DSGVO
Auch bekannt als: GDPR, EU-Datenschutz-Grundverordnung, General Data Protection Regulation, EU 2016/679
1. Kurzdefinition
Die DSGVO (Datenschutz-Grundverordnung) ist die EU-Verordnung zum Schutz personenbezogener Daten, in Kraft seit 25. Mai 2018. Sie gilt für alle Unternehmen, die EU-Bürger als Kunden haben — auch Schweizer KMU mit EU-Kundschaft. Sanktionen bis 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem was höher ist.
2. Ausführliche Erklärung
Die DSGVO (Datenschutz-Grundverordnung), international auch GDPR (General Data Protection Regulation), ist die zentrale EU-Verordnung zum Schutz personenbezogener Daten. Sie trat am 25. Mai 2018 in Kraft und gilt direkt in allen 27 EU-Mitgliedstaaten ohne nationale Umsetzung. Wichtig für Schweizer Unternehmen: die DSGVO gilt extraterritorial — sobald ein Schweizer Unternehmen Daten von EU-Bürgern verarbeitet (etwa bei eCommerce mit EU-Kunden, bei B2B-Dienstleistungen für EU-Firmen oder bei Newsletter-Abos von EU-Adressen), gilt die DSGVO parallel zum revDSG.
Sechs zentrale Prinzipien tragen die DSGVO. Erstens Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz: jede Datenverarbeitung braucht eine Rechtsgrundlage und muss klar kommuniziert werden. Zweitens Zweckbindung: Daten dürfen nur für klar definierte Zwecke verwendet werden. Drittens Datenminimierung: nur notwendige Daten sammeln. Viertens Richtigkeit: Daten müssen aktuell und korrekt gehalten werden. Fünftens Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden wie für den Zweck nötig. Sechstens Integrität und Vertraulichkeit: technische Schutzmassnahmen sind Pflicht.
Praktische Pflichten für Schweizer Sites mit EU-Kundschaft. Erstens Datenschutz-Erklärung: muss DSGVO-konform detailliert sein, mit Listen aller Verarbeitungs-Tätigkeiten, Drittländer-Transfers, Aufbewahrungsfristen, Betroffenen-Rechte. Zweitens Cookie-Consent: aktives Opt-in pro Cookie-Kategorie, kein Pre-Checked oder Accept-All-Default. Drittens Auftragsverarbeitungs-Verträge: mit jedem Dienstleister, der personenbezogene Daten verarbeitet (Hoster, Analytics-Anbieter, KI-Tools), muss ein DPA (Data Processing Agreement) abgeschlossen werden. Viertens Datenschutz-Beauftragter: bei Hochrisiko-Datenverarbeitung Pflicht-Bestellung. Fünftens Datenpannen-Meldung: bei Verletzung der Datensicherheit muss innerhalb 72 Stunden gemeldet werden.
Für GEO bringt DSGVO drei spezifische Anforderungen mit. Erstens KI-Tool-Disclosure: ChatGPT-API-Nutzung, Anthropic-Claude, Google-AI-Dienste müssen explizit im Datenschutz genannt werden, mit Drittländer-Transfer-Hinweis (USA). Standardvertragsklauseln (SCC) sind dafür Standard-Rechtsgrundlage. Zweitens Auftragsverarbeitung: DPAs mit OpenAI, Anthropic etc. — alle drei grossen AI-Anbieter haben standardisierte DPA-Templates online. Drittens Profiling-Disclosure: wenn KI-Tools für automatisierte Entscheidungen über Kunden eingesetzt werden, ist explizite Einwilligung Pflicht.
Wichtig zur Abgrenzung: DSGVO ist nicht revDSG. DSGVO ist EU-Verordnung mit weltweiter Auswirkung; revDSG ist Schweizer Bundesgesetz. Beide harmonisieren weitgehend, aber DSGVO ist in einigen Punkten strenger (höhere Bussen, breitere extraterritoriale Anwendung). Schweizer Unternehmen mit EU-Kundschaft müssen beide einhalten — DSGVO-Compliance deckt revDSG meist mit ab. Reine Schweiz-fokussierte KMU ohne EU-Kunden brauchen primär revDSG-Compliance.
3. Praxisbeispiel
DSGVO-konforme Datenschutz-Sektion zu KI-Tools (Auszug):
# /datenschutz - Sektion für EU-Kunden
## 7. Verarbeitung durch KI-Dienstleister (Drittlaender-Transfer)
Wir setzen folgende KI-Tools ein, die personenbezogene Daten
in die USA exportieren:
### 7.1 OpenAI ChatGPT-API
- Dienstleister: OpenAI L.L.C., 3180 18th St, San Francisco, CA, USA
- Zweck: AI GEO-Berater im Pro-Plus-Plan
- Verarbeitete Daten: Konversations-Inhalte, anonymisierte Site-URL
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)
- Drittlaender-Transfer: Art. 46 Abs. 2 lit. c DSGVO
(Standardvertragsklauseln SCC)
- DPA-Vereinbarung: abgeschlossen am 2025-03-15
- Ihre Rechte: Sie können Auskunft, Berichtigung und
Löschung verlangen unter datenschutz@geoquality.ai
### 7.2 Anthropic Claude-API
- Dienstleister: Anthropic PBC, 548 Market St, San Francisco, CA, USA
- (Analoge Struktur wie 7.1)
## 8. Profiling und automatisierte Entscheidungen
Beim Einsatz unseres KI Prompt Analyzers werden Antworten der
fuenf grossen LLMs ausgewertet. Diese Auswertung beinhaltet kein
Profiling im Sinne von Art. 22 DSGVO und keine automatisierten
Entscheidungen mit rechtlicher Wirkung für den Nutzer.Diese Struktur ist DSGVO-konform und gleichzeitig revDSG-kompatibel. Pflicht für jede Schweizer Site mit EU-Kundschaft.
4. Typische Fehler & Missverständnisse
- DSGVO als 'EU-Problem' abtun, obwohl Schweizer Site EU-Kunden hat — extraterritoriale Anwendung trifft auch CH-KMU.
- Cookie-Banner mit Pre-Checked-Default einsetzen — DSGVO-Verstoss, aktives Opt-in ist Pflicht.
- DPA mit KI-Anbietern nicht abschliessen — typisch online verfügbar bei OpenAI, Anthropic, Google.
- Datenpanne länger als 72 Stunden ungemeldet lassen — verschärft Sanktionen drastisch.
- Datenschutz-Erklärung von 2018 weiter nutzen ohne Updates für KI-Tool-Einsatz.
5. Best Practices
- Pflege DSGVO-konforme Datenschutz-Erklärung mit detaillierten KI-Tool-Listings, Drittländer-Transfer-Hinweisen und Rechtsgrundlagen.
- Schliesse DPA (Auftragsverarbeitungs-Vertrag) mit allen Dienstleistern ab, die personenbezogene Daten verarbeiten.
- Implementiere DSGVO-konformen Cookie-Banner mit aktivem Opt-in pro Cookie-Kategorie.
- Bei Hochrisiko-Datenverarbeitung: bestelle einen Datenschutz-Beauftragten (DPO) — extern oder intern.
- Etabliere 72-Stunden-Reaktions-Prozess für Datenpannen-Meldungen.
- Bei extraterritorialer Anwendung: prüfe parallel revDSG-Konformität — DSGVO-Compliance deckt meist ab, aber Detailprüfung sinnvoll.
6. Fakten
- DSGVO trat am 25. Mai 2018 in Kraft; Sanktionen bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
- Bis Ende 2024 wurden europaweit DSGVO-Bussen über 4.5 Milliarden Euro verhängt — höchste Bussen typisch gegen US-Tech-Konzerne.
- Die DSGVO gilt extraterritorial: Schweizer Unternehmen mit EU-Kunden müssen sie einhalten, auch ohne Niederlassung in der EU.
- Im DACH-Raum 2026 haben schätzungsweise 60-70% aller B2B-Sites mit potentieller EU-Kundschaft DSGVO-konforme Datenschutz-Erklärungen — die Mehrheit kämpft mit Aktualisierungen.
- OpenAI, Anthropic und Google bieten 2026 standardisierte DPA-Templates online; Self-Service-Abschluss in 5-15 Minuten möglich.
- Standardvertragsklauseln (SCC) sind 2026 die Standard-Rechtsgrundlage für Drittländer-Transfers in die USA — nach Schrems-II-Urteil von 2020 mit zusätzlichen Schutzmassnahmen.
Definition von Marco Biner · Certified GEO Expert
DSGVO ist 2026 für Schweizer KMU mit EU-Kunden Pflicht-Foundation. Bei Klienten thematisiere ich es zwingend in der ersten Beratung: 'Habt ihr EU-Kunden? Habt ihr DPA mit OpenAI? Pre-Checked Cookies?'. In etwa 50 Prozent der Fälle ist die Antwort: 'wir wussten nicht, dass uns DSGVO trifft'. Das ist Compliance-Risiko mit Bussen-Faktor 100x gegenüber revDSG. Mein Standard-Tipp: prüfe extraterritoriale Anwendung sofort, schliesse fehlende DPAs ab, aktualisiere Datenschutz-Erklärung. Aufwand: 4-8 Stunden plus Anwalt-Prüfung. Ohne DSGVO-Compliance kann nachhaltiges GEO-Setup nicht aufgebaut werden — das rechtliche Risiko unterminiert das ganze Trust-Profil.
GEO Importance Rank
Wie wichtig ist dieser Begriff für Generative Engine Optimization?
FAQs
Wann gilt DSGVO für meine Schweizer Site?
Sobald die Site personenbezogene Daten von EU-Bürgern verarbeitet — bei eCommerce mit EU-Kunden, bei B2B-Dienstleistungen für EU-Firmen, bei Newsletter-Abos mit EU-Adressen. Auch reine Marketing-Sites, die EU-Bürger erreichen, fallen darunter. Extraterritoriale Anwendung ist DSGVO-Standard.
Wie hoch sind die DSGVO-Sanktionen?
Bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem was höher ist. Drastisch höher als revDSG (max 250'000 CHF). Bis Ende 2024 wurden europaweit über 4.5 Milliarden Euro Bussen verhängt — höchste typisch gegen US-Tech-Konzerne wie Meta und Amazon.
Was ist ein DPA?
Data Processing Agreement, ein Auftragsverarbeitungs-Vertrag. Pflicht bei jedem Dienstleister, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Inhalt: Verarbeitungszweck, Datenkategorien, Aufbewahrungsfristen, Schutzmassnahmen. OpenAI, Anthropic, Google und alle grossen Dienstleister bieten Standard-DPAs online an.
Brauche ich einen Datenschutz-Beauftragten?
Pflicht bei Hochrisiko-Datenverarbeitung — typisch bei umfangreicher Profiling-Aktivität, sensibler Kategorie-Daten oder grossen Datenmengen. Für KMU unter 250 Mitarbeitenden mit Standard-Datenverarbeitung meist nicht zwingend. Externe DPO-Bestellung ist 2026 üblicher Weg, Aufwand 1-2 Tage pro Jahr, Kosten typisch 1500-3000 CHF/Jahr.
Was ist der Unterschied zwischen DSGVO und revDSG?
DSGVO ist EU-Verordnung mit weltweiter Anwendung, revDSG ist Schweizer Bundesgesetz. Beide harmonisieren weitgehend, aber DSGVO ist in einigen Punkten strenger (höhere Bussen, breiter extraterritorial). Schweizer Unternehmen mit EU-Kunden müssen beide einhalten; DSGVO-Compliance deckt revDSG meist mit ab.
Was muss ich bei KI-Tool-Einsatz beachten?
Drei Punkte: erstens explizite Disclosure im Datenschutz mit Anbieter, Zweck, Drittländer-Transfer. Zweitens DPA mit dem KI-Anbieter abschliessen. Drittens bei automatisierten Entscheidungen mit rechtlicher Wirkung Art. 22 DSGVO beachten — Profiling-Disclosure plus Recht auf manuelle Überprüfung. KI-Tool-Compliance ist seit 2023 verstärkter EDÖB-Fokus.
Verwandte Begriffe
Eigene AI-Sichtbarkeit messen
Kostenlose SEAKT-Analyse für jede Website — Score in unter 2 Minuten.
Jetzt analysieren →