Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Datenverkehr innerhalb des europäischen Binnenmarktes regelt. Sie wurde am 27. April 2016 verabschiedet und ist am 25. Mai 2018 wirksam geworden. Ziel der Verordnung ist es, ein einheitliches Datenschutzniveau in allen Mitgliedstaaten der EU zu schaffen.

Ausgangslage und Zielsetzung

Die DSGVO ersetzt die Richtlinie 95/46/EG und reagiert auf die wachsenden Herausforderungen der digitalen Welt: Technologische Entwicklungen und die zunehmende Globalisierung führten zu einem massiven Anstieg der Datenverarbeitung. Vor diesem Hintergrund schafft die Verordnung einen modernen, einheitlichen und durchsetzbaren Rechtsrahmen zum Schutz personenbezogener Daten.

Zentrales Anliegen ist die Stärkung der Grundrechte und Freiheiten der Bürger, insbesondere das Recht auf Schutz personenbezogener Daten, das in Artikel 8 der Charta der Grundrechte der EU verankert ist.

Anwendungsbereich

Die DSGVO gilt für alle Unternehmen, Organisationen und Behörden, die personenbezogene Daten von Personen innerhalb der EU verarbeiten – unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU erfolgt. Die Verordnung betrifft sowohl automatisierte als auch manuelle Datenverarbeitungen, sofern sie Teil eines Dateisystems sind.

Sie findet auch Anwendung auf nicht in der EU ansässige Unternehmen, wenn diese Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten.

Grundprinzipien der Datenverarbeitung

Die DSGVO formuliert grundlegende Prinzipien für eine rechtmäßige Datenverarbeitung:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
• Datenminimierung: Nur so viele Daten wie nötig dürfen verarbeitet werden.
• Richtigkeit: Daten müssen sachlich richtig und aktuell sein.
• Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden als nötig.
• Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff durch geeignete Sicherheitsmaßnahmen.
• Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung dieser Grundsätze nachweisen können.

Rechte der betroffenen Personen

Die DSGVO stärkt die Rechte der Bürger durch folgende Elemente:

• Recht auf Auskunft: Welche Daten werden verarbeitet?
• Recht auf Berichtigung: Falsche Daten müssen berichtigt werden.
• Recht auf Löschung („Recht auf Vergessenwerden“): Daten müssen gelöscht werden, wenn kein Verarbeitungszweck mehr besteht.
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
• Recht, keiner automatisierten Entscheidung einschließlich Profiling unterworfen zu werden

Pflichten der Verantwortlichen

Organisationen müssen technische und organisatorische Maßnahmen treffen, um die DSGVO-Anforderungen umzusetzen. Dazu zählen:

• Führen eines Verzeichnisses der Verarbeitungstätigkeiten
• Durchführung von Datenschutz-Folgenabschätzungen
• Meldung von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden
• Benennung eines Datenschutzbeauftragten in bestimmten Fällen

Aufsichtsbehörden und Sanktionen

In jedem EU-Mitgliedstaat gibt es unabhängige Datenschutzbehörden, die die Einhaltung der Verordnung überwachen. Bei grenzüberschreitenden Fällen arbeiten die Behörden eng zusammen.Verstöße gegen die DSGVO können empfindliche Geldbußen nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.