DSGVO – Datenschutz-Grundverordnung
Die DSGVO (EU 2016/679) ist das umfassendste Datenschutzgesetz der Welt und schützt seit Mai 2018 die personenbezogenen Daten natürlicher Personen in der EU.
Zusammenfassung
Die Datenschutz-Grundverordnung (DSGVO, englisch: GDPR – General Data Protection Regulation, Verordnung EU 2016/679) ist die zentrale Rechtsgrundlage für den Datenschutz in der Europäischen Union. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und ersetzt die frühere Datenschutzrichtlinie 95/46/EG.
- Anwendungsbereich: Alle Unternehmen und Behörden, die personenbezogene Daten natürlicher Personen in der EU verarbeiten – unabhängig vom Sitz des Verarbeiters (juristische Personen fallen nicht in den Schutzbereich)
- Grundsätze: Rechtmäßigkeit, Zweckbindung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit
- Betroffenenrechte: Auskunft, Berichtigung, Löschung (»Recht auf Vergessenwerden«), Einschränkung, Datenübertragbarkeit, Widerspruch
- Sanktionen: Bußgelder bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes
Geschichte
Europas Datenschutzrecht hat seine Wurzeln im deutschen Bundesdatenschutzgesetz von 1977. Die EU-Datenschutzrichtlinie 95/46/EG schuf 1995 einen gemeinsamen Rahmen, der jedoch nationale Unterschiede beließ und im digitalen Zeitalter als überholt galt.
Im Januar 2012 präsentierte die Europäische Kommission ihren DSGVO-Entwurf. Nach vier Jahren intensiver Verhandlungen – geprägt von über 4.000 Änderungsanträgen im Europäischen Parlament – wurde die DSGVO am 27. April 2016 verabschiedet und trat am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist wurde sie ab dem 25. Mai 2018 vollständig anwendbar.
Die DSGVO gilt als globaler Goldstandard für Datenschutz und hat weltweit Nachahmer-Gesetzgebungen inspiriert (CCPA in Kalifornien, LGPD in Brasilien, PDPA in Thailand u.v.m.).
Geltungsbereich
Die DSGVO gilt für:
- Alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten von in der EU ansässigen natürlichen Personen verarbeiten (Marktortprinzip, Art. 3). Daten juristischer Personen sind nicht geschützt.
- Verarbeitung durch Einrichtungen mit Niederlassung in der EU
- Verarbeitung durch Einrichtungen ohne EU-Niederlassung, sofern sie EU-Bürgern Waren/Dienstleistungen anbieten oder deren Verhalten beobachten
- Nicht: rein private oder familiäre Datenverarbeitung; Strafverfolgungsbehörden (eigene Richtlinie 2016/680)
Kernanforderungen
- Rechtsgrundlage (Art. 6): Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen
- Datenschutz durch Technikgestaltung (Art. 25): Privacy by Design und Privacy by Default
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30): Dokumentationspflicht für alle Verarbeitungen
- Datenschutz-Folgenabschätzung (Art. 35): DSFA bei hohem Risiko für Betroffene
- Meldepflicht bei Datenpannen (Art. 33/34): 72-Stunden-Meldung an Aufsichtsbehörde; Benachrichtigung Betroffener bei hohem Risiko
- Datenschutzbeauftragter (Art. 37): Pflicht für bestimmte Verantwortliche (öffentliche Stellen, umfangreiche sensible Datenverarbeitung)
- Drittlandtransfers (Art. 44 ff.): Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules erforderlich
Verwandte Frameworks
Korrekturen & Errata
1 Aktualisierung:
- GDPR key_dates: Digital Omnibus Package (Nov 2025) fehlt
Die DSGVO schützt ausschliesslich natürliche Personen (Art. 1 Abs. 1 DSGVO). Der GDPR-Eintrag verwendete unspezifisch «Personen» statt «natürliche Personen». Der DSG-Eintrag suggerierte durch «Im Gegensatz zur DSGVO» fälschlich, die DSGVO schütze auch juristische Personen. Korrekt ist: Das alte DSG (1992) schützte als internationale Besonderheit auch juristische Personen; das nDSG (2023) hat diese Besonderheit gestrichen. Beide Einträge wurden entsprechend präzisiert.
Alle Details auf der Errata-Seite →