| General Data Protection Regulation (GDPR)Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and the free movement of such data | Datenschutz-Grundverordnung (DSGVO)Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr (Datenschutz-Grundverordnung). |
| Regulation (EU) 2016/679, the General Data Protection Regulation (GDPR), protects individuals (natural persons) when their data is being processed by the private sector and most of the public sector. The processing of data by the relevant authorities for law-enforcement purposes is subject to the Data Protection Law Enforcement Directive (LED) instead (see summary). | Die Verordnung (EU) 2016/679, die Datenschutz-Grundverordnung (DSGVO) schützt natürliche Personen, wenn ihre Daten von privaten oder vielen öffentlichen Unternehmen verarbeitet werden. Die Datenverarbeitung durch zuständige Behörden zu Zwecken der Strafverfolgung unterliegt der Richtlinie zum Datenschutz bei der Strafverfolgung (siehe Zusammenfassung). |
| It allows individuals to better control their personal data. It also modernises and unifies rules, allowing businesses to reduce red tape and to benefit from greater consumer trust. | Sie ermöglicht Personen eine bessere Kontrolle über ihre personenbezogenen Daten. Außerdem werden Vorschriften erneuert und vereinheitlicht, die es Unternehmen erlauben, ihre Bürokratie zu verringern und von einem höheren Vertrauen der Verbraucher zu profitieren. |
| It establishes a system of completely independent supervisory authorities in charge of monitoring and enforcing compliance. | Sie richtet ein System vollständig unabhängiger Aufsichtsbehörden für die Überwachung und Durchsetzung der Einhaltung ein. |
| It is part of the European Union (EU) data protection reform, along with the Data Protection Law Enforcement Directive and Regulation (EU) 2018/1725 on the protection of individuals with regard to the processing of personal data by the EU institutions, bodies, offices and agencies (see summary). | Die Richtlinie ist Teil der Datenschutzreform der Europäischen Union (EU), zusammen mit der Richtlinie zum Datenschutz bei der Strafverfolgung und der Richtlinie (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU (siehe Zusammenfassung). |
| Individuals’ rights | Die Rechte einer Person |
| The GDPR strengthens existing rights, provides for new rights and gives individuals more control over their personal data. It includes the following. | Die Datenschutz-Grundverordnung stärkt bestehende Rechte, führt neue Rechte ein und gibt Einzelpersonen eine umfassendere Kontrolle über ihre personenbezogenen Daten. Sie umfasst Folgendes: |
| Easier access to an individual’s own data. | Vereinfachter Zugang zu personenbezogenen Daten einer Person. |
| This includes providing more information on how that data is processed and ensuring that that information is available in a clear and understandable way. | Dazu gehören die Bereitstellung von umfassenderen Informationen zur Verarbeitung der Daten und die Gewährleistung, dass diese Informationen klar und verständlich verfügbar gemacht werden. |
| A right to data portability. | Ein Recht auf Datenübertragbarkeit. |
| This makes it easier to transmit personal data between service providers. | Dieses erleichtert die Übermittlung personenbezogener Daten zwischen Anbietern. |
| A right to erasure | Ein Recht auf Löschung |
| (right to be forgotten). When an individual no longer wants their data to be processed and there is no legitimate reason to keep it, the data will be deleted. | (Recht auf Vergessenwerden). Wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht. |
| The right to know when their personal data has been breached. | Das Recht auf Mitteilung über eine Verletzung des Schutzes personenbezogener Daten. |
| Companies and organisations have to notify the relevant data protection supervisory authority and, in cases of serious data breaches, also the individuals affected. | Unternehmen und Organisationen müssen die entsprechenden Datenschutzaufsichtsbehörden und, in Fällen schwerer Verletzungen des Datenschutzes, auch die betroffenen Personen informieren. |
| Rules for businesses | Unternehmensvorschriften |
| The GDPR creates a level playing field for all companies operating in the EU internal market, adopts a technology-neutral approach and stimulates innovation through a number of steps, which include the following. | Die DSGVO schafft einheitliche Wettbewerbsbedingungen für alle Unternehmen, die im Binnenmarkt der EU operieren, folgt einem technologieneutralen Ansatz und regt durch verschiedene Schritte Innovation an, darunter die Folgenden: |
| A single set of EU-wide rules. | Einheitliche EU-weite Vorschriften. |
| A single EU-wide law for data protection increases legal certainty and reduces administrative burdens. | Ein einzelnes EU-weites Datenschutzgesetz erhöht die rechtliche Sicherheit und reduziert den Verwaltungsaufwand. |
| A data protection officer. | Datenschutzbeauftragte. |
| A person responsible for data protection has to be designated by public authorities and by businesses that process data on a large scale, or whose core activity is the processing of special categories of data, such as health-related data. | Öffentliche Behörden und Unternehmen, die umfangreich Daten verarbeiten oder deren Kernaktivität die Verarbeitung besonderer Kategorien von Daten, wie gesundheitsbezogener Daten, ist, müssen eine Person ernennen, die für den Datenschutz verantwortlich ist. |
| One-stop shop. | Einzige Anlaufstelle. |
| Businesses only have to deal with one single supervisory authority (in the EU Member State in which they have their main establishment); the relevant supervisory authorities cooperate within the framework of the European Data Protection Board for cross-border cases, with additional procedural rules for cross-border enforcement laid down in Regulation (EU) 2025/2518. | Unternehmen müssen nur mit einer einzigen Aufsichtsbehörde arbeiten (in dem Mitgliedstaat mit der Hauptniederlassung); die betroffenen Aufsichtsbehörden arbeiten im Rahmen des Europäischen Datenschutzausschusses für grenzüberschreitende Fälle unter Berücksichtigung der zusätzlichen Verfahrensvorschriften für grenzüberschreitende Durchsetzung der Verordnung (EU) 2025/2518 zusammen. |
| EU rules for non-EU companies. | EU-Vorschriften für Nicht-EU-Unternehmen. |
| Companies based outside the EU must apply the same rules when offering services or goods to, or when monitoring the behaviours of, individuals within the EU. | In Drittländern beheimatete Unternehmen müssen dieselben Vorschriften anwenden, wenn sie in der EU Dienstleistungen oder Waren anbieten oder das Verhalten von Personen beobachten. |
| Innovation-friendly rules. | Innovationsfördernde Vorschriften. |
| A guarantee that data protection safeguards are built into products and services from the earliest stage of development (data protection by design and by default). | Eine Garantie, dass Datenschutzbestimmungen bereits in einer frühen Entwicklungsphase in Produkte und Dienstleistungen (Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen) integriert werden. |
| Privacy-friendly techniques. | Datenschutzgerechte Techniken. |
| Pseudonymisation (when identifying fields within a data record are replaced by one or more artificial identifiers) and encryption (when data is coded in such a way that only authorised parties can read it), for example, are encouraged, in order to limit the intrusiveness of processing. | Um die Aufdringlichkeit der Verarbeitung einzugrenzen, werden beispielsweise Pseudonymisierung (wenn identifizierende Felder in einem Datensatz durch eine oder mehrere künstliche Kennungen ersetzt werden) und Verschlüsselung (wenn Daten so verschlüsselt sind, dass nur befugte Parteien sie lesen können) empfohlen. |
| Removal of notifications. | Beseitigung der Meldepflichten. |
| The GDPR scrapped most notification obligations and the costs associated with these. One of its aims is to remove obstacles that affect the free flow of personal data within the EU. This will make it easier for businesses to expand in the digital single market. | Die DSGVO schaffte die meisten Meldepflichten und die damit verbundenen Kosten ab. Eines der Ziele ist die Beseitigung von Hürden, die sich auf den freien Verkehr personenbezogener Daten in der EU auswirken. So können Unternehmen einfacher im digitalen Binnenmarkt expandieren. |
| Data protection impact assessments. | Datenschutz-Folgenabschätzungen. |
| Organisations will have to carry out impact assessments when data processing may result in a high risk for the rights and freedoms of individuals. | Unternehmen führen Folgenabschätzungen durch, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte. |
| Record keeping. | Führen von Verzeichnissen. |
| Small and medium-sized enterprises are not required to keep records of processing activities – unless the processing is regular or likely to result in a risk to the rights and freedoms of the person whose data is being processed, or includes sensitive categories of data. | Kleine und mittlere Unternehmen sind nicht verpflichtet, Verzeichnisse über die Datenverarbeitung zu führen, sofern die Verarbeitung nicht zu einem hohen Risiko für die Rechte und Freiheiten der Person führen, deren Daten verarbeitet werden, oder sensible Datenkategorien umfasst. |
| A modern toolbox for international data transfers. | Moderne Mittel für internationale Datenübertragungen. |
| The GDPR offers various instruments to transfer data outside the EU, including adequacy decisions adopted by the European Commission where the non-EU country offers an adequate level of protection, pre-approved (standard) contractual clauses, binding corporate rules, codes of conduct and certification. | Die DSGVO bietet verschiedene Wege, Daten außerhalb der EU zu übertragen, darunter Angemessenheitsbeschlüsse der Europäischen Kommission, über die Nicht-EU-Länder angemessenen Datenschutz, zuvor gebilligte Standardvertragsklauseln, bindende Unternehmensvorschriften, Verhaltenskodizes und Zertifizierung bieten. |
| Enforcement of the GDPR in cross-border cases | Durchsetzung der DSGVO in grenzüberschreitenden Fällen |
| Regulation (EU) 2025/2518 (adopted on 26 November 2025 and published in the Official Journal on 12 December 2025) sets procedural rules for enforcing the GDPR in cross-border cases (where more than one EU / European Economic Area authority is involved). The goal is to make investigations and complaint-handling faster and more consistent across Member States. | Die Verordnung (EU) 2025/2518 (angenommen am 26. November 2025 und im Amtsblatt am 12. Dezember 2025 veröffentlicht) legt Verfahrensvorschriften für die Durchsetzung der DSGVO in grenzüberschreitenden Fällen fest (wenn mehr als eine Behörde in der EU / dem Europäischen Wirtschaftsraum beteiligt ist). Ziel ist es, Untersuchungen und die Bearbeitung von Beschwerden in den Mitgliedstaaten schneller und kohärenter zu gestalten. |
| The regulation strengthens and standardises processes such as how complaints are lodged and assessed, cooperation between the lead supervisory authority and other concerned authorities, and clearer procedural rights for key parties (complainants and parties under investigation). It is intended to improve efficiency and legal certainty in cross-border GDPR enforcement while supporting smoother coordination between regulators. | Die Verordnung stärkt und vereinheitlicht Verfahren, etwa dazu, wie Beschwerden eingereicht und geprüft werden, die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Behörden sowie klarere Verfahrensrechte für die wichtigsten Beteiligten (Beschwerdeführer und von Ermittlungen betroffene Parteien). Sie soll die Effizienz und Rechtssicherheit bei der grenzüberschreitenden Durchsetzung der DSGVO verbessern und zugleich eine reibungslosere Koordinierung zwischen den Aufsichtsbehörden unterstützen. |
| Review | Überprüfung |
| The Commission published the first report on the evaluation and review of the regulation in June 2020. A second report was published in July 2024, and the next report is due in 2028. | Die Kommission hat im Juni 2020 den ersten Bericht über die Bewertung und Überprüfung dieser Verordnung veröffentlicht. Der zweite Bericht wurde im Juli 2024 veröffentlicht und der nächste Bericht ist 2028 fällig. |
| The GDPR has applied since 25 May 2018. | Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten. |
| The procedural rules for cross-border enforcement laid down in Regulation (EU) 2025/2518 apply from 2 April 2027. | Die in der Verordnung (EU) 2025/2518 festgelegten Verfahrensvorschriften für die grenzüberschreitende Durchsetzung gelten ab dem 2. April 2027. |
| For further information, see:Agreement on Commission’s EU data protection reform will boost digital single market (European Commission)Data protection (European Commission)Legal framework of EU data protection (European Commission)Reports on the application of the GDPR (European Commission)Questions and answers – data protection reform (European Commission)Protection of personal data (European Commission). | Weiterführende Informationen:Einigung über die EU-Datenschutzreform der Kommission wird digitalen Binnenmarkt voranbringen (Europäische Kommission),Datenschutz (Europäische Kommission)Rechtsrahmen für EU-Datenschutz (Europäische Kommission)Berichte über die Anwendung der DSGVO (Europäische Kommission),Fragen und Antworten – Datenschutzreform (Europäische Kommission),Schutz personenbezogener Daten (Europäische Kommission). |
| Following the COVID-19 outbreak and the introduction of measures to cope with the impact of the crisis, the Commission adopted:Commission Recommendation (EU) 2020/518 of 8 April 2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data. | Infolge des Ausbruchs von COVID-19 und der Einführung von Maßnahmen zur Bewältigung der Auswirkungen der Krise hat die Kommission Folgendes erlassen:Empfehlung (EU) 2020/518 der Kommission vom 8. April 2020 für ein gemeinsames Instrumentarium der Union für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise, insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten. |
| Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, pp. 1–88). | Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88) |
| Successive amendments to Regulation (EU) 2016/679 have been incorporated into the original text. This consolidated version is of documentary value only. | Nachfolgende Änderungen der Verordnung (EU) 2016/679 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter. |
| Regulation (EU) 2025/2518 on additional procedural rules on the enforcement of the GDPR. | Verordnung (EU) 2025/2518 zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. |
| Regulation (EU) 2018/1725 on the protection of personal data by the EU institutions, bodies, offices and agencies and on the free movement of such data. | Verordnung (EU) 2018/1725 zum Schutz personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr solcher Daten. |
| Directive (EU) 2016/680 on the protection of personal data by police and criminal justice authorities and on the free movement of such data. | Siehe konsolidierte Fassung. |
| See consolidated version. | Richtlinie (EU) 2016/680 zum Schutz personenbezogener Daten durch Polizei- und Strafverfolgungsbehörden und zum freien Datenverkehr. |
| Directive 2002/58/EC on the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). | Siehe konsolidierte Fassung. |
| See consolidated version. | Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). |
| last update 24.3.2026 | Siehe konsolidierte Fassung. |
| | Letzte Aktualisierung: 24.3.2026 |
