Die Datenschutz-Grundverordnung (DSGVO) hat seit ihrem Inkrafttreten im Mai 2018 die Art und Weise, wie Unternehmen weltweit mit personenbezogenen Daten umgehen, grundlegend verändert. Fast acht Jahre später haben die europäischen Aufsichtsbehörden Strafen in Höhe von insgesamt 7,1 Milliarden Euro verhängt, und die Zahl der Meldungen über Datenschutzverletzungen stieg im Jahr 2025 auf durchschnittlich 443 pro Tag – ein Anstieg von 22 % gegenüber dem Vorjahr. Diese Zahlen offenbaren eine wichtige Erkenntnis für Sicherheitsteams: Die Einhaltung der DSGVO ist keine reine Dokumentationsaufgabe. Sie erfordert eine kontinuierliche Erkennung von Bedrohungen, eine schnelle Reaktion auf Vorfälle und die operative Fähigkeit, Verstöße zu identifizieren, bevor die 72-stündige Meldefrist abläuft. Dieser Leitfaden ordnet die Sicherheitsanforderungen der DSGVO den Erkennungsfunktionen zu und enthält die neuesten Daten zur Durchsetzung sowie regulatorische Entwicklungen, die Sicherheitsexperten im Jahr 2026 benötigen.
Die Einhaltung der DSGVO ist die Befolgung der Datenschutz-Grundverordnung der Europäischen Union durch eine Organisation, die regelt, wie personenbezogene Daten von Bürgern der EU und des EWR erfasst, verarbeitet, gespeichert und geschützt werden. Sie erfordert die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen, die Schaffung rechtmäßiger Verarbeitungsgrundlagen, die Achtung der Rechte der betroffenen Personen und die Aufrechterhaltung der Fähigkeit, Datenschutzverletzungen innerhalb der vorgeschriebenen Fristen zu erkennen und zu melden.
Die Verordnung ersetzte die frühere Datenschutzrichtlinie 95/46/EG und führte deutlich strengere Durchsetzungsmechanismen ein. Seit ihrem Inkrafttreten am 25. Mai 2018 hat die DSGVO in den EU- und EWR-Mitgliedstaaten zu Bußgeldern in Höhe von insgesamt 7,1 Milliarden Euro geführt und sich damit als das weltweit folgenreichste Datenschutz-Rahmenwerk etabliert.
Artikel 5 legt sieben Kernprinzipien fest, die für die gesamte Verarbeitung personenbezogener Daten gelten:
Der sechste Grundsatz – Integrität und Vertraulichkeit – ist der Punkt, an dem sich die Anforderungen der Cybersicherheit und der DSGVO direkt überschneiden. Er schreibt „angemessene Sicherheit“ für personenbezogene Daten vor, die in den Artikeln 25 und 32 der DSGVO näher erläutert wird.
Die DSGVO schützt personenbezogene Daten, die allgemein als alle Informationen definiert sind, die eine lebende Person direkt oder indirekt identifizieren können. Dazu gehören Namen, E-Mail-Adressen, IP-Adressen, Standortdaten, biometrische Daten, genetische Daten und Gesundheitsakten.
Artikel 9 bezeichnet besondere Kategorien sensibler Daten – darunter rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten und biometrische Daten, die zur Identifizierung verwendet werden –, die einen erhöhten Schutz und eine ausdrückliche Einwilligung zur Verarbeitung erfordern.
Unternehmen sollten den Unterschied zwischen pseudonymisierten Daten (die nach der DSGVO weiterhin als personenbezogene Daten gelten) und wirklich anonymisierten Daten (die nicht in den Geltungsbereich der DSGVO fallen) verstehen. Diese Unterscheidung ist für Entscheidungen zur Sicherheitsarchitektur von Bedeutung.
Die DSGVO gewährt den betroffenen Personen auch bestimmte Rechte: Zugriff auf ihre Daten, Berichtigung von Ungenauigkeiten, Löschung (das „Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruchsrecht gegen die Verarbeitung und Einschränkung der Verarbeitung. Jedes Recht bringt entsprechende Verpflichtungen für die Sicherheitsteams mit sich, um sicherzustellen, dass Daten in allen Systemen gefunden, geändert oder gelöscht werden können.
Der territoriale Geltungsbereich der DSGVO gemäß Artikel 3 reicht weit über die Grenzen der EU hinaus. Drei Kriterien bestimmen, ob eine Organisation die Vorschriften einhalten muss:
US-Unternehmen, die Kundendaten aus der EU verarbeiten, Besucher von EU-Websites tracken oder Mitarbeiter mit Wohnsitz in der EU beschäftigen, müssen die DSGVO einhalten. Dies gilt unabhängig von der Größe des Unternehmens und davon, ob das Unternehmen physisch in der EU präsent ist.
Jeder EU- und EWR-Mitgliedstaat verfügt über eine unabhängige Aufsichtsbehörde (auch Datenschutzbehörde oder DPA genannt), die für die Durchsetzung der DSGVO innerhalb ihres Zuständigkeitsbereichs verantwortlich ist. Beispiele hierfür sind die irische Datenschutzkommission (DPC), die französische CNIL und die deutsche BfDI. Organisationen müssen eine federführende Aufsichtsbehörde benennen, die für den Standort ihrer Hauptniederlassung zuständig ist.
Ein Datenschutzbeauftragter (DSB) muss ernannt werden, wenn eine Organisation eine Behörde ist, eine groß angelegte systematische Überwachung von Personen durchführt oder besondere Kategorien sensibler Daten in großem Umfang verarbeitet. Der DSB überwacht die Strategie zur Einhaltung der Vorschriften, führt Audits durch und fungiert als Ansprechpartner für die Aufsichtsbehörden.
Unternehmen mit weniger als 250 Mitarbeitern profitieren derzeit von bestimmten Ausnahmen bei der Aufbewahrungspflicht. Der Vorschlag für ein EU-Digital-Omnibus-Gesetz (November 2025) würde diesen Schwellenwert bei einer Verabschiedung auf 750 Mitarbeiter anheben.
Während sich viele DSGVO-Leitfäden auf das Einwilligungsmanagement und die Rechte der betroffenen Personen konzentrieren, stellen die Artikel der Verordnung zur Cybersicherheit die unmittelbarsten Verpflichtungen für Sicherheitsteams dar. Diese Artikel schreiben keine bestimmten Technologien vor, sondern verlangen „angemessene” Maßnahmen auf der Grundlage einer Risikobewertung.
Artikel 5 Absatz 1 Buchstabe f – Integrität und Vertraulichkeit. Dieser Grundsatz verlangt eine „angemessene Sicherheit“ personenbezogener Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung. Er bildet die Rechtsgrundlage für alle technischen Sicherheitsmaßnahmen.
Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Sicherheit muss von Anfang an in Verarbeitungssysteme integriert werden und darf nicht nachträglich hinzugefügt werden. Dies gilt für die Netzwerkarchitektur, Zugriffskontrollen und Überwachungsfunktionen.
Artikel 32 – Sicherheit der Verarbeitung. Artikel 32 ist für Sicherheitsteams der Artikel mit der größten operativen Relevanz und schreibt vier spezifische Kategorien technischer Maßnahmen vor:
Artikel 33 – Meldung von Verstößen an die Aufsichtsbehörde. Unternehmen müssen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach „Bekanntwerden” einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, es sei denn, die Verletzung führt wahrscheinlich nicht zu einem Risiko für Einzelpersonen. Die Benachrichtigung muss die Art der Verletzung, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen und die zur Behebung der Verletzung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Dies ist die 72-Stunden-Regel der DSGVO – und ihre Einhaltung erfordert Fähigkeiten zur Reaktion auf Vorfälle, über die die meisten Checkbox-Compliance-Programme nicht verfügen.
Im Jahr 2025 erhielten die europäischen Aufsichtsbehörden durchschnittlich 443 Meldungen über Datenschutzverletzungen pro Tag – ein Anstieg von 22 % gegenüber dem Vorjahr und die höchste Zahl seit Inkrafttreten der DSGVO.
Artikel 34 – Benachrichtigung der betroffenen Personen über Datenschutzverletzungen. Wenn eine Datenschutzverletzung ein „hohes Risiko“ für die Rechte und Freiheiten von Personen darstellt, müssen Organisationen auch die betroffenen Personen direkt benachrichtigen.
Artikel 35 – Datenschutz-Folgenabschätzung (DPIA). Bei Verarbeitungstätigkeiten mit hohem Risiko ist vor Beginn der Verarbeitung eine strukturierte Risikobewertung erforderlich.
Tabelle: Wie Netzwerkerkennung und -reaktion die Sicherheitsartikel der DSGVO unterstützen
Die in Artikel 33 festgelegte Frist von 72 Stunden für die Meldung von Datenschutzverletzungen stellt eine grundlegende operative Herausforderung dar: Unternehmen können nicht melden, was sie nicht erkennen können. Die Frist beginnt laut den EDPB-Leitlinien 9/2022 zu laufen, sobald das Unternehmen „Kenntnis von einer Datenschutzverletzung erlangt”. Manuelle Erkennungsprozesse – oder gar keine Erkennungsprozesse – verkürzen die Zeit, die für Untersuchungen, Folgenabschätzungen und behördliche Meldungen zur Verfügung steht.
Ein strukturierter, achtstufiger Workflow verwandelt die Meldung von Verstößen gegen die DSGVO von einer reaktiven Hektik in einen wiederholbaren Prozess.
Workflow von der Erkennung bis zur Meldung zur Einhaltung von Artikel 33 der DSGVO. Alternativtext: Achtstufiger Workflow von der ersten Erkennung einer Bedrohung bis zur Meldung an die Aufsichtsbehörde, der zeigt, wie jede Stufe den Artikeln 32 und 33 der DSGVO entspricht.
Die kontinuierliche Netzwerküberwachung erfüllt direkt die Anforderungen an die Ausfallsicherheit gemäß Artikel 32 Absatz 1 Buchstabe b, indem sie einen dauerhaften Einblick in das Verhalten des Verarbeitungssystems bietet. Die automatisierte Erkennung reduziert die MTTD, sodass Sicherheitsteams mehr Zeit für die Untersuchung und Benachrichtigung als für die Erkennung zur Verfügung steht.
Forensische Beweise aus Netzwerk-Metadaten unterstützen die inhaltlichen Anforderungen von Artikel 33 Absatz 3 – Organisationen können den Aufsichtsbehörden spezifische Details zum Umfang der Verletzung, zu den betroffenen Datenflüssen und zu Eindämmungsmaßnahmen zur Verfügung stellen.
Verhaltensanalyse erkennt Datenexfiltration abgebildete Muster MITRE ATT&CK Exfiltration Taktik (0010). Zu den wichtigsten Techniken gehört die Exfiltration über C2-Kanäle (T1041), Exfiltration über alternative Protokolle (T1048), Exfiltration über Webdienste (T1567) und automatisierte Exfiltration (T1020). Jeder dieser Punkte stellt einen potenziellen Auslöser für einen Verstoß gegen die DSGVO dar, wenn personenbezogene Daten betroffen sind.
Der IBM Data Breach „2025 Cost of Data Breach ergab, dass 20 % der betroffenen Unternehmen Vorfälle im Zusammenhang mit Schatten-KI hatten – also nicht genehmigte KI-Tools, die ohne IT-Aufsicht eingesetzt wurden. Diese Schatten-KI-Verstöße erhöhten die durchschnittlichen Kosten für Datenschutzverletzungen um 670.000 US-Dollar. Wenn Mitarbeiter nicht autorisierte KI-Tools zur Verarbeitung personenbezogener Daten verwenden, stehen Unternehmen vor einem komplexen Problem: Artikel 30 der DSGVO schreibt vor, dass alle Verarbeitungsaktivitäten protokolliert werden müssen, was unmöglich ist, wenn KI-gesteuerte Datenflüsse für das Sicherheitsteam nicht sichtbar sind.
Die durchschnittlichen Kosten für Datenschutzverletzungen beliefen sich 2025 weltweit auf 4,44 Millionen US-Dollar, während sie in den USA durchschnittlich 10,22 Millionen US-Dollar erreichten. Entscheidend ist, dass 32 % der betroffenen Unternehmen Bußgelder zahlen mussten, wobei 48 % dieser Bußgelder 100.000 US-Dollar überstiegen. Erkennungsfunktionen, die unbefugte Datenflüsse – einschließlich solcher aus Schatten-KI – aufdecken, reduzieren sowohl die Auswirkungen von Datenschutzverletzungen als auch das Risiko von Bußgeldern direkt.
Unternehmen sollten vorgefertigte Benachrichtigungsvorlagen und automatisierte Workflow-Trigger implementieren, um die Lücke zwischen Erkennung und Benachrichtigung zu schließen.
Artikel 83 legt eine zweistufige Bußgeldstruktur fest, die sich nach den Einnahmen der Organisation richtet.
Tabelle: Bußgeldstruktur der DSGVO mit Beispielen für die Durchsetzung im Jahr 2025
Die Umfrage von DLA Piper zu den Bußgeldern im Rahmen der DSGVO vom Januar 2026 zeigt, dass der Durchsetzungsdruck weiter zugenommen hat:
Der Verstoß der Church of England verdeutlicht ein anderes Durchsetzungsmuster: Unzureichende technische Kontrollen, das Fehlen eines robusten Datenmanagementsystems und schwache Validierungsprozesse durch Dritte führten zur unbefugten Offenlegung sensibler Schutzdaten. Dieser Fall zeigt, dass die Durchsetzung auf operative Sicherheitsmängel abzielt und nicht nur auf Schlagzeilen machende Datenübertragungen.
Die Kosten für die Einhaltung der DSGVO variieren stark je nach Größe der Organisation, Branche und Datenverarbeitungsvolumen. Die Schätzungen für die anfängliche Umsetzung reichen von 1,3 Millionen bis 25 Millionen US-Dollar, wobei die Methodik der einzelnen Umfragen erheblich variiert. Der CMS GDPR Enforcement Tracker bietet eine umfassende, durchsuchbare Datenbank aller veröffentlichten Durchsetzungsmaßnahmen.
Sicherheitsteams sehen sich zunehmend mit sich überschneidenden regulatorischen Verpflichtungen in mehreren EU-Rahmenwerken konfrontiert. Das Verständnis, wo diese Vorschriften übereinstimmen – und wo sie sich unterscheiden –, verhindert doppelte Compliance-Arbeit.
Der Vorschlag der Europäischen Kommission für ein digitales Omnibuspaket stellt die bedeutendste potenzielle Änderung der DSGVO seit ihrem Inkrafttreten dar. Zu den wichtigsten vorgeschlagenen Änderungen gehören:
Der Vorschlag hat sowohl Unterstützung als auch Kritik hervorgerufen. Die Europäische Kommission begründet ihn damit, dass er den Verwaltungsaufwand reduziere und gleichzeitig die grundlegenden Schutzmaßnahmen beibehalte. Die Electronic Frontier Foundation argumentiert hingegen, dass er „die Datenschutzrechte der DSGVO aushöhlt“, indem er die Datendefinitionen einschränkt und die Meldepflicht bei Datenschutzverletzungen schwächt. Unternehmen sollten das Ergebnis der Konsultation beobachten und sich auf beide Szenarien vorbereiten.
Sowohl die DSGVO als auch die NIS2 verlangen die Meldung von Sicherheitsvorfällen, geeignete technische und organisatorische Maßnahmen sowie das Risikomanagement in der Lieferkette. Der wesentliche Unterschied: Die DSGVO schützt die Rechte im Zusammenhang mit personenbezogenen Daten, während sich die NIS2 auf die operative Cybersicherheit für wesentliche und wichtige Einrichtungen konzentriert.
Tabelle: Vergleich der sich überschneidenden EU-Regulierungsauflagen für Cybersicherheitsteams
Quelle: Cyberday.ai Vergleich der Cybersicherheitsrahmenwerke der EU
Die DSGVO schützt personenbezogene Daten von Einwohnern der EU und des EWR mit einem Einwilligungsmodell, während der California Consumer Privacy Act (CCPA) Einwohner Kaliforniens mit einem Opt-out-Modell schützt. Die DSGVO gilt weltweit basierend auf dem Standort der betroffenen Person. Der CCPA gilt für Unternehmen, die bestimmte Umsatz- oder Datenvolumenschwellen innerhalb Kaliforniens erreichen. Die Strafen der DSGVO sind deutlich höher, und die Definition der DSGVO für personenbezogene Daten ist weiter gefasst als die Definition des CCPA für personenbezogene Informationen.
Die Daten von IBM für 2025 ergaben, dass Verstöße gegen die Schatten-KI die durchschnittlichen Kosten um 670.000 US-Dollar erhöhten. Unternehmen, die KI-Systeme einsetzen, unterliegen doppelten Verpflichtungen sowohl gemäß der DSGVO als auch gemäß dem EU-KI-Gesetz, insbesondere in Bezug auf das Training von KI mit personenbezogenen Daten, Bestimmungen zur automatisierten Entscheidungsfindung gemäß Artikel 22 und Transparenzanforderungen. Die Sichtbarkeit der KI-Datenflüsse auf Netzwerkebene ist für die gleichzeitige Verwaltung beider Rahmenwerke unerlässlich.
Diese Checkliste priorisiert Sicherheitsanforderungen neben Dokumentationspflichten. Vierteljährliche Compliance-Audits, die jeden Bereich abdecken, tragen dazu bei, die kontinuierliche Compliance aufrechtzuerhalten.
Es gibt keine offizielle „DSGVO-Konformitätsbescheinigung“, die von EU-Behörden ausgestellt wird. Artikel 42 ermöglicht es jedoch zugelassenen Zertifizierungsstellen, Zertifizierungen anzubieten, die die Einhaltung bestimmter Aspekte der DSGVO nachweisen. ISO 27001- und ISO 27701-Zertifizierungen werden häufig als Nachweis verwendet.
Die DSGVO-Compliance-Landschaft verändert sich im Jahr 2026 schneller als jemals zuvor seit Inkrafttreten der Verordnung. Drei Entwicklungen werden die Prioritäten im Bereich Sicherheitsmaßnahmen in den nächsten 12 bis 24 Monaten prägen.
Das Ergebnis des Digital Omnibus wird die Meldepflicht bei Datenschutzverletzungen neu definieren. Wenn die vorgeschlagene Verlängerung der Meldefrist von 72 auf 96 Stunden angenommen wird, haben Unternehmen mehr Zeit für die Untersuchung, aber die Konsolidierung nach dem Prinzip „einmal melden, mehrfach teilen“ in NIS2, DSGVO, DORA und eIDAS erfordert eine einheitliche Infrastruktur für die Meldung von Vorfällen. Unternehmen sollten Workflows für die Erkennung und Meldung von Vorfällen entwickeln, die über die aktuellen Anforderungen hinausgehen – anstatt sich nur an die gesetzlichen Mindestanforderungen anzupassen –, damit jede Änderung des Zeitplans zu einem operativen Vorteil wird und nicht zu einem Grund für Verzögerungen.
Die KI-Governance wird untrennbar mit dem Datenschutz verbunden sein. Die Fristen für die Umsetzung des EU-KI-Gesetzes entwickeln sich weiter, wobei die Anforderungen für Hochrisikosysteme nun auf Dezember 2027 ausgerichtet sind. Unternehmen, die KI zur Verarbeitung personenbezogener Daten einsetzen, sehen sich mit konvergierenden Verpflichtungen sowohl gemäß der DSGVO als auch gemäß dem KI-Gesetz konfrontiert. Schatten-KI – die bereits für 20 % der Verstöße und zusätzliche Kosten in Höhe von 670.000 USD pro Vorfall verantwortlich ist – wird mit der zunehmenden Verbreitung von KI weiter zunehmen. Die Überwachung auf Netzwerkebene, die unbefugte KI-Datenflüsse erkennt, wird sich von einer bewährten Praxis zu einer Compliance-Anforderung entwickeln.
Die Infrastruktur zur Erkennung von Sicherheitsverletzungen wird nicht mehr nur eine bewährte Praxis sein, sondern eine regulatorische Anforderung. Der Anstieg der täglichen Meldungen von Sicherheitsverletzungen um 22 % auf 443 pro Tag im Jahr 2025 spiegelt die zunehmende Reife der Erkennungssysteme in Unternehmen wider. Aufsichtsbehörden erwarten zunehmend, dass Unternehmen proaktive Erkennungsfähigkeiten nachweisen und nicht nur reaktive Meldeprozesse. Investitionen in kontinuierliche Überwachung, Verhaltensanalysen und automatisierte Triage werden sich gleichzeitig in Bezug auf die DSGVO, NIS2 und neue Rahmenwerke auszahlen.
Unternehmen wechseln von regelmäßigen, auf Checklisten basierenden Compliance-Bewertungen zu einer kontinuierlichen Compliance-Strategie, die auf Erkennungs- und Reaktionsfähigkeiten basiert. Die effektivsten Programme integrieren Compliance- und Sicherheitsabläufe und nutzen automatisierte Erkennung, um Compliance-Prozesse auszulösen, anstatt sie als separate Arbeitsabläufe zu behandeln.
Diese Veränderung spiegelt eine breitere Anerkennung innerhalb der Branche wider: Die Sicherheitsbestimmungen der Verordnung (insbesondere Artikel 32) verlangen fortlaufende technische Fähigkeiten und keine punktuelle Überprüfung. Die Erkennung von Bedrohungen in Echtzeit, die Zuordnung dieser Erkennungen zu Compliance-Verpflichtungen und die Generierung von auditfähigen Nachweisen in diesem Prozess unterscheiden ausgereifte Compliance-Programme von solchen, die Verstöße erst Wochen oder Monate nach ihrem Auftreten entdecken.
Die „Assume-Compromise“-Philosophie Vectra AI steht in direktem Einklang mit der Anforderung der DSGVO, Verstöße zu erkennen und darauf zu reagieren. Anstatt Compliance als reine Dokumentationsaufgabe zu betrachten, nutzt der „Detection-First“-Ansatz Attack Signal Intelligence Bedrohungen für personenbezogene Daten in Echtzeit in hybriden Umgebungen zu identifizieren – über Netzwerke, cloud, Identität und SaaS hinweg. Dies reduziert die durchschnittliche Erkennungszeit um mehr als 50 % und erhöht die proaktiv identifizierten Bedrohungen um 52 % (IDC), was die operativen Anforderungen der Artikel 32 und 33 direkt unterstützt. Wenn Unternehmen Bedrohungen schneller erkennen können, bleibt ihnen das 72-Stunden-Fenster für die Untersuchung und Reaktion erhalten, anstatt es für die Erkennung zu verbrauchen. Die SOC-Plattform integriert Erkennung, Triage und Untersuchung in einen einzigen Workflow, der direkt dem von der DSGVO geforderten Prozess von der Erkennung bis zur Benachrichtigung entspricht.
Die Einhaltung der DSGVO ist keine einmalige Leistung. Es handelt sich um eine fortlaufende operative Fähigkeit, die eine kontinuierliche Erkennung von Bedrohungen, eine strukturierte Reaktion auf Vorfälle und die Fähigkeit zur Anpassung an sich ändernde regulatorische Rahmenbedingungen erfordert. Der Anstieg der Meldungen über Datenschutzverletzungen um 22 % im Jahr 2025, die Strafzahlungen in Höhe von 1,2 Milliarden Euro und der anstehende Vorschlag für ein digitales Omnibusgesetz sind allesamt Anzeichen dafür, dass die Aufsichtsbehörden von den Unternehmen mehr erwarten – und nicht weniger.
Für Sicherheitsteams ist der Weg klar: Sie müssen Erkennungsfunktionen entwickeln, die über die gesetzlichen Fristen hinausgehen, Sicherheitskontrollen über sich überschneidende Frameworks hinweg abbilden und Compliance als integrierten Bestandteil der Sicherheitsmaßnahmen betrachten, anstatt sie als separate Dokumentationsaufgabe zu behandeln. Unternehmen, die heute in eine auf Erkennung ausgerichtete Sicherheit investieren, sind besser für künftige regulatorische Änderungen gerüstet.
Entdecken Sie, wie die Netzwerküberwachungs- und Reaktionsfunktionen Vectra AI die Einhaltung der DSGVO und umfassendere Sicherheitsanforderungen unterstützen.
GDPR-Konformität bedeutet, dass eine Organisation alle Anforderungen der EU-Datenschutz-Grundverordnung für die Erhebung, Verarbeitung, Speicherung und den Schutz personenbezogener Daten von EU- und EWR-Bürgern erfüllt. Dazu gehören die Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen gemäß Artikel 32, die Schaffung rechtmäßiger Grundlagen für alle Datenverarbeitungsaktivitäten, die Führung von Aufzeichnungen über Verarbeitungsaktivitäten gemäß Artikel 30 und der Aufbau von Fähigkeiten zur Reaktion auf Vorfälle, die eine Benachrichtigung über Verstöße innerhalb von 72 Stunden gemäß Artikel 33 ermöglichen. Die Einhaltung der Vorschriften geht über die Dokumentation hinaus und umfasst auch aktive Sicherheitsmaßnahmen – Unternehmen müssen nachweisen, dass sie Verstöße erkennen, deren Auswirkungen bewerten und den Aufsichtsbehörden spezifische Details über Umfang und Abhilfemaßnahmen melden können. Seit Inkrafttreten der DSGVO im Mai 2018 haben die europäischen Aufsichtsbehörden Bußgelder in Höhe von insgesamt 7,1 Milliarden Euro verhängt, was unterstreicht, dass die Durchsetzung fortgesetzt und intensiviert wird.
Die sieben Grundsätze gemäß Artikel 5 lauten: Rechtmäßigkeit, Fairness und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; sowie Rechenschaftspflicht. Diese Grundsätze gelten für alle Aktivitäten zur Verarbeitung personenbezogener Daten und bilden die Grundlage für die Einhaltung der DSGVO. Der sechste Grundsatz – Integrität und Vertraulichkeit – ist für Sicherheitsteams besonders relevant, da er „angemessene Sicherheitsmaßnahmen” vorschreibt, darunter Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung. Artikel 32 konkretisiert diesen Grundsatz weiter, indem er spezifische technische Maßnahmen vorschreibt, darunter Verschlüsselung, Pseudonymisierung und die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme zu gewährleisten. Organisationen, die sich nur auf die Verwaltung und Dokumentation von Einwilligungen konzentrieren, ohne die Sicherheitsgrundsätze zu berücksichtigen, sind einem erheblichen Durchsetzungsrisiko ausgesetzt.
Ja. Die DSGVO gilt für alle Organisationen weltweit, die Waren oder Dienstleistungen für Einwohner der EU oder des EWR anbieten oder deren Verhalten überwachen, unabhängig davon, wo sich die Organisation physisch befindet. US-Unternehmen, die Daten von EU-Kunden verarbeiten, Besucher von EU-Websites durch Analysen oder Cookies verfolgen, Arbeitnehmer mit Sitz in der EU beschäftigen oder an Kunden in EU-Mitgliedstaaten verkaufen, müssen die DSGVO einhalten. Artikel 3 legt diese extraterritoriale Reichweite ausdrücklich fest. US-Unternehmen, die der DSGVO unterliegen, müssen einen Vertreter in der EU benennen und müssen je nach Art und Umfang ihrer Datenverarbeitungsaktivitäten möglicherweise einen Datenschutzbeauftragten ernennen. Der Durchsetzungsmechanismus funktioniert durch die Zusammenarbeit zwischen den Aufsichtsbehörden der EU und internationalen Rechtsrahmen, und es wurden bereits erfolgreich Geldbußen gegen Nicht-EU-Organisationen verhängt.
Artikel 33 verpflichtet Organisationen, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, es sei denn, die Verletzung führt wahrscheinlich nicht zu einer Gefährdung der Rechte und Freiheiten von Personen. Die Benachrichtigung muss vier Elemente enthalten: die Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen, den Datenschutzbeauftragten oder eine andere Kontaktstelle, die wahrscheinlichen Folgen der Verletzung und die Maßnahmen, die zur Behebung und Minderung der Verletzung ergriffen oder vorgeschlagen wurden. Die 72-Stunden-Frist beginnt mit dem Zeitpunkt der „Kenntnisnahme” und nicht mit dem Zeitpunkt, zu dem die Verletzung stattgefunden hat. Diese Unterscheidung macht Erkennungsfähigkeiten entscheidend – Organisationen mit einer längeren mittleren Erkennungszeit (MTTD) haben weniger Zeit für die Untersuchung und Benachrichtigung innerhalb des 72-Stunden-Fensters. Der Vorschlag für ein EU-Digital-Omnibus-Gesetz würde diese Frist auf 96 Stunden verlängern, wenn er angenommen wird, allerdings läuft die Konsultation noch bis zum 11. März 2026.
Die DSGVO sieht in Artikel 83 eine zweistufige Bußgeldstruktur vor. Verstöße der unteren Stufe – darunter Versäumnisse bei der Aufbewahrung von Aufzeichnungen, unzureichende Sicherheitsmaßnahmen und Verstöße gegen Verarbeitungsvereinbarungen – können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Verstöße der oberen Stufe – darunter Verstöße gegen die Grundsätze der Datenverarbeitung, unrechtmäßige Datenübermittlungen und Verstöße gegen die Rechte der betroffenen Personen – können mit Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. In der Praxis wurde die Verordnung konsequent durchgesetzt: Allein im Jahr 2025 wurden Bußgelder in Höhe von 1,2 Milliarden Euro verhängt, wobei TikTok mit 530 Millionen Euro die höchste Einzelstrafe erhielt, weil es EWR-Nutzerdaten ohne angemessene Schutzmaßnahmen nach China übertragen hatte. Über finanzielle Sanktionen hinaus können die Aufsichtsbehörden Unternehmen anweisen, ihre Verarbeitungsaktivitäten vollständig einzustellen, was für den Betrieb verheerende Folgen haben kann.
Die DSGVO schützt personenbezogene Daten von Einwohnern der EU und des EWR anhand eines Opt-in-Modells, während der California Consumer Privacy Act Einwohner Kaliforniens anhand eines Opt-out-Modells schützt. Die DSGVO gilt weltweit basierend auf dem Standort der betroffenen Person – jede Organisation weltweit, die Daten von EU-Bürgern verarbeitet, muss diese einhalten. Der CCPA gilt für Unternehmen, die bestimmte Umsatzschwellen (25 Millionen US-Dollar Jahresumsatz) oder Datenvolumenschwellen innerhalb Kaliforniens erreichen. Die Definition von personenbezogenen Daten in der DSGVO ist weiter gefasst und umfasst ausdrücklich IP-Adressen, Cookie-Identifikatoren und Geräte-IDs. Die Strafen der DSGVO sind deutlich höher (bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes) als die Strafen des CCPA (bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß). Beide Vorschriften gewähren Einzelpersonen Rechte an ihren Daten, aber die DSGVO bietet umfassendere Rechte, einschließlich der Datenübertragbarkeit und des Rechts auf Einschränkung der Verarbeitung.
Die Kosten für die Einhaltung der Vorschriften variieren stark je nach Größe der Organisation, Branche, Komplexität der Datenverarbeitung und aktuellem Sicherheitsniveau. Die Schätzungen für die anfängliche Implementierung reichen von etwa 100.000 US-Dollar für kleinere Unternehmen bis zu 1 Million US-Dollar oder mehr für große Unternehmen, wobei die laufenden jährlichen Kosten für die Aufrechterhaltung der Compliance zwischen 150.000 und 500.000 US-Dollar oder mehr liegen. Einige Branchenumfragen geben Gesamtkosten für die Compliance von 1,3 Millionen bis 25 Millionen US-Dollar für große Unternehmen an, wobei die Methodik der Umfragen jedoch erheblich variiert. Die Kosten der Nichteinhaltung übersteigen in der Regel die Investitionen in die Einhaltung bei weitem – allein im Jahr 2025 wurden in der EU Bußgelder in Höhe von 1,2 Milliarden Euro verhängt, und 32 % der Unternehmen, die gegen die Vorschriften verstoßen haben, mussten Bußgelder zahlen. Unternehmen sollten die Ausgaben für die Einhaltung der Vorschriften eher als Risikominderung denn als reine Kosten betrachten, insbesondere angesichts der Tatsache, dass die Kosten für Verstöße im Jahr 2025 weltweit durchschnittlich 4,44 Millionen US-Dollar und in den Vereinigten Staaten 10,22 Millionen US-Dollar betrugen.