Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Die Datenschutz-Grundverordnung – DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist ein einheitliches EU-Regelwerk, um personenbezogene Daten von Einzelpersonen zu schützen. Die DSGVO ist seit dem 25. Mai 2018 in den Mitgliedstaaten der Europäischen Union unmittelbar anwendbar.

➜ Welche Bestimmungen enthält die DSGVO?

Europarechtskonforme Auslegung erforderlich

Datenschutzbeauftragte (DSB) sollten nach dem Urteil des österreichischen Verfassungsgesichtshofs den journalistischen Bereich in den Blick nehmen. Auch wenn im Kernbereich der journalistischen Tätigkeit die DSGVO eine Randerscheinung bleibt, wirft die Entscheidung ihre Schatten voraus.

Datenschutz-Grundbegriffe

Es reicht nicht, die Vorgaben der DSGVO einzuhalten. Verantwortliche in den Unternehmen müssen die ergriffenen Maßnahmen und ihre Wirksamkeit auch nachweisen können. Das sollten Datenschutzbeauftragte dazu wissen.

Datenschutzgrundsätze

Bei den Grundsätzen der Verarbeitung personenbezogener Daten tauchen gleich zu Beginn Fragen auf. Art. 5 Abs. 1 Buchst. a DSGVO spricht von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Für die Rechtmäßigkeit gibt es Art. 6 DSGVO, für Transparenz Art. 13 & 14 DSGVO. Aber was meint „Treu und Glauben“?

DP+
Kritiker sind der Meinung, dass Verbände bei Datenschutzverletzungen nicht auf Unterlassung klagen können sollten, sondern nur die betroffene Person, um massive Klagewellen zu verhindern. Doch der EuGH hat klargestellt, dass die Aufsichtsbehörden nicht die alleinigen „Hüter der DSGVO“ sind.
Bild: iStock.com / Aleksei-Naumov
Droht neues Unheil?

Dürfen Verbände bei Datenschutzverstößen gegen Unternehmen auf Unterlassung klagen? Der EuGH meint: Ja. Grund genug, zu klären, was Unterlassungsklagen sind und wie sich Unternehmen dagegen wappnen.

Wie ein Online-Schuhverkäufer eine Geldbuße von 250.000 € bekam

Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?

Die datenschutzfreundliche alternative zu Twitter gewinnt zuletzt immer mehr an Attraktivität. BfDI und LfDIs sind schon fleißig am tooten.
Bild: oatawa / iStock / Getty Images Plus
Social Media

Was ist Mastodon – und warum gilt es als datenschutzfreundliche Alternative zu Twitter? Das erklären aktuell sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü). Beide nutzen das Tool bereits – und viele andere werden sicher folgen, denn die Europäische Union hat eine Mastodon-Plattform für Behörden eingerichtet.

Auf den Grund gegangen

Juristen beantworten diese Frage knapp mit „Es kommt darauf an.“ Damit es für Sie nicht bei der Lieblingsantwort der Juristen bleibt, gibt dieser Beitrag Hilfestellung für die Praxis.

Im Gespräch mit Roul Tiaden

Seit bald 3 Jahren wird die DSGVO angewendet. Und genausolang gilt der Artikel 40 „Verhaltensregeln“. Trotzdem gibt es bis heute nur eine Handvoll genehmigter und veröffentlichter Verhaltensregeln. Um zu verstehen, woran das liegt, haben wir mit Roul Tiaden von der Datenschutzaufsicht Nordrhein-Westfalen gesprochen.

Muster

Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

Im Gespräch mit Prof. Dr. Michael Ronellenfitsch

Wieso begann der Datenschutz in Deutschland vor 50 Jahren, und wieso gerade in Hessen? Warum wurde die „Informationelle Selbstbestimmung“ als Grundrecht formuliert? Und warum ist es auch für die Zukunft des Datenschutzes gut, dass der Datenschutz in Deutschland föderal organisiert ist?

2 von 4

DSGVO setzt Grundrecht um

Der Schutz personenbezogener Daten ist ein Grundrecht in der Europäischen Union.

Die Mitgliedstaaten haben ihre nationalen Rechtsvorschriften an die DSGVO angepasst. In Deutschland betrifft das neben zahlreichen weiteren Gesetzen etwa das Bundesdatenschutzgesetz.

Die nationalen Datenschutzbehörden sind dafür zuständig, die EU-Vorschriften durchzusetzen, und stimmen ihre Maßnahmen über Kooperations-Mechanismen und die Zusammenarbeit mit dem Europäischen Datenschutzausschuss (EDSA) aufeinander ab.

Der EDSA erstellt unter anderem Leitlinien zu zentralen Aspekten der Datenschutz-Grundverordnung, um die einheitliche Anwendung der Vorschriften zu unterstützen.

Was sind die Ziele der Datenschutz-Grundverordnung?

Die DSGVO (Verordnung (EU) 2016/679) soll Europa für das digitale Zeitalter rüsten, so die EU-Kommission. Sie gilt als wichtiger Schritt, um die Grundrechte des Einzelnen im digitalen Zeitalter zu stärken und Geschäftstätigkeiten zu erleichtern, indem sie die Vorschriften für Unternehmen und öffentliche Einrichtungen im digitalen Binnenmarkt klärt.

Die DSGVO verfolgt also zwei gleichberechtigt nebeneinander stehende Ziele: Zum einen will sie natürlichen Personen die Kontrolle über ihre personenbezogenen Daten geben. Gleichzeitig soll sie den freien Verkehr personenbezogener Daten zwischen den EU-Mitgliedstaaten garantieren.

Als einheitliches Datenschutzrecht für die EU soll die DSGVO der Zersplitterung in unterschiedliche nationale Systeme und unnötigem Verwaltungsaufwand ein Ende machen.

Was sind die Inhalte der DSGVO?

Die DSGVO

  • nennt die Grundsätze der Verarbeitung personenbezogener Daten,
  • regelt die Rechte der Betroffenen der Datenverarbeitung,
  • führt die Pflichten der Verantwortlichen und Auftragsverarbeiter auf,
  • stellt die Anforderungen an die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen klar,
  • beschreibt die Aufgaben und Berechtigungen der Aufsichtsbehörden für den Datenschutz,
  • erläutert die Zusammenarbeit und Kohärenz bei den Aufsichtsbehörden für den Datenschutz,
  • klärt über Rechtsbehelfe, Haftung und Sanktionen auf und
  • enthält Vorschriften für besondere Verarbeitungssituationen.

Der Gesetzestext mit seinen 99 Artikeln ist entsprechend aufgebaut:

Kapitel 1 (Art. 1-4): Allgemeine Bestimmungen

Kapitel 2 (Art. 5-11): Grundsätze

Kapitel 3 (Art. 12-23): Rechte der betroffenen Person

Kapitel 4 (Art. 24-43): Verantwortlicher und Auftragsverarbeiter

Kapitel 5 (Art. 44-50): Übermittlung personenbezogener Daten an Drittländer

Kapitel 6 (Art. 51-59): Unabhängige Aufsichtsbehörden

Kapitel 7 (Art. 60-76): Zusammenarbeit und Kohärenz

Kapitel 8 (Art. 77-84): Rechtsbehelfe, Haftung und Sanktionen

Kapitel 9 (Art. 85-91): Vorschriften für besondere Verarbeitungssituationen

Kapitel 10 (Art. 92-93): Delegierte Rechtsakte und Durchführungsrechtsakte

Kapitel 11 (Art. 94-99): Schlussbestimmungen

Welche Vorteile bietet die DSGVO für betroffene Personen?

Die Regeln der DSGVO sorgen dafür, dass Unternehmen und Institutionen genau sagen müssen, für welchen Zweck sie welche personenbezogenen Daten haben und verarbeiten wollen.

Zu den Rechten der Betroffenen gehören etwa das „Recht auf Vergessenwerden“, der Zugang zu den eigenen Daten und das Recht, zu erfahren, ob die eigenen Daten gehackt wurden.

Die Forderung nach Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Default, Privacy by Design) erleichtert es, den Datenschutz für betroffene Personen zu gewährleisten.

Was sind die wesentlichen Unterschiede für Unternehmen zum früheren Datenschutzrecht?

Die DSGVO hat die Grundprinzipien des Datenschutzes nicht geändert, sondern sie aktualisiert und modernisiert. Die entscheidende Neuerung ist, dass ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt.

Mit dem „One-Stop-Shop“ hat die Grundverordnung etwa eine zentrale Anlaufstelle für Unternehmen geschaffen. Unternehmen müssen sich nur noch an eine einzige Behörde für den Datenschutz richten.

Die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt: Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften bei der Verarbeitung personenebzogener Daten befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.

Wie hat sich die Umsetzung der DSGVO entwickelt?

Die DSGVO wird regelmäßig bewertet und überprüft. Alle vier Jahre findet eine Evaluation statt. Die erste Auswertung erfolgte im Mai 2020.

Bewertung der EU-Kommission

Dabei kam die EU-Kommission zu dem Schluss:

Innerhalb der letzten zwei Jahre haben die neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt.

In einer Welt, in der die Datenverarbeitung eine immer größere Rolle spielt, sorgt die Datenschutz-Grundverordnung dafür, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten haben.

Gleichzeitig schafft sie einen Rahmen für vertrauenswürdige Innovation. Die Datenschutz-Grundverordnung ist ein Eckpfeiler des digitalen Wandels in Europa. In den zwei Jahren ist das Bewusstsein der Bürger sowie der Unternehmen für die Bedeutung des Datenschutzes gestiegen.

Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht. Die nationalen Datenschutzbehörden, die für die Durchsetzung zuständig sind, sind vielerorts noch nicht voll einsatzfähig, so die EU-Kommission in ihrem Bericht zur Evaluierung der DSGVO.

Bewertung des BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erklärte zur Evaluierung der DSGVO im Mai 2020: „Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotential.

Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert.

Wesentliche Kernaussagen unserer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz finden sich auch im Bericht der Kommission. Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Bewertung der Wirtschaft

Wirtschaftsverbände wie der Digitalverband Bitkom berichten von weiterhin bestehenden Problemen bei der Umsetzung der DSGVO.

Demnach kämpft die große Mehrheit der Unternehmen in Deutschland auch mehrere Jahre nach Geltungsbeginn noch mit der Umsetzung der Datenschutz-Grundverordnung.

  • Laut Bitkom-Umfrage hat nur jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert.
  • Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise.
  • Sechs Prozent haben gerade erst mit der Umsetzung begonnen.
  • 89 Prozent meinen: Die Datenschutz-Grundverordnung ist praktisch nicht vollständig umsetzbar.

Problem Rechtsunsicherheit?

Die größte Herausforderung ist für drei Viertel der Unternehmen (74 Prozent) eine anhaltende Rechtsunsicherheit durch die Regeln der DSGVO:

  • Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung.
  • Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen und Informationen  durch Aufsichtsbehörden.
  • Ffast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU.

Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DSGVO mehr Aufwand haben und dies künftig so bleiben wird.

Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.