Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

08. Juni 2019

Die Grundsätze der Datenschutz-Grundverordnung (DSGVO)

Die Grundsätze der Datenschutz-Grundverordnung (DSGVO)
Bild: iStock.com / Stadtratte
4,25 (4)
DSGVO / GDPR
Über die Datenschutz-Grundverordnung (DSGVO) wird viel berichtet und diskutiert. Häufig geht es dabei um spezielle Fragen zum neuen Datenschutzrecht. Vieles wird jedoch verständlicher, wenn man sich gezielt mit den Grundlagen der DSGVO befasst. Das hilft auch, die Mitarbeiter im Unternehmen zu sensibilisieren.

Was ist die DSGVO überhaupt?

Die Datenschutz-Grundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) ist seit 25. Mai 2018 anwendbar. Sie regelt die Verarbeitung von personenbezogenen Daten in der Europäischen Union.

Die DSGVO löst die seit 1995 geltende EU-Datenschutz-Richtlinie ab. Außerdem hat sie dafür gesorgt, dass unmittelbar geltendes EU-Recht nationale Datenschutz-Gesetze wie das bisherige Bundesdatenschutzgesetz (BDSG) ersetzt.

Zusätzlich zur DSGVO wird es eine neue Verordnung zum Datenschutz in der elektronischen Kommunikation (E-Privacy-Verordnung) geben.

Aufgrund zahlreicher Öffnungsklauseln in der DSGVO sind darüber hinaus weiterhin nationale Datenschutz-Gesetze möglich. In Deutschland ist dies das neue Bundesdatenschutzgesetz. Es gilt  ebenfalls seit 25. Mai 2018.

Die DSGVO hat Anwendungs-Vorrang vor den nationalen Datenschutz-Gesetzen. Zusätzlich gibt es Fachgesetze wie den Sozialdatenschutz im Sozialgesetzbuch sowie die Datenschutz-Gesetze der einzelnen Bundesländer.

Was regelt die Datenschutz-Grundverordnung?

Die DSGVO soll einen einheitlichen und starken Datenschutz in der EU gewährleisten, ohne den freien Datenverkehr innerhalb der EU zu gefährden.

Die Grundverordnung regelt den Umgang mit personenbezogenen Daten. Genauer: den Schutz personenbezogener Daten bei der ganz oder teilweise automatisierten Verarbeitung. Außerdem regelt Sie die nichtautomatisierte (manuelle) Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Achtung
Die DSGVO gilt unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Sie gilt auch für alle Verarbeitungsvorgänge von personenbezogenen Daten, die von Verantwortlichen und Auftragsverarbeitern mit Sitz in der EU durchgeführt werden.

Laut Erwägungsgrund 22 heißt es: „Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen.“

Die Datenschutz-Grundverordnung stärkt unter anderem die Betroffenenrechte, beispielsweise durch erhöhte Anforderungen an die Transparenz und umfangreichere Informations- und Benachrichtigungs-Pflichten der Unternehmen und Behörden.

Neue Betroffenenrechte wie das Recht auf Daten-Portabilität oder das „Recht auf Vergessenwerden“ erhöhen den Einfluss des oder der Betroffenen auf die Verarbeitung der eigenen Daten.

Was sind die wesentlichen Aussagen der DSGVO?

Während viele Datenschutz Grundsätze wie Zweckbindung, Erforderlichkeit und Datensparsamkeit / Datenminimierung beibehalten wurden, erfüllt die Datenschutz-Grundverordnung viele neue Zwecke. Sie enthält viele neue oder verschärfte Anforderungen an den Datenschutz.

Zu den neuen Vorgaben gehören

  • das Marktortprinzip, nach dem auch alle außereuropäischen Unternehmen verpflichtet sind, das europäische Datenschutzrecht einzuhalten, wenn sie auf dem europäischen Markt ihre Dienstleistungen anbieten (Erwägungsgrund 22),
  • die federführenden Aufsichtsbehörde am Ort der Hauptniederlassung. Damit steht Unternehmen mit grenzüberschreitenden Datenverarbeitungs-Tätigkeiten ein zentraler Ansprechpartner zur Verfügung, das sogenannte One-Stop-Shop-Prinzip (Art. 56).
  • die Rechenschaftspflicht (Verantwortlichkeit der Daten verarbeitenden Stellen für die Einhaltung der Datenschutz-Prinzipien und dessen Nachweis, Artikel. 5),
  • neue Betroffenenrechte wie das Recht auf Vergessenwerden (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20),
  • die ausdrückliche Forderung von Privacy by Design und Privacy by Default, zu deutsch: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen(Art. 25),
  • die Datenschutz-Folgenabschätzung (Artikel 35) und
  • die Stärkung der Datenschutz-Zertifizierung sowie das neue Instrument der Verhaltensregeln (Abschnitt 5, Artikel 40 bis 43).

Erhöhte Anforderungen bestehen an

  • die Transparenz bei der Datenverarbeitung,
  • die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen (z.B. Artikel 7),
  • die Einwilligung eines Kindes bei Nutzung der Dienste der Informationsgesellschaft (laut Datenschutz-Grundverordnung erst ab 16 Jahren) sowie
  • die Meldepflichten bei Datenschutzverletzungen (Art. 33 und 34).

Und zum Abschluss ein ganz wichtiger Punkt: Die Aufsichtsbörden haben nun wesentlich ausgedehntere Abhilfe-Befugnisse. Sie können unter anderem Geldbußen bis zu 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes verhängen.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.