Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung (DSGVO, auch DS-GVO genannt) ist eine Vorschrift der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten. Die DSGVO soll zugleich den freien Datenverkehr innerhalb des EU-Binnenmarktes sicherstellen.

Die Neuregelung wurde bereits 2014 von der EU-Kommission vorgeschlagen. Den fertigen Gesetzentwurf hat die Kommission an das Parlament und den Rat zur Beschlussfassung weitergeleitet. Letztlich haben die EU-Institutionen die DSGVO im April 2016 zum Schutz der Bürger verabschiedet.

Anschließend hatten die EU-Mitgliedsländer bis Ende Mai 2018 Zeit, die Datenschutzgrundverordnung in nationales Recht umsetzen. In Deutschland haben die Vorschriften inzwischen Eingang in das Bundesdatenschutzgesetz gefunden.

Die DSGVO knüpft an bestehende Datenschutzvorschriften an. Darüber hinaus enthält sie zahlreiche neue, zum Teil sehr weitreichende Datenschutz-Anforderungen.

Geltungsbereich der Datenschutzgrundverordnung

Die Datenschutzgrundverordnung dient dem Schutz natürlicher Personen. Geregelt ist die …

  • Erfassung,
  • Verarbeitung,
  • Verwendung und
  • Weitergabe personenbezogener Daten von Privatleuten.

Die DSGVO gilt in allen 28 EU-Mitgliedländern – bis zum endgültigen Brexit also auch in Großbritannien. Die Vorschrift richtet sich an Unternehmen, Behörden, Vereine und andere Institutionen. Natürliche Personen, die ihrerseits Daten zu familiären oder anderen persönlichen Zwecken erheben, müssen die DSGVO nicht beachten.

Die Datenschutzgrundverordnung stellt ein „Verbotsgesetz mit Erlaubnisvorbehalt“ dar. Mit anderen Worten: Was nicht ausdrücklich erlaubt wird, ist verboten. Zulässig sind die Erhebung und Verarbeitung personenbezogener Daten von Privatpersonen nur unter zwei Bedingungen:

  • Der Gesetzgeber schreibt die Datenerhebung vor – etwa aus statistischen Zwecken. Oder:
  • Die betroffene Person hat ausdrücklich ihre Erlaubnis dazu erteilt.

Wichtig: Eine Zustimmungsfiktion gibt es grundsätzlich nicht mehr. Ein lediglich stillschweigendes Einverständnis mit der Datenerhebung kann nicht mehr vorausgesetzt werden.

Wurden Daten bei der betroffenen Person zu Unrecht erhoben, müssen sie gelöscht werden. Sind die Daten zwischenzeitlich an Dritte weitergeleitet worden, müssen diese Stellen ebenfalls über die Löschpflicht informiert werden.

DSGVO-Definition personenbezogener Daten

Zu den „personenbezogenen Daten“ zählen sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar wird eine Person nicht erst durch Namen, Kennnummern oder Standortdaten. Sondern bereits durch eines oder mehrere Merkmale, die Ausdruck ihrer …

  • physischen,
  • physiologischen,
  • genetischen,
  • psychischen,
  • wirtschaftlichen,
  • kulturellen oder
  • sozialen Identität sind.

Schon die IP-Adresse der Besuchers einer Website gilt demnach als ein Merkmal der persönlichen Identität!

DSGVO-Grundsätze für die Datenverarbeitung

Für die Erhebung und Verarbeitung personenbezogener Daten gelten folgende Grundsätze:

  • Rechtmäßigkeit, Transparenz, Treu und Glauben: Die Datenverarbeitung muss in nachvollziehbarer Weise erfolgen.
    Dafür sollen datenschutzfreundliche Voreinstellungen („privacy by default“) und technische Vorkehrungen („privacy by design“) sorgen. Sie sollen sicherstellen, dass die Betroffenen auf den Schutz ihrer Daten vertrauen können.
  • Zweckbindung: Die Verarbeitung ist auf den Zweck begrenzt, dem der Betroffene zugestimmt hat.
  • Datenminimierung: Die Datenerhebung und -verarbeitung sind auf das für den Zweck angemessene und notwendige Maß zu beschränken.
  • Richtigkeit: Fehlerhafte und veraltete Daten müssen gelöscht oder korrigiert werden.
  • Speicherbegrenzung: Die Speicherung ist auf den Zeitraum begrenzt, der für den ursprünglichen Zweck erforderlich ist. Betroffene haben ein „Recht auf Vergessenwerden“.
  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen sicher aufbewahrt werden. Vor allem sind sie gegen vor unbefugte Zugriffe und unrechtmäßige Verarbeitung zu schützen.

Wer personenbezogene Daten verarbeitet oder verarbeiten lässt, muss zudem Rechenschaft über die Einhaltung dieser Grundsätze ablegen.

Machen Mitarbeiter und andere Personen bei der Verarbeitung von Daten Fehler, müssen sie unverzüglich Abhilfe schaffen. Außerdem sind sie verpflichtet, innerhalb von drei Tagen unaufgefordert Mitteilungen zu verschicken. Zu informieren sind sowohl …

  • die Betroffenen selbst als auch
  • die Aufsichtsbehörden.

Zuständig für Datenpannen sind

Verletzungen des Schutzes personenbezogener Daten sollen künftig mit „wirksamen, verhältnismäßigen und abschreckenden“ Bußgeldern geahndet werden. Die Obergrenze von Strafzahlungen liegt bei schwerwiegenden Verstößen bei bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro.

DSGVO-Datenschutzbeauftragte

Die Einschränkung der Verarbeitung personenbezogener Daten wird von den Datenschutzbeauftragten der Länder überwacht. Die zahlreichen und anspruchsvollen Vorschriften stellen hohe Anforderungen an die datenverarbeitenden Betriebe und Behörden.

Die Verantwortlichen müssen daher grundsätzlich einen fachlich qualifizierten Datenschutzbeauftragten benennen. Das kann sowohl ein Mitarbeiter als auch ein externer Dienstleister sein. Für Selbstständige und kleine Unternehmen gilt diese Pflicht nur dann, wenn …

  • zehn und mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • ihr Hauptgeschäft im massenhaften Verarbeiten personenbezogener Daten besteht.

Gibt es keinen Datenschutzbeauftragten, ist der Unternehmer selbst für das Einhalten der Datenschutzvorschriften verantwortlich. Das Fehlen eines Datenschutzbeauftragten kann mit Geldbußen geahndet werden.

Datenschutzgrundverordnung: Rechte der Betroffenen

Privatpersonen sollen darauf vertrauen können, dass persönliche Daten nicht ohne ihr Einverständnis erhoben, verarbeitet oder weitergegeben werden. Sie zudem haben ein umfassendes Auskunftsrecht über …

  • die Erhebungsquelle,
  • den Umfang der Daten,
  • den Zweck der Speicherung und
  • bei geplanter oder erfolgter Weitergabe über den Empfänger ihrer Daten.

Die weitgehende Vereinheitlichung des EU-Datenschutzes stärkt zudem die Rechtsposition der Betroffenen:

Sie können Datenschutzverstöße in anderen EU-Ländern nun in ihrem Heimatland gerichtlich prüfen lassen. Aufwendige internationale Verfahren werden damit überflüssig. Dadurch lassen sich eventuelle Schadensersatz- und andere Ansprüche einfacher durchsetzen.

Weiterführende Lektüre

Du hast Fragen in Sachen Bürokratie, Recht und Steuern? Im invoiz-Weblog findest du weiterführende Informationen:

Am besten probierst du die invoiz-Demo gleich aus. Einfach mit E-Mailadresse und Passwort registrieren. Und sofort steht dir der volle Funktionsumfang kostenlos zur Verfügung.