Hinweis: Dieser Artikel dient lediglich als redaktioneller Überblick über das Thema und stellt keine Rechtsbelehrung oder -beratung dar. Für rechtliche Fragen und spezifische Informationen zur Datenschutz-Grundverordnung (DSGVO) empfehlen wir immer, eine professionelle Rechtsberatung einzuholen.
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des Europäischen Parlaments und des Rates, die seit dem 25. Mai 2018 gilt. Sie soll den Schutz personenbezogener Daten sicherstellen und hat den Zweck, die Rechte natürlicher Personen, die von der Datenverarbeitung betroffen sind, einzuhalten und zu stärken. Die DSGVO ist in der gesamten Europäischen Union (EU) wirksam und richtet sich an Unternehmen, Behörden und andere Organisationen, die personenbezogene Daten verarbeiten.
Der sachliche Geltungsbereich der DSGVO umfasst die Verarbeitung personenbezogener Daten, unabhängig davon, ob sie digital oder in Papierform vorliegen. Darunter fallen zum Beispiel das Sammeln, Erfassen, Speichern, Offenlegen, Übermitteln oder Löschen von Daten.
Der räumliche Geltungsbereich der DSGVO erstreckt sich über die EU-Mitgliedsstaaten. Die Verordnung gilt sowohl für Unternehmen, die in der EU ansässig sind, als auch die, die personenbezogene Daten in der EU verarbeiten, unabhängig von ihrem Standort. Dementsprechend sind auch Unternehmen aus anderen Gebieten dazu verpflichtet, die DSGVO einzuhalten.
Es können verschiedene Kategorien personenbezogener Daten definiert werden. Damit sind sämtliche Daten gemeint, die einer Person zugeordnet werden können und über die eine Person direkt identifizierbar ist. Dazu zählen grundlegende Informationen wie Name, Adresse, Geburtsdatum, Geschlecht, Telefonnummer und E-Mail-Adresse. Ebenso zählen aber auch Kontodaten, Kreditkarten- oder Personalnummern einer Person, das Kfz-Kennzeichen, das Aussehen, und Kundennummern zu den allgemeinen personenbezogenen Daten.
Darüber hinaus gibt es besondere Kategorien personenbezogener Daten, die sensible Informationen enthalten und dementsprechend einen höheren Schutz erfordern. Zu diesen Daten gehören zum Beispiel Daten der ethnischen Herkunft, politischen Meinung und Weltanschauung, genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben. Ebenso wichtig ist der Schutz von Daten, die im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten einer Person stehen.
Je nachdem, in welche Kategorie diese personenbezogenen Daten fallen, können die Sanktionen für Unternehmen bei Verstößen unterschiedlich hoch ausfallen.
In Kapitel 2 Art. 5 der DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgehalten. Damit gehen für Unternehmen gewisse Pflichten einher, um die Rechte betroffener Personen und das Recht auf Schutz dieser Daten sicherzustellen:
Rechtmäßigkeit und Transparenz: Die Verarbeitung personenbezogener Daten muss auf einer rechtlichen Grundlage beruhen. Das Unternehmen muss transparent über die Zwecke und Rechtsgrundlage der Datenverarbeitung informieren.
Zweckbindung: Die personenbezogenen Daten dürfen nur für klar definierte und legitime Zwecke verarbeitet werden. Entsprechend sollten die Daten auch nur so lange aufbewahrt werden, wie es den gesetzlichen Anforderungen und berechtigten Interessen der betroffenen Personen entspricht.
Richtigkeit der Daten: Unternehmen müssen sicherstellen, dass die von ihnen verarbeiteten Daten korrekt und auf dem neuesten Stand sind. Ungenaue oder veraltete Daten sollten aktualisiert oder berichtigt werden.
Integrität und Vertraulichkeit: Unternehmen müssen adäquate technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Dazu zählen beispielsweise der Schutz vor unbefugtem Zugriff, Verlust oder Beschädigung der Daten.
Meldung von Datenschutzverletzungen: Unternehmen sind verpflichtet, innerhalb von 72 Stunden die zuständige Aufsichtsbehörde zu informieren, wenn es zu einem der in Punkt 4 aufgezählten Fälle kommt. In einigen Fällen müssen Betroffene sogar direkt informiert werden.
Datenschutz-Folgeabschätzung: Unternehmen sollten Risiken der Datenverarbeitung abschätzen und dokumentieren, welche Maßnahmen sie zur Risikominimierung ergreifen.
Datenschutzbeauftragter: In bestimmten Fällen müssen Unternehmen einen Datenschutzbeauftragten ernennen. Davon betroffen sind vor allem öffentliche Stellen und Unternehmen, deren Kernaktivitäten in der umfangreichen Verarbeitung von Daten bestehen.
Die primäre Aufgabe des Datenschutzbeauftragten ist die Überwachung der Einhaltung der DSGVO, damit die Datenschutzrichtlinien und -verfahren stets den rechtlichen Anforderungen entsprechen. Um das zu gewährleisten, arbeiten Datenschutzbeauftragte eng mit dem Management des Unternehmens zusammen, damit die Implementierung der Datenschutzmaßnahmen an allen nötigen Stellen sichergestellt wird. Im Rahmen der Datenschutz-Folgeabschätzung bewertet er die Risiken der Datenverarbeitung und unterstützt bei der Entwicklung und Umsetzung geeigneter Schutzmaßnahmen.
Der Datenschutzbeauftragte dient zudem als erster Ansprechpartner für Aufsichtsbehörden in Fragen des Datenschutzes sowie bei der Bearbeitung von Beschwerden. Innerhalb des Unternehmens schult und fördert er Mitarbeiter, um sie für Themen des Datenschutzes zu informieren und zu sensibilisieren.
In Kapitel 3 (Art. 12-23) der DSGVO sind die Rechte festgehalten, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dienen. Darunter fallen:
Auskunftsrecht: Personen haben das Recht, Auskunft darüber zu verlangen, ob und wie die Datenverarbeitung ihrer personenbezogenen Merkmale geschieht.
Recht auf Berichtigung: Betroffene können eine Berichtigung oder Aktualisierung ihrer Daten verlangen, wenn diese falsch oder unvollständig sind.
Recht auf Löschung: Unter gewissen Umständen kann die Löschung der verarbeiteten Daten verlangt werden, wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder die Verarbeitung unrechtmäßig ist.
Widerspruchsrecht: Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen, wenn sie berechtigte Gründe dazu haben.
Beschwerderecht: Personen können bei der zuständigen Behörde eine Beschwerde einreichen, wenn sie der Ansicht sind, dass ihre Rechte gemäß der DSGVO verletzt wurden.
Die Strafen, die Unternehmen bei Verstößen gegen die DSGVO erwarten können, hängen von der Schwere des Verstoßes ab. Um Unternehmen zum Einhalten der DSGVO aufzufordern, können die Datenschutzbehörden Verwarnungen und Beanstandungen vornehmen. In schwereren Fällen haben sie die Befugnis, Geldstrafen zu verhängen, die an verschiedene Faktoren wie die Zahl der betroffenen Personen oder den Umfang des Schadens geknüpft sind. Die DSGVO sieht dafür Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres vor, je nachdem, welcher Betrag höher ist. Dabei haften Mutterkonzerne in der Praxis häufig auch für Tochterunternehmen, was dafür sorgt soll, dass der Datenschutz wirklich ernst genommen wird. Bei besonders schweren Vergehen kann die Datenschutzbehörde sogar eine vorübergehende oder dauerhafte Verarbeitung personenbezogener Daten untersagen.
In jedem Fall aber führen Datenschutzverletzungen zu einem erheblichen Reputationsverlust bei Kunden, Geschäftspartnern und der Öffentlichkeit.
Die DSGVO gilt für personenbezogene Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Das umfasst Namen, Adressen, E-Mail-Adressen, Telefonnummern, IP-Adressen und andere Informationen, durch die eine Person eindeutig identifiziert werden kann.
Personen haben gemäß der DSGVO verschiedene Rechte, darunter das Recht auf Zugang zu Ihren Daten, das Recht auf Berichtigung oder Löschung Ihrer Daten. Außerdem haben sie das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Widerspruchsrecht gegen die Verarbeitung ihrer Daten.
Ja, Unternehmen müssen eine Datenschutzerklärung haben, in der sie erklären, welche personenbezogenen Daten sie sammeln, wie sie diese verarbeiten und zu welchen Zwecken. Die Datenschutzerklärung muss klar und leicht verständlich sein.
Nein, nicht jede Verarbeitung erfordert eine Einwilligung. Es gibt bestimmte rechtliche Grundlagen für die Verarbeitung von Daten, zum Beispiel die Erfüllung eines Vertrags, die Einhaltung einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen oder das berechtigte Interesse des Datenverarbeiters.
Die Dauer der Datenspeicherung hängt von den Zwecken ab, für die die Daten verarbeitet werden. Unternehmen sollten diese nur so lange aufbewahren, wie es für den jeweiligen Zweck erforderlich ist. Es ist ratsam, eine Datenschutzrichtlinie zu haben, die die Aufbewahrungsfristen für verschiedene Arten von Daten festlegt.
Gemäß der DSGVO müssen Unternehmen Datenschutzverletzungen, bei denen es beispielsweise zu einem Verlust, einer unbefugten Offenlegung oder Zugriff auf personenbezogene Daten kommt, innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden. Ausnahmen gelten, wenn die Verletzung unwahrscheinlich ist, beziehungsweise ein geringes Risiko für die Rechten und Freiheiten der betroffenen Personen besteht.
Nein, die DSGVO gilt für alle Unternehmen und Organisationen weltweit, die personenbezogene Daten von EU-Bürgern verarbeiten, standortunabhängig.
Es können Geldbußen verhängt werden, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens betragen können, je nachdem, welcher Betrag höher ist.
Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten. Die Bestellung ist abhängig von der Art und dem Umfang der Datenverarbeitung. In der Regel muss ein Datenschutzbeauftragter benannt werden, wenn es sich um eine öffentliche Stelle handelt oder die Kernaktivitäten des Unternehmens in der umfangreichen Verarbeitung von personenbezogenen Daten bestehen.
Um sicherzustellen, dass man die DSGVO einhält, sollten Unternehmen eine Datenschutzrichtlinie entwickeln, die die Anforderungen der Verordnung abdeckt. Es ist wichtig, Mitarbeiter zu schulen und das Datenschutzbewusstsein zu sensibilisieren. Darüber hinaus sollten regelmäßige Datenschutzprüfungen und -bewertungen durchgeführt werden, um die Einhaltung der DSGVO sicherzustellen.