Datenschutz-Akademie » Datenschutz-Wiki » Datenschutzgrundverordnung EU-DSGVO

Datenschutzgrundverordnung EU-DSGVO

Datenschutzgrundverordnung EU-DSGVO

Die Datenschutz-Grundverordnung der EU (DSGVO) ist ein breit diskutiertes Thema, das bei vielen Unternehmen und Privatpersonen für Unsicherheiten und Fragen sorgt.

Wir bringen Licht ins Dunkel: Im Folgenden haben wir zusammengefasst, was die DSGVO ist und welche Auswirkungen sie auf Unternehmen hat. Außerdem erklären wir, welche Datenschutz-Maßnahmen man ergreifen sollte und ob man einen Datenschutzbeauftragten benötigt.

Was ist die DSGVO?

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR). Es handelt sich um ein knapp 100 Paragrafen umfassendes Gesetz zum Schutz personenbezogener Daten innerhalb der EU.

Bis zum Inkrafttreten der Verordnung galten in jedem EU-Land andere Datenschutz-Standards. Durch die Datenschutz-Grundverordnung wurde das Datenschutzrecht in der Europäischen Union vereinheitlicht.

Das Ziel der Datenschutzgrundverordnung

Die Datenschutz-Grundverordnung soll auf europäischer Ebene jeder natürlichen Person das Recht auf den Schutz ihrer persönlichen Daten gewährleisten. Dadurch sollen die Bürger die Hoheit über ihre personenbezogenen Daten zurückerhalten und selbst entscheiden können, was mit diesen passiert. Das übergeordnete Ziel der Datenschutzgrundverordnung (DSGVO) ist der Schutz der Grundrechte und Grundfreiheiten der betroffenen Personen.

Was sind personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich um alle Informationen, mit denen eine bestimmte Person identifiziert werden kann. Die DSGVO bezieht sich also auf sämtliche Daten, die man direkt oder indirekt mit einer entsprechenden Person in Verbindung bringen kann. Die Informationen können sowohl aus dem privaten und familiären als auch aus dem wirtschaftlichen, rechtlichen oder sozialen Umfeld stammen. Nicht zu den personenbezogenen Daten zählen anonymisierte Daten. So lassen sich bspw. aus statistischen Erhebungen oder den Umsatzdaten eines Unternehmens keine Rückschlüsse auf eine bestimmte Einzelperson ziehen. Zu den personenbezogenen Dazu zählen bspw.:

  • Name
  • Geburtsdatum
  • Alter
  • Familienstand
  • Adresse
  • E-Mail-Adresse
  • IP-Adressen
  • Telefonnummer
  • Kontodaten

  • KFZ-Kennzeichen
  • Personalausweisnummer
  • Sozialversicherungsnummer
  • Standortdaten
  • Vorstrafen
  • Gesundheitsdaten
  • Kulturelle / soziale Merkmale
  • Biometrische Daten (bspw. Fingerabdruck)

Für wen gilt die Datenschutz-Grundverordnung?

Die DSGVO schützt die Rechte von Verbrauchern in der EU und erlegt damit zugleich Unternehmen zahlreiche Pflichten auf. Betroffen sind alle in der EU ansässigen bzw. tätigen Unternehmen. Dazu zählen auch außereuropäische Unternehmen, die entweder eine Niederlassung in einem EU-Land haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Die Datenschutz-Grundprinzipien

In Artikel 5 der DSGVO sind die Grundsätze für die Datenverarbeitung festgelegt, mit denen sich Unternehmen vertraut machen sollten. Sie regeln, wie die Speicherung und Verarbeitung von personenbezogenen Daten rechtskonform umzusetzen ist. Mit Verarbeitung ist bspw. das Erheben, Verändern, Vernichten oder Speichern dieser Daten gemeint.

  1. Rechtmäßigkeit der Verarbeitung
    Zur Datenverarbeitung braucht es eine Rechtsgrundlage. Anders ausgedrückt: Die Verarbeitung ist verboten, es sei denn, die Person willigt ein oder die Erlaubnis entsteht aus einem Gesetz wie der TMG.
  2.  Zweckbindung
    Daten dürfen nur für den Zweck verarbeitet werden, zu dem sie erhoben wurden. Der Zweck muss legitim sein, bei der Erhebung eindeutig festgelegt und der betroffenen Person mitgeteilt werden. Eine nachträgliche Änderung des Zwecks ist dem Betroffenen mitzuteilen – dieser kann der Änderung widersprechen.
  3. Datenminimierung
    Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie gemessen am Zweck benötigt werden. Für das Abonnieren eines Newsletters muss bspw. die E-Mail-Adresse notwendigerweise erhoben werden, nicht jedoch das KFZ-Kennzeichen oder der Familienstand.
  4. Richtigkeit
    Die Daten müssen sachlich und inhaltlich richtig sowie auf dem aktuellsten Stand sein. Falsche Informationen müssen unverzüglich gelöscht oder korrigiert werden.
  5. Speicherbegrenzung
    Die Daten sind zu löschen, wenn der Zweck, für den die Daten erhoben wurden, erreicht wurde.
  6. Integrität / Vertraulichkeit
    Datenverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um die personenbezogenen Daten angemessen zu schützen. Schutz braucht es bspw. vor der unbefugten Verarbeitung oder der Weitergabe der Daten an Dritte.
  7. Rechenschaftspflicht
    Datenverantwortliche im Unternehmen sind gegenüber Aufsichtsbehörden in der Nachweispflicht über die Einhaltung der Datenschutzprinzipien. Verstöße gegen die DSGVO werden mit teils hohen Geldbußen belegt.

Betroffenenrechte: Diese Pflichten gelten für Unternehmen

Neben den Grundprinzipien sollten Datenverantwortliche die in der Datenschutzgrundverordnung festgehaltenen Betroffenenrechte auf dem Schirm haben. Daraus ergeben sich weitere Pflichten für Unternehmen.

Eine prominente Regelung ist das Recht auf Vergessenwerden (Art. 17 DSGVO). Eine Person hat bspw. dann ein Recht darauf, dass ihre Daten gelöscht werden müssen, wenn:

  • sie ihre Einwilligung widerruft.
  • der Zweck für die Datenverarbeitung weggefallen ist.
  • die Datenverarbeitung unrechtmäßig war.

Weitere wichtige Betroffenenrechte sind:

  • Informationsrecht (Art. 12, Art. 13 und Art. 14 DSGVO): Vor der Erhebung muss der Betroffene informiert und über seine Rechte aufgeklärt werden.
  • Auskunftsrecht (Art. 15 DSGVO): Der Betroffene kann Auskunft über Umfang und Art der verarbeiteten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Der Betroffene kann verlangen, unrichtige Daten zu berichten.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Der Betroffene hat einen Anspruch, den Satz zu seinen personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten. Hintergrund ist, dass er diese in eine andere Datenbank einpflegen kann.
  • Widerspruchsrecht (Art. 21 DSGVO): Der Betroffene kann gegen die Datenverarbeitung Widerspruch einlegen. Der Verantwortliche darf die personenbezogenen Daten nur dann weiter verarbeiten, wenn er zwingende schutzwürdige Gründe nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Es wird deutlich: Ohne die Hilfe von Experten und die Einführung eines Datenschutzmanagements wird es für Unternehmen schwierig, die datenschutzrechtlichen Hinweis-, Rechenschaft- und Dokumentationspflichten zu erfüllen.

Lesen Sie den ausführlichen Wiki-Artikel zu den Betroffenenrechten der DSGVO oder informieren Sie sich in den Gesetzestexten der DSGVO in unserem Hilfe-Center.

Ist ein Datenschutzbeauftragter notwendig?

Laut EU-DSGVO kann es für ein Unternehmen erforderlich sein, einen Datenschutzbeauftragten zu bestellen. Dabei handelt es sich um eine Person, die dafür verantwortlich ist, dass ein Unternehmen den Datenschutz einhält. Diese Person kann ein Angestellter sein, aber auch die Beauftragung eines externen Datenschutzbeauftragten ist möglich.

So manches Unternehmen wird sich nun fragen: „Brauchen wir einen Datenschutzbeauftragten?“

Die Antwort lässt sich anhand dieser drei Punkte ermitteln:

  • Die Haupttätigkeit ist die „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“
  • Es werden besondere Kategorien von Daten (Art. 9 DSGVO) verarbeitet
  • Es sind mehr als 20 Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten

Trifft einer der drei Punkte auf das Unternehmen zu, so wird ein Datenschutzbeauftragter benötigt. Davon unabhängig kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten einsetzen.

Lesen Sie den ausführlichen Wiki-Artikel zum Thema Datenschutzbeauftragter gemäß DSGVO in unserem Datenschutz-Wiki.

Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte hat diverse Aufgaben zu erfüllen, die sich (un-)mittelbar aus der Datenschutz-Grundverordnung ableitet lassen. Zum Beispiel:

  • Datenschutzkonzept erstellen
  • Schulung und Sensibilisierung der Mitarbeiter zum Thema Datenschutz
  • Bearbeitung fachlicher Anfragen von Kunden und Mitarbeitern
  • Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungs-Software
  • Erarbeitung und Aktualisierung von Datenschutz-Richtlinien, Datenschutzerklärung usw.
  • Kontrolle und Wahrung der Rechte von Betroffenen
  • Risikobewertung bzw. Datenschutz-Folgenabschätzung
  • Meldung von Datenpannen

Es empfiehlt sich, den Datenschutzbeauftragten frühzeitig in datenschutzrelevante Planungen und Projekte einzubinden und ihn im Unternehmen fest zu verankern. Ob man intern einen Mitarbeiter für diese Funktion bestimmt oder sich besser Unterstützung durch einen externen Datenschutzbeauftragten holt, ist je nach Anforderungen des Unternehmens Abwägungssache.

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten DatenschutzbeauftragtenDatenschutz einfach gemacht.

Besonderheit bei der Auftragsverarbeitung

Es gibt Fälle, in denen personenbezogene Daten durch einen Auftragnehmer im Auftrag des Verantwortlichen verarbeitet werden. Dies ist bspw. der Fall, wenn ein externer Newsletter-Anbieter oder eine Cloud zum Einsatz kommen.

Einst wurde dieser Fall als Auftragsdatenverarbeitung bezeichnet, in der DSGVO wird er als Auftragsverarbeitung genannt. Während bei der Auftragsdatenverarbeitung vorrangig der Auftraggeber für die Einhaltung des Datenschutzes verantwortlich war, ist bei der Auftragsverarbeitung auch der Auftragsverarbeiter mitverantwortlich. Für ihn bestehen Pflichten wie das Führen eines Verzeichnisses zu seinen Verarbeitungstätigkeiten sowie das Melden von Datenpannen. Neu ist auch, dass der Vertrag zur Auftragsverarbeitung elektronisch geschlossen werden kann.

Bußgelder und Sanktionen

Vor Inkrafttreten der Datenschutz-Grundverordnung wurden Datenschutzverstöße mit Bußgeldern zwischen 50.000 bis max. 300.000 Euro geahndet. Einige Organisationen haben dieses Risiko billigend in Kauf genommen. Zudem haben die Datenschutzbehörden die obere Bußgeldgrenze meist erst bei dauerhaften Verstößen angewandt.

Die EU-DSGVO sieht drastischere Sanktionen vor. Die Bußgelder wurden angehoben auf bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Die Verordnung soll mit ihren hohen Bußgeldern abschreckenden Charakter haben und Unternehmen dazu bringen, das Thema Datenschutz ernst zu nehmen. Datenschutzverstöße können nach der DSGVO abgemahnt werden – in diesem Fall drohen Gerichtsverfahren.

FAQ: Antworten auf häufige Fragen

Nein. Egal ob Kleinunternehmer, Ein-Mann-GmbH oder großer Konzern – sie alle sind von der Datenschutz-Grundverordnung betroffen. Sie müssen sich an die Verordnung halten, sobald sie personenbezogene Daten verarbeiten.

EU-Bürger müssen sich bei Datenschutzverstößen und Streitigkeiten an die Datenschutzbehörde in ihrem Land wenden. Auch für Unternehmen gilt, dass sie sich mit der Datenschutzbehörde in dem europäischen Mitgliedsstaat befassen müssen, in dem sie ihren Hauptsitz haben.

Ja. Alle Online Shop- und Website-Betreiber, Unternehmer und Dienstleister müssen ihre Datenschutzerklärung DSGVO-konform aufbereiten. Insbesondere geht es darum, betroffene Personen über Art und Umfang der Verarbeitung ihrer persönlichen Daten zu informieren. Die Datenschutzbestimmungen müssen entsprechend präzise und verständlich formuliert sowie einfach auffindbar sein.

Ja. In Sachen Marketing warten auf Unternehmen zahlreiche Pflichten und Fallstricke im Zusammenhang mit der Datenschutz-Grundverordnung. Es geht bspw. um die Berücksichtigung des Double-Opt-In-Verfahrens bei Newslettern oder um die rechtliche Begründung für die Verarbeitung von erfassten personenbezogenen Daten zu Marketingzwecken.

In Art. 88 DSGVO und § 26 BDSG neue Fassung finden sich wichtige Regelungen zum Beschäftigtendatenschutz. Es dürfen vom Arbeitgeber nur personenbezogene Daten erfasst und verarbeitet werden, die erforderlich sind. Also bspw. Daten, die zur Ausübung eines Beschäftigungsverhältnisses notwendig sind. Arbeitgeber sollten in jedem Fall

  • ihre internen datenschutzrelevanten Prozesse prüfen,
  • eine datenschutzkonforme Vertragsgestaltung sicherstellen und
  • eine Compliance-Strategie entwickeln, die datenschutzrechtliche Verstöße verhindern kann

Nach Art. 3 Abs. 1 der Datenschutz-Grundverordnung ist entscheidend, wo der Verantwortliche bzw. der Auftragsverarbeiter seine Niederlassung hat. Ist er in der Europäischen Union niedergelassen, gilt stets die DSGVO – unabhängig davon, wo auf der Welt die Daten verarbeitet wurden. Ist das Unternehmen außerhalb der EU ansässig und bietet Waren/Dienstleistungen in der EU an oder beobachtet das Verhalten von Personen in der EU, unterliegt es ebenfalls der DSGVO.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Datenschutzpannen

Alle Informationen zur Informationssicherheit

Was ist Informationssicherheit? Aufgaben des Informationssicherheitsbeauftragten und Abgrenzung zum Datenschutz.
Anonymisierte Daten

Anonymisierte Daten

Was sind anonymisierte Daten? Unterschied pseudonymisierte Daten ✔ Relevanz für Datenschutz und DSGVO.
Datenschutz DSGVO

Pseudonymisierte Daten

Erfahren Sie was pseudonomysierte Daten nach DSGVO sind und was Sie datenschutzrechtlich beachten müssen.