Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Attorneys
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Wiki»Datenschutz-Grundverordnung

Datenschutz-Grundverordnung

Datenschutz-Grundverordnung (DSGVO): Begriff, Zweck und Einordnung

Die Datenschutz-Grundverordnung ist ein unmittelbar in allen Mitgliedstaaten der Europäischen Union geltendes Regelwerk zum Schutz personenbezogener Daten. Sie schafft einheitliche Vorgaben für den Umgang mit Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, und stärkt die Rechte dieser Personen. Zugleich definiert sie Pflichten für Stellen, die Daten verarbeiten, und schafft Mechanismen für Aufsicht und Durchsetzung.

Wesen und Zielsetzung

Die Verordnung verfolgt das Ziel, die Grundrechte und Grundfreiheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten zu schützen und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten. Sie setzt auf einen risikobasierten Ansatz, Transparenz, Verantwortlichkeit und Sicherheit der Verarbeitung.

Anwendungsbereich und Abgrenzungen

Räumlicher Anwendungsbereich

Die DSGVO gilt für Verarbeitungsvorgänge innerhalb der EU sowie für bestimmte Verarbeitungen außerhalb der EU, wenn Waren oder Dienstleistungen Personen in der EU angeboten werden oder das Verhalten von Personen in der EU beobachtet wird. Einrichtungen mit Niederlassungen in der EU unterfallen unabhängig vom Ort der Verarbeitung der Verordnung.

Sachlicher Anwendungsbereich

Erfasst ist jede automatisierte oder nicht automatisierte Verarbeitung personenbezogener Daten, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nicht erfasst sind Tätigkeiten, die ausschließlich privaten oder familiären Zwecken dienen.

Personenbezogene Daten und besondere Kategorien

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, Kontaktdaten, Kennnummern, Online-Kennungen, Standortdaten). Besondere Kategorien umfassen etwa Angaben zu Gesundheit, genetische und biometrische Daten, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder Sexualleben. Für diese gelten erhöhte Schutzanforderungen.

Abgrenzungen

Anonymisierte Informationen, die sich nicht mehr auf eine identifizierbare Person beziehen, fallen nicht in den Anwendungsbereich. Pseudonymisierte Daten bleiben personenbezogene Daten, solange eine Re-Identifikation möglich ist. Verarbeitung zu Zwecken der Strafverfolgung und Sicherheit unterliegt eigenen Regelungen außerhalb der DSGVO.

Zentrale Begriffe

Verantwortliche Stelle

Verantwortliche Stelle ist die Einheit, die über Zwecke und Mittel der Verarbeitung entscheidet. Mehrere Stellen können gemeinsam verantwortlich sein, wenn sie diese Entscheidungen gemeinsam treffen.

Auftragsverarbeiter

Auftragsverarbeiter verarbeitet Daten im Auftrag der verantwortlichen Stelle nach deren Weisungen. Das Verhältnis wird vertraglich geregelt und umfasst u. a. Zweck, Dauer, Art der Daten, Kategorien betroffener Personen sowie Sicherheitsmaßnahmen.

Betroffene Person

Betroffene Person ist diejenige, deren personenbezogene Daten verarbeitet werden. Die DSGVO verleiht ihr umfassende Informations- und Auskunftsrechte sowie Einflussmöglichkeiten auf die Verarbeitung.

Verarbeitung, Empfänger, Dritte

Verarbeitung umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Verwenden, Übermitteln, Löschen). Empfänger ist jede Stelle, der Daten offengelegt werden. Dritte sind Stellen außerhalb des Verantwortlichen und des Auftragsverarbeiters.

Anonymisierung und Pseudonymisierung

Anonymisierung entfernt einen Personenbezug dauerhaft. Pseudonymisierung ersetzt identifizierende Merkmale, lässt aber über Zusatzinformationen eine Zuordnung zu; sie reduziert Risiken, hebt die Anwendbarkeit der DSGVO jedoch nicht auf.

Grundprinzipien der Verarbeitung

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Verarbeitung basiert auf einer anerkannten Rechtsgrundlage und ist verständlich nachvollziehbar.
  • Zweckbindung: Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben.
  • Datenminimierung: Umfang und Inhalt der Daten beschränken sich auf das Notwendige.
  • Richtigkeit: Daten sind sachlich korrekt und werden erforderlichenfalls aktualisiert.
  • Speicherbegrenzung: Daten werden nicht länger aufbewahrt als erforderlich.
  • Integrität und Vertraulichkeit: Angemessene Sicherheit einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.
  • Rechenschaftspflicht: Verantwortliche müssen die Einhaltung der Grundsätze nachweisen können.

Rechtsgrundlagen der Verarbeitung

Einwilligung

Als Grundlage dient eine freiwillige, spezifische, informierte und eindeutige Willensbekundung. Sie ist widerruflich und muss in verständlicher Form erfolgen.

Vertragliche Erforderlichkeit

Verarbeitung kann zulässig sein, wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.

Rechtliche Pflicht, lebenswichtige Interessen, öffentliche Aufgaben

Eine Verarbeitung ist zulässig, wenn sie zur Erfüllung gesetzlicher Pflichten, zum Schutz lebenswichtiger Interessen oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Befugnisse erforderlich ist.

Berechtigte Interessen

Zulässig ist eine Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Eine Abwägung ist vorgesehen, insbesondere unter Berücksichtigung der vernünftigen Erwartungen der betroffenen Person.

Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien erfordert zusätzliche Voraussetzungen, etwa ausdrückliche Einwilligung, Erforderlichkeit aus Gründen des Arbeits-, Sozial- und Sozialschutzrechts, Geltendmachung von Rechtsansprüchen, erhebliche öffentliche Interessen, Gesundheitsversorgung, öffentliche Gesundheit oder wissenschaftliche und historische Forschungs- bzw. Statistikzwecke unter angemessenen Garantien.

Rechte der betroffenen Personen

Transparenz und Information

Betroffene erhalten leicht zugängliche, klare Informationen über Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Rechte und Kontaktstellen.

Auskunft

Umfasst Bestätigung, ob Daten verarbeitet werden, sowie Zugang zu den Daten und ergänzenden Informationen.

Berichtigung und Löschung

Fehlerhafte Daten sind zu berichtigen. Unter bestimmten Voraussetzungen sind Daten zu löschen, etwa wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind oder die Einwilligung widerrufen wurde.

Einschränkung der Verarbeitung

Die Verarbeitung kann in bestimmten Situationen vorübergehend beschränkt werden, z. B. während der Prüfung der Richtigkeit.

Datenübertragbarkeit

Betroffene können die Herausgabe sie betreffender Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und deren Übermittlung an einen anderen Verantwortlichen fordern, soweit technisch machbar und rechtlich vorgesehen.

Widerspruchsrecht

Ein Widerspruch ist insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen oder im Zusammenhang mit Direktwerbung vorgesehen.

Automatisierte Entscheidungen einschließlich Profiling

Bei Entscheidungen, die ausschließlich automatisiert erfolgen und rechtliche Wirkung entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen, bestehen besondere Schutzmechanismen und Mitwirkungsrechte.

Beschwerde und Rechtsbehelfe

Betroffene können sich bei Aufsichtsbehörden beschweren und gerichtliche sowie außergerichtliche Rechtsbehelfe in Anspruch nehmen.

Rollen, Pflichten und Governance

Verantwortliche und gemeinsame Verantwortliche

Verantwortliche haben organisatorische und technische Maßnahmen zu etablieren und deren Wirksamkeit regelmäßig zu prüfen. Bei gemeinsamer Verantwortung wird transparent festgelegt, wer welche Verpflichtungen erfüllt.

Auftragsverarbeitung

Die Zusammenarbeit mit Auftragsverarbeitern setzt eine schriftliche oder elektronische Vereinbarung voraus, die insbesondere Zweck, Dauer, Art der Verarbeitung, Vertraulichkeit, Sicherheit, Unterstützung bei Rechten betroffener Personen und Rückgabe bzw. Löschung der Daten regelt.

Verzeichnis von Verarbeitungstätigkeiten

Es ist ein aktuelles, strukturieres Verzeichnis über relevante Verarbeitungsvorgänge zu führen, das Inhalte, Zwecke, Kategorien von Daten und Empfängern, Speicherdauern und Sicherheitsmaßnahmen abbildet.

Datenschutz-Folgenabschätzung

Für Verarbeitungsvorgänge mit voraussichtlich hohem Risiko für Rechte und Freiheiten betroffener Personen ist eine strukturierte Bewertung der Risiken und Maßnahmen vorgesehen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Schutzanforderungen sind frühzeitig in Systeme und Prozesse zu integrieren und standardmäßig auf Datenminimierung und Erforderlichkeit auszurichten.

Datenschutzbeauftragte Person

Unter bestimmten Voraussetzungen ist eine unabhängige Ansprechperson für Datenschutz zu benennen. Sie wirkt auf die Einhaltung der Vorgaben hin, berät und überwacht die Einhaltung intern.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Verletzungen des Schutzes personenbezogener Daten sind grundsätzlich unverzüglich und, soweit möglich, binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern kein Risiko für Rechte und Freiheiten betroffener Personen besteht. In bestimmten Fällen ist auch die betroffene Person zu benachrichtigen.

Internationale Datenübermittlungen

Übermittlungen innerhalb des EWR

Innerhalb des Europäischen Wirtschaftsraums erfolgt der Datenverkehr ohne zusätzliche Übermittlungsgarantien, da ein einheitliches Schutzniveau besteht.

Übermittlungen in Drittländer

Bei Datenübermittlungen in Staaten außerhalb des EWR sind besondere Voraussetzungen einzuhalten. Möglich sind Übermittlungen bei einem anerkannten angemessenen Schutzniveau, bei geeigneten Garantien (etwa standardisierte vertragliche Instrumente oder verbindliche interne Regeln) sowie in eng begrenzten Ausnahmesituationen. Je nach Konstellation können zusätzliche Schutzmaßnahmen erforderlich sein.

Durchsetzung und Sanktionen

Aufsichtsbehörden und europäische Zusammenarbeit

Nationale Aufsichtsbehörden überwachen die Anwendung der DSGVO. Bei grenzüberschreitenden Fällen kooperieren sie und stimmen sich über einen Kohärenzmechanismus und den Europäischen Datenschutzausschuss ab.

Maßnahmen und Geldbußen

Aufsichtsbehörden können Verwarnungen, Anordnungen und temporäre oder endgültige Beschränkungen aussprechen. Geldbußen können je nach Art des Verstoßes erhebliche Höhen erreichen, gemessen am weltweiten Jahresumsatz oder als feste Beträge.

Besondere Themenfelder

Kinder und Minderjährige

Die Verarbeitung von Daten minderjähriger Personen unterliegt besonderen Transparenz- und Einwilligungsvoraussetzungen, insbesondere bei Diensten der Informationsgesellschaft.

Beschäftigtendaten

Für Arbeitsverhältnisse bestehen ergänzende nationale Regelungen, die auf die Besonderheiten der Beschäftigtenverarbeitung zugeschnitten sind.

Forschung, Statistik und Archivzwecke

Für wissenschaftliche und historische Forschung, Statistik und Archivierung gelten besondere Erleichterungen bei gleichzeitigen Schutzvorkehrungen, z. B. Pseudonymisierung und Zweckbindungsgarantien.

Direktwerbung und Online-Tracking

Die DSGVO regelt die Rechtmäßigkeit der Verarbeitung für Werbezwecke. Ergänzend sind Vorschriften zum Schutz der Privatsphäre in der elektronischen Kommunikation zu beachten, die etwa den Einsatz bestimmter Technologien und Kommunikationswege betreffen.

Videoüberwachung und Zugangskontrollen

Solche Verarbeitungen erfordern besondere Transparenz, klare Zwecke und geeignete Schutzmaßnahmen angesichts der potenziell hohen Eingriffsintensität.

Verhältnis zu nationalem Recht und anderen Regelwerken

Öffnungsklauseln

Die DSGVO enthält Bereiche, in denen Mitgliedstaaten präzisierende Bestimmungen erlassen können, etwa zu Beschäftigtendaten, Forschung, Gesundheitswesen, Medienfreiheit oder öffentlichem Bereich.

Bezug zu anderen Regelungen

Neben der DSGVO gelten weitere Vorgaben, beispielsweise zum Fernmelde- und Telekommunikationsbereich oder zu branchenspezifischen Aufbewahrungspflichten. Diese Regelungen sind im Zusammenspiel zu betrachten.

Historischer Kontext und Weiterentwicklung

Die DSGVO löste eine frühere EU-Richtlinie ab und schafft seit 2018 einen unmittelbar geltenden, einheitlichen Rahmen. Sie wird durch Auslegungshinweise der Aufsichtsbehörden, Leitlinien europäischer Gremien und praktische Erfahrungen fortentwickelt und präzisiert.

Häufig gestellte Fragen zur Datenschutz-Grundverordnung

Für wen gilt die DSGVO?

Sie gilt für öffentliche und nichtöffentliche Stellen innerhalb der EU sowie für bestimmte Anbieter außerhalb der EU, wenn diese Personen in der EU ansprechen oder deren Verhalten beobachten. Reine Tätigkeiten im persönlichen oder familiären Bereich sind ausgenommen.

Was gilt als personenbezogenes Datum?

Dazu zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, etwa Name, Kontaktdaten, Kennnummern, Online-Kennungen, Standortdaten oder Merkmale einer physischen, wirtschaftlichen, kulturellen oder sozialen Identität.

Welche Rechte haben betroffene Personen?

Vorgesehen sind insbesondere Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Schutz vor ausschließlich automatisierten Entscheidungen, die erhebliche Wirkungen entfalten.

Wann ist eine Einwilligung wirksam?

Sie muss freiwillig, spezifisch, informiert und eindeutig erklärt sein. Sie ist widerruflich und darf nicht an unverhältnismäßige Bedingungen geknüpft sein. Für besondere Kategorien personenbezogener Daten ist regelmäßig eine ausdrückliche Einwilligung erforderlich, sofern keine andere Grundlage greift.

Dürfen Daten in Staaten außerhalb des EWR übermittelt werden?

Ja, wenn ein anerkannt angemessenes Schutzniveau besteht, geeignete Garantien vorgesehen sind oder eine eng gefasste Ausnahmesituation vorliegt. Je nach Konstellation können zusätzliche Schutzvorkehrungen erforderlich sein.

Welche Folgen drohen bei Verstößen?

Möglich sind Anordnungen, Beschränkungen der Verarbeitung und empfindliche Geldbußen. Die Höhe richtet sich nach Art, Schwere und Dauer des Verstoßes, dem Grad der Verantwortung und weiterer Umstände.

Gilt die DSGVO auch für Vereine und kleine Unternehmen?

Ja, sofern personenbezogene Daten außerhalb reiner Privat- oder Familienzwecke verarbeitet werden. Erleichterungen können im Einzelfall bestehen, die grundlegenden Prinzipien und Rechte gelten jedoch einheitlich.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen