The General Data Protection Regulation (GDPR, Regulation 2016/679) is the EU's comprehensive data protection law. It governs how organisations collect, store, process, and transfer personal data of EU residents. It has been in force since May 25, 2018.

Who must comply with the GDPR?

Any organisation worldwide that processes personal data of EU residents must comply — regardless of where the organisation is based. This includes data controllers (who determine the purpose of processing) and data processors (who process data on behalf of controllers).

What are the fines for GDPR violations?

Serious violations (e.g. unlawful processing, breach of data subject rights) carry fines up to €20 million or 4% of global annual turnover, whichever is higher. Procedural violations (e.g. failure to maintain records, inadequate security measures) carry fines up to €10 million or 2% of global annual turnover. National DPAs have issued over €7.1 billion in cumulative fines since 2018, with €1.2 billion in 2025 alone.

What does SiteGuardian check for GDPR compliance?

SiteGuardian continuously monitors the technical measures required by GDPR: HTTPS/TLS encryption, security headers, Content Security Policy, cookie flags, HSTS enforcement, cipher suite strength, forward secrecy, data residency of third-party services, pre-consent data transfer detection, and breach notification deadline tracking.

How does SiteGuardian help with GDPR breach notification?

When SiteGuardian detects a security incident, it classifies the regulatory impact, starts the 72-hour notification countdown required by GDPR Art. 33, and generates pre-filled reports for your Data Protection Authority (DPA). This helps you meet the strict notification deadline.

EU-Verordnung 2016/679

DSGVO-Website-Compliance.
Technische Maßnahmen kontinuierlich überwachen.

Die Datenschutz-Grundverordnung verpflichtet jede Organisation, die personenbezogene Daten in der EU verarbeitet, angemessene technische Maßnahmen umzusetzen — oder es drohen Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes.

In Kraft seit dem 25. Mai 2018

Jetzt Ihre Website scannen Compliance-Pläne anzeigen

Gilt die GDPR für Sie?

Die GDPR gilt für jede Organisation — weltweit — die personenbezogene Daten von EU-Bürgern verarbeitet. Wenn Sie in einem dieser Szenarien personenbezogene Daten erheben, speichern oder verarbeiten, fallen Sie in den Anwendungsbereich.

E-Commerce

Verantwortlicher

SaaS / Cloud

Auftragsverarbeiter

Gesundheitswesen

Verantwortlicher

Marketing / Werbung

Verantwortlicher

Finanzdienstleistungen

Verantwortlicher

HR / Recruiting

Verantwortlicher

Bildung

Verantwortlicher

Öffentlicher Sektor

Verantwortlicher

Die Kosten der Nichteinhaltung

Schwerwiegende Verstöße

Art. 83(5) — unrechtmäßige Verarbeitung, Verletzung der Rechte betroffener Personen

€20M

oder 4 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Verfahrensverstöße

Art. 83(4) — unzureichende Sicherheit, fehlende Aufzeichnungen, keine DSFA

€10M

oder 2 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Nationale Datenschutzbehörden haben seit 2018 über 7,1 Milliarden Euro an DSGVO-Bußgeldern verhängt, allein 1,2 Milliarden Euro im Jahr 2025.

Die Durchsetzung weitet sich über Big Tech hinaus auf Finanzen, Gesundheitswesen, Telekommunikation und den öffentlichen Sektor aus — Branchen, in denen technische Compliance-Lücken am häufigsten sind.

Unser Benchmark von 6,700+ EU-Websites zeigt, dass 21% Drittanbieter-Ressourcen aus nicht-adäquaten Ländern vor der Cookie-Einwilligung laden — ein direkter Verstoß gegen Art. 44. Vollständigen Bericht ansehen →

Was die GDPR fordert — und was SiteGuardian überwacht

Die GDPR schreibt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor. SiteGuardian überwacht die technischen Anforderungen kontinuierlich.

Art. 5(1)(f)

Integrität und Vertraulichkeit

Überwacht

SiteGuardian validiert HTTPS-Durchsetzung, TLS-Konfiguration, Security-Header und Transportverschlüsselung — und stellt sicher, dass personenbezogene Daten vor unbefugtem Zugriff und versehentlichem Verlust geschützt sind.

Art. 25

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Überwacht

SiteGuardian überwacht die Qualität der Content Security Policy, Cookie-Flags (Secure, HttpOnly, SameSite), Security-Header-Härtung und datenschutzfreundliche Standardkonfigurationen über alle Ihre Web-Eigenschaften.

Art. 32

Sicherheit der Verarbeitung

Überwacht

SiteGuardian erzwingt TLS 1.2+ mit Forward Secrecy, validiert die Stärke der Cipher-Suiten, prüft HSTS-Deployment und Preload-Bereitschaft, überwacht die Zertifikatsgültigkeit und erkennt veraltete Protokolle.

Art. 33

Meldung einer Verletzung des Schutzes personenbezogener Daten

Überwacht

SiteGuardian erkennt Sicherheitsvorfälle in Echtzeit, startet den von der GDPR vorgeschriebenen 72-Stunden-Melde-Countdown, klassifiziert die regulatorischen Auswirkungen und erstellt vorausgefüllte Berichte für Ihre Datenschutzbehörde.

Art. 35

Datenschutz-Folgenabschätzung (DSFA)

DSFAs sind fragebogenbasierte Bewertungen, die organisatorischen Input zu Datenflüssen, Risikobewertung und Gegenmaßnahmen erfordern. Dies ist eine prozessgetriebene Anforderung jenseits automatisierter Überwachung.

Art. 37

Benennung eines Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten ist eine organisatorische Anforderung für Behörden und Organisationen, deren Kerntätigkeiten die umfangreiche systematische Überwachung oder Verarbeitung besonderer Datenkategorien umfassen.

Art. 44–49

Internationale Datenübermittlungen

Überwacht

SiteGuardian analysiert den Datenstandort von Drittanbieter-Diensten, erkennt Hosting in nicht-angemessenen Drittländern und verfolgt Datenübermittlungen vor Einwilligung über CDNs, Analytics und Font-Dienste — potenzielle Verstöße gegen Art. 44 werden markiert. Seit Schrems II (EuGH C-311/18, Juli 2020) das EU-US Privacy Shield für ungültig erklärt hat, erfordern Übermittlungen in die USA Standardvertragsklauseln mit zusätzlichen Maßnahmen, und das Risiko nach dem CLOUD Act muss bewertet werden.

Art. 30

Verzeichnis von Verarbeitungstätigkeiten

SiteGuardian bietet Dokumentengeneratoren und Audit-Trail-Exporte, die Ihr Verarbeitungsverzeichnis unterstützen. Die Pflege vollständiger Aufzeichnungen erfordert jedoch manuelle Eingaben zu Zwecken, Rechtsgrundlagen und Aufbewahrungsfristen.

Häufig gestellte Fragen

Was ist die GDPR?

Die Datenschutz-Grundverordnung (GDPR, Verordnung 2016/679) ist das umfassende Datenschutzgesetz der EU, das regelt, wie Organisationen personenbezogene Daten von Personen in der Europäischen Union erheben, speichern, verarbeiten und übermitteln. Sie ist seit dem 25. Mai 2018 in Kraft und gilt für jede Organisation weltweit, die personenbezogene Daten in der EU verarbeitet.

Wer muss die GDPR einhalten?

Jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, muss die Vorgaben einhalten — unabhängig vom Sitz der Organisation. Dazu gehören Verantwortliche (die Zweck und Mittel der Verarbeitung bestimmen) und Auftragsverarbeiter (die Daten im Auftrag von Verantwortlichen verarbeiten). Sie gilt für Unternehmen jeder Größe, vom Einzelunternehmer bis zum multinationalen Konzern.

Welche Bußgelder drohen bei GDPR-Verstößen?

Die GDPR hat eine zweistufige Bußgeldstruktur. Schwerwiegende Verstöße wie unrechtmäßige Verarbeitung oder Verletzung der Rechte betroffener Personen werden mit Bußgeldern bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes belegt, je nachdem, welcher Betrag höher ist. Verfahrensverstöße wie unzureichende Sicherheitsmaßnahmen oder fehlende Aufzeichnungen werden mit Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes belegt.

Was prüft SiteGuardian für die GDPR-Compliance?

SiteGuardian überwacht kontinuierlich die von der GDPR geforderten technischen Maßnahmen: HTTPS/TLS-Verschlüsselung und -Konfiguration, Security-Header (CSP, HSTS, X-Frame-Options), Cookie-Sicherheitsflags, Cipher-Suite-Stärke und Forward Secrecy, Analyse des Datenstandorts von Drittanbietern, Erkennung voreinwilligungsloser Datenübermittlungen für CDNs, Analysedienste und Schriftarten sowie Zertifikatsgültigkeits-Monitoring.

Wie hilft SiteGuardian bei der GDPR-Verletzungsmeldung?

Wenn SiteGuardian einen Sicherheitsvorfall erkennt, klassifiziert es automatisch die regulatorischen Auswirkungen unter der GDPR, startet den von Art. 33 vorgeschriebenen 72-Stunden-Melde-Countdown und erstellt vorausgefüllte Berichte für Ihre Datenschutzbehörde (DPA). Dies hilft Ihnen, die strenge Meldefrist einzuhalten und Ihre Reaktion als Compliance-Nachweis zu dokumentieren.

DSGVO-Website-Compliance. Technische Maßnahmen kontinuierlich überwachen.

Gilt die GDPR für Sie?

Die Kosten der Nichteinhaltung

Was die GDPR fordert — und was SiteGuardian überwacht

Integrität und Vertraulichkeit

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Sicherheit der Verarbeitung

Meldung einer Verletzung des Schutzes personenbezogener Daten

Datenschutz-Folgenabschätzung (DSFA)

Benennung eines Datenschutzbeauftragten

Internationale Datenübermittlungen

Verzeichnis von Verarbeitungstätigkeiten

Prüfen Sie Ihre GDPR-Compliance-Situation

Häufig gestellte Fragen

Sind Sie sicher?

DSGVO-Website-Compliance.
Technische Maßnahmen kontinuierlich überwachen.