Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Legal Lexikon»Rechtsbegriffe (allgemein)»DSGVO

DSGVO


Begriff und Bedeutung der DSGVO

Die Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR) ist eine Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie bildet seit dem 25. Mai 2018 den Rechtsrahmen für den Datenschutz in der Europäischen Union (EU) und ersetzte größtenteils die bisher geltende Datenschutzrichtlinie 95/46/EG sowie nationale Datenschutzgesetze, soweit diese im Widerspruch zur DSGVO stehen.

Die Zielsetzung der DSGVO ist es, den Schutz personenbezogener Daten innerhalb der Europäischen Union zu harmonisieren und betroffenen Personen umfangreiche Rechte hinsichtlich ihrer Daten einzuräumen. Gleichzeitig sollen Unternehmen und Organisationen Rechtssicherheit bei der Verarbeitung personenbezogener Daten erhalten und der freie Datenverkehr innerhalb des europäischen Binnenmarktes gewährleistet werden.

Anwendungsbereich der DSGVO

Räumlicher Geltungsbereich

Die DSGVO gilt für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten von betroffenen Personen in der EU verarbeiten, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU erfolgt (Art. 3 DSGVO). Somit unterliegen auch Unternehmen mit Sitz außerhalb der EU der DSGVO, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten.

Sachlicher Geltungsbereich

Die Verordnung findet Anwendung auf die vollautomatisierte sowie nichtautomatisierte Verarbeitung personenbezogener Daten, sofern diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen, und auf die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter im privaten sowie im öffentlichen Bereich.

Ausnahmen

Von der Anwendung der DSGVO sind Datenverarbeitungen ausgenommen, die von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden sowie bestimmte Tätigkeiten im Zusammenhang mit der öffentlichen Sicherheit, Verteidigung oder staatlicher Sicherheit.

Zentrale Begriffe der DSGVO

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu zählen beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer, aber auch Online-Kennungen oder Standortdaten.

Verarbeitung

Unter Verarbeitung versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erfassen, das Speichern, das Verändern, das Übermitteln oder das Löschen solcher Daten.

Verantwortlicher

Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Grundprinzipien des Datenschutzes nach der DSGVO

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine entsprechende Rechtsgrundlage vorliegt (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse). Die Datenverarbeitung muss für die betroffenen Personen nachvollziehbar erfolgen.

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Datenminimierung

Es dürfen nur so viele personenbezogene Daten verarbeitet werden, wie für den jeweiligen Zweck erforderlich sind.

Richtigkeit

Es ist sicherzustellen, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.

Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Datenverarbeitung erforderlich ist.

Integrität und Vertraulichkeit

Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.

Rechtsgrundlagen der Datenverarbeitung

Die DSGVO definiert sechs Rechtsgrundlagen für eine zulässige Datenverarbeitung (Art. 6 DSGVO):

  1. Einwilligung der betroffenen Person
  2. Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen
  3. Erfüllung einer rechtlichen Verpflichtung
  4. Schutz lebenswichtiger Interessen
  5. Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt
  6. Wahrung berechtigter Interessen des Verantwortlichen oder Dritter, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen

Für besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) gelten strengere Voraussetzungen (Art. 9 DSGVO).

Rechte der betroffenen Personen

Auskunftsrecht (Art. 15 DSGVO)

Betroffene Personen haben das Recht, Auskunft über gespeicherte personenbezogene Daten, deren Herkunft, Empfänger, Verarbeitungszwecke und weiteren Informationen zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO)

Unrichtige oder unvollständige personenbezogene Daten sind auf Wunsch der betroffenen Person zu berichtigen oder zu vervollständigen.

Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)

Unter bestimmten Voraussetzungen können betroffene Personen die Löschung ihrer Daten verlangen, z. B. wenn die Daten nicht mehr für die Zweckbestimmung benötigt werden oder die Einwilligung widerrufen wurde.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Die Verarbeitung darf eingeschränkt werden, solange beispielsweise die Richtigkeit der Daten bestritten wird oder die Daten für die betroffene Person zur Geltendmachung von Rechtsansprüchen benötigt werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Auf Anfrage müssen personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt und auf Wunsch einem anderen Verantwortlichen übermittelt werden.

Widerspruchsrecht (Art. 21 DSGVO)

Betroffene Personen können der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen, insbesondere bei Datenverarbeitung auf Grundlage eines berechtigten Interesses.

Rechte in Bezug auf automatisierte Entscheidungen einschließlich Profiling (Art. 22 DSGVO)

Unter bestimmten Voraussetzungen haben betroffene Personen ein Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Pflichten für Verantwortliche und Auftragsverarbeiter

Datenschutz-Folgenabschätzung (DSFA)

Für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, ist vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO).

Verzeichnis von Verarbeitungstätigkeiten

Verantwortliche und Auftragsverarbeiter sind verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO).

Technische und organisatorische Maßnahmen

Es sind angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten (Art. 32 DSGVO).

Bestellung eines Datenschutzbeauftragten

In bestimmten Fällen sieht die DSGVO (Art. 37 ff.) die verpflichtende Bestellung eines Datenschutzbeauftragten vor, zum Beispiel wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten liegt.

Meldepflichten bei Datenschutzverletzungen

Verstöße gegen den Datenschutz sind der zuständigen Aufsichtsbehörde unverzüglich, nach Möglichkeit binnen 72 Stunden, zu melden (Art. 33 DSGVO). Auch betroffene Personen müssen gegebenenfalls über Datenschutzverletzungen informiert werden (Art. 34 DSGVO).

Aufsichtsbehörden und Sanktionsmechanismen

Nationale Aufsichtsbehörden

Jeder EU-Mitgliedstaat richtet unabhängige Aufsichtsbehörden zur Überwachung der Anwendung der DSGVO ein. Diese sind Anlaufstellen für Beschwerden, führen Prüfungen durch und verfügen über umfassende Durchsetzungs- sowie Sanktionsbefugnisse.

Sanktionen und Bußgelder

Bei Verstößen gegen die DSGVO können empfindliche Geldbußen verhängt werden. Diese betragen bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist (Art. 83 DSGVO).

Möglichkeiten des Rechtsschutzes

Betroffene Personen haben Anspruch auf wirksamen gerichtlichen Rechtsschutz gegen Entscheidungen von Aufsichtsbehörden sowie gegen Verantwortliche oder Auftragsverarbeiter bei Verstößen gegen die DSGVO.

Internationale Datenübermittlungen

Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation ist nur unter bestimmten Voraussetzungen zulässig (Art. 44 ff. DSGVO):

  • Angemessenheitsbeschluss der EU-Kommission
  • Vorliegen geeigneter Garantien (z. B. Standarddatenschutzklauseln)
  • Einwilligung der betroffenen Person oder besondere Ausnahmesituationen

Diese Regelung soll gewährleisten, dass das Datenschutzniveau beim Transfer in Drittländer nicht unter das der EU absinkt.

Verhältnis zu nationalen Regelungen und anderen EU-Verordnungen

Die DSGVO wird durch nationale Vorschriften wie das Bundesdatenschutzgesetz (BDSG) in Deutschland konkretisiert und ergänzt, sofern die DSGVO Öffnungsklauseln vorsieht. Zudem gelten weitere Regelungen wie die ePrivacy-Richtlinie oder sektorspezifische Datenschutzbestimmungen.

Kritik und Auswirkungen in der Praxis

Die DSGVO hat die Sensibilisierung für Datenschutzanforderungen in Unternehmen, Behörden und der Öffentlichkeit deutlich erhöht. Kritisch angemerkt werden oftmals die Komplexität und die Umsetzungskosten insbesondere für kleine und mittlere Unternehmen. Positiv hervorzuheben ist hingegen der europaweit einheitliche Standard, der das Vertrauen in digitale Prozesse und Geschäftsmodelle fördert.

Zusammenfassung

Die Datenschutz-Grundverordnung stellt den zentralen Rechtsrahmen für den Datenschutz in der Europäischen Union dar. Sie verfolgt das Ziel, den Schutz personenbezogener Daten zu stärken, die Rechte der betroffenen Personen auszuweiten und den europäischen Binnenmarkt hinsichtlich des freien Datenverkehrs zu harmonisieren. Durch umfangreiche Regelungen und Sanktionsmöglichkeiten fordert die DSGVO ein hohes Maß an Verantwortung und Transparenz von allen, die personenbezogene Daten verarbeiten, und gewährleistet dabei einen weitreichenden Schutz für betroffene Personen.

Häufig gestellte Fragen

Müssen Unternehmen einen Datenschutzbeauftragten bestellen und wann ist dies erforderlich?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in Art. 37 DSGVO geregelt. Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie in großem Umfang besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO verarbeiten. Ebenfalls erforderlich ist ein Datenschutzbeauftragter, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Scoring, Tracking, Videoüberwachung). Zusätzlich verlangt das Bundesdatenschutzgesetz (BDSG-neu) in Deutschland die Benennung eines Datenschutzbeauftragten, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Benennung eines Datenschutzbeauftragten muss der zuständigen Aufsichtsbehörde gemeldet und dessen Kontaktdaten veröffentlicht werden. Der Datenschutzbeauftragte kann intern oder extern besetzt werden, unterliegt dem besonderen Kündigungsschutz und ist unmittelbar der Geschäftsleitung zu unterstellen. Er hat insbesondere die Aufgabe, die Einhaltung der DSGVO zu überwachen, Beschäftigte zu schulen und als Anlaufstelle für Behörden und Betroffene zu fungieren.

Wann und in welchem Umfang muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO immer dann verpflichtend, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine DSFA ist beispielsweise bei umfangreicher Überwachung öffentlicher Bereiche, systematischer Auswertung von Gesundheitsdaten, Profiling oder bei der Verarbeitung großer Mengen sensibler Daten erforderlich. Im Rahmen einer DSFA müssen der Zweck der Verarbeitung, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, die Risiken für betroffene Personen sowie die geplanten risikomindernden Maßnahmen dokumentiert werden. Die DSFA muss vor Beginn der Verarbeitung erfolgen und bei der Behörde auf Anfrage vorgelegt werden. Werden Risiken trotz Maßnahmen nicht ausreichend minimiert, ist die Aufsichtsbehörde vor Aufnahme der Verarbeitung zu konsultieren (Art. 36 DSGVO).

Welche Rechte haben betroffene Personen hinsichtlich ihrer Datenverarbeitung?

Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein. Dazu zählen insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Recht auf Vergessenwerden, Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO). Unternehmen sind verpflichtet, betroffene Personen in transparenter Form über ihre Rechte zu informieren und entsprechende Anfragen in der Regel innerhalb eines Monats unentgeltlich zu bearbeiten. Besondere Pflicht trifft Unternehmen beim Erhalt eines Löschantrags: Hier muss geprüft werden, ob gesetzliche Aufbewahrungspflichten entgegenstehen, andernfalls ist die Löschung vorzunehmen. Die Ausübung der Rechte darf nicht ohne zwingende Gründe abgelehnt werden; es besteht Nachweispflicht über die ergriffenen Maßnahmen und die Kommunikation mit dem Betroffenen.

Wann ist eine Datenverarbeitung rechtmäßig nach DSGVO?

Die Rechtmäßigkeit der Datenverarbeitung ist in Art. 6 DSGVO geregelt. Grundsätzlich ist die Verarbeitung personenbezogener Daten nur erlaubt, wenn mindestens eine der im Artikel genannten Rechtmäßigkeitsgrundlagen vorliegt. Das sind insbesondere: Einwilligung der betroffenen Person, Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und -freiheiten der Betroffenen überwiegen. Für jede Verarbeitung muss eine sorgfältige Rechtmäßigkeitsprüfung erfolgen; die herangezogene Rechtsgrundlage muss dokumentiert und begründet werden.

Welche Pflichten bestehen bei der Meldung von Datenschutzverletzungen?

Eine Datenschutzverletzung (Data Breach) ist gem. Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Laut Art. 33 DSGVO ist der Verantwortliche verpflichtet, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, an die zuständige Aufsichtsbehörde zu melden. Die Meldung muss Informationen über die Art der Verletzung, die betroffenen Datenarten, die Zahl der Betroffenen, die wahrscheinlichen Konsequenzen und die ergriffenen Maßnahmen enthalten. Ist die Datenschutzverletzung voraussichtlich mit einem hohen Risiko für die Persönlichkeitsrechte der Betroffenen verbunden, ist zusätzlich eine unmittelbare Unterrichtung der Betroffenen gem. Art. 34 DSGVO erforderlich. Unternehmen sollten ein internes Meldeverfahren etablieren, um Fristen und Dokumentationspflichten einzuhalten.

Welche Rolle spielt das Verzeichnis von Verarbeitungstätigkeiten und wer muss es führen?

Das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist ein zentrales Element der Rechenschaftspflicht. Es enthält alle relevanten Informationen zu den Verarbeitungstätigkeiten (u.a. Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen an Drittländer, sowie technisch-organisatorische Maßnahmen). Sowohl Verantwortliche als auch Auftragsverarbeiter sind verpflichtet, ein solches Verzeichnis zu führen und auf Anfrage der Aufsichtsbehörde vorzulegen. Nur Kleinstunternehmen oder Unternehmen mit weniger als 250 Mitarbeitern sind in Ausnahmefällen von der Pflicht befreit, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der Betroffenen, erfolgt nicht nur gelegentlich oder betrifft besondere Kategorien personenbezogener Daten.

Wann ist eine Datenübertragung in Drittländer (außerhalb der EU/EWR) zulässig?

Eine Übermittlung personenbezogener Daten in Drittländer ist nach Art. 44 ff. DSGVO nur unter bestimmten Voraussetzungen zulässig. Zulässig ist die Übertragung, wenn die Europäische Kommission für das jeweilige Drittland ein angemessenes Datenschutzniveau festgestellt hat (Angemessenheitsbeschluss). Fehlt ein solcher Beschluss, sind geeignete Garantien erforderlich, etwa durch Standarddatenschutzklauseln, Binding Corporate Rules (BCR) oder andere von der Aufsichtsbehörde genehmigte Instrumente. In besonderen Ausnahmen (z.B. ausdrückliche Einwilligung der betroffenen Person, Vertragserfüllung) kann eine Übermittlung auch ohne diese Garantien erfolgen. Verantwortliche müssen die Bedingungen und Risiken solcher Übermittlungen überprüfen, dokumentieren und die betroffenen Personen über die Risiken aufklären.

Welche Sanktionen drohen bei Verstößen gegen die DSGVO?

Bei Verstößen gegen die DSGVO drohen Unternehmen nach Art. 83 DSGVO hohe Bußgelder. Je nach Schwere der Verletzung können bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) als Sanktion verhängt werden. Die Bemessung der Geldbuße erfolgt unter Berücksichtigung Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, getroffene Maßnahmen zur Schadensbegrenzung, Kooperation mit der Aufsichtsbehörde, frühere einschlägige Verstöße und Art der betroffenen personenbezogenen Daten. Neben Geldbußen ist auch die Anordnung von Maßnahmen, wie das Verbot bestimmter Datenverarbeitung, möglich. Unternehmen müssen zur Vermeidung von Sanktionen ein nachhaltiges Datenschutzmanagement etablieren.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen