Kantyra Kantyra

← Alle artikelen

Algemeen

Was die DSGVO von Ihrer Organisation verlangt

Alain Rees · 12-07-2026 · 12 min leestijd

Die Datenschutz-Grundverordnung (DSGVO), international als GDPR bekannt, ist das europäische Gesetz, das festlegt, wie Organisationen mit personenbezogenen Daten umgehen dürfen. Die DSGVO beruht auf einer Reihe von Grundsätzen und auf einer Rechenschaftspflicht, was bedeutet, dass Sie nicht nur sorgfältig handeln, sondern dies auch nachweisen können müssen. In diesem Artikel erfahren Sie, was die DSGVO beinhaltet, welche Grundsätze und Rechtsgrundlagen gelten, welche Rechte Menschen haben und wie Sie die Vorgaben nachweisbar erfüllen, ohne in einem Wildwuchs einzelner Dokumente zu enden.

Kurz zusammengefasst

  • Die DSGVO gilt, sobald Sie personenbezogene Daten verarbeiten, also sobald Sie Daten über erkennbare Personen erfassen oder nutzen.
  • Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie dafür eine gültige Rechtsgrundlage haben.
  • Menschen haben Rechte über ihre Daten, etwa Auskunft, Berichtigung und Löschung.
  • Die Rechenschaftspflicht bedeutet, dass Sie Ihre Einhaltung nachweisbar machen müssen, und dafür beginnen Sie mit einem Verzeichnis der Verarbeitungstätigkeiten.
  • Bei einer Datenpanne mit Risiko müssen Sie diese innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden.
  • Die Einhaltung fällt mit den vier Phasen des Kantyra-Modells zusammen: Erkennen, Bewerten, Beheben und Nachweisen.

Was ist die DSGVO?

Die DSGVO (Verordnung (EU) 2016/679) ist europäische Gesetzgebung, die den Schutz personenbezogener Daten in der gesamten Europäischen Union regelt. Ein personenbezogenes Datum ist jede Information über eine erkennbare Person, von einem Namen oder einer E-Mail-Adresse bis zu einem Standort oder einer Kundennummer. Verarbeitung ist jede Handlung mit diesen Daten, also auch das Erheben, Speichern, Einsehen oder Löschen.

Die DSGVO ist mehr als eine bürokratische Formalität: Sie beruht auf einem klaren Gedanken. Personenbezogene Daten gehören den Menschen selbst, und eine Organisation, die sie nutzt, tut dies unter Bedingungen und legt darüber Rechenschaft ab. Diese Rechenschaftspflicht ist das Herzstück des Gesetzes.

Eine Verordnung und keine Richtlinie

Wie die KI-Verordnung ist die DSGVO eine Verordnung, und eine Verordnung gilt unmittelbar in allen Mitgliedstaaten. Sie musste nicht erst in nationales Recht umgesetzt werden: Für Ihre Organisation gilt derselbe Text wie für eine Organisation in jedem anderen Land der Union. Das ist ein Unterschied zur NIS2-Richtlinie, die die Mitgliedstaaten zunächst in nationales Recht umsetzen mussten, in Deutschland durch das NIS-2-Umsetzungsgesetz, das das BSIG ändert und das BSI zur zuständigen Behörde macht, und in Österreich durch das NISG.

Die Aufsicht liegt bei der zuständigen Datenschutzbehörde, der Aufsichtsbehörde des Landes, in dem Ihre Organisation niedergelassen ist. Sie kann bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen.

Für wen gilt die DSGVO?

Die DSGVO unterscheidet zwei Rollen, und Ihre Pflichten hängen davon ab, welche Rolle Sie innehaben.

Der Verantwortliche bestimmt, warum und wie personenbezogene Daten verarbeitet werden. Das ist meist Ihre eigene Organisation, etwa wenn Sie Kunden- oder Personaldaten erfassen. Der Verantwortliche trägt die meisten Pflichten.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, ohne selbst den Zweck zu bestimmen. Ein Dienstleister, der in Ihrem Auftrag Daten hostet oder verarbeitet, ist ein Auftragsverarbeiter. Mit einer solchen Partei halten Sie die Vereinbarungen in einem Auftragsverarbeitungsvertrag fest.

Wichtig ist, dass die DSGVO auch für Organisationen außerhalb der Europäischen Union gilt, sobald sie Daten von Menschen verarbeiten, die sich in der Union befinden. Ihr Anwendungsbereich ist damit breiter als nur europäische Organisationen.

Die Grundsätze der DSGVO

Die DSGVO kennt sechs Grundsätze, die bei jeder Verarbeitung gelten, plus die übergeordnete Rechenschaftspflicht. Diese Grundsätze sind der Maßstab, an dem eine Aufsichtsbehörde Ihre Verarbeitung misst.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz bedeuten, dass Sie Daten fair verarbeiten und offen darüber sind, was Sie tun.
  • Zweckbindung bedeutet, dass Sie Daten nur für vorab festgelegte, eindeutige Zwecke erheben.
  • Datenminimierung bedeutet, dass Sie nicht mehr Daten verarbeiten, als für diesen Zweck erforderlich ist.
  • Richtigkeit bedeutet, dass Sie die Daten korrekt und aktuell halten.
  • Speicherbegrenzung bedeutet, dass Sie Daten nicht länger aufbewahren als nötig.
  • Integrität und Vertraulichkeit bedeuten, dass Sie die Daten angemessen schützen.

Die Rechenschaftspflicht bindet all dies zusammen. Sie müssen die Grundsätze nicht nur einhalten, sondern auch nachweisen können, dass Sie dies tun.

Wann dürfen Sie personenbezogene Daten verarbeiten?

Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie dafür eine gültige Rechtsgrundlage haben. Die DSGVO kennt sechs davon, und Sie wählen pro Verarbeitung eine aus:

  • die Einwilligung der betroffenen Person, die freiwillig, spezifisch und unmissverständlich sein muss;
  • die Erfüllung eines Vertrags mit der betroffenen Person;
  • die Erfüllung einer rechtlichen Verpflichtung;
  • der Schutz eines lebenswichtigen Interesses, etwa des Lebens einer Person;
  • die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt;
  • ein berechtigtes Interesse, sofern es die Interessen der betroffenen Person überwiegt.

Für besondere Kategorien personenbezogener Daten, etwa Daten über Gesundheit, Religion oder politische Meinung, gelten strengere Regeln. Diese dürfen Sie grundsätzlich nicht verarbeiten, es sei denn, eine besondere Ausnahme trifft zu.

Die Rechte der betroffenen Personen

Die DSGVO gibt Menschen eine Reihe von Rechten über ihre eigenen Daten. Sie müssen diese Rechte erfüllen können, in der Regel innerhalb eines Monats. Die wichtigsten sind:

  • das Recht auf Auskunft über die Daten, die Sie verarbeiten;
  • das Recht auf Berichtigung unrichtiger Daten;
  • das Recht auf Löschung, auch das Recht auf Vergessenwerden genannt;
  • das Recht auf Einschränkung der Verarbeitung;
  • das Recht auf Datenübertragbarkeit;
  • das Recht auf Widerspruch gegen eine Verarbeitung;
  • das Recht, nicht einer ausschließlich automatisierten Entscheidung mit Rechtsfolgen unterworfen zu werden.

Dieses letzte Recht berührt die KI-Verordnung, denn automatisierte Entscheidungen werden immer häufiger von KI-Systemen getroffen. Die beiden Gesetze greifen an diesem Punkt ineinander.

Ihre wichtigsten Pflichten

Neben den Grundsätzen und den Rechtsgrundlagen legt die DSGVO eine Reihe konkreter Pflichten fest. Die wichtigsten sind die folgenden:

  • Sie führen ein Verzeichnis der Verarbeitungstätigkeiten, also einen Überblick über alle Verarbeitungen personenbezogener Daten.
  • Sie schließen mit jeder Partei, die in Ihrem Auftrag Daten verarbeitet, einen Auftragsverarbeitungsvertrag.
  • Sie führen bei Verarbeitungen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DSFA) durch.
  • Sie wenden Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen an, sodass Datenschutz von Anfang an eingebaut ist.
  • Sie schützen die Daten mit geeigneten technischen und organisatorischen Maßnahmen.
  • Sie benennen einen Datenschutzbeauftragten, wenn dies verpflichtend ist.

Viele dieser Pflichten laufen parallel zu dem, was Sie aus der Informationssicherheit ohnehin bereits tun. Die Sicherheitsanforderung der DSGVO schließt zum Beispiel unmittelbar an die Maßnahmen aus Ihrer Informationssicherheit an. Genau das ist der Anknüpfungspunkt, um Datenschutz nicht als gesondertes Vorhaben zu behandeln.

Was tun Sie bei einer Datenpanne?

Eine Datenpanne ist eine Verletzung der Sicherheit, bei der personenbezogene Daten verloren gehen oder in falsche Hände geraten. Denken Sie an einen gestohlenen Laptop, eine falsch versendete E-Mail oder einen erfolgreichen Angriff.

Stellt eine Datenpanne ein Risiko für die betroffenen Personen dar, müssen Sie sie innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Ist das Risiko hoch, müssen Sie auch die betroffenen Personen selbst informieren. Jede Datenpanne halten Sie zudem in einem internen Überblick fest, unabhängig davon, ob Sie sie melden. Dieser Überblick ist zugleich Ihr Nachweis, dass Sie Datenpannen ernsthaft und strukturiert bearbeiten.

In Kantyra läuft eine Datenpanne über das Vorfallsregister: Sie markieren einen Vorfall als Datenpanne, halten fest, ob er bei der zuständigen Datenschutzbehörde gemeldet wurde, und begründen im Abwägungsfeld auch die Entscheidung, nicht zu melden. Der interne Datenpannen-Überblick, den die DSGVO verlangt, ist damit ein Filter auf das Register, das Sie ohnehin führen, und die Datenpannen zählen im Dashboard und im Vorfallstrend des Managementberichts mit.

Von einzelnen Pflichten zu zusammenhängendem Management

Hier liegt der Schritt, den viele Organisationen überspringen. Sie können die DSGVO nicht einhalten, wenn Sie keinen Überblick über Ihre Verarbeitungen haben. Die Grundlage von allem ist daher das Verzeichnis der Verarbeitungstätigkeiten, also ein aktueller Überblick über jede Verarbeitung, mit dem Zweck, der Rechtsgrundlage, den Kategorien von Daten, der Aufbewahrungsfrist und den beteiligten Parteien.

In Kantyra ist dieses Verzeichnis der Kern des Datenschutzmoduls. Pro Verarbeitung halten Sie den Zweck, die Rechtsgrundlage (eine der sechs aus der DSGVO), die Kategorien betroffener Personen und Daten, die Empfänger und Auftragsverarbeiter, die Aufbewahrungsfrist und die Sicherheitsmaßnahmen fest und markieren, ob eine Übermittlung außerhalb des EWR stattfindet und ob eine DSFA erforderlich ist. Jede Verarbeitung hat einen Eigentümer und ein Überprüfungsdatum: Nähert sich dieses Datum, erhält der Eigentümer automatisch eine Aufgabe, sodass das Verzeichnis nachweisbar aktuell bleibt, genau das, was Artikel 30 verlangt. Diese letzte Markierung wirkt: Eine Verarbeitung, für die eine DSFA erforderlich ist, aber fehlt, färbt sich im Verzeichnis rot, bis die DSFA vorliegt.

Von diesem Verzeichnis laufen die Linien zu Ihren übrigen Pflichten. Die DSFA selbst führen Sie als Assessment durch, mit einer festen Vorlage entlang Artikel 35 (Beschreibung, Notwendigkeit und Verhältnismäßigkeit, Risiken für die betroffenen Personen, Maßnahmen und die Empfehlung des Datenschutzbeauftragten), einer Prüfrunde nach dem Vier-Augen-Prinzip und einem PDF-Export. Die Auftragsverarbeitungsverträge halten Sie im Lieferantenregister fest: Pro Lieferant markieren Sie, ob er personenbezogene Daten verarbeitet und ob der Auftragsverarbeitungsvertrag unterzeichnet ist, mit Überwachung des Vertragsdatums und der regelmäßigen Beurteilung. Und der DSGVO-Rahmen liegt als Normenrahmen im Compliance-Register, ebenso wie ISO 27701 (die Datenschutz-Erweiterung von ISO 27001), sodass Sie pro Anforderung den Status, den Eigentümer und den Nachweis führen.

Diese Verwaltung schließt unmittelbar an Ihre Informationssicherheit und Ihr Risikomanagement (ISMS) an. Die Sicherheitsmaßnahmen, die die DSGVO verlangt, verwalten Sie genauso wie Ihre übrigen Maßnahmen, im Einklang mit ISO 27001. Datenschutz und Sicherheit bilden so zwei Seiten derselben Steuerung.

Wo steht die DSGVO im Kantyra-Modell?

Wie bei Risikomanagement, Compliance-Management und der KI-Verordnung lässt sich die Einhaltung der DSGVO nicht in einer einzigen Phase des Kantyra-Modells erfassen: Sie ist der Zyklus des Modells, angewandt auf personenbezogene Daten.

Es beginnt mit Erkennen: wissen, welche Daten Sie verarbeiten, neue Verarbeitungen und Änderungen bemerken und Datenpannen registrieren. Danach folgt Bewerten: pro Verarbeitung die Rechtsgrundlage bestimmen und bei hohem Risiko eine DSFA durchführen. In der Phase Beheben treffen Sie die geeigneten Maßnahmen: Sicherheit, Auftragsverarbeitungsverträge und Datenschutz durch Technikgestaltung. Und die Phase Nachweisen hat bei der DSGVO einen eigenen Namen und einen rechtlichen Status: die Rechenschaftspflicht. Das Verzeichnis der Verarbeitungstätigkeiten, der Datenpannen-Überblick und der DSGVO-Rahmen mit Nachweis bilden zusammen diese Rechenschaft.

Die Einhaltung der DSGVO neben den vier Phasen des Kantyra-Modells: Verarbeitungen sichtbar machen gehört zu Erkennen, die Rechtsgrundlage und die DSFA zu Bewerten, die geeigneten Maßnahmen zu Beheben und die Rechenschaftspflicht zu Nachweisen

Das macht die DSGVO innerhalb der Reihe besonders: Wo andere Rahmenwerke das Nachweisen implizit voraussetzen, hat die DSGVO daraus einen Grundsatz gemacht. Wer dem Modell folgt, muss die Rechenschaftspflicht also nicht gesondert organisieren: Sie entsteht von selbst aus dem Zyklus.

Arbeiten Sie mit einzelnen Dokumenten oder mit einer GRC-Plattform?

Sie können Ihr Verzeichnis der Verarbeitungstätigkeiten und die zugehörigen Übersichten in einzelnen Dateien führen, und als Einstieg ist das vertretbar. Doch je mehr Verarbeitungen hinzukommen und je mehr die Aufsichtsbehörde Nachweisbarkeit verlangt, desto eher stoßen Sie an dieselben Grenzen wie bei jedem anderen Compliance-Vorhaben. Einzelne Dateien geraten aus dem Takt, und Ihnen fehlen der Überblick und die Historie, die Sie brauchen.

In einer GRC-Plattform verwalten Sie das Verzeichnis der Verarbeitungstätigkeiten, die Vereinbarungen mit Auftragsverarbeitern, die DSFA und die Datenpannen als verknüpfte Übersichten in einer einzigen Umgebung, und die Verbindung mit Ihrer Informationssicherheit verhindert, dass Sie dieselbe Arbeit zweimal machen.

Mit Kantyra verwalten Sie die DSGVO in derselben Umgebung wie Ihr ISMS. Ob Sie den Datenschutz als eigenständige Pflicht oder als Teil Ihrer umfassenderen Steuerung sehen: Ihre Verarbeitungen, Ihre Risiken und Ihre Maßnahmen kommen an einem Ort zusammen, im Einklang mit ISO 27001 und ISO 27701. So machen Sie Ihr Datenschutzmanagement genauso nachweisbar wie Ihre Informationssicherheit.

In fünf Schritten mit der DSGVO starten

  1. Erfassen Sie Ihre Verarbeitungen. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten aller Stellen, an denen Sie personenbezogene Daten nutzen.
  2. Bestimmen Sie pro Verarbeitung die Rechtsgrundlage. Halten Sie fest, warum Sie die Daten verarbeiten dürfen und zu welchem Zweck.
  3. Regeln Sie die Vereinbarungen mit Dritten. Schließen Sie mit jeder Partei, die in Ihrem Auftrag Daten verarbeitet, einen Auftragsverarbeitungsvertrag.
  4. Bewerten Sie die Risiken. Führen Sie bei Verarbeitungen mit hohem Risiko eine DSFA durch und treffen Sie geeignete Sicherheitsmaßnahmen.
  5. Verwalten Sie alles im Zusammenhang. Verknüpfen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten mit Ihrem Risikomanagement und Ihrem ISMS und halten Sie es aktuell.

Häufige Fragen zur DSGVO

Was ist der Unterschied zwischen der DSGVO und der GDPR? Es gibt keinen Unterschied. DSGVO ist die deutsche Bezeichnung, GDPR die englische. Es geht um dieselbe europäische Verordnung.

Wann gilt die DSGVO für meine Organisation? Die DSGVO gilt, sobald Sie personenbezogene Daten verarbeiten, also sobald Sie Daten über erkennbare Personen erfassen oder nutzen. Es gibt keine Untergrenze im Umfang: Auch eine kleine Organisation fällt darunter.

Brauche ich immer eine Einwilligung, um Daten zu verarbeiten? Nein. Die Einwilligung ist eine der sechs Rechtsgrundlagen, aber oft nicht die geeignetste. Ein Vertrag, eine rechtliche Verpflichtung oder ein berechtigtes Interesse kann ebenso eine gültige Rechtsgrundlage sein.

Was muss ich bei einer Datenpanne tun? Stellt die Datenpanne ein Risiko für die betroffenen Personen dar, melden Sie sie innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde. Bei hohem Risiko informieren Sie auch die betroffenen Personen selbst. Jede Datenpanne halten Sie in einem internen Überblick fest.

Muss ich einen Datenschutzbeauftragten benennen? Das ist nicht immer erforderlich. Verpflichtend ist es für Behörden und für Organisationen, die in großem Umfang Menschen überwachen oder besondere Datenkategorien verarbeiten. In anderen Fällen ist es freiwillig.

Mit der DSGVO in Kantyra starten

Möchten Sie die Einhaltung der DSGVO nicht in einzelnen Dateien verwalten, sondern in einer Umgebung, die an Ihre Informationssicherheit anschließt? Mit dem Datenschutzmodul von Kantyra führen Sie das Verzeichnis der Verarbeitungstätigkeiten, führen DSFA mit einer festen Vorlage und Prüfrunde durch, halten die Auftragsverarbeitungs-Vereinbarungen bei Ihren Lieferanten fest und bearbeiten Datenpannen im Vorfallsregister, mit dem DSGVO-Rahmen und dem Nachweis im Compliance-Register. Fordern Sie eine Demo an und entdecken Sie, wie Sie die DSGVO auf Ihrem bestehenden ISMS aufbauen.


Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement, ihren Datenschutz und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001, ISO 22301 und ISO 27701 und mit Rechtsvorschriften wie der DSGVO, der NIS2-Richtlinie und der KI-Verordnung.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen