Speicherbegrenzung – Art. 5 Abs. 1 lit. e | Identifizierbare Daten nicht länger als nötig speichern; länger nur für Archivierung/Forschung nach Art. 89 Abs. 1 mit Schutzmaßnahmen. |
| 6 | Integrität und Vertraulichkeit – Art. 5 Abs. 1 lit. f | Angemessene Sicherheit durch technische und organisatorische Maßnahmen – die Brücke zu Artikel 32. |
| 7 | Rechenschaftspflicht – Art. 5 Abs. 2 | Der Verantwortliche ist für die Einhaltung der Grundsätze 1–6 verantwortlich und muss sie nachweisen können. |
Die Rechenschaftspflicht ist der stille Schwerpunkt. Die erste Frage einer Behörde nach einem Vorfall lautet selten „Waren Sie compliant?“ – sondern „Zeigen Sie es mir.“ Verarbeitungsverzeichnisse (Artikel 30), Ihre Folgenabschätzungen (Artikel 35), Ihre TOM und Ihre Prüfung der Auftragsverarbeiter sind die Artefakte, die diese Frage beantworten. Organisationen, die diese Nachweise als verstreute E-Mail-Verläufe und Tabellen ablegen, bestehen den Rechenschaftstest nicht – selbst wenn ihre tatsächliche Praxis solide ist.
Die 6 Rechtsgrundlagen (Artikel 6)
Eine Verarbeitung ist nur rechtmäßig, wenn mindestens eine der sechs Grundlagen aus Artikel 6 Abs. 1 vorliegt. Die richtige Grundlage je Tätigkeit zu wählen – und zu dokumentieren – ist die häufigste Lücke, die Prüfer finden.
- Einwilligung – Art. 6 Abs. 1 lit. a. Freiwillig, für den konkreten Fall, informiert und unmissverständlich, für einen oder mehrere bestimmte Zwecke. Die Grundlage mit der größten Reibung: Der Widerruf muss so einfach sein wie die Erteilung.
- Vertrag – Art. 6 Abs. 1 lit. b. Erforderlich zur Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Maßnahmen auf deren Anfrage.
- Rechtliche Verpflichtung – Art. 6 Abs. 1 lit. c. Erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach Unions- oder mitgliedstaatlichem Recht, dem Sie unterliegen.
- Lebenswichtige Interessen – Art. 6 Abs. 1 lit. d. Erforderlich zum Schutz von Leben oder körperlicher Unversehrtheit – typischerweise Notfälle.
- Öffentliche Aufgabe – Art. 6 Abs. 1 lit. e. Erforderlich für eine im öffentlichen Interesse liegende Aufgabe oder in Ausübung gesetzlich übertragener öffentlicher Gewalt. Vor allem für öffentliche Stellen.
- Berechtigte Interessen – Art. 6 Abs. 1 lit. f. Erforderlich zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, außer die Rechte der betroffenen Person überwiegen – ein dokumentierter Abwägungstest, für Behörden in Wahrnehmung ihrer Aufgaben nie verfügbar.
Eine praktische Regel: Stützen Sie nicht alles auf die Einwilligung. Im B2B-SaaS tragen Vertrag und berechtigte Interessen meist den Großteil der Verarbeitung, während die Einwilligung für Marketing und nicht notwendige Cookies reserviert bleibt. Eine falsch etikettierte Grundlage – etwa berechtigte Interessen, wo Sie eigentlich eine Einwilligung benötigt hätten – ist selbst ein Verstoß.
Betroffenenrechte (Artikel 12–22)
Die DSGVO verleiht Einzelpersonen durchsetzbare Rechte, die Sie in der Regel binnen eines Monats erfüllen müssen (bei komplexen Anträgen nach Artikel 12 Abs. 3 um zwei Monate verlängerbar):
- Information (Artikel 13–14) – transparente Datenschutzhinweise bei der Erhebung.
- Auskunft (Artikel 15) – eine Kopie der Daten und der Verarbeitungsdetails auf Anfrage (ein Auskunftsersuchen).
- Berichtigung (Artikel 16) – Korrektur unrichtiger Daten.
- Löschung / „Recht auf Vergessenwerden“ (Artikel 17).
- Einschränkung der Verarbeitung (Artikel 18).
- Datenübertragbarkeit (Artikel 20) – ein strukturierter, maschinenlesbarer Export.
- Widerspruch (Artikel 21) – einschließlich eines absoluten Rechts auf Widerspruch gegen Direktwerbung.
- Rechte bei automatisierten Entscheidungen und Profiling (Artikel 22).
Der regulatorische Fokus 2026 hat sich hier verschärft. Der koordinierte Durchsetzungsschwerpunkt des EDPB rückte zu den Transparenzpflichten (Artikel 12–14), und die britische Reform (siehe unten) schreibt die Regeln zu Auskunftsaufwand und automatisierten Entscheidungen ausdrücklich neu – die Rechtebearbeitung ist damit der Bereich, in dem die Divergenz heute am sichtbarsten ist.
Kernpflichten und die Checkliste 2026
Grundsätze und Rechte übersetzen sich in eine konkrete Reihe operativer Pflichten. Dies ist die Checkliste auf Ebene des Hauptbegriffs; jede Zeile verweist auf die tiefere Referenz, sofern vorhanden.
| Pflicht | Artikel | Wie „erledigt“ aussieht |
|---|---|---|
| Verzeichnis von Verarbeitungstätigkeiten (VVT) | Art. 30 | Ein gepflegtes Verzeichnis jeder Verarbeitung, des Zwecks, der Grundlage und der Empfänger. |
| Rechtsgrundlage je Tätigkeit | Art. 6 | Eine dokumentierte Grundlage, jeder Tätigkeit im VVT zugeordnet. |
| Datenschutzhinweise | Art. 12–14 | Klare, zugängliche Hinweise an jeder Erhebungsstelle. |
| Workflow für Betroffenenrechte | Art. 15–22 | Ein wiederholbarer Prozess zur Erfüllung von Auskunftsersuchen binnen eines Monats. |
| Auftragsverarbeitungsverträge | Art. 28 | Ein unterzeichneter AV-Vertrag mit jedem Auftragsverarbeiter, plus gepflegte Liste der Unterauftragsverarbeiter. |
| Technische & organisatorische Maßnahmen | Art. 32 | Dokumentierte, risikoangemessene Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle, Resilienz, Tests). |
| Folgenabschätzungen bei hohem Risiko | Art. 35 | Eine abgeschlossene Folgenabschätzung vor Beginn risikoreicher Verarbeitung. |
| Datenschutzbeauftragter | Art. 37 | Ein DSB, wo erforderlich (umfangreiche Überwachung oder besondere Datenkategorien). |
| Meldung der Datenpanne – Behörde | Art. 33 | Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden. |
| Benachrichtigung der Betroffenen | Art. 34 | Information der Betroffenen unverzüglich bei hohem Risiko. |
| Schutz bei internationalen Datentransfers | Art. 44–49 | SCC, Angemessenheitsbeschluss oder ein anderer Mechanismus nach Kapitel V für jeden Transfer außerhalb des EWR. |
Wenn Sie für jede dieser Zeilen auf Anfrage Nachweise vorlegen können, sind Sie nicht nur compliant – Sie sind nachweislich compliant, und das ist der Rechenschaftsmaßstab. Der wiederkehrende Fehler ist die Lücke zwischen Praxis und Nachweis: Organisationen, die das Richtige tun, es aber nicht im Zeitrahmen einer Behörde oder eines Käufers zeigen können.
Bußgelder und Durchsetzung 2025–2026
Artikel 83 legt zwei Bußgeldstufen fest, jeweils „je nachdem, welcher Betrag höher ist“:
- Untere Stufe – bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (z. B. Verstöße gegen VVT, Auftragsverarbeitung, Meldepflichten).
- Obere Stufe – bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (z. B. Verstöße gegen Grundsätze, Rechtsgrundlage oder Betroffenenrechte).
Die Zahlen sind längst nicht mehr theoretisch. Die kumulierten DSGVO-Bußgelder seit 2018 werden vom CMS Enforcement Tracker auf rund 6,3 Mrd. EUR beziffert, mit Metas 1,2 Mrd. EUR aus Irland als bislang höchstem Einzelbußgeld. 2025 verhängten die Behörden in der Größenordnung von 1,2 Mrd. EUR, darunter das 530-Mio.-EUR-Bußgeld der irischen DPC gegen TikTok wegen unrechtmäßiger Datentransfers, festgehalten im Jahresbericht 2025 des EDPB.
Das Signal für 2026 ist das Tempo. Laut Enforcement-Trackern erreichten die Bußgelder im 1. Quartal 2026 rund 68 Mio. EUR europaweit – ein Anstieg von fast 400 % gegenüber den ~13,8 Mio. EUR im 1. Quartal 2025. Die französische CNIL trug mit rund 47 Mio. EUR den Großteil bei (darunter 27 Mio. EUR gegen Free Mobile, 15 Mio. EUR gegen Free und 5 Mio. EUR gegen France Travail), während die britische ICO etwa 16,9 Mio. EUR verhängte – angeführt von einem wegweisenden Bußgeld gegen Reddit wegen Kinderdaten und Altersverifikation. Die Richtung ist eindeutig: Die Durchsetzung weitet sich von prominenten Big-Tech-Fällen auf routinemäßige Rechenschaftsverstöße im Mittelstand aus.
Was sich 2026 änderte: Omnibus, Datentransfers, KI
Drei bewegliche Teile, die jede europäische Compliance-Verantwortung 2026 verfolgen sollte:
Die DSGVO-Verfahrensverordnung. Von der Kommission am 4. Juli 2023 vorgeschlagen, um die grenzüberschreitende Durchsetzung über die einheitliche Anlaufstelle zu straffen, und im Juni 2025 politisch geeint, soll die Reform Kooperationsfristen und Verfahrensrechte (Anhörungsrecht, Akteneinsicht) zwischen den Aufsichtsbehörden vereinheitlichen. Bis der endgültige Text formell veröffentlicht und anwendbar ist, sollten Sie sie als Signal für die Durchsetzungsrichtung behandeln, nicht als neue operative Frist.
Die „Digital-Omnibus“-Vereinfachung. Am 19. November 2025 veröffentlicht, schlägt das Digital-Omnibus-Paket der Kommission vor, Teile des EU-Datenregelwerks zu vereinfachen – einschließlich der DSGVO-Dokumentationspflichten – und wird parallel zu Anpassungen des AI-Act-Zeitplans verhandelt. Stand Mitte 2026 ist es noch nicht final; behandeln Sie es als Richtung, nicht als beschlossene Sache, und bauen Sie Kontrollen nicht vorzeitig ab.
Datentransfers und das Data Privacy Framework. Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (2023) wurde am 3. September 2025 vom Gericht der EU in der Rechtssache Latombe/Kommission (T-553/23) bestätigt, doch der Fall liegt in der Berufung. Das DPF bleibt vorerst operativ gültig; umsichtige Organisationen behalten SCC als Rückfalloption, falls die Berufung es ins Wanken bringt.
DSGVO und der EU AI Act. Der AI Act (in Kraft seit 1. August 2024) ersetzt die DSGVO nicht. KI-Systeme, die personenbezogene Daten verarbeiten, benötigen weiterhin eine Rechtsgrundlage, Datenminimierung, Transparenz und – häufig – eine Folgenabschätzung. Der AI Act legt eigene Pflichten darüber, wobei Transparenzregeln (einschließlich der Kennzeichnung KI-generierter Inhalte) ab dem 2. August 2026 gelten und die Fristen für Hochrisiko-KI durch eine politische Einigung im Mai 2026 verlängert wurden. Mehr dazu in unserem Leitfaden zur EU-KI-Verordnung.
DSGVO jenseits der EU-27: UK und Norwegen
DSGVO-Compliance ist ein europäisches Problem, kein reines EU-27-Problem – und die Landkarte divergiert nun aktiv.
Vereinigtes Königreich. Nach dem Brexit behielt das UK die EU-DSGVO als „UK-GDPR“ neben dem Data Protection Act 2018, reguliert durch die ICO. Der Data (Use and Access) Act 2025 (DUAA) erhielt am 19. Juni 2025 die königliche Zustimmung, wobei die meisten Datenschutzbestimmungen am 5. Februar 2026 in Kraft traten. Wesentliche Abweichungen von der EU-DSGVO:
- „Anerkannte berechtigte Interessen“, die für bestimmte Zwecke (z. B. Kriminalprävention, Schutz Schutzbedürftiger, Notfälle) keinen Abwägungstest erfordern.
- Gelockerte Regeln für automatisierte Entscheidungen bei nicht sensiblen Daten, mit Schutzmaßnahmen, die auf „wesentliche Entscheidungen“ und besondere Datenkategorien fokussieren.
- Ein Maßstab der „angemessenen und verhältnismäßigen“ Auskunftssuche mit Fristhemmung („stop the clock“), solange Sie Klärung einholen.
- Ein Angemessenheits-/Transfertest „nicht wesentlich niedriger“ statt des strengeren EU-Maßstabs „im Wesentlichen gleichwertig“.
- PECR-(Cookie-)Bußgelder auf DSGVO-Niveau – bis zu 17,5 Mio. £ oder 4 % des weltweiten Umsatzes – und die Umwandlung der ICO in die Information Commission.
Norwegen und der EWR. Norwegen ist kein EU-Mitglied, wendet aber über das EWR-Abkommen die unveränderte EU-DSGVO an (übernommen durch Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses), umgesetzt durch das Personopplysningsloven (Personendatengesetz), in Kraft seit dem 20. Juli 2018 und beaufsichtigt durch Datatilsynet. Norwegen kennt keine Ausnahme „anerkannter berechtigter Interessen“, behält die vollen Beschränkungen für automatisierte Entscheidungen nach Artikel 22 und wendet den Maßstab „im Wesentlichen gleichwertig“ an – es folgt also der EU, nicht dem UK.
Die praktische Folge für jedes Unternehmen, das in UK und EU/EWR tätig ist: Wo beide Regime gelten, müssen Sie das strengere einhalten. Britische Erleichterungen reichen nicht in den EWR; wer am EU-Maßstab baut, ist gleichzeitig in Norwegen, Deutschland, Frankreich, den Niederlanden und im UK compliant.
DSGVO, NIS2 und DORA: eine Nachweisbasis
Die DSGVO steht nicht mehr allein. Die EU-Gesetze zu Cybersicherheit und Resilienz greifen auf dasselbe Kontrollvokabular zurück, und die Nachweise überschneiden sich stark:
| Anforderung | DSGVO | NIS2 | DORA |
|---|---|---|---|
| Risikobasierte Sicherheitsmaßnahmen | Art. 32 | Art. 21 Abs. 2 | Art. 5–15 (IKT-Risiko) |
| Vorfall-/Datenpannenmeldung | Art. 33–34 (72 Std.) | Art. 23 (24 Std. Frühwarnung) | Art. 19 (schwere IKT-Vorfälle) |
| Drittparteien-/Lieferketten-Sicherung | Art. 28 (Auftragsverarbeiter) | Art. 21 Abs. 2 lit. d | Art. 28–30 (IKT-Dienstleister) |
| Governance & Rechenschaft | Art. 5 Abs. 2 | Art. 20 (Haftung der Leitung) | Art. 5 (Leitungsorgan) |
Ein Unternehmen, das allen dreien unterliegt, braucht keine drei Programme – es braucht eine Nachweisbasis, auf drei Regime abgebildet. Ihre TOM nach Artikel 32 erfüllen weitgehend NIS2 Artikel 21 Abs. 2; Ihre Auftragsverarbeiter-Prüfung nach Artikel 28 ist das Rückgrat des DORA-Drittparteienrisikomanagements. Sie als getrennte Projekte zu behandeln, ist der Weg, Compliance-Budgets zu verschwenden. Siehe unsere Leitfäden zur NIS2-Richtlinie und zur DORA-Compliance für die Detailzuordnung.
Von DSGVO-Nachweisen zum europäischen Trust Center
Die Rechenschaftspflicht und Artikel 28 Abs. 3 lit. h erzeugen denselben operativen Bedarf aus zwei Richtungen: Sie müssen Nachweise erbringen – gegenüber Behörden (eingehend) und gegenüber Kunden (ausgehend). Ein Trust Center ist der Ort, an dem diese Nachweise leben.
Als Verantwortlicher strukturiert ein Trust Center die Prüfung Ihrer eigenen Auftragsverarbeiter: deren AV-Verträge, TOM, Listen der Unterauftragsverarbeiter und Zertifikate, gepflegt und überwacht statt jährlich neu eingeholt. Als Auftragsverarbeiter beantwortet es die Anfragen Ihrer Kunden nach Artikel 28 Abs. 3 lit. h – AV-Vertrag, TOM, ISO-27001-/SOC-2-Berichte, Liste der Unterauftragsverarbeiter, VVT-Auszüge – aus einem zugriffsgeschützten, stets aktuellen Ort, statt für jeden Abschluss einen neuen E-Mail-Verlauf und eine manuelle Dokumentensuche.
Für europäische Käufer zählt auch die Dimension der Datenresidenz: Ein in der EU gehostetes Trust Center umgeht die Transferfragen, die die Latombe-Berufung am Leben hält. Mit kontinuierlichem Monitoring bleiben die Nachweise automatisch aktuell, sodass Rechenschaft kein vierteljährlicher Kraftakt mehr ist, sondern eine stehende Fähigkeit. Genau das belohnt dieses gesamte Rahmenwerk: den Übergang vom Tun der Compliance zum Belegen der Compliance.
Verwandeln Sie DSGVO-Nachweise in ein kaufbereites europäisches Trust Center. Sehen Sie, wie Orbiq Ihre AV-Verträge, TOM und Zertifikate bündelt, damit jede Behörde und jeder Interessent schon bei der ersten Anfrage eine aktuelle Antwort erhält.
Quellen & Referenzen
- Verordnung (EU) 2016/679 (DSGVO) — Volltext — Amtsblatt der Europäischen Union.
- gdpr-info.eu — Artikel 5 (Grundsätze für die Verarbeitung) — Die sieben Grundsätze.
- gdpr-info.eu — Artikel 6 (Rechtmäßigkeit der Verarbeitung) — Die sechs Rechtsgrundlagen.
- gdpr-info.eu — Artikel 83 (Allgemeine Bedingungen für Geldbußen) — Die zwei Bußgeldstufen.
- CMS GDPR Enforcement Tracker — Statistik — Kumulierte Bußgelder und höchste Einzelbußgelder.
- EDPB-Jahresbericht 2025 — TikTok 530 Mio. EUR und Durchsetzung 2025.
- GDPR-Bußgelder Q1 2026 — Acompli — Bußgelder Q1 2026 (~68 Mio. EUR), CNIL- und ICO-Maßnahmen.
- Europäische Kommission — DSGVO-Verfahrensverordnung — Reform der grenzüberschreitenden Durchsetzung und politische Einigung im Juni 2025.
- Reed Smith — The Great GDPR Divergence: UK DUAA vs EU Omnibus — Analyse der UK-/EU-Divergenz.
- DLA Piper — Inkrafttreten der DUAA-Datenschutzbestimmungen (Feb. 2026) — DUAA in Kraft am 5. Februar 2026.
- ICO — Data (Use and Access) Act 2025 — Leitlinien der britischen Aufsicht.
- Datatilsynet — Norwegische Datenschutzbehörde — Norwegens DSGVO über den EWR.
- Gericht der EU — Latombe/Kommission (T-553/23) — EU-US Data Privacy Framework am 3. September 2025 bestätigt (in Berufung).
Weiterführende Artikel
Häufig gestellte Fragen
Was bedeutet DSGVO-Compliance?
DSGVO-Compliance bedeutet, personenbezogene Daten von Personen in der EU und im EWR im Einklang mit der Verordnung (EU) 2016/679 zu verarbeiten: gestützt auf eine Rechtsgrundlage (Artikel 6), unter Wahrung der sieben Grundsätze aus Artikel 5, unter Achtung der Betroffenenrechte (Artikel 12–22), mit geeigneten technischen und organisatorischen Maßnahmen (Artikel 32), mit Meldung von Datenpannen binnen 72 Stunden (Artikel 33) – und mit der Fähigkeit, all dies gemäß dem Grundsatz der Rechenschaftspflicht (Artikel 5 Abs. 2) nachzuweisen.
Was sind die 7 Grundsätze der DSGVO?
Artikel 5 legt sieben Grundsätze fest: (1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; (2) Zweckbindung; (3) Datenminimierung; (4) Richtigkeit; (5) Speicherbegrenzung; (6) Integrität und Vertraulichkeit (Sicherheit); sowie (7) Rechenschaftspflicht. Die ersten sechs stehen in Artikel 5 Abs. 1; die Rechenschaftspflicht in Artikel 5 Abs. 2 verlangt, dass der Verantwortliche die Einhaltung der übrigen sechs nachweisen kann.
Wer muss die DSGVO einhalten?
Organisationen mit Niederlassung in der EU oder im EWR müssen die DSGVO einhalten, wenn sie personenbezogene Daten in diesem Zusammenhang verarbeiten. Organisationen außerhalb der EU müssen sie einhalten, wenn sie Personen in der EU oder im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten dort beobachten (Artikel 3). B2B-SaaS-Unternehmen sind in der Regel sowohl Verantwortliche – für eigene Mitarbeiter- und Kundendaten – als auch Auftragsverarbeiter – für die Daten, die ihre Kunden in der Plattform speichern.
Was sind die 6 Rechtsgrundlagen der Verarbeitung nach DSGVO?
Artikel 6 Abs. 1 nennt sechs Rechtsgrundlagen: Einwilligung, Vertragserfüllung, Erfüllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung einer Aufgabe im öffentlichen Interesse sowie berechtigte Interessen. Für jede Verarbeitungstätigkeit müssen Sie vor Beginn mindestens eine Rechtsgrundlage bestimmen und dokumentieren.
Welche Bußgelder drohen bei DSGVO-Verstößen?
Artikel 83 sieht zwei Stufen vor: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei leichteren Verstößen und bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bei den schwersten Verstößen – je nachdem, welcher Betrag höher ist. 2025 verhängten die Behörden rund 1,2 Mrd. EUR an DSGVO-Bußgeldern; die Bußgelder im 1. Quartal 2026 (~68 Mio. EUR) lagen fast viermal höher als im Vorjahresquartal.
Worin unterscheidet sich das UK-GDPR 2026 vom EU-Recht?
Der UK Data (Use and Access) Act 2025 – dessen Datenschutzbestimmungen größtenteils ab dem 5. Februar 2026 gelten – ändert das UK-GDPR: Er führt „anerkannte berechtigte Interessen“ ohne Abwägungstest ein, lockert Regeln zu automatisierten Entscheidungen bei nicht sensiblen Daten, kodifiziert eine „angemessene und verhältnismäßige“ Auskunftssuche mit Fristhemmung und ersetzt den EU-Maßstab „im Wesentlichen gleichwertig“ durch „nicht wesentlich niedriger“. Norwegen wendet über den EWR weiterhin die unveränderte EU-DSGVO an.
Gilt die DSGVO unter dem EU AI Act weiter für KI-Systeme?
Ja. Der EU AI Act ersetzt die DSGVO nicht – er ergänzt sie. Jedes KI-System, das personenbezogene Daten verarbeitet, benötigt weiterhin eine gültige DSGVO-Rechtsgrundlage, muss Datenminimierung und Transparenz wahren und erfordert häufig eine Datenschutz-Folgenabschätzung. Der AI Act fügt eigene Pflichten zu Risikomanagement, Dokumentation und Transparenz hinzu.
Wie unterstützt ein Trust Center die DSGVO-Compliance?
Ein Trust Center bündelt die Nachweise, die die DSGVO verlangt – Ihren AV-Vertrag, technische und organisatorische Maßnahmen, die Liste der Unterauftragsverarbeiter, ISO-27001-/SOC-2-Zertifikate, Verarbeitungsverzeichnisse und Folgenabschätzungen – an einem zugriffsgeschützten Ort. Als Verantwortlicher strukturieren Sie damit die Prüfung Ihrer eigenen Auftragsverarbeiter; als Auftragsverarbeiter beantworten Sie Kundenanfragen nach Artikel 28 Abs. 3 lit. h ohne jedes Mal einen neuen E-Mail-Verlauf.