Datenschutz & RegulierungEinsteiger
Was ist die DSGVO (Datenschutz-Grundverordnung)?
Anforderungen, Grundsätze und Bedeutung der DSGVO für souveräne KI-Systeme in Europa

Definition: Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 verbindlich gilt. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen, Behörden und andere Organisationen innerhalb der EU. Gleichzeitig schützt sie die Grundrechte natürlicher Personen — insbesondere das Recht auf informationelle Selbstbestimmung.
Die DSGVO ersetzt die zuvor geltende Datenschutzrichtlinie 95/46/EG und schafft ein einheitliches Datenschutzniveau in allen 27 EU-Mitgliedstaaten. Im internationalen Kontext wird die Verordnung als GDPR (General Data Protection Regulation) bezeichnet. Laut einer Erhebung der Europäischen Kommission aus dem Jahr 2024 kennen rund 69 % der EU-Bürgerinnen und -Bürger die DSGVO — ein deutlicher Anstieg gegenüber 57 % im Jahr 2019.
Die 7 Grundsätze der Datenverarbeitung nach DSGVO
Artikel 5 der DSGVO definiert sieben Grundsätze, die bei jeder Verarbeitung personenbezogener Daten eingehalten werden müssen:
1. Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden. Betroffene müssen verständlich informiert werden.
2. Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist.
3. Datenminimierung: Es werden nur so viele Daten erhoben, wie für den jeweiligen Zweck tatsächlich erforderlich sind.
4. Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
5. Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Verarbeitungszweck notwendig ist.
6. Integrität und Vertraulichkeit: Angemessene technische und organisatorische Massnahmen schützen Daten vor unbefugter Verarbeitung, Verlust oder Zerstörung.
7. Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.
Diese Grundsätze bilden das Fundament jeder datenschutzkonformen Lösung — vom einfachen Kontaktformular bis hin zu komplexen KI-Systemen.
Rechte der betroffenen Personen
Die DSGVO stärkt die Rechte der Personen, deren Daten verarbeitet werden, erheblich. Zu den wichtigsten Betroffenenrechten gehören:
Das Recht auf Auskunft (Art. 15) erlaubt es jeder Person, eine Kopie der über sie gespeicherten Daten anzufordern. Das Recht auf Berichtigung (Art. 16) stellt sicher, dass fehlerhafte Daten korrigiert werden. Besonders bekannt ist das Recht auf Löschung (Art. 17), oft als «Recht auf Vergessenwerden» bezeichnet: Unter bestimmten Voraussetzungen müssen Daten unwiderruflich gelöscht werden.
Das Recht auf Datenübertragbarkeit (Art. 20) erlaubt es Nutzenden, ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten und an einen anderen Anbieter zu übertragen. Für KI-Anwendungen besonders relevant ist das Recht auf Widerspruch gegen automatisierte Entscheidungen (Art. 22): Personen dürfen nicht ausschliesslich auf Basis automatisierter Verarbeitung — einschliesslich Profiling — einer Entscheidung unterworfen werden, die ihnen gegenüber rechtliche Wirkung entfaltet.
Laut dem Tätigkeitsbericht der deutschen Datenschutzkonferenz 2025 sind Auskunftsersuchen mit einem Anteil von 38 % die am häufigsten geltend gemachten Betroffenenrechte.
Bussgelder und Durchsetzung der DSGVO
Die DSGVO verfügt über einen robusten Sanktionsmechanismus. Bei Verstössen drohen Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Diese Obergrenze gilt für besonders schwere Verstösse, etwa gegen die Grundsätze der Datenverarbeitung oder die Betroffenenrechte.
Die Durchsetzung obliegt den nationalen Datenschutzbehörden. In Deutschland ist dies auf Bundesebene der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ergänzt durch die Landesbeauftragten der 16 Bundesländer.
Zu den bislang höchsten DSGVO-Bussgeldern zählen 1,2 Milliarden Euro gegen Meta (Irland, 2023) wegen unzulässiger Datenübermittlung in die USA und 746 Millionen Euro gegen Amazon (Luxemburg, 2021) wegen Verstössen bei der Verarbeitung personenbezogener Daten für Werbezwecke. Bis Ende 2025 wurden EU-weit über 5,3 Milliarden Euro an Bussgeldern verhängt — ein klares Signal, dass die Verordnung konsequent durchgesetzt wird.
DSGVO und künstliche Intelligenz: Warum Datenschutz für KI entscheidend ist
Für den Einsatz von KI-Systemen hat die DSGVO weitreichende Konsequenzen. Bereits das Training von Machine-Learning-Modellen mit personenbezogenen Daten fällt unter die Verordnung. Unternehmen müssen sicherstellen, dass eine gültige Rechtsgrundlage vorliegt — sei es eine Einwilligung, ein berechtigtes Interesse oder eine vertragliche Notwendigkeit.
Besonders herausfordernd ist der Grundsatz der Transparenz: Bei komplexen neuronalen Netzen ist es oft schwierig, nachvollziehbar zu erklären, wie ein bestimmtes Ergebnis zustande kam. Hier setzt das Konzept der Explainable AI an, das Erklärbarkeit bereits in die Modellarchitektur integriert.
Die DSGVO verlangt zudem eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungsvorgänge mit hohem Risiko — und KI-basiertes Profiling fällt regelmässig in diese Kategorie. Seit 2025 ergänzt der EU AI Act die DSGVO mit spezifischen Anforderungen an Hochrisiko-KI-Systeme.
Souveräne KI-Plattformen bieten hier einen strategischen Vorteil: Wenn Daten und Modelle in europäischen Rechenzentren verarbeitet werden, lassen sich DSGVO-Anforderungen wie Datenresidenz, Löschpflichten und Zugriffskontrolle deutlich einfacher erfüllen als bei US-amerikanischen Cloud-Anbietern, die dem CLOUD Act unterliegen.
DSGVO-Konformität in der Praxis: Massnahmen für Organisationen
Für eine DSGVO-konforme Datenverarbeitung sollten Organisationen mehrere zentrale Massnahmen umsetzen:
Ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30) dokumentiert systematisch alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Die Bestellung eines Datenschutzbeauftragten ist in Deutschland für Unternehmen ab 20 Mitarbeitenden, die regelmässig personenbezogene Daten verarbeiten, verpflichtend.
Technische Massnahmen umfassen Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und regelmässige Sicherheitsaudits. Organisatorische Massnahmen beinhalten Datenschutzschulungen, klare Zuständigkeiten und dokumentierte Prozesse für die Bearbeitung von Betroffenenanfragen.
Das Prinzip «Privacy by Design» (Art. 25) verlangt, dass Datenschutz von Anfang an in die Entwicklung von Produkten und Diensten integriert wird — nicht erst nachträglich als Compliance-Schicht. Für KI-Systeme bedeutet dies: Datenminimierung beim Training, pseudonymisierte Datensätze und ein klarer Löschprozess für Trainingsdaten.
Laut einer Bitkom-Studie von 2025 geben 78 % der deutschen Unternehmen an, die DSGVO vollständig umgesetzt zu haben — dennoch sehen 62 % der Befragten weiterhin Unsicherheiten bei der Anwendung auf neue Technologien wie generative KI.
Häufige Fragen zu DSGVO
Was ist die DSGVO einfach erklärt?
Die DSGVO (Datenschutz-Grundverordnung) ist ein EU-Gesetz, das seit Mai 2018 regelt, wie Unternehmen und Behörden personenbezogene Daten erheben, speichern und verarbeiten dürfen. Sie gibt Bürgerinnen und Bürgern umfassende Rechte über ihre eigenen Daten — zum Beispiel das Recht auf Auskunft, Löschung und Datenübertragbarkeit.
Welche Strafen drohen bei DSGVO-Verstössen?
Bei schweren Verstössen können Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden. Bis Ende 2025 wurden EU-weit insgesamt über 5,3 Milliarden Euro an Bussgeldern ausgesprochen. Die höchste Einzelstrafe betrug 1,2 Milliarden Euro gegen Meta im Jahr 2023.
Gilt die DSGVO auch für KI-Systeme?
Ja. Sobald ein KI-System personenbezogene Daten verarbeitet — sei es beim Training, bei der Inferenz oder beim Profiling — gelten die DSGVO-Vorschriften vollumfänglich. Besonders relevant sind die Transparenzpflicht, das Recht auf Erklärung automatisierter Entscheidungen und die Pflicht zur Datenschutz-Folgenabschätzung.
Was ist der Unterschied zwischen DSGVO und GDPR?
Es gibt keinen inhaltlichen Unterschied. DSGVO steht für die deutsche Bezeichnung «Datenschutz-Grundverordnung», GDPR für die englische Bezeichnung «General Data Protection Regulation». Beide meinen dieselbe EU-Verordnung (Verordnung 2016/679).
Warum ist souveräne KI für die DSGVO-Konformität wichtig?
Souveräne KI-Plattformen verarbeiten Daten ausschliesslich in europäischen Rechenzentren unter europäischem Recht. Dadurch entfallen Risiken durch Drittstaaten-Transfers (z. B. den US CLOUD Act), und Anforderungen wie Datenresidenz, Löschpflichten und Zugriffskontrolle lassen sich technisch und rechtlich sauber umsetzen.