Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist. Die DSGVO hat das Ziel, den Datenschutz innerhalb der EU zu vereinheitlichen und zu stärken. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb der EU ansässig ist.
Die DSGVO hat weitreichende Auswirkungen auf die Art und Weise, wie Unternehmen personenbezogene Daten verarbeiten. Unternehmen müssen nun sicherstellen, dass sie die Zustimmung der betroffenen Person haben, bevor sie personenbezogene Daten verarbeiten. Sie müssen auch sicherstellen, dass die Daten sicher und geschützt sind und dass sie nur für die Zwecke verwendet werden, für die sie erhoben wurden. Unternehmen müssen auch sicherstellen, dass sie die Rechte der betroffenen Person respektieren, einschließlich des Rechts auf Zugang, Berichtigung und Löschung ihrer Daten.
Die DSGVO hat auch hohe Strafen für Unternehmen, die gegen ihre Bestimmungen verstoßen. Unternehmen können mit Geldbußen von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro bestraft werden, je nachdem, welcher Betrag höher ist. Die DSGVO hat das Bewusstsein für Datenschutz und Datensicherheit erhöht und Unternehmen dazu gezwungen, ihre Datenschutzpraktiken zu überprüfen und zu verbessern.
Grundprinzipien der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist. Die DSGVO hat das Ziel, den Schutz personenbezogener Daten innerhalb der EU zu stärken und einheitliche Standards für den Datenschutz zu schaffen.
Die DSGVO basiert auf sieben Grundprinzipien, die im Folgenden erläutert werden:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Verarbeitung personenbezogener Daten muss auf rechtmäßige Weise erfolgen und in einer für die betroffene Person transparenten Weise erfolgen.
- Zweckbindung: Die Verarbeitung personenbezogener Daten darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen.
- Datenminimierung: Die Verarbeitung personenbezogener Daten muss auf das für den jeweiligen Zweck notwendige Maß beschränkt sein.
- Richtigkeit: Die Verarbeitung personenbezogener Daten muss korrekt und auf dem neuesten Stand sein.
- Speicherbegrenzung: Die Verarbeitung personenbezogener Daten darf nur so lange erfolgen, wie es für den jeweiligen Zweck notwendig ist.
- Integrität und Vertraulichkeit: Die Verarbeitung personenbezogener Daten muss auf eine Weise erfolgen, die angemessene Sicherheit gewährleistet.
- Rechenschaftspflicht: Der Verantwortliche muss nachweisen können, dass er die Grundsätze der DSGVO einhält.
Diese Grundprinzipien sind für alle Verantwortlichen und Auftragsverarbeiter verbindlich, die personenbezogene Daten innerhalb der EU verarbeiten. Verstöße gegen die DSGVO können mit hohen Bußgeldern geahndet werden.
Anwendungsbereich der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist. Sie regelt den Umgang mit personenbezogenen Daten und gilt für alle Unternehmen und Organisationen, die in der EU ansässig sind oder dort personenbezogene Daten verarbeiten.
Sachlicher Anwendungsbereich
Gemäß Artikel 2 Absatz 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Räumlicher Anwendungsbereich
Die DSGVO gilt für alle Unternehmen und Organisationen, die in der EU ansässig sind oder dort personenbezogene Daten verarbeiten. Darüber hinaus gilt sie auch für Unternehmen und Organisationen außerhalb der EU, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten oder ihre Dienstleistungen in der EU anbieten.
Ausnahmen
Es gibt bestimmte Ausnahmen von der Anwendung der DSGVO. Zum Beispiel gilt die Verordnung nicht für die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Auch für die Verarbeitung personenbezogener Daten zum Zweck der Strafverfolgung gelten spezielle Regelungen.
Die DSGVO ist ein wichtiger Schritt zur Stärkung des Datenschutzes in der EU. Unternehmen und Organisationen müssen sicherstellen, dass sie die Anforderungen der Verordnung erfüllen, um Bußgelder und andere Sanktionen zu vermeiden.
Rechte der betroffenen Person
Die Datenschutz-Grundverordnung (DSGVO) gewährt den betroffenen Personen eine Reihe von Rechten, die es ihnen ermöglichen, die Kontrolle über ihre personenbezogenen Daten zu behalten. Im Folgenden werden einige der wichtigsten Rechte der betroffenen Person erläutert.
Recht auf Zugang
Gemäß Artikel 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Zugang zu diesen personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
- die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.
Recht auf Berichtigung
Gemäß Artikel 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Recht auf Löschung
Gemäß Artikel 17 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.
Recht auf Einschränkung der Verarbeitung
Gemäß Artikel 18 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen
Pflichten des Verantwortlichen
Die Datenschutzgrundverordnung (DSGVO) legt eine Reihe von Pflichten fest, die der Verantwortliche bei der Verarbeitung personenbezogener Daten zu erfüllen hat. Im Folgenden werden einige wichtige Pflichten des Verantwortlichen erläutert.
Informationspflicht
Gemäß der DSGVO hat der Verantwortliche die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Informationspflicht gilt unabhängig davon, ob die Daten direkt bei der betroffenen Person erhoben wurden oder nicht. Die Informationen müssen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache bereitgestellt werden.
Datenschutz durch Technikgestaltung
Der Verantwortliche muss sicherstellen, dass bei der Verarbeitung personenbezogener Daten Datenschutzprinzipien wie Datensparsamkeit und Datenminimierung berücksichtigt werden. Außerdem muss er geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.
Datenschutz-Folgenabschätzung
Der Verantwortliche muss eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutz-Folgenabschätzung soll dazu beitragen, Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen, um diese Risiken zu minimieren.
Meldung von Datenschutzverletzungen
Der Verantwortliche muss im Falle einer Datenschutzverletzung die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnisnahme darüber informieren. Unter bestimmten Umständen muss auch die betroffene Person über die Datenschutzverletzung informiert werden.
Die Einhaltung dieser Pflichten ist von entscheidender Bedeutung, um die Rechte und Freiheiten natürlicher Personen zu schützen und Verstöße gegen die DSGVO zu vermeiden.
Zuständige Aufsichtsbehörden
Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist. Die örtliche Zuständigkeit richtet sich nach dem Sitz der nicht-öffentlichen Stelle.
Es gibt insgesamt 16 Aufsichtsbehörden in Deutschland, die für die Umsetzung der DSGVO zuständig sind. Jede dieser Behörden hat eigene Zuständigkeitsbereiche und Aufgaben. Die folgende Tabelle gibt einen Überblick über die 16 Aufsichtsbehörden und ihre Zuständigkeitsbereiche:
Aufsichtsbehörde | Zuständigkeitsbereich |
---|---|
Baden-Württemberg | Baden-Württemberg |
Bayern | Bayern |
Berlin | Berlin |
Brandenburg | Brandenburg |
Bremen | Bremen |
Hamburg | Hamburg |
Hessen | Hessen |
Mecklenburg-Vorpommern | Mecklenburg-Vorpommern |
Niedersachsen | Niedersachsen |
Nordrhein-Westfalen | Nordrhein-Westfalen |
Rheinland-Pfalz | Rheinland-Pfalz |
Saarland | Saarland |
Sachsen | Sachsen |
Sachsen-Anhalt | Sachsen-Anhalt |
Schleswig-Holstein | Schleswig-Holstein |
Thüringen | Thüringen |
Es ist wichtig zu beachten, dass die Zuständigkeit der Aufsichtsbehörden sich nicht nur auf Unternehmen und Organisationen im eigenen Mitgliedstaat beschränkt, sondern auch auf Unternehmen und Organisationen, die in anderen Mitgliedstaaten der Europäischen Union ansässig sind und personenbezogene Daten von EU-Bürgern verarbeiten.
Wenn Sie einen Datenschutzverstoß befürchten oder Fragen zur Umsetzung der DSGVO haben, können Sie sich an die zuständige Aufsichtsbehörde wenden. Die Behörde geht dem dargelegten Fall nach und unterrichtet Sie über den aktuellen Stand und das Ergebnis der Untersuchung.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist eine Person, die in einem Unternehmen oder einer Organisation für die Überwachung der Einhaltung der Datenschutzgrundverordnung (DSGVO) verantwortlich ist. Die DSGVO schreibt vor, dass bestimmte Unternehmen und Organisationen einen Datenschutzbeauftragten benennen müssen. Die genauen Kriterien dafür sind im Artikel 37 Absatz 1 der DSGVO festgelegt.
Die Hauptaufgabe des Datenschutzbeauftragten besteht darin, die Einhaltung der DSGVO in der Organisation sicherzustellen. Dazu gehört unter anderem die Überwachung der Verarbeitung personenbezogener Daten sowie die Beratung von Mitarbeitern und Management in Fragen des Datenschutzes. Der Datenschutzbeauftragte ist auch die Anlaufstelle für die Aufsichtsbehörde in Fragen des Datenschutzes.
Um als Datenschutzbeauftragter tätig zu sein, muss man über fundierte Kenntnisse im Bereich Datenschutz und IT-Sicherheit verfügen. Die DSGVO schreibt jedoch keine spezifischen Qualifikationen vor. Es ist jedoch empfehlenswert, eine entsprechende Ausbildung oder Zertifizierung zu haben.
Unternehmen und Organisationen, die einen Datenschutzbeauftragten benennen müssen, sollten darauf achten, dass die Person über ausreichende Kenntnisse im Bereich Datenschutz und IT-Sicherheit verfügt. Eine unzureichende Besetzung dieser Position kann zu erheblichen rechtlichen und finanziellen Konsequenzen führen.
Datenschutz in speziellen Kontexten
Datenschutz in der Forschung
Bei der Durchführung von Forschungsprojekten ist es wichtig, dass personenbezogene Daten gemäß den Bestimmungen der Datenschutzgrundverordnung (DSGVO) verarbeitet werden. Hierbei sollte der Grundsatz der Datenminimierung beachtet werden, d.h. es sollten nur diejenigen Daten verarbeitet werden, die für das Forschungsprojekt tatsächlich benötigt werden. Zudem müssen die betroffenen Personen über die Verarbeitung ihrer Daten informiert werden und ihre Einwilligung zur Verarbeitung geben.
Datenschutz in sozialen Netzwerken
Soziale Netzwerke wie Facebook, Twitter oder Instagram sind inzwischen fester Bestandteil des täglichen Lebens vieler Menschen. Hierbei ist es wichtig, dass die Nutzerinnen und Nutzer sich bewusst sind, welche Daten sie preisgeben und wie diese Daten verarbeitet werden. Die DSGVO schreibt vor, dass die Nutzerinnen und Nutzer über die Verarbeitung ihrer Daten informiert werden müssen und ihre Einwilligung zur Verarbeitung geben müssen. Zudem haben die Nutzerinnen und Nutzer das Recht, ihre Daten löschen oder berichtigen zu lassen.
Datenschutz bei Kindern
Kinder sind eine besonders schutzbedürftige Gruppe im Hinblick auf den Datenschutz. Die DSGVO sieht daher vor, dass personenbezogene Daten von Kindern nur mit Einwilligung der Eltern verarbeitet werden dürfen. Dabei müssen die Eltern über die Verarbeitung der Daten informiert werden und ihre Einwilligung zur Verarbeitung geben. Zudem müssen die Datenschutzbestimmungen kindgerecht formuliert sein, damit die Kinder verstehen können, welche Daten verarbeitet werden und zu welchem Zweck.
Sanktionen und Rechtsmittel
Die Datenschutz-Grundverordnung (DSGVO) sieht bei Verstößen gegen Datenschutzvorschriften empfindliche Strafen vor. Unternehmen können Geldbußen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) erhalten, wenn sie gegen die Vorschriften der DSGVO verstoßen. Bei schwerwiegenden Verstößen können die Bußgelder sogar bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist) 1.
Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art. 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es verschiedene Kriterien, die von den Aufsichtsbehörden berücksichtigt werden, wie z.B. die Art, Schwere und Dauer des Verstoßes, der Grad des Verschuldens, die Anzahl der betroffenen Personen und der Umfang des Schadens 2.
Betroffene haben auch das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Die DSGVO sieht vor, dass jeder, dessen personenbezogene Daten verarbeitet werden, das Recht hat, Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn er der Ansicht ist, dass seine Rechte verletzt wurden. Die Aufsichtsbehörde ist verpflichtet, die Beschwerde zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Darüber hinaus haben betroffene Personen das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde oder gegen den Verantwortlichen, wenn sie der Ansicht sind, dass ihre Rechte gemäß der DSGVO verletzt wurden 3.
Footnotes
Häufig gestellte Fragen
Was ist die Datenschutz-Grundverordnung und was sagt sie aus?
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), die am 25. Mai 2018 in Kraft getreten ist. Sie regelt den Umgang mit personenbezogenen Daten und ersetzt das bisherige Datenschutzrecht der EU-Mitgliedstaaten. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen befindet.
Was versteht man unter der DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten und definiert die Rechte von Personen, deren Daten verarbeitet werden. Die Verordnung legt fest, dass personenbezogene Daten nur rechtmäßig und transparent erhoben, verarbeitet und genutzt werden dürfen. Sie müssen zudem auf dem neuesten Stand gehalten und sicher aufbewahrt werden.
Was wird in der DSGVO als Datenschutz definiert?
Datenschutz umfasst den Schutz personenbezogener Daten. Hierzu gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer oder IP-Adresse.
Was sind die Ziele der Datenschutz-Grundverordnung?
Die Ziele der DSGVO sind der Schutz personenbezogener Daten und die Stärkung der Rechte von Personen, deren Daten verarbeitet werden. Die Verordnung soll außerdem für mehr Transparenz und Vertrauen im Umgang mit personenbezogenen Daten sorgen und den freien Datenverkehr innerhalb der EU erleichtern.
Welche Gesetze regeln den Datenschutz im Internet?
Neben der DSGVO gibt es in Deutschland das Bundesdatenschutzgesetz (BDSG), das den Umgang mit personenbezogenen Daten regelt. Das BDSG wurde im Mai 2018 an die Vorgaben der DSGVO angepasst.
Was sind die wichtigsten Änderungen durch die DSGVO im Vergleich zum Bundesdatenschutzgesetz?
Die DSGVO bringt einige wichtige Änderungen im Vergleich zum Bundesdatenschutzgesetz mit sich. So müssen Unternehmen beispielsweise eine Datenschutzerklärung bereitstellen, in der sie über die Verarbeitung personenbezogener Daten informieren. Außerdem müssen sie eine Einwilligung der betroffenen Person einholen, bevor sie deren Daten verarbeiten dürfen. Unternehmen müssen außerdem den Datenschutz von Anfang an in ihre Prozesse einbeziehen (Privacy by Design) und ein Datenschutzmanagementsystem implementieren.