Begriff und Zielsetzung der Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO, englisch General Data Protection Regulation – GDPR) ist eine Verordnung der Europäischen Union (EU), die die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen innerhalb der EU regelt. Sie trat am 25. Mai 2018 in Kraft und ersetzt die frühere Datenschutzrichtlinie 95/46/EG. Die DSGVO verfolgt das Ziel, ein einheitliches Datenschutzniveau in der EU zu gewährleisten und den freien Datenverkehr innerhalb des Europäischen Binnenmarktes sicherzustellen.
Anwendungsbereich und Geltungsbereich der DSGVO
Materieller Anwendungsbereich
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Personbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Räumlicher Anwendungsbereich
Die Verordnung gilt für die Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU – unabhängig davon, ob die Verarbeitung selbst in der EU oder außerhalb erfolgt. Zudem findet die DSGVO Anwendung auf Unternehmen außerhalb der EU, soweit sie Waren oder Dienstleistungen an betroffene Personen in der EU anbieten oder deren Verhalten beobachten.
Persönlicher Anwendungsbereich
Die DSGVO richtet sich an natürliche und juristische Personen, Behörden, Einrichtungen und andere Stellen, die personenbezogene Daten verarbeiten, unabhängig davon, ob als Verantwortliche oder als Auftragsverarbeiter.
Zentrale Begriffe und Grundprinzipien der DSGVO
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann.
Verarbeitung
Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschung oder Vernichtung.
Grundsätze für die Verarbeitung personenbezogener Daten
Die DSGVO sieht wesentliche Grundprinzipien für die Verarbeitung vor:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
Zweckbindung: Erhebung nur zu festgelegten, eindeutigen und legitimen Zwecken
Datenminimierung: Verarbeitung nur, soweit für die Zwecke erforderlich
Richtigkeit: Sorgfalt für die sachliche Richtigkeit der Daten
Speicherbegrenzung: Keine längere Speicherung als für die Zwecke erforderlich
Integrität und Vertraulichkeit: Gewährleistung der Sicherheit durch geeignete technische und organisatorische Maßnahmen
Rechenschaftspflicht: Nachweis der Einhaltung der Prinzipien durch den Verantwortlichen
Rechtmäßigkeit der Datenverarbeitung
Erlaubnistatbestände
Gemäß DSGVO ist die Verarbeitung personenbezogener Daten nur dann zulässig, wenn mindestens einer der folgenden Erlaubnistatbestände erfüllt ist:
Einwilligung der betroffenen Person
Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
Erfüllung einer rechtlichen Verpflichtung
Schutz lebenswichtiger Interessen
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen der betroffenen Person überwiegen
Einwilligung
Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Sie kann jederzeit widerrufen werden.
Betroffenenrechte nach der DSGVO
Die Verordnung stärkt die Rechte der betroffenen Personen und schafft neue Individualrechte im Datenschutz. Zu den wichtigsten zählen:
Recht auf Auskunft (Art. 15 DSGVO): Betroffene können Auskunft über die Verarbeitung ihrer Daten verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige oder unvollständige Daten müssen korrigiert werden.
Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO): Personen haben das Recht, die Löschung ihrer Daten zu verlangen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen kann die Verarbeitung eingeschränkt werden.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene können ihre Daten in einem gängigen Format erhalten oder an Dritte übermitteln lassen.
Widerspruchsrecht (Art. 21 DSGVO): Gegen die Verarbeitung kann Widerspruch eingelegt werden.
Recht auf Beschwerde (Art. 77 DSGVO): Betroffene können sich bei einer Aufsichtsbehörde beschweren.
Pflichten der Verantwortlichen und Auftragsverarbeiter
Verantwortlicher und Auftragsverarbeiter
Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter verarbeitet im Auftrag und nach Weisung des Verantwortlichen und ist an vertragliche Regelungen gebunden.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, um den Datenschutz schon bei der Entwicklung und Voreinstellung von Verarbeitungsvorgängen zu berücksichtigen.
Verzeichnis von Verarbeitungstätigkeiten
Verantwortliche und Auftragsverarbeiter müssen umfassende Verzeichnisse über sämtliche Verarbeitungstätigkeiten führen.
Datenschutz-Folgenabschätzung
Bei Verarbeitungen mit voraussichtlich hohem Risiko für Rechte und Freiheiten betroffener Personen ist eine Datenschutz-Folgenabschätzung erforderlich.
Meldepflichten bei Datenschutzverletzungen
Datenpannen müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für Rechte und Freiheiten der betroffenen Personen besteht.
Aufsichtsbehörden und Sanktionen
Zuständige Aufsichtsbehörden
Jeder EU-Mitgliedstaat benennt unabhängige Datenschutzaufsichtsbehörden, die die Einhaltung der DSGVO überwachen und durchsetzen.
Sanktionen und Bußgelder
Bei Verstößen gegen die DSGVO können erhebliche Bußgelder verhängt werden. Die Höhe richtet sich nach der Schwere des Verstoßes und beträgt bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des betreffenden Unternehmens, je nachdem welcher Betrag höher ist.
Besondere Kategorien personenbezogener Daten
Die DSGVO schützt besonders sensible Daten („besondere Kategorien“), wie Informationen zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung sowie genetische und biometrische Daten. Für deren Verarbeitung gelten besonders strenge Voraussetzungen.
Datentransfer in Drittländer und internationale Bezüge
Die Übermittlung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann über Angemessenheitsbeschlüsse der Europäischen Kommission, geeignete Garantien (z.B. Standardvertragsklauseln) oder spezifische, gesetzlich vorgesehene Ausnahmen erfolgen.
Zusammenfassung und Bedeutung der DSGVO im europäischen Rechtsrahmen
Die Datenschutz-Grundverordnung bringt erhebliche Veränderungen für den Umgang mit personenbezogenen Daten und stellt einen Meilenstein im europäischen Datenschutzrecht dar. Sie begründet weitreichende Rechte für Einzelne und umfassende Pflichten für datenverarbeitende Stellen. Mit der DSGVO hat die Europäische Union ein bindendes Regelungswerk geschaffen, das sowohl den Schutz der Privatsphäre als auch die Freizügigkeit von Daten im europäischen Binnenmarkt fördert und standardisiert.
Häufig gestellte Fragen
Welche Rechte haben betroffene Personen nach der Datenschutz-Grundverordnung (DSGVO)?
Betroffene Personen, deren personenbezogene Daten verarbeitet werden, genießen nach der DSGVO eine Vielzahl an Rechten. Hierzu zählen insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das es erlaubt, vom Verantwortlichen Informationen darüber zu verlangen, ob personenbezogene Daten verarbeitet werden und wenn ja, zu welchen Zwecken und Empfängern. Ebenfalls steht den Betroffenen das Recht auf Berichtigung (Art. 16 DSGVO) zu, wodurch unrichtige personenbezogene Daten unverzüglich korrigiert werden müssen. Ergänzt wird dies durch das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), das unter bestimmten Voraussetzungen die unverzügliche Löschung der Daten fordert. Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) ermöglicht betroffenen Personen, eine vorübergehende Beschränkung der Datenverarbeitung zu erwirken. Darüber hinaus besteht das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das die Übertragung personenbezogener Daten in einem gängigen, strukturierten und maschinenlesbaren Format an sich selbst oder einen anderen Verantwortlichen vorsieht. Des Weiteren räumt die DSGVO ein Widerspruchsrecht (Art. 21 DSGVO) gegen die Verarbeitung personenbezogener Daten aus Gründen ein, die sich aus der besonderen Situation der betroffenen Person ergeben. Diese Rechte werden durch umfangreiche Informationspflichten des Verantwortlichen flankiert, der allen Anforderungen an Transparenz beim Umgang mit personenbezogenen Daten gerecht werden muss.
Welche Pflichten hat ein Verantwortlicher nach der DSGVO hinsichtlich der Datensicherheit?
Verantwortliche unterliegen gemäß Art. 32 DSGVO der Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Die Maßnahmen müssen insbesondere die Risiken berücksichtigen, die mit der Verarbeitung entstehen, darunter unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten. Zu diesen Maßnahmen zählen etwa Pseudonymisierung und Verschlüsselung, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen, sowie die Fähigkeit, die Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall zeitnah wiederherzustellen. Zudem sind regelmäßige Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen verpflichtend. Werden die Anforderungen missachtet, drohen erhebliche aufsichtsrechtliche Sanktionen und Bußgelder.
Welche Informationspflichten trifft Unternehmen nach der DSGVO?
Unternehmen sind laut Art. 13 und 14 DSGVO verpflichtet, betroffene Personen zum Zeitpunkt der Datenerhebung umfassend zu informieren. Zu den Pflichtangaben gehören insbesondere die Identität und Kontaktdaten des Verantwortlichen, gegebenenfalls des Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlage der Verarbeitung, die Empfänger oder Kategorien von Empfängern der Daten sowie gegebenenfalls die Absicht, Daten in ein Drittland oder an eine internationale Organisation zu übermitteln. Ferner sind die Speicherdauer beziehungsweise die Kriterien für deren Festlegung mitzuteilen, ebenso die Rechte der Betroffenen, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie, sofern die Datenverarbeitung auf einer Einwilligung beruht, die Information über das Recht, diese Einwilligung jederzeit zu widerrufen. Werden die Daten nicht direkt bei der betroffenen Person erhoben, ist zusätzlich die Herkunft der Daten zu benennen. Auch Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sind erforderlich, sofern diese Anwendung finden.
Wann und wie ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen?
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist insbesondere dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Diese Bewertung ist regelmäßig notwendig bei groß angelegten Verarbeitungen besonderer Kategorien personenbezogener Daten, systematischer Überwachung öffentlich zugänglicher Bereiche oder innovativen Technologien zur Datenverarbeitung. Im Rahmen der DSFA sind die geplanten Verarbeitungsvorgänge, deren Zwecke und Verhältnismäßigkeit, die mit der Verarbeitung verbundenen Risiken sowie die zur Risikominderung vorgesehenen Maßnahmen zu dokumentieren und zu bewerten. Die DSFA muss vor Beginn der Verarbeitung erstellt und fortlaufend aktualisiert werden, insbesondere bei Änderungen des Verarbeitungsvorgangs oder neuer Risiken. Sollte die DSFA ergeben, dass die Risiken ohne geeignete Abhilfemaßnahmen bestehen bleiben, ist die zuständige Aufsichtsbehörde zu konsultieren, bevor mit der Verarbeitung begonnen wird (Art. 36 DSGVO).
Was sind die Voraussetzungen für die Bestellung eines Datenschutzbeauftragten nach der DSGVO?
Die DSGVO verpflichtet Unternehmen und Organisationen unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten. Gemäß Art. 37 DSGVO ist dies notwendig, wenn die Kerntätigkeit in der Durchführung von umfangreichen Verarbeitungen personenbezogener Daten besteht, zur systematischen Überwachung betroffener Personen oder wenn eine Behörde oder öffentliche Stelle als Verantwortlicher oder Auftragsverarbeiter agiert (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit). Der Datenschutzbeauftragte muss über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen sowie in der Lage sein, die Einhaltung der DSGVO und sonstiger Datenschutzvorschriften sicherzustellen. Die Kontaktdaten des Datenschutzbeauftragten sind der Aufsichtsbehörde zu melden und zu veröffentlichen. Über die gesetzlichen Mindestanforderungen hinaus können nationale Vorschriften, insbesondere das Bundesdatenschutzgesetz (BDSG), weitergehende Regelungen enthalten.
Welche Anforderungen gelten für Auftragsverarbeitungsverträge nach der DSGVO?
Werden personenbezogene Daten durch einen Dienstleister (Auftragsverarbeiter) im Auftrag eines Verantwortlichen verarbeitet, ist gemäß Art. 28 DSGVO zwingend ein Auftragsverarbeitungsvertrag abzuschließen. Dieser Vertrag muss unter anderem regeln, welche Daten zu welchen Zwecken und nach welchem Verfahren verarbeitet werden, und den Weisungen des Verantwortlichen unterliegen. Der Vertrag hat unter anderem Vorgaben zum Umfang, der Art und der Dauer der Verarbeitung, den Kategorien von Betroffenen und Daten sowie zu TOMs zum Schutz der Daten zu enthalten. Zusätzlich muss der Auftragsverarbeiter garantieren, dass sämtliche mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Der Verantwortliche hat ein Recht auf Kontroll- und Auditmaßnahmen, um die Einhaltung der Datenschutzvorgaben sicherzustellen. Bei Einschaltung von Subunternehmern ist die vorherige genehmigte Einbindung durch den Verantwortlichen erforderlich. Verstoßen die Parteien gegen diese Vorgaben, drohen Bußgelder und Schadensersatzforderungen.
Welche Sanktionen drohen bei Verstößen gegen die DSGVO?
Die DSGVO sieht ein abgestuftes System von Sanktionen für Verstöße gegen ihre Vorschriften vor (Art. 83 und 84 DSGVO). Die Aufsichtsbehörden können dabei abhängig vom Schweregrad, der Art und Dauer des Verstoßes sowie dem Grad des Verschuldens Geldbußen verhängen. Grundsätzlich unterscheidet die Verordnung zwischen formellen und materiellen Verstößen, wobei Bußgelder bis zu 10 Millionen Euro beziehungsweise bei Unternehmen bis zu 2 % des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro beziehungsweise 4 % des weltweiten Jahresumsatzes möglich sind. Zusätzlich zur Geldbuße können weitere Maßnahmen wie Verwarnungen, Anordnungen zur Herstellung eines rechtmäßigen Zustandes, Einschränkung oder Verbot der Datenverarbeitung oder auch ein vollständiges Verbot der jeweiligen Datenverarbeitung ausgesprochen werden. Neben den aufsichtsbehördlichen Sanktionen eröffnet die DSGVO betroffenen Personen die Möglichkeit, Schadensersatzansprüche gegen den Verantwortlichen oder Auftragsverarbeiter geltend zu machen (Art. 82 DSGVO).
