Alain Rees · 12-07-2026 · 12 min leestijd
Die Datenschutz-Grundverordnung (DSGVO), international als GDPR bekannt, ist das europäische Gesetz, das festlegt, wie Organisationen mit personenbezogenen Daten umgehen dürfen. Die DSGVO beruht auf einer Reihe von Grundsätzen und auf einer Rechenschaftspflicht, was bedeutet, dass Sie nicht nur sorgfältig handeln, sondern dies auch nachweisen können müssen. In diesem Artikel erfahren Sie, was die DSGVO beinhaltet, welche Grundsätze und Rechtsgrundlagen gelten, welche Rechte Menschen haben und wie Sie die Vorgaben nachweisbar erfüllen, ohne in einem Wildwuchs einzelner Dokumente zu enden.
Kurz zusammengefasst
- Die DSGVO gilt, sobald Sie personenbezogene Daten verarbeiten, also sobald Sie Daten über erkennbare Personen erfassen oder nutzen.
- Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie dafür eine gültige Rechtsgrundlage haben.
- Menschen haben Rechte über ihre Daten, etwa Auskunft, Berichtigung und Löschung.
- Die Rechenschaftspflicht bedeutet, dass Sie Ihre Einhaltung nachweisbar machen müssen, und dafür beginnen Sie mit einem Verzeichnis der Verarbeitungstätigkeiten.
- Bei einer Datenpanne mit Risiko müssen Sie diese innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden.
- Die Einhaltung fällt mit den vier Phasen des Kantyra-Modells zusammen: Erkennen, Bewerten, Beheben und Nachweisen.
Die DSGVO (Verordnung (EU) 2016/679) ist europäische Gesetzgebung, die den Schutz personenbezogener Daten in der gesamten Europäischen Union regelt. Ein personenbezogenes Datum ist jede Information über eine erkennbare Person, von einem Namen oder einer E-Mail-Adresse bis zu einem Standort oder einer Kundennummer. Verarbeitung ist jede Handlung mit diesen Daten, also auch das Erheben, Speichern, Einsehen oder Löschen.
Die DSGVO ist mehr als eine bürokratische Formalität: Sie beruht auf einem klaren Gedanken. Personenbezogene Daten gehören den Menschen selbst, und eine Organisation, die sie nutzt, tut dies unter Bedingungen und legt darüber Rechenschaft ab. Diese Rechenschaftspflicht ist das Herzstück des Gesetzes.
Wie die KI-Verordnung ist die DSGVO eine Verordnung, und eine Verordnung gilt unmittelbar in allen Mitgliedstaaten. Sie musste nicht erst in nationales Recht umgesetzt werden: Für Ihre Organisation gilt derselbe Text wie für eine Organisation in jedem anderen Land der Union. Das ist ein Unterschied zur NIS2-Richtlinie, die die Mitgliedstaaten zunächst in nationales Recht umsetzen mussten, in Deutschland durch das NIS-2-Umsetzungsgesetz, das das BSIG ändert und das BSI zur zuständigen Behörde macht, und in Österreich durch das NISG.
Die Aufsicht liegt bei der zuständigen Datenschutzbehörde, der Aufsichtsbehörde des Landes, in dem Ihre Organisation niedergelassen ist. Sie kann bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen.
Die DSGVO unterscheidet zwei Rollen, und Ihre Pflichten hängen davon ab, welche Rolle Sie innehaben.
Der Verantwortliche bestimmt, warum und wie personenbezogene Daten verarbeitet werden. Das ist meist Ihre eigene Organisation, etwa wenn Sie Kunden- oder Personaldaten erfassen. Der Verantwortliche trägt die meisten Pflichten.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, ohne selbst den Zweck zu bestimmen. Ein Dienstleister, der in Ihrem Auftrag Daten hostet oder verarbeitet, ist ein Auftragsverarbeiter. Mit einer solchen Partei halten Sie die Vereinbarungen in einem Auftragsverarbeitungsvertrag fest.
Wichtig ist, dass die DSGVO auch für Organisationen außerhalb der Europäischen Union gilt, sobald sie Daten von Menschen verarbeiten, die sich in der Union befinden. Ihr Anwendungsbereich ist damit breiter als nur europäische Organisationen.
Die DSGVO kennt sechs Grundsätze, die bei jeder Verarbeitung gelten, plus die übergeordnete Rechenschaftspflicht. Diese Grundsätze sind der Maßstab, an dem eine Aufsichtsbehörde Ihre Verarbeitung misst.
Die Rechenschaftspflicht bindet all dies zusammen. Sie müssen die Grundsätze nicht nur einhalten, sondern auch nachweisen können, dass Sie dies tun.
Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie dafür eine gültige Rechtsgrundlage haben. Die DSGVO kennt sechs davon, und Sie wählen pro Verarbeitung eine aus:
Für besondere Kategorien personenbezogener Daten, etwa Daten über Gesundheit, Religion oder politische Meinung, gelten strengere Regeln. Diese dürfen Sie grundsätzlich nicht verarbeiten, es sei denn, eine besondere Ausnahme trifft zu.
Die DSGVO gibt Menschen eine Reihe von Rechten über ihre eigenen Daten. Sie müssen diese Rechte erfüllen können, in der Regel innerhalb eines Monats. Die wichtigsten sind:
Dieses letzte Recht berührt die KI-Verordnung, denn automatisierte Entscheidungen werden immer häufiger von KI-Systemen getroffen. Die beiden Gesetze greifen an diesem Punkt ineinander.
Neben den Grundsätzen und den Rechtsgrundlagen legt die DSGVO eine Reihe konkreter Pflichten fest. Die wichtigsten sind die folgenden:
Viele dieser Pflichten laufen parallel zu dem, was Sie aus der Informationssicherheit ohnehin bereits tun. Die Sicherheitsanforderung der DSGVO schließt zum Beispiel unmittelbar an die Maßnahmen aus Ihrer Informationssicherheit an. Genau das ist der Anknüpfungspunkt, um Datenschutz nicht als gesondertes Vorhaben zu behandeln.
Eine Datenpanne ist eine Verletzung der Sicherheit, bei der personenbezogene Daten verloren gehen oder in falsche Hände geraten. Denken Sie an einen gestohlenen Laptop, eine falsch versendete E-Mail oder einen erfolgreichen Angriff.
Stellt eine Datenpanne ein Risiko für die betroffenen Personen dar, müssen Sie sie innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Ist das Risiko hoch, müssen Sie auch die betroffenen Personen selbst informieren. Jede Datenpanne halten Sie zudem in einem internen Überblick fest, unabhängig davon, ob Sie sie melden. Dieser Überblick ist zugleich Ihr Nachweis, dass Sie Datenpannen ernsthaft und strukturiert bearbeiten.
In Kantyra läuft eine Datenpanne über das Vorfallsregister: Sie markieren einen Vorfall als Datenpanne, halten fest, ob er bei der zuständigen Datenschutzbehörde gemeldet wurde, und begründen im Abwägungsfeld auch die Entscheidung, nicht zu melden. Der interne Datenpannen-Überblick, den die DSGVO verlangt, ist damit ein Filter auf das Register, das Sie ohnehin führen, und die Datenpannen zählen im Dashboard und im Vorfallstrend des Managementberichts mit.
Hier liegt der Schritt, den viele Organisationen überspringen. Sie können die DSGVO nicht einhalten, wenn Sie keinen Überblick über Ihre Verarbeitungen haben. Die Grundlage von allem ist daher das Verzeichnis der Verarbeitungstätigkeiten, also ein aktueller Überblick über jede Verarbeitung, mit dem Zweck, der Rechtsgrundlage, den Kategorien von Daten, der Aufbewahrungsfrist und den beteiligten Parteien.
In Kantyra ist dieses Verzeichnis der Kern des Datenschutzmoduls. Pro Verarbeitung halten Sie den Zweck, die Rechtsgrundlage (eine der sechs aus der DSGVO), die Kategorien betroffener Personen und Daten, die Empfänger und Auftragsverarbeiter, die Aufbewahrungsfrist und die Sicherheitsmaßnahmen fest und markieren, ob eine Übermittlung außerhalb des EWR stattfindet und ob eine DSFA erforderlich ist. Jede Verarbeitung hat einen Eigentümer und ein Überprüfungsdatum: Nähert sich dieses Datum, erhält der Eigentümer automatisch eine Aufgabe, sodass das Verzeichnis nachweisbar aktuell bleibt, genau das, was Artikel 30 verlangt. Diese letzte Markierung wirkt: Eine Verarbeitung, für die eine DSFA erforderlich ist, aber fehlt, färbt sich im Verzeichnis rot, bis die DSFA vorliegt.
Von diesem Verzeichnis laufen die Linien zu Ihren übrigen Pflichten. Die DSFA selbst führen Sie als Assessment durch, mit einer festen Vorlage entlang Artikel 35 (Beschreibung, Notwendigkeit und Verhältnismäßigkeit, Risiken für die betroffenen Personen, Maßnahmen und die Empfehlung des Datenschutzbeauftragten), einer Prüfrunde nach dem Vier-Augen-Prinzip und einem PDF-Export. Die Auftragsverarbeitungsverträge halten Sie im Lieferantenregister fest: Pro Lieferant markieren Sie, ob er personenbezogene Daten verarbeitet und ob der Auftragsverarbeitungsvertrag unterzeichnet ist, mit Überwachung des Vertragsdatums und der regelmäßigen Beurteilung. Und der DSGVO-Rahmen liegt als Normenrahmen im Compliance-Register, ebenso wie ISO 27701 (die Datenschutz-Erweiterung von ISO 27001), sodass Sie pro Anforderung den Status, den Eigentümer und den Nachweis führen.
Diese Verwaltung schließt unmittelbar an Ihre Informationssicherheit und Ihr Risikomanagement (ISMS) an. Die Sicherheitsmaßnahmen, die die DSGVO verlangt, verwalten Sie genauso wie Ihre übrigen Maßnahmen, im Einklang mit ISO 27001. Datenschutz und Sicherheit bilden so zwei Seiten derselben Steuerung.
Wie bei Risikomanagement, Compliance-Management und der KI-Verordnung lässt sich die Einhaltung der DSGVO nicht in einer einzigen Phase des Kantyra-Modells erfassen: Sie ist der Zyklus des Modells, angewandt auf personenbezogene Daten.
Es beginnt mit Erkennen: wissen, welche Daten Sie verarbeiten, neue Verarbeitungen und Änderungen bemerken und Datenpannen registrieren. Danach folgt Bewerten: pro Verarbeitung die Rechtsgrundlage bestimmen und bei hohem Risiko eine DSFA durchführen. In der Phase Beheben treffen Sie die geeigneten Maßnahmen: Sicherheit, Auftragsverarbeitungsverträge und Datenschutz durch Technikgestaltung. Und die Phase Nachweisen hat bei der DSGVO einen eigenen Namen und einen rechtlichen Status: die Rechenschaftspflicht. Das Verzeichnis der Verarbeitungstätigkeiten, der Datenpannen-Überblick und der DSGVO-Rahmen mit Nachweis bilden zusammen diese Rechenschaft.
Das macht die DSGVO innerhalb der Reihe besonders: Wo andere Rahmenwerke das Nachweisen implizit voraussetzen, hat die DSGVO daraus einen Grundsatz gemacht. Wer dem Modell folgt, muss die Rechenschaftspflicht also nicht gesondert organisieren: Sie entsteht von selbst aus dem Zyklus.
Sie können Ihr Verzeichnis der Verarbeitungstätigkeiten und die zugehörigen Übersichten in einzelnen Dateien führen, und als Einstieg ist das vertretbar. Doch je mehr Verarbeitungen hinzukommen und je mehr die Aufsichtsbehörde Nachweisbarkeit verlangt, desto eher stoßen Sie an dieselben Grenzen wie bei jedem anderen Compliance-Vorhaben. Einzelne Dateien geraten aus dem Takt, und Ihnen fehlen der Überblick und die Historie, die Sie brauchen.
In einer GRC-Plattform verwalten Sie das Verzeichnis der Verarbeitungstätigkeiten, die Vereinbarungen mit Auftragsverarbeitern, die DSFA und die Datenpannen als verknüpfte Übersichten in einer einzigen Umgebung, und die Verbindung mit Ihrer Informationssicherheit verhindert, dass Sie dieselbe Arbeit zweimal machen.
Mit Kantyra verwalten Sie die DSGVO in derselben Umgebung wie Ihr ISMS. Ob Sie den Datenschutz als eigenständige Pflicht oder als Teil Ihrer umfassenderen Steuerung sehen: Ihre Verarbeitungen, Ihre Risiken und Ihre Maßnahmen kommen an einem Ort zusammen, im Einklang mit ISO 27001 und ISO 27701. So machen Sie Ihr Datenschutzmanagement genauso nachweisbar wie Ihre Informationssicherheit.
Was ist der Unterschied zwischen der DSGVO und der GDPR? Es gibt keinen Unterschied. DSGVO ist die deutsche Bezeichnung, GDPR die englische. Es geht um dieselbe europäische Verordnung.
Wann gilt die DSGVO für meine Organisation? Die DSGVO gilt, sobald Sie personenbezogene Daten verarbeiten, also sobald Sie Daten über erkennbare Personen erfassen oder nutzen. Es gibt keine Untergrenze im Umfang: Auch eine kleine Organisation fällt darunter.
Brauche ich immer eine Einwilligung, um Daten zu verarbeiten? Nein. Die Einwilligung ist eine der sechs Rechtsgrundlagen, aber oft nicht die geeignetste. Ein Vertrag, eine rechtliche Verpflichtung oder ein berechtigtes Interesse kann ebenso eine gültige Rechtsgrundlage sein.
Was muss ich bei einer Datenpanne tun? Stellt die Datenpanne ein Risiko für die betroffenen Personen dar, melden Sie sie innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde. Bei hohem Risiko informieren Sie auch die betroffenen Personen selbst. Jede Datenpanne halten Sie in einem internen Überblick fest.
Muss ich einen Datenschutzbeauftragten benennen? Das ist nicht immer erforderlich. Verpflichtend ist es für Behörden und für Organisationen, die in großem Umfang Menschen überwachen oder besondere Datenkategorien verarbeiten. In anderen Fällen ist es freiwillig.
Möchten Sie die Einhaltung der DSGVO nicht in einzelnen Dateien verwalten, sondern in einer Umgebung, die an Ihre Informationssicherheit anschließt? Mit dem Datenschutzmodul von Kantyra führen Sie das Verzeichnis der Verarbeitungstätigkeiten, führen DSFA mit einer festen Vorlage und Prüfrunde durch, halten die Auftragsverarbeitungs-Vereinbarungen bei Ihren Lieferanten fest und bearbeiten Datenpannen im Vorfallsregister, mit dem DSGVO-Rahmen und dem Nachweis im Compliance-Register. Fordern Sie eine Demo an und entdecken Sie, wie Sie die DSGVO auf Ihrem bestehenden ISMS aufbauen.
Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement, ihren Datenschutz und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001, ISO 22301 und ISO 27701 und mit Rechtsvorschriften wie der DSGVO, der NIS2-Richtlinie und der KI-Verordnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.