DSGVO-Compliance für Unternehmen



Dr. Sener Dincer

Rechtsanwalt

Zuletzt aktualisiert

23. April 2026 • 18 Min Lesezeit

Das Wichtigste in Kürze

Für wen gilt die DSGVO und wer trägt die Beweislast?: Wer Kundendaten speichert, Mitarbeiterdaten verwaltet oder Cloud-Dienste nutzt, unterliegt der Datenschutz-Grundverordnung (DSGVO) und muss nach Art. 5 Abs. 2 DSGVO selbst belegen, dass er die Vorschriften einhält - die Beweislast liegt beim Unternehmen.
Wie hoch sind die DSGVO-Bußgelder 2025 in Deutschland?: Deutsche Behörden verhängten 2025 Bußgelder von rund 690 Millionen Euro, und seit März 2025 können auch Mitbewerber DSGVO-Verstöße per Abmahnung verfolgen.
Welche Risiken entstehen aus DSGVO, KI-Verordnung und NIS2?: Standardlösungen reichen nicht mehr aus - das Zusammenspiel von DSGVO, KI-Verordnung und NIS2 erfordert eine individuelle Prüfung der Compliance-Struktur.

Individuelle Prüfung

Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.

Soforthilfe anfragen Artikel weiterlesen

Die Datenschutz-Grundverordnung betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet - unabhängig von Branche oder Größe.

Wer Kundendaten speichert, Mitarbeiterdaten verwaltet oder Cloud-Dienste nutzt, unterliegt den Anforderungen der DSGVO. Trotzdem zeigt die Praxis: Viele Unternehmen unterschätzen den Umfang ihrer Pflichten, bis eine Abmahnung, ein Behördenschreiben oder die Forderung eines Geschäftspartners nach Compliance-Nachweisen eintrifft.

DSGVO-Compliance bedeutet nicht nur, eine Datenschutzerklärung auf die Website zu stellen. Sie erfordert ein systematisches Zusammenspiel aus rechtlichen, technischen und organisatorischen Maßnahmen, das laufend aktualisiert werden muss.

Dieser Ratgeber beantwortet drei Fragen:

Welche konkreten Pflichten haben Unternehmen nach der DSGVO, und wann wird ein Datenschutzbeauftragter zur Pflicht?
Welche Sanktionen drohen bei Verstößen - von Bußgeldern über Abmahnungen bis zur persönlichen Geschäftsführerhaftung?
Wie setzen Unternehmen die Anforderungen technisch und organisatorisch um, und welche neuen Vorschriften kommen 2026 hinzu?

Was bedeutet DSGVO-Compliance für Unternehmen?

DSGVO-Compliance bezeichnet die vollständige Einhaltung aller Pflichten, die die Datenschutz-Grundverordnung Unternehmen auferlegt.

Der Begriff umfasst weit mehr als einzelne Maßnahmen wie ein Cookie-Banner oder eine Datenschutzerklärung - er beschreibt einen fortlaufenden Prozess aus Dokumentation, technischer Absicherung und organisatorischer Verankerung des Datenschutzes im Unternehmen.

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten.

In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) ergänzt, das nationale Spielräume der Verordnung ausfüllt.

Unternehmen müssen beide Regelwerke kennen und umsetzen.

Abgrenzung von Datenschutz und DSGVO-Compliance

Datenschutz ist das übergeordnete Prinzip - der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

DSGVO-Compliance ist die konkrete Umsetzung dieses Prinzips nach den Vorgaben der Verordnung. Der Unterschied ist praktisch relevant: Ein Unternehmen kann Datenschutz ernst nehmen, ohne alle formalen DSGVO-Anforderungen zu erfüllen. Umgekehrt schützt die bloße Existenz von Dokumenten nicht vor Verstößen, wenn die dahinterliegenden Prozesse fehlen.

Rechenschaftspflicht als Grundprinzip

Nach Art. 5 Abs. 2 DSGVO trägt der Verantwortliche die Rechenschaftspflicht: Er muss nicht nur die Grundsätze der Verarbeitung einhalten, sondern deren Einhaltung auch nachweisen können.

Diese Beweislastumkehr ist ein zentrales Prinzip der DSGVO. Nicht die Behörde muss dem Unternehmen einen Verstoß nachweisen - das Unternehmen muss belegen, dass es die Vorschriften einhält. Wer keine Dokumentation vorweisen kann, verstößt bereits gegen die Verordnung.

Wen betrifft die DSGVO wirklich?

Die DSGVO kennt keine Größenbeschränkung. Sie gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet - vom Einzelunternehmer bis zum Konzern.

Personenbezogene Daten sind dabei weiter gefasst, als viele annehmen: Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Kundennummer oder Bestellhistorie fallen darunter.

Welche Daten konkret im eigenen Unternehmen anfallen und welche Risiken damit verbunden sind, zeigt ein systematisches Datenschutz-Audit.

Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung, soweit diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Praktisch bedeutet das: Wer Kundenadressen in einer Tabelle führt, Bewerbungsunterlagen digital speichert oder einen Newsletter versendet, verarbeitet personenbezogene Daten im Sinne der DSGVO.

Die verbreitete Annahme, kleine Unternehmen seien von der DSGVO ausgenommen, ist falsch.

Welche Pflichten haben Unternehmen nach der DSGVO?

Unternehmen treffen umfangreiche Pflichten, die über das bloße Einholen von Einwilligungen hinausgehen.

Die DSGVO verlangt ein systematisches Datenschutzmanagement, das Rechtsgrundlagen prüft, Verarbeitungstätigkeiten dokumentiert, Betroffenenrechte gewährleistet und technische Schutzmaßnahmen implementiert.

Die folgenden Abschnitte behandeln die Kernpflichten, an denen kein Unternehmen vorbeikommt.

Rechtsgrundlagen für die Datenverarbeitung richtig wählen

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage.

Ohne eine solche Grundlage ist die Verarbeitung rechtswidrig - unabhängig davon, wie sorgfältig das Unternehmen technisch vorgeht.

Art. 6 Abs. 1 DSGVO nennt sechs Rechtsgrundlagen, auf die eine Verarbeitung gestützt werden kann: Einwilligung der betroffenen Person, Erfüllung eines Vertrags, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung öffentlicher Aufgaben und Wahrung berechtigter Interessen des Verantwortlichen.

Ein häufiger Fehler ist die Annahme, dass Einwilligung die einzige oder wichtigste Rechtsgrundlage sei.

Für viele betriebliche Verarbeitungen ist die Vertragserfüllung die richtige Grundlage: Wer eine Bestellung aufgibt, dessen Adressdaten dürfen zur Lieferung verarbeitet werden - dafür braucht es keine separate Einwilligung.

Für die Lohnabrechnung ist die Erfüllung rechtlicher Pflichten die Grundlage.

Und für Maßnahmen zur Betrugsprävention kommt oft das berechtigte Interesse in Betracht.

Die folgende Übersicht zeigt, welche Rechtsgrundlage für typische Unternehmensszenarien passt:

 Wischen

Verarbeitungszweck	Einwilligung nötig?	Typische Rechtsgrundlage
Bestellabwicklung und Lieferung	Nein	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Lohn- und Gehaltsabrechnung	Nein	Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Newsletter-Versand	Ja, mit Double-Opt-In	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Website-Analyse mit Tracking	Ja, aktives Opt-In	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Videoüberwachung im Betrieb	Nein, aber Interessenabwägung	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Bewerbungsunterlagen speichern	Nein, aber befristet	Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO)

Entscheidend ist, dass die Rechtsgrundlage vor Beginn der Verarbeitung festgelegt und dokumentiert wird.

Ein nachträglicher Wechsel der Rechtsgrundlage ist nur in engen Grenzen möglich.

Verzeichnis von Verarbeitungstätigkeiten führen

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das zentrale Compliance-Dokument jedes Unternehmens. Es bildet die Grundlage für Behördenprüfungen, Datenschutz-Folgenabschätzungen und die Beantwortung von Betroffenenanfragen.

Nach Art. 30 Abs. 1 DSGVO muss jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen, das den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen enthält.

Für das VVT gibt es keine Formvorschrift - es kann als Tabelle, Datenbank oder in spezialisierter Software geführt werden.

Entscheidend ist die Vollständigkeit und Aktualität. In der Praxis scheitern viele Unternehmen daran, das Verzeichnis nach der Erstanlage regelmäßig zu aktualisieren.

Dabei ist gerade die laufende Pflege entscheidend: Jeder neue Dienstleister, jedes neue Tool und jede geänderte Verarbeitung muss im VVT dokumentiert werden.

Das VVT dient gleichzeitig als Nachweis gegenüber der Aufsichtsbehörde.

Bei einer Prüfung ist es häufig das erste Dokument, das angefordert wird.

Wer keines vorweisen kann, verletzt bereits die Rechenschaftspflicht.

Wann ein Datenschutzbeauftragter bestellt werden muss

Die Bestellung eines Datenschutzbeauftragten (DSB) ist für viele Unternehmen Pflicht - aber die Schwelle wird häufig falsch eingeschätzt.

Nach § 38 Abs. 1 BDSG müssen Unternehmen einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Diese deutsche Schwelle geht über die DSGVO hinaus, die in Art. 37 nur bei bestimmten Verarbeitungsarten einen DSB verlangt.

Unabhängig von der Mitarbeiterzahl ist ein DSB immer dann Pflicht, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht - etwa Gesundheitsdaten bei Arztpraxen oder biometrische Daten bei Sicherheitsunternehmen.

Art. 37 Abs. 1 lit. b und c DSGVO verlangt die Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Eine geplante BDSG-Reform sieht vor, die deutsche Sonderregelung des § 38 BDSG zu streichen und die DSB-Pflicht auf die Vorgaben der DSGVO zu beschränken.

Der Gesetzgebungsprozess läuft, ist aber noch nicht abgeschlossen.

Bis dahin gilt die aktuelle Schwelle von zwanzig Personen.

Der DSB kann intern oder extern bestellt werden. Interne DSB genießen besonderen Kündigungsschutz. Externe DSB bieten den Vorteil breiterer Erfahrung und vermeiden Interessenkonflikte, die entstehen können, wenn etwa der IT-Leiter gleichzeitig als DSB fungiert.

Auftragsverarbeitungsverträge mit Dienstleistern abschließen

Verarbeitet ein externer Dienstleister Daten als Auftragsverarbeiter, ist nach Art. 28 Abs. 3 DSGVO ein Vertrag zwingend vorgeschrieben.

Das betrifft praktisch jede Auslagerung: Lohnbuchhaltung, Cloud-Speicher, E-Mail-Marketing, Webhosting oder die Nutzung von Analyse-Tools.

Nach Art. 28 Abs. 3 DSGVO muss die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags erfolgen, der unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt.

Der AVV muss konkrete Weisungsrechte, Vertraulichkeitspflichten, Unterstützungspflichten bei Betroffenenanfragen, Regelungen zu Unterauftragsverarbeitern und Löschpflichten nach Vertragsende enthalten.

Standardvorlagen der Dienstleister reichen oft nicht aus - sie müssen auf die konkrete Verarbeitungssituation angepasst und regelmäßig überprüft werden.



Bußgeldrisiko bei mangelhafter Auftragsverarbeiter-Kontrolle

Das Vodafone-Bußgeld von 2025 zeigt die Konsequenzen: 15 Millionen Euro verhängte die Bundesbeauftragte für den Datenschutz, weil über Jahre hinweg keine wirksamen Prozesse zur Auswahl, Auditierung und laufenden Kontrolle von Partneragenturen bestanden.

Für eine vertiefte Darstellung der Anforderungen an Auftragsverarbeitungsverträge, insbesondere zu Mindestinhalten, Prüfpflichten und typischen Fehlerquellen, empfiehlt sich der Ratgeber Auftragsverarbeitungsvertrag: Was Unternehmen 2026 wissen müssen.

Betroffenenrechte gewährleisten

Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein, die Unternehmen aktiv gewährleisten müssen.

Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft über diese Daten, die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger, die geplante Speicherdauer und die bestehenden Rechte zu erhalten.

In der Praxis bereitet insbesondere das Löschrecht Schwierigkeiten.

Der Europäische Datenschutzausschuss (EDPB) hat in seiner koordinierten Durchsetzungsaktion 2025 festgestellt, dass viele Unternehmen nicht über dokumentierte Verfahren zum Umgang mit Löschungsanfragen verfügen.

Betroffene verlangen zunehmend die Löschung ihrer Daten, und Unternehmen müssen innerhalb eines Monats reagieren.

Entscheidend ist, dass interne Prozesse stehen, bevor die erste Anfrage eintrifft: Wer nimmt Anfragen entgegen? Wie wird die Identität des Anfragenden geprüft? In welchen Systemen werden die Daten gelöscht? Wie wird die Löschung dokumentiert? Unternehmen, die auf diese Fragen keine Antwort haben, geraten bei einer Behördenprüfung in Erklärungsnot.

Datenpannen richtig melden

Datenschutzverletzungen - ob durch Hackerangriff, versehentlichen E-Mail-Versand oder verlorene Datenträger - treffen jedes Unternehmen irgendwann. Entscheidend ist die korrekte Reaktion innerhalb enger Fristen.

Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Art. 34 Abs. 1 DSGVO verlangt zusätzlich, dass der Verantwortliche die betroffene Person unverzüglich benachrichtigt, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat.

Die 72-Stunden-Frist beginnt mit dem Zeitpunkt, zu dem das Unternehmen von der Datenpanne Kenntnis erlangt.

In der Praxis bedeutet das: Sobald ein Mitarbeiter eine verdächtige Aktivität bemerkt, muss der Meldeprozess anlaufen.

Aufsichtsbehörden dürfen bei der Festsetzung von DSGVO-Bußgeldern Umstände wie Zeitpunkt und Art der Meldung, Dauer des Verstoßes und Kooperation berücksichtigen; eine verspätete oder unkooperative Meldung kann daher erschwerend wirken. Die Bewertung bleibt einzelfallabhängig.

Jedes Unternehmen sollte deshalb ein dokumentiertes Verfahren zur Reaktion auf Datenschutzvorfälle vorhalten, das klare Zuständigkeiten, Eskalationswege und Meldepflichten definiert.

Die interne Dokumentation des Vorfalls muss unabhängig von der Meldepflicht erfolgen - sie dient als Nachweis gegenüber der Aufsichtsbehörde.

Wann eine Datenschutz-Folgenabschätzung nötig ist

Bei besonders risikoreichen Verarbeitungen verlangt die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) - eine strukturierte Risikoanalyse vor Beginn der Verarbeitung.

Art. 35 Abs. 1 DSGVO bestimmt, dass der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Eine DSFA ist insbesondere erforderlich bei systematischer und umfassender Bewertung persönlicher Aspekte (Profiling), bei umfangreicher Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten, und bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche wie Videoüberwachung.

Die deutschen Aufsichtsbehörden haben zusätzlich eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA zwingend ist.

In der Praxis betrifft das viele Unternehmen, die es nicht erwarten: Wer Kundendaten systematisch auswertet, um Kaufverhalten vorherzusagen, oder wer Leistungsdaten von Mitarbeitern automatisiert analysiert, muss vorab eine DSFA durchführen.

Das Ergebnis bestimmt, ob und unter welchen Bedingungen die Verarbeitung zulässig ist.

Informationspflichten und Datenschutzerklärung

Die DSGVO verlangt eine umfassende Information betroffener Personen über die Verarbeitung ihrer Daten.

In der Praxis manifestiert sich das vor allem in der Datenschutzerklärung der Website, aber auch in Datenschutzhinweisen bei Vertragsschluss, Bewerbungsverfahren oder Videoüberwachung.

Art. 13 DSGVO verpflichtet den Verantwortlichen, betroffene Personen zum Zeitpunkt der Datenerhebung über den Namen und die Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke und Rechtsgrundlagen, gegebenenfalls die berechtigten Interessen, die Empfänger, die Absicht einer Drittlandübermittlung, die Speicherdauer, die Betroffenenrechte und das Beschwerderecht bei einer Aufsichtsbehörde zu informieren.

Veraltete oder unvollständige Datenschutzerklärungen sind eine häufige Schwachstelle: Aufsichtsbehörden beanstanden sie regelmäßig, und sie werden auch häufig als Anlass für wettbewerbsrechtliche Abmahnungen genannt.

Jedes eingesetzte Tool, jede eingebundene Drittanbieter-Ressource und jede Weitergabe an Dritte muss in der Datenschutzerklärung transparent benannt werden.

Bei Änderungen - etwa der Einführung eines neuen Analyse-Tools - muss die Erklärung zeitnah aktualisiert werden.

Welche Sanktionen drohen bei Verstößen gegen die DSGVO?

Die Sanktionslandschaft hat sich seit 2024 erheblich verschärft. Unternehmen müssen nicht mehr nur mit Bußgeldern der Aufsichtsbehörden rechnen, sondern zunehmend auch mit zivilrechtlichen Ansprüchen von Mitbewerbern und Betroffenen. Wer die DSGVO nicht ernst nimmt, riskiert existenzbedrohende finanzielle Folgen.

Bußgelder durch Datenschutzbehörden

Die Bußgeldpraxis der deutschen und europäischen Datenschutzbehörden hat 2025 ein neues Niveau erreicht.

Deutsche Aufsichtsbehörden verhängten 2025 insgesamt 249 Bußgelder; das Gesamtvolumen lag nach verfügbaren Meldungen bei rund 46,9 Mio. EUR. EU-weit wurden insgesamt rund 690 Mio. EUR an DSGVO-Bußgeldern erfasst.

Art. 83 Abs. 5 DSGVO sieht für schwere Verstöße Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher Betrag höher ist.

Die Bußgeldbemessung orientiert sich an Art und Schwere des Verstoßes, an Vorsatz oder Fahrlässigkeit, an den ergriffenen Maßnahmen zur Schadensbegrenzung und an der Kooperationsbereitschaft des Unternehmens.

Die Datenschutzkonferenz hat Ende 2025 ein Merkblatt veröffentlicht, das Verständigungen in Bußgeldverfahren ermöglicht - kooperative Unternehmen können mit Bußgeldminderungen rechnen.

Die größten deutschen Bußgelder der jüngsten Zeit zeigen, wo die Behörden besonders genau hinsehen:

 Wischen

Unternehmen	Bußgeld	Verstoß	Jahr
Vodafone (Sicherheit)	30 Mio. EUR	Unzureichende Authentifizierung	2025
Vodafone GmbH	15 Mio. EUR	Mangelnde Kontrolle von Partneragenturen	2025
H&M	35,3 Mio. EUR	Mitarbeiterüberwachung	2020
Finanzunternehmen	492.000 EUR	Automatisierte Entscheidung ohne Transparenz	2025

Abmahnungen durch Mitbewerber und Verbraucherschutzverbände

Seit 2025 steht fest: DSGVO-Verstöße können nicht nur von Behörden verfolgt werden, sondern auch von Mitbewerbern und Verbraucherschutzverbänden im Wege der wettbewerbsrechtlichen Abmahnung.

Der Bundesgerichtshof hat in seinem Urteil vom 27. März 2025 (Az. I ZR 186/17) entschieden, dass Verbraucherschutzverbände gemäß Art. 80 Abs. 2 DSGVO in Verbindung mit § 3a UWG wegen Verstößen gegen die Informationspflichten der DSGVO Unterlassungsklagen erheben können.

In einem weiteren Urteil vom 27. März 2025 (Az. I ZR 223/19) bestätigte der BGH, dass auch Mitbewerber Datenschutzverstöße wettbewerbsrechtlich verfolgen können, wenn die verletzten DSGVO-Vorschriften zugleich Marktverhaltensregelungen im Sinne des § 3a UWG darstellen.

Dieser zweite Durchsetzungsweg verändert die Risikolandschaft grundlegend. Bislang konnten Unternehmen darauf hoffen, dass die chronisch unterbesetzten Aufsichtsbehörden ihre Verstöße nicht entdecken. Nun können auch Wettbewerber aktiv werden - und sie tun es zunehmend.

Häufige Gegenstände von Abmahnungen sind fehlende oder fehlerhafte Datenschutzerklärungen sowie unzureichende Cookie-Einwilligungen. Die Verarbeitung besonderer Kategorien personenbezogener Daten ohne rechtliche Grundlage stellt einen schwerwiegenden DSGVO-Verstoß dar, führt aber in der Praxis eher zu behördlichen Maßnahmen und Bußgeldern; Belege, dass dies regelmäßig Gegenstand von Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände ist, sind weniger eindeutig.

Ausführliche Informationen zur BGH-Entscheidung und ihren Auswirkungen auf die Praxis finden Sie im Beitrag BGH erlaubt DSGVO-Abmahnung durch Mitbewerber.

Schadensersatzansprüche betroffener Personen

Betroffene Personen können bei Datenschutzverstößen Schadensersatz verlangen - und der EuGH hat die Hürden dafür deutlich gesenkt.

Der Europäische Gerichtshof hat in seiner Entscheidung vom 4. September 2025 (Rs. C-655/23) klargestellt, dass bereits der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines DSGVO-Verstoßes einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann, ohne dass eine Bagatellgrenze erreicht werden muss.

In seiner Entscheidung vom 4. Mai 2023 (Rs. C-300/21, Österreichische Post) hat der EuGH festgestellt, dass nationale Regelungen, die immaterielle Schadensersatzansprüche von einer Erheblichkeitsschwelle abhängig machen, gegen Art. 82 Abs. 1 DSGVO verstoßen.

Für Unternehmen bedeutet das: Bereits eine unrechtmäßige Datenverarbeitung ohne konkreten Missbrauch kann zu Schadensersatzforderungen führen.

Das OLG Düsseldorf sprach im Urteil 16 U 83/24 vom 10. Juli 2025 einen Schadensersatz von 200 Euro zu, während das OLG Dresden im Urteil 4 U 198/25 vom 14. Juli 2025 250 Euro zusprach.

Die Gefahr liegt jedoch in der Masse: Bei Datenpannen mit tausenden Betroffenen summieren sich auch kleine Einzelbeträge zu erheblichen Summen.

Persönliche Haftung der Geschäftsführung

Die persönliche Haftung der Geschäftsführung für Datenschutzverstöße gewinnt zunehmend an Bedeutung - insbesondere durch die Verzahnung von DSGVO und neuen Cybersicherheitsvorschriften.

Die NIS-2-Richtlinie, die seit Dezember 2025 über das deutsche NIS2-Umsetzungsgesetz verbindlich ist, führt eine ausdrückliche persönliche Verantwortung des Managements für die Cybersicherheit ein.

Geschäftsleitungen müssen Sicherheitsstrategien verabschieden, deren Umsetzung überwachen und sich regelmäßig berichten lassen.

Eine vollständige Delegation an den IT-Leiter oder einen externen Dienstleister ist nicht mehr möglich.

Auch unabhängig von NIS2 haften Geschäftsführer über die allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten: Wer als Geschäftsführer die DSGVO-Compliance vernachlässigt und dadurch ein Bußgeld provoziert, kann dem Unternehmen gegenüber persönlich schadensersatzpflichtig sein.

Wie setzen Unternehmen die DSGVO technisch um?

Die DSGVO verlangt nicht nur rechtliche Dokumentation, sondern auch eine technische Umsetzung, die dem Stand der Technik entspricht.

Die technischen und organisatorischen Maßnahmen bilden das operative Rückgrat jeder DSGVO-Compliance. Gleichzeitig müssen Unternehmen ihre Einwilligungsprozesse, Drittlandtransfers und den Umgang mit neuen Technologien im Griff haben.

Technische und organisatorische Maßnahmen richtig umsetzen

Technische und organisatorische Maßnahmen (TOMs) sind die konkreten Schutzmaßnahmen, die ein Unternehmen zum Schutz personenbezogener Daten ergreift.

Sie müssen dem Risiko der jeweiligen Verarbeitung angemessen sein.

Art. 32 Abs. 1 DSGVO verlangt, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Konkret umfassen TOMs unter anderem:

Verschlüsselung und Pseudonymisierung - personenbezogene Daten sollten bei Übertragung und Speicherung verschlüsselt werden
Zugangskontrolle - nur autorisierte Mitarbeiter erhalten Zugriff auf die für ihre Arbeit notwendigen Daten
Datensicherung und Wiederherstellung - regelmäßige Sicherungskopien mit dokumentiertem Wiederherstellungsverfahren
Protokollierung - nachvollziehbare Dokumentation, wer wann auf welche Daten zugegriffen hat
Mitarbeiterschulungen - regelmäßige Sensibilisierung für Datenschutzrisiken und korrektes Verhalten bei Datenpannen
Verfahren zur Reaktion auf Datenschutzvorfälle - dokumentierter Ablauf für den Umgang mit Datenschutzverletzungen

Die TOMs müssen regelmäßig überprüft und an neue Bedrohungen angepasst werden.

Ein statisches Sicherheitskonzept, das seit Jahren unverändert besteht, erfüllt die DSGVO-Anforderungen nicht.

Gerade das Vodafone-Verfahren von 2025 verdeutlicht: 30 Millionen Euro Bußgeld wegen Sicherheitsmängeln beim Authentifizierungsprozess.

Schwachstellen in der technischen Infrastruktur sind kein theoretisches Risiko, sondern ein konkreter Bußgeldgrund.

Die rechtmäßige Einholung und Verwaltung von Einwilligungen ist ein Dauerbrenner der DSGVO-Compliance. Besonders beim Cookie-Consent auf Websites bestehen viele Unsicherheiten.

Art. 7 Abs. 1 DSGVO verlangt, dass der Verantwortliche nachweisen kann, dass die betroffene Person in die Verarbeitung eingewilligt hat. Die Einwilligung muss freiwillig, informiert, für den bestimmten Fall und unmissverständlich abgegeben werden.

Der Widerruf der Einwilligung muss jederzeit und tatsächlich zugänglich sein.



Stille ist keine Einwilligung

Ein verbreiteter Irrtum ist, dass das Ignorieren eines Cookie-Banners als Zustimmung gilt. Solange ein Nutzer nicht aktiv auf “Akzeptieren” geklickt hat, dürfen keine nicht-essentiellen Cookies gesetzt werden. Websites, die Tracking-Cookies auch ohne aktive Zustimmung laden, verstoßen gegen die DSGVO.

Datentransfer in Drittländer rechtssicher gestalten

Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) unterliegt besonderen Anforderungen.

Für viele Unternehmen ist das praktisch relevant, weil sie Cloud-Dienste, Kundenverwaltungssysteme oder Kommunikationstools nutzen, deren Server in den USA stehen.

Art. 44 DSGVO bestimmt, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn der Verantwortliche oder Auftragsverarbeiter die in der Verordnung niedergelegten Bedingungen einhält, insbesondere das Vorliegen eines Angemessenheitsbeschlusses, geeigneter Garantien oder ausnahmsweise geltender Abweichungen.

Für Übermittlungen in die USA existiert seit Juli 2023 das EU-US Data Privacy Framework (DPF).

Unternehmen dürfen Daten an US-Empfänger übermitteln, die sich unter dem DPF zertifiziert haben.

Allerdings wurde gegen die Gültigkeit des DPF ein Rechtsmittel beim EuGH eingelegt, das eine erneute Ungültigerklärung - ein sogenanntes “Schrems III”-Szenario - herbeiführen könnte.

Unternehmen sollten sich deshalb nicht allein auf das DPF verlassen, sondern zusätzlich Standardvertragsklauseln (SCCs) vereinbaren und ein Transfer Impact Assessment durchführen.

Dieses dokumentiert, ob im Empfängerland ein angemessenes Schutzniveau gewährleistet ist und welche zusätzlichen Schutzmaßnahmen ergriffen werden.

Für Übermittlungen ins Vereinigte Königreich besteht ein Angemessenheitsbeschluss, der im Mai 2025 bis Dezember 2031 verlängert wurde.

Hier sind keine zusätzlichen Garantien erforderlich.

Neue Vorschriften ab 2026 und ihre Auswirkungen auf die DSGVO-Compliance

Das regulatorische Umfeld verdichtet sich. Drei neue Rechtsrahmen beeinflussen die DSGVO-Compliance unmittelbar:

Regulatorische Verdichtung 2025/2026

Neben der DSGVO müssen Unternehmen seit 2025 drei weitere Regelwerke beachten, die sich mit dem Datenschutzrecht überschneiden: die KI-Verordnung, die NIS-2-Richtlinie und den EU Data Act. Das Zusammenspiel dieser Vorschriften erhöht die Compliance-Anforderungen erheblich.

KI-Verordnung (AI Act): Seit August 2025 gelten zentrale Pflichten, die vollständige Anwendung folgt im August 2026.

Für Hochrisiko-KI-Systeme gelten Risikomanagement-, Daten-Governance- und Transparenzpflichten nach Art. 9, 10, 50 Verordnung (EU) 2024/1689.

Die Schnittstelle zur DSGVO ist besonders sensibel: Ob personenbezogene Daten zum Training von KI-Modellen verwendet werden dürfen, hängt von der Rechtsgrundlage ab und muss sorgfältig geprüft werden. Welche datenschutzrechtlichen Pflichten beim Einsatz von KI-Tools konkret gelten, behandelt unser Ratgeber zu KI und Datenschutz.

NIS-2-Richtlinie: Seit Dezember 2025 verbindlich, betrifft sie rund 30.000 Unternehmen in Deutschland.

NIS2 verlangt strukturierte Maßnahmen zur Cybersicherheit, kurze Meldefristen bei Sicherheitsvorfällen und die persönliche Verantwortung der Geschäftsleitung.

Die Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 DSGVO und NIS2 überschneiden sich erheblich. Unternehmen müssen beide Regelwerke integriert umsetzen.

EU Data Act: Seit September 2025 unmittelbar anwendbar, regelt er den Zugang zu Daten, die bei der Nutzung vernetzter Produkte entstehen.

Der Data Act geht über die DSGVO hinaus, weil er auch nicht-personenbezogene Daten erfasst.

Es entsteht ein doppeltes Bußgeldrisiko: Verstöße gegen den Data Act und gegen die DSGVO können parallel geahndet werden.

Häufige Fehlvorstellungen zur DSGVO-Compliance

In der Beratungspraxis zeigen sich immer wieder dieselben Missverständnisse, die zu vermeidbaren Verstößen führen:

“Ein Cookie-Banner macht uns DSGVO-konform.” Das Cookie-Banner regelt nur einen kleinen Ausschnitt der Compliance. Die DSGVO verlangt darüber hinaus Datenschutzerklärungen, Auftragsverarbeitungsverträge, ein Verarbeitungsverzeichnis, technische Schutzmaßnahmen und Prozesse für Betroffenenanfragen und Datenpannen.
“Pseudonymisierte Daten fallen nicht unter die DSGVO.” Pseudonymisierte Daten bleiben personenbezogene Daten, solange eine Zuordnung zu einer natürlichen Person mit zusätzlichen Informationen möglich ist. Nur echte Anonymisierung führt zum Ausschluss aus dem Anwendungsbereich.
“Ohne Beschwerde kein Verstoß.” Datenschutzbehörden können Prüfungen von Amts wegen einleiten, etwa im Rahmen thematischer Fragebogenaktionen. Ein Verstoß existiert unabhängig davon, ob er gemeldet wird.
“Die DSGVO gilt nur für große Unternehmen.” Die Verordnung kennt keine Größenbeschränkung.
Bereits ein Einzelunternehmer, der Kundenadressen in einer Tabelle führt, verarbeitet personenbezogene Daten im Sinne der DSGVO.

DSGVO-Compliance-Checkliste für die Praxis

Die folgende Checkliste fasst die wichtigsten Maßnahmen zusammen, die jedes Unternehmen umsetzen sollte. Sie ersetzt keine individuelle Prüfung, gibt aber eine strukturierte Orientierung.

Rechtsgrundlagen prüfen - für jede Verarbeitungstätigkeit die passende Rechtsgrundlage nach Art. 6 DSGVO dokumentieren
Verarbeitungsverzeichnis anlegen und pflegen - alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Empfängern und Löschfristen erfassen
Datenschutzbeauftragten bestellen - sofern die gesetzliche Schwelle erreicht ist oder besondere Datenkategorien verarbeitet werden
Auftragsverarbeitungsverträge abschließen - mit jedem externen Dienstleister, der personenbezogene Daten verarbeitet, einen AVV vereinbaren und regelmäßig überprüfen
Datenschutzerklärung aktualisieren - alle eingesetzten Tools, Dienste und Weitergaben transparent benennen
Cookie-Consent einrichten - mit gleichwertiger Ablehn-Option auf der ersten Ebene und Protokollierung der Einwilligungen
Technische Schutzmaßnahmen implementieren - Verschlüsselung, Zugangskontrolle, Datensicherung, Protokollierung
Mitarbeiter schulen - regelmäßige Sensibilisierung für Datenschutzrisiken und korrekte Abläufe bei Datenpannen
Verfahren für Datenpannen etablieren - dokumentierter Ablauf mit klaren Meldewegen und der 72-Stunden-Frist
Drittlandtransfers absichern - bei Datenübermittlung außerhalb des EWR Rechtsgrundlage prüfen, SCCs vereinbaren und Transfer Impact Assessments durchführen
Betroffenenrechte gewährleisten - Prozesse für Auskunfts-, Löschungs- und Widerspruchsanfragen einrichten

Wann sich professionelle Unterstützung empfiehlt

Die Komplexität der DSGVO-Compliance übersteigt in vielen Fällen die internen Ressourcen mittelständischer Unternehmen. Professionelle Unterstützung ist insbesondere dann sinnvoll, wenn eine Abmahnung oder ein Behördenschreiben eingegangen ist und kurze Reaktionsfristen laufen, wenn neue Geschäftsmodelle oder Technologien datenschutzrechtlich bewertet werden müssen, wenn ein Datenschutzvorfall eingetreten ist und die Meldepflichten eingehalten werden müssen, oder wenn ein Geschäftspartner oder Investor umfassende Compliance-Nachweise verlangt.

Wer frühzeitig rechtlichen Rat einholt, vermeidet typische Fehler und verbessert die eigene Ausgangslage - sowohl gegenüber Behörden als auch gegenüber Geschäftspartnern. Eine professionelle Datenschutzberatung kann helfen, die individuellen Risiken einzuschätzen und eine belastbare Compliance-Struktur aufzubauen.

Fazit

Die Anforderungen an Unternehmen sind in den vergangenen Jahren deutlich gestiegen. Neben den bewährten Grundpflichten wie Verarbeitungsverzeichnis, Datenschutzerklärung und Auftragsverarbeitungsverträgen sind neue Herausforderungen hinzugetreten: verschärfte Bußgeldpraxis, die zivilrechtliche Durchsetzung durch Mitbewerber und Verbände, erweiterte Schadensersatzansprüche und das Zusammenspiel mit neuen Regelwerken aus dem Bereich Cybersicherheit und Künstliche Intelligenz.

Entscheidend ist, die aktuelle Rechtslage nicht als einmalige Aufgabe zu verstehen, sondern als fortlaufenden Prozess. Dokumentation, technische Absicherung und organisatorische Verankerung müssen regelmäßig überprüft und angepasst werden. Unternehmen, die frühzeitig und systematisch handeln, schützen sich nicht nur vor Sanktionen, sondern schaffen Vertrauen bei Kunden, Geschäftspartnern und Behörden.

Wer unsicher ist, wo das eigene Unternehmen steht, profitiert von einer individuellen Prüfung der bestehenden Datenschutzstruktur. Gerade im Zusammenspiel neuer regulatorischer Anforderungen zeigt sich, dass eine fundierte rechtliche Einschätzung langfristig Risiken minimiert und Handlungssicherheit schafft.

Antworten auf einen Blick

Häufige Fragen

Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.

Ab wann gilt die DSGVO für mein Unternehmen?

Die DSGVO gilt für jedes Unternehmen ab dem ersten verarbeiteten personenbezogenen Datum, unabhängig von Größe, Umsatz oder Branche (Art. 2 Abs. 1, Art. 4 Nr. 7 DSGVO). Bereits das Speichern einer Kundenadresse in einer Tabelle, eine Bewerber-Mailadresse oder das Tracken einer IP-Adresse beim Seitenaufruf löst die volle Verordnungspflicht aus. Nur die nichtautomatisierte Verarbeitung außerhalb strukturierter Dateisysteme fällt nach Art. 2 Abs. 2 DSGVO heraus, was in der Unternehmenspraxis faktisch nie zutrifft. Die Entlastung für Unternehmen unter 250 Beschäftigten aus Art. 30 Abs. 5 DSGVO betrifft ausschließlich das Verzeichnis von Verarbeitungstätigkeiten, nicht Datenschutzerklärung, Auftragsverarbeitungsverträge oder die 72-Stunden-Meldepflicht.

Was ist das Verzeichnis von Verarbeitungstätigkeiten und muss ich es führen?

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert lückenlos jede Datenverarbeitung im Unternehmen und ist für fast alle Verantwortlichen Pflicht (Art. 30 Abs. 1 DSGVO). Es muss Zwecke, Rechtsgrundlagen, Datenkategorien, Empfänger, Löschfristen und die technischen Schutzmaßnahmen je Verarbeitung enthalten; Tabelle, Datenbank oder Spezialsoftware sind formell gleichwertig. Nach Art. 30 Abs. 5 DSGVO entfällt die Pflicht nur für Unternehmen unter 250 Beschäftigten und nur dann, wenn die Verarbeitung nicht regelmäßig erfolgt und keine besonderen Datenkategorien (Gesundheits-, biometrische oder Herkunftsdaten) betrifft. Bei Aufsichtsprüfungen ist das VVT regelmäßig das erste angeforderte Dokument; wer es nicht vorweisen kann, verletzt bereits die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Müssen kleine Unternehmen einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter ist in Deutschland Pflicht, sobald mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG). Unabhängig von dieser Mitarbeiterzahl verlangt Art. 37 Abs. 1 lit. b und c DSGVO einen DSB bei jeder umfangreichen regelmäßigen Überwachung oder bei Kerntätigkeit in besonderen Datenkategorien nach Art. 9 DSGVO - das betrifft etwa Arztpraxen mit Gesundheitsdaten oder Sicherheitsdienste mit biometrischen Daten schon ab dem ersten Mitarbeiter. Der DSB kann intern bestellt oder extern mandatiert werden; interne DSB genießen besonderen Kündigungsschutz. Eine geplante BDSG-Reform will die deutsche 20-Personen-Schwelle streichen, bis zum Abschluss des Gesetzgebungsverfahrens gilt aber die bisherige Regelung.

Wie hoch fallen Bußgelder bei DSGVO-Verstößen aus?

Der Bußgeldrahmen reicht bei schweren DSGVO-Verstößen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Deutsche Aufsichtsbehörden verhängten allein 2025 rund 690 Millionen Euro Bußgeld in 249 Einzelverfahren. Jüngste Schwergewichte sind Vodafone mit 30 Millionen Euro wegen unzureichender Authentifizierung und 15 Millionen Euro wegen mangelhafter Kontrolle von Partneragenturen sowie ein Finanzunternehmen mit 492.000 Euro wegen automatisierter Entscheidungen ohne Transparenz. Die Bemessung orientiert sich an Schwere, Vorsatz, Schadensbegrenzung und Kooperation; kooperative Unternehmen können nach dem DSK-Merkblatt von Ende 2025 mit Verständigungen und Bußgeldminderungen rechnen.

Muss eine Datenpanne wirklich binnen 72 Stunden gemeldet werden?

Eine Datenpanne muss nach Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden. Die Frist startet mit Kenntniserlangung im Unternehmen, nicht erst nach interner Eskalation oder forensischer Ursachenklärung. Ausgenommen ist nur der seltene Fall, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei hohem Risiko verlangt Art. 34 Abs. 1 DSGVO zusätzlich eine unverzügliche Benachrichtigung der Betroffenen, etwa bei Abfluss von Kontodaten, Gesundheitsdaten oder Passwörtern. Verspätete Meldungen werten die Aufsichtsbehörden bei der Bußgeldbemessung regelmäßig als erschwerenden Umstand; ein dokumentiertes Incident-Response-Verfahren mit klaren Eskalationswegen ist daher Pflichtbestandteil jeder DSGVO-Compliance.

Wann brauche ich einen Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet (Art. 28 Abs. 3 DSGVO). Das betrifft praktisch jede Auslagerung mit Datenberührung: Lohnbuchhaltung, Cloud-Speicher, E-Mail-Marketing, Webhosting, Analyse-Tools oder CRM-Systeme. Der Vertrag muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Weisungsrechte, Vertraulichkeitspflichten, Regelungen zu Unterauftragsverarbeitern und Löschpflichten nach Vertragsende konkret festlegen. Standardvorlagen der Dienstleister sind akzeptable Basis, müssen aber auf die jeweilige Verarbeitung angepasst und regelmäßig überprüft werden. Wer den AVV vergisst oder mangelhaft pflegt, riskiert hohe Bußgelder: Im Vodafone-Verfahren 2025 entfielen allein 15 Millionen Euro der Gesamtstrafe auf die fehlende Kontrolle externer Partneragenturen.

Dürfen Mitbewerber DSGVO-Verstöße abmahnen?

Mitbewerber können DSGVO-Verstöße seit 2025 wettbewerbsrechtlich abmahnen, sofern die verletzten Vorschriften zugleich Marktverhaltensregelungen im Sinne des § 3a UWG sind (BGH, Urt. v. 27.03.2025 - I ZR 223/19). Parallel entschied der BGH am selben Tag in I ZR 186/17, dass auch qualifizierte Verbraucherschutzverbände gemäß Art. 80 Abs. 2 DSGVO Unterlassungsklagen wegen Verstößen gegen DSGVO-Informationspflichten erheben können. Typische Abmahnungsgegenstände sind fehlende oder fehlerhafte Datenschutzerklärungen, unzureichende Cookie-Einwilligungen und Datenverarbeitungen ohne Rechtsgrundlage. Diese doppelte Durchsetzung - Behörde plus Wettbewerber - erhöht das Entdeckungsrisiko erheblich; die chronisch unterbesetzten Aufsichten sind nicht mehr die einzige Verfolgungsinstanz.

Was gehört in eine DSGVO-konforme Datenschutzerklärung?

Eine Datenschutzerklärung muss nach Art. 13 DSGVO bei Erhebung personenbezogener Daten Informationen über Zwecke, Rechtsgrundlage, Empfänger und Betroffenenrechte bereitstellen; Verstöße gegen Informationspflichten können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Pflichtangaben umfassen Name und Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger, Drittlandübermittlungen, Speicherdauer sowie Betroffenenrechte und Beschwerderecht. Der BGH hat entschieden, dass Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO zugleich einen Verstoß gegen das Lauterkeitsrecht darstellen, sodass qualifizierte Einrichtungen und Mitbewerber Unterlassungsansprüche geltend machen können.

Ist eine Datenschutz-Folgenabschätzung für uns Pflicht?

Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener birgt. Art. 35 Abs. 3 DSGVO zählt drei Regelbeispiele auf: systematische und umfassende Profiling-Entscheidungen, umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheits-, biometrische oder Herkunftsdaten) sowie systematische Überwachung öffentlich zugänglicher Bereiche wie Videoüberwachung. Die deutschen Aufsichtsbehörden haben die Pflicht zusätzlich auf konkrete Positivlisten ausgedehnt, etwa für Scoring-Verfahren oder Mitarbeiter-Performance-Analysen. Die DSFA erfolgt vor Beginn der Verarbeitung und dokumentiert Risiken, Abhilfemaßnahmen und das Restrisiko; ohne durchgeführte DSFA ist die Verarbeitung in den Regelfällen unzulässig und provoziert ein eigenständiges Bußgeldrisiko.

Welche Schadensersatzansprüche drohen Betroffenen nach einer Datenpanne?

Nach Art. 82 Abs. 1 DSGVO können Betroffene bereits beim bloßen Kontrollverlust über ihre Daten immateriellen Schadensersatz verlangen, ohne eine Erheblichkeitsschwelle überschreiten zu müssen (EuGH, 04.09.2025 - C-655/23). Der EuGH hatte diese niedrige Hürde bereits in der Rechtssache C-300/21 festgelegt und 2025 bestätigt: Nationale Bagatellgrenzen sind unzulässig. Während Einzelbeträge in der Praxis oft moderat bleiben - so sprach das OLG Düsseldorf im Urteil 16 U 83/24 vom 10. Juli 2025 200 Euro zu, während das OLG Dresden im Urteil 4 U 198/25 vom 14. Juli 2025 250 Euro zusprach -, entsteht das Risiko in der Masse. Bei Datenpannen mit zehntausenden Betroffenen können sich auch niedrige Beträge zu erheblichen Summen addieren, was die Deckungskapazitäten von Datenschutz-Versicherungen vor neue Herausforderungen stellt.

Darf ich Kundendaten auf US-Servern speichern?

Datenübermittlungen in die USA sind nach Art. 44 DSGVO nur zulässig, wenn der Empfänger unter dem EU-US Data Privacy Framework (DPF, seit 10.07.2023) zertifiziert ist oder zusätzliche Garantien vorliegen. Das DPF kann jedoch jederzeit kippen - ein Rechtsmittel beim EuGH könnte ein sogenanntes Schrems-III-Szenario auslösen und die Grundlage rückwirkend entziehen, wie es 2020 mit dem Privacy Shield geschah. Verantwortliche Unternehmen ergänzen daher zusätzlich EU-Standardvertragsklauseln und führen ein Transfer Impact Assessment durch, das das Schutzniveau im Empfängerland dokumentiert. Für Übermittlungen ins Vereinigte Königreich besteht ein bis Dezember 2031 verlängerter Angemessenheitsbeschluss; hier sind keine zusätzlichen Garantien erforderlich.

Haftet der Geschäftsführer persönlich für DSGVO-Verstöße?

Seit Dezember 2025 haftet die Geschäftsleitung nach dem deutschen NIS2-Umsetzungsgesetz persönlich für Cybersicherheitsmaßnahmen und kann diese Verantwortung nicht vollständig an die IT-Abteilung delegieren. Die persönliche Haftung trifft auch DSGVO-Compliance außerhalb von NIS-2: Über die allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten nach § 43 GmbHG oder § 93 AktG kann ein Geschäftsführer dem Unternehmen gegenüber schadensersatzpflichtig sein, wenn er Datenschutz-Compliance vernachlässigt und dadurch ein Bußgeld von bis zu 20 Millionen Euro provoziert. NIS-2 verpflichtet die Leitung zusätzlich zur Verabschiedung dokumentierter Sicherheitsstrategien und zur regelmäßigen Berichterstattung; betroffen sind in Deutschland rund 30.000 Unternehmen aus kritischen und wichtigen Sektoren.

Noch offene Fragen?

Wir prüfen Ihre Datenschutzstruktur, identifizieren Lücken und helfen bei der Umsetzung - bevor die Behörde es tut.

Jetzt Ersteinschätzung anfragen

Beliebte Ratgeber

Zwei Fäuste prallen von beiden Seiten gegen ein schwebendes gläsernes Copyright-Zeichen, das an den Kontaktstellen bricht

Markenrecht