In Kürze
Die Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 einheitlich den Schutz personenbezogener Daten in der gesamten Europäischen Union. Sie stärkt die Rechte der Betroffenen und legt Unternehmen klare Pflichten auf.
Definition
Die DSGVO ist eine EU-Verordnung, die unmittelbar in allen Mitgliedstaaten gilt. Sie löste die frühere EU-Datenschutzrichtlinie und das alte Bundesdatenschutzgesetz (BDSG) ab. In Deutschland ergänzt das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) die DSGVO an einigen Stellen.
Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind, eine Niederlassung in der EU haben oder Daten von EU-Bürgerinnen und -Bürgern verarbeiten. Sie betrifft alle personenbezogenen Daten — also alle Informationen, die eine Person direkt oder indirekt identifizierbar machen, zum Beispiel Name, Adresse, E-Mail-Adresse, IP-Adresse oder Bankdaten.
Datenverarbeitung ist grundsätzlich verboten, sofern sie nicht ausdrücklich erlaubt ist. Nach Art. 6 DSGVO ist sie zulässig, wenn eine der folgenden Voraussetzungen erfüllt ist:
- Die betroffene Person hat eingewilligt.
- Die Verarbeitung ist zur Vertragserfüllung notwendig.
- Eine gesetzliche Verpflichtung besteht.
- Berechtigte Interessen des Unternehmens überwiegen die Interessen der betroffenen Person.
Besonders sensible Daten — etwa zu Gesundheit, Religion, Gewerkschaftszugehörigkeit oder sexueller Orientierung — dürfen nach Art. 9 DSGVO grundsätzlich nicht verarbeitet werden. Ausnahmen gelten unter anderem bei ausdrücklicher Einwilligung.
Unternehmen sind nach Art. 24 und 25 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, um Daten zu schützen. Dazu gehört etwa, so wenige Daten wie möglich zu erheben und Geräte datenschutzfreundlich vorzukonfigurieren.
Betroffene Personen haben nach der DSGVO umfangreiche Rechte:
- Auskunftsrecht: Betroffene können erfahren, welche Daten über sie gespeichert sind.
- Recht auf Löschung und Berichtigung: Falsche oder nicht mehr benötigte Daten müssen gelöscht oder korrigiert werden.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Daten können in einem gängigen Format von einem Anbieter zu einem anderen übertragen werden.
- Widerspruchsrecht: Bei automatisierten Entscheidungen, die eine Person erheblich betreffen, besteht ein Widerspruchsrecht.
Unternehmen müssen nach Art. 33 DSGVO Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. In vielen Fällen müssen auch die betroffenen Personen informiert werden.
Unter bestimmten Voraussetzungen — etwa bei systematischer Datenüberwachung oder Verarbeitung sensibler Daten — müssen Unternehmen einen Datenschutzbeauftragten ernennen (Art. 37 DSGVO, § 38 BDSG). Dieser ist fachlich weisungsfrei und kann nicht ohne wichtigen Grund abberufen oder gekündigt werden.
Bei Verarbeitungsvorgängen mit hohem Risiko für Betroffene schreibt Art. 35 DSGVO eine Datenschutz-Folgeabschätzung vor. Ergibt diese, dass das Risiko trotz Schutzmaßnahmen hoch bleibt, muss die Aufsichtsbehörde einbezogen werden.
Bei Verstößen gegen die DSGVO drohen erhebliche Bußgelder. Die Verordnung sieht Sanktionen vor, die je nach Schwere des Verstoßes bis zu mehrere Millionen Euro oder einen prozentualen Anteil am weltweiten Jahresumsatz eines Unternehmens betragen können.
