DSGVO: Überblick & Wissenswertes

In jedem Unternehmen spielt Datenschutz eine wichtige Rolle. Von Kundenbestellungen bis zum Newsletterversand müssen vielerlei rechtliche Vorgaben beachtet werden. Umso mehr, seitdem die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Bei Verstößen gegen die Datenspeicherung und -verarbeitung können Bußgelder bis zu 20 Millionen Euro drohen. Erfahren Sie hier, was hinter der DSGVO steckt und was Sie bei der Umsetzung beachten müssen.

DSGVO

Was ist die DSGVO?

Die Abkürzung DSGVO steht für Datenschutzgrundverordnung. Diese gilt seit dem 25. Mai 2018 in ganz Europa. Ziel ist es, innerhalb der EU einen einheitlichen Rechtsrahmen für den Umgang mit Daten zu schaffen. Das gilt sowohl für die Speicherung als auch die Verarbeitung von Daten personenbezogener Personen. Die Datenschutzgrundverordnung ersetzt in Deutschland das Bundesdatenschutzgesetz (BDSG), beziehungsweise hat zu einer Neufassung des BDSG geführt.

Bislang galten in jedem europäischen Land verschiedene Gesetze zum Datenschutz, was zur Folge hatte, dass innerhalb der EU teils sehr unterschiedliche Standards zur Anwendung kamen. Unternehmen und Institutionen haben jetzt durch die DSGVO eine EU-weite einheitliche Rechtsgrundlage im Bereich Datenschutz, welcher sie unterliegen. Die DSGVO greift auch dann, wenn ein Unternehmen aus einem Drittland personenbezogene Daten eines EU-Bürgers verarbeitet.

Die DSGVO will in erster Linie die Datenschutzrechte natürlicher Personen stärken und dazu beitragen, dass EU-Bürger die Kontrolle über ihre eigenen Daten zurückerlangen. Verstöße werden mit entsprechend hohen Bußgeldern geahndet. So soll sichergestellt werden, dass sich auch soziale Netzwerke aus Übersee oder Clouddienstleister an die Regeln halten.

DSGVO - Zeitstrahl der Entstehung

Wie ist die DSGVO entstanden?

Bereits 1995 hatte die EU eine gemeinsame Datenschutzrichtlinie verabschiedet. In der Praxis wurde schnell deutlich, dass diese von den einzelnen Mitgliedstaaten sehr individuell interpretiert und in nationales Recht umgesetzt wurde. 2012 stellte die zuständige EU-Kommission die EU-Datenschutzreform vor. Im Vergleich zur alten Datenschutzrichtlinie sollten die Inhalte nicht mehr in nationales Recht umgesetzt werden, sondern als Verordnung der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in den Mitgliedstaaten gelten.

Bis zur Datenschutzgrundverordnung war es allerdings noch ein weiter Weg. Über 3100 Abänderungseinträge gingen im zuständigen Ausschuss ein. Sozialdemokraten und Grüne wollten die Urversion der DSGVO weiter präzisiert haben, während konservative und liberale Mandatsträger eher auf der Seite der IT-Industrie waren.

Im Oktober 2013 wurde der von Jan-Philipp Albrecht, Europa-Abgeordneter der Grünen, ausgearbeitete Entwurf mit einer deutlichen Mehrheit angenommen. Während das Plenum diese Verhandlungsposition schon im März 2014 bestätigte, ließ sich der EU-Ministerrat bis zu den Trilog-Verhandlungen Zeit, die bis Mitte Dezember 2015 andauerten.

Das Amtsblatt der EU veröffentlichte die DSGVO am 5. Mai 2016, in Kraft trat sie am 25. Mai 2016.

Artikel 99 legte den Beginn der Gültigkeit auf den 25. Mai 2018 fest. Ohne Umsetzungsakt gilt die DSGVO seitdem in allen Mitgliedstaaten. Nationale Regeln zur Verschärfung oder Abschwächung sind im Grunde nicht zulässig. Einige Bereiche erlauben den Mitgliedern jedoch, manche Regelungen der DSGVO näher zu konkretisieren.

DSGVO: Personenbezogene Daten

Was sind die Grundprinzipien der DSGVO?

Es gibt einige Prinzipien, die bei der Umsetzung der Datenschutzgrundverordnung zu berücksichtigen sind. Wer also die EU-DSGVO rechtskonform anwenden will, kommt nicht umhin, sich diese Grundsätze eigen zu machen. Festgelegt sind sie im Art. 5 DSGVO.

1. Rechtmäßigkeit und Transparenz

Personenbezogene Daten sind auf rechtmäßige Weise zu verarbeiten. Werden persönliche Daten gespeichert oder verarbeitet, muss dies auf freiwilliger Basis erfolgen. Vor der Einwilligung ist der Betreffende gründlich zu informieren. Diese Darlegung muss eindeutig und spezifisch sein. Geht es um Daten von Kindern, gelten bezüglich der Einwilligung besondere Vorschriften. Diese können durch nationale Gesetze verschärft werden.

Die Verarbeitung der Daten nach DSGVO muss nach Treu und Glauben erfolgen. Eine Person muss in der Lage sein, die ganze Prozedur nachzuvollziehen. Transparenz meint in diesem Zusammenhang, dass die Informationen rund um die Verarbeitung der Daten in einer klaren und leicht verständlichen Sprache zugänglich gemacht werden.

2. Zweckbindung

Der Zweck, zu dem personenbezogene Daten erhoben werden, muss genau definiert, eindeutig und legitim sein. Es ist gemäß DSGVO nicht zulässig, die Daten in einer Weise zu verarbeiten oder zu speichern, die nicht mit diesen Zwecken übereinstimmen.

3. Datenminimierung

Eine Verarbeitung und Speicherung der Daten sollte nur dann erfolgen, wenn der Verarbeitungszweck nicht durch andere Mittel erreicht werden kann. Bei der Verarbeitung der Daten fordert die DSGVO, das notwendige Maß zu wahren.

4. Richtigkeit

Die DSGVO verlangt, dass sämtliche personenbezogenen Daten sachlich richtig sind und sich auf dem aktuellen Stand befinden. Daten, die nicht oder nicht mehr korrekt sind, dienen nicht mehr dem Verarbeitungszweck und müssen daher entweder direkt korrigiert oder gelöscht werden.

5. Speicherbegrenzung

Sämtliche personenbezogenen Daten sind nur so lange zu speichern, wie es der Verarbeitungszweck erfordert. Die Daten sind nur dann länger abzuspeichern, wenn die Speicherung im öffentlichen Interesse geschieht. Das ist der Fall bei Datenerhebungen zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken. Hier greift Art. 89 Abs. 1 der DSGVO.

6. Integrität

Die Datenschutzgrundverordnung verlangt, dass sämtliche personenbezogenen Daten so gespeichert und verarbeitet werden, dass deren Sicherheit gewährleistet ist. Das schließt auch den Schutz vor unberechtigter oder unbefugter Verarbeitung durch Dritte, unbeabsichtigtem Verlust und Zerstörung sowie versehentlichen Schäden. Zwecks der Umsetzung sind entsprechende organisatorische und technische Voraussetzungen zu treffen.

7. Rechenschaftspflicht

Der für die Umsetzung und Anwendung der DSGVO Verantwortliche muss jederzeit die Einhaltung der Grundprinzipien nachweisen können.

Die Grundsätze der DSGVO

Im Gegensatz zu anderen Mitgliedsstaaten der EU bewegt sich Deutschland beim Datenschutz traditionell auf einem hohen Niveau. Viele Grundsätze des Bundesdatenschutzgesetzes stimmen mit den Artikeln der DSGVO überein. So muss eine Person immer die Erlaubnis (Einwilligung) zur Speicherung und Verarbeitung der Daten geben. Dabei dürfen nur so viele Daten erhoben werden, wie auch für den Prozess tatsächlich notwendig sind. Die zweckgebundene Verarbeitung ist ebenso notwendig wie die Richtigkeit gespeicherter Daten. Daneben gibt es jedoch auch entscheidende Neuerungen gegenüber dem Bundesdatenschutzgesetz.

Datensicherheit

Artikel 32 EU-DSGVO legt fest, dass dem Stand der Technik angemessene Maßnahmen getroffen werden müssen, um ein dem Schutzbedürfnis der Daten entsprechendes Sicherheitsniveau zu gewährleisten.

Recht auf Löschung

Jeder Bürger hat das Recht darauf, vergessen zu werden. Hierzu existiert bereits ein älteres Urteil des Europäischen Gerichtshofes (EuGH), laut dem unter bestimmten Voraussetzungen verlangt werden kann, Suchergebnisse bei Google und anderen Dienstleistern löschen zu lassen. Im Artikel 17 der DSGVO wird ebenfalls das Recht auf Vergessenwerden konkretisiert.

Liegt keine Berechtigung mehr vor, die angegebenen Daten zu verwenden oder zu speichern, besteht ein Anspruch auf Löschung. Entfernt werden müssen Daten, wenn die Einwilligung zur Speicherung widerrufen wird, der Zweck entfallen ist oder die Erhebung der Daten insgesamt unrechtmäßig war.

Recht auf Datenportabilität

Die Übertragbarkeit von Daten wird im Artikel 20 EU-DSGVO geregelt. Natürliche Personen können verlangen, dass die gespeicherten Daten an ein anderes Unternehmen weitergegeben werden. Klassische Fälle sind ein Wechsel der Bankverbindung, wenn ein Kontoumzugsservice genutzt wird oder bei einer Änderung des Arbeitgebers.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt in Unternehmen, Gewerbebetrieben, Vereinen, Organisationen sowie bei Ärzten. Das sind alles Institutionen, die regelmäßig mit natürlichen Personen zu tun haben. Es geht vorrangig um den Schutz bei der Speicherung und Verarbeitung personenbezogener Daten.

Art. 2 Abs. 1 DSGVO der Datenschutzgrundverordnung konkretisiert, dass es sich dabei sowohl um die komplette als auch die teilweise automatisierte Datenverarbeitung handelt. Gleichfalls gilt die EU-DSGVO ebenfalls für die nicht automatisierte Verarbeitung von Daten, die schon in einem Dateisystem gespeichert sind oder in naher Zukunft dort abgespeichert werden sollen.

Die DSGVO legt auch fest, dass sich außereuropäische Unternehmen an die Datenschutzgrundverordnung halten müssen, falls Sie einen Firmensitz in der EU unterhalten oder Daten von EU-Bürgern speichern und verarbeiten.

Für wen gilt die DSGVO nicht?

Die DSGVO ist nicht anwendbar bei sämtlichen Aktionen, bei denen keinerlei Bezug zur EU besteht. Speichern natürliche Personen Daten zu familiären oder anderen privaten Zwecken, greift die Datenschutzgrundverodnung ebenfalls nicht. Ausgenommen sind Behörden, wenn es um die Aufdeckung oder Verfolgung von Straftaten oder deren Vollstreckung geht, Straftaten verhütet oder Gefahren abgewehrt werden müssen, von denen die öffentliche Sicherheit bedroht ist.

Was sind personenbezogene Daten?

Unter dem Begriff personenbezogenen Daten sind alle Informationen zusammengefasst, die sich auf eine bereits identifizierte oder zu identifizierende natürliche Person beziehen. Identifikation bedeutet in diesem Zusammenhang, dass die Person anhand der vorliegenden Daten oder weiteren besonderen Merkmalen eindeutig identifiziert werden kann.

Beispiele für personenbezogene Daten sind:

  • Name und Vorname
  • Anschrift
  • Telefonnummer und E-Mail-Adresse
  • Geburtsdatum
  • Bankverbindung
  • Kfz-Kennzeichen
  • Daten zum Standort
  • Cookies und IP-Adresse

Einen klaren Riegel schiebt die DSGVO bei sog. “sensiblen Daten” vor, aus denen z.B. die ethnische Herkunft einer Person, ihre politische, weltanschauliche oder religiöse Überzeugung, eine Gewerkschaftszugehörigkeit, der Gesundheitszustand, die sexuelle Orientierung oder genetische sowie biometrische Daten hervorgehen.

DSGVO - personenbezogene Daten im Detail

Personenbezogene Daten im Detail

Das Thema "personenbezogene Daten laut DSGVO" ist sehr umfangreich und wurde von uns auf dieser Seite nur angerissen.

Wenn Sie einen tieferen Einblick in das Thema wünschen, empfehlen wir Ihnen unseren ausführlichen Detailartikel zum Thema. Darin gehen wir auf personenbezogene Daten im Detail ein, erklären Ihnen anhand konkreter Beispiele welche Daten als personenbezogene Daten gelten, welche Rechte die Betroffenen haben und was bei der Weitergabe von personenbezogenen Daten an Dritte zu beachten ist.

Zum Detailartikel: Personenbezogene Daten & DSGVO

Wie sieht eine DSGVO-konforme Einwilligung aus?

Eine erfolgreiche Umsetzung der DSGVO steht und fällt mit der Einwilligung eines Nutzers. Prominente Beispiele sind Zustimmungen zum Versand eines Newsletters oder den Dienstleistungen einer App. Für diese Einwilligung sind ganz bestimmte Kriterien zu erfüllen, die für eine Person jederzeit nachvollziehbar sein müssen.

Das sind die Anforderungen im Überblick:

Form und Dokumentation

Eine Einwilligung zur Datenspeicherung ist nicht an eine bestimmte Form gebunden, doch ist eine Dokumentation unabdingbar. Am besten ist es, schriftliche Einwilligungen abzuheften und elektronische Einverständniserklärungen im System zu speichern. Mündliche Zustimmungen können im Ernstfall zum Problem werden. Wer zum Beispiel eine Webseite betreibt, ist in der Beweispflicht, falls ein Verstoß gemeldet wird.

Opt-In und Opt-Out

Daten dürfen erst dann erfasst werden, wenn auch tatsächlich die Einwilligung eines Nutzers vorliegt. Ein Opt-Out stellt gemäß DSGVO keine wirksame Einwilligung dar. Außerdem muss jederzeit die Möglichkeit gegeben sein, eine erteilte Erlaubnis zu widerrufen. Das Vorgehen hier muss genauso transparent wie die Einwilligung sein.

Freiwilligkeit

Die Nutzung einer Webseite oder sonstigen Dienstleistungen darf nicht davon abhängig gemacht werden, ob ein Nutzer seine Einwilligung zur Verarbeitung der Daten erteilt hat. Ebenso ist eine Generaleinwilligung nicht zulässig. Daten dürfen nur zweckgebunden eingeholt werden.

Nachweisbarkeit

Auf Nachfrage muss nachgewiesen werden, dass eine Zustimmung zur Datenspeicherung erteilt wurde. Diese Nachweisbarkeit erstreckt sich auch auf die Informationen, die der Nutzer erhalten hat. Dieser muss über alle Gegebenheiten rund um die Datennutzung wissentlich zustimmen.

Explizit

Laut DSGVO ist eine aktive Zustimmung zur Datennutzung notwendig. Ein bloßes Verweilen auf der Webseite oder die Bedienung dieser genügt nicht.

Granular

Es muss aus der Einwilligung ersichtlich werden, ob auch die Zustimmung zur Datennutzung für Drittanbieter wie z.B. Facebook gegeben wird.

Alte Einwilligungen

Datenschutzbestimmungen aus dem Bundesdatenschutzgesetz bestehen auch unter der DSGVO fort. Einwilligungen, die mit den alten Gesetzen in Einklang stehen, sind auch unter der Datenschutzgrundverordnung wirksam. Weist die alte Einwilligung eines Nutzers allerdings Fehler auf, ist sie nicht DSGVO-konform. Wichtig ist, dass ein Einverständnis des Empfängers auch bei alten Einwilligungen nachgewiesen werden kann.

DSGVO-konforme Einwilligungen im Detail

DSGVO-konforme Einwilligungen im Detail

Das Thema "DSGVO-konforme Einwilligungen" ist sehr umfangreich und wurde von uns auf dieser Seite nur angerissen.

Wenn Sie einen tieferen Einblick in das Thema wünschen, empfehlen wir Ihnen unseren ausführlichen Detailartikel zum Thema. Darin gehen wir auf alle sieben Kriterien einer DSGVO-konformen Einwilligung detailliert ein.

Zum Detailartikel: 7 Kriterien einer DSGVO-konformen Einwilligung

Was bedeutet das Verfahrensverzeichnis bei der DSGVO?

Artikel 30 der DSGVO handelt von der Pflicht, ein Verfahrensverzeichnis zu führen, das offiziell "Verzeichnis von Verarbeitungstätigkeiten" genannt wird. Eine ähnliche Verordnung gab es bereits im Bundesdatenschutzgesetz. Der Unterschied ist, dass dieses Verzeichnis nicht mehr öffentlich sein muss. Unternehmen müssen also nur nach Aufforderung Einblick in ihre Datenverarbeitung gewähren. Die Verantwortlichkeit liegt bei der Unternehmensleitung, nicht beim Datenschutzbeauftragten.

Der Nachweis über die Datenverarbeitung kann schriftlich, aber auch elektronisch geführt werden. Das Verzeichnis beinhaltet:

  • Namen und Kontaktdaten des jeweiligen Unternehmens
  • Zweck der Datenverarbeitung
  • Einteilung der Personen in Kategorien
  • Kategorisierung von personenbezogenen Daten
  • Kategorisierung der Datenempfänger
  • Drittländer, in die personenbezogene Daten übermittelt wurden
  • Löschfristen der einzelnen Datenkategorien

Wer muss ein Verarbeitungsverzeichnis führen?

Laut Artikel 30, Absatz 5 der DSGVO müssen nur Unternehmen mit mehr als 250 Beschäftigten, Institutionen, die gemäß Artikel 9 EU-DSGVO sensible Daten verarbeiten, Videoaufnahmen anfertigen oder Daten über Straftaten und Verurteilungen speichern, ein Verarbeitungsverzeichnis führen.

Das Verzeichnis ist auch Pflicht, wenn eine Datenverarbeitung nicht nur gelegentlich erfolgt. Dieser Begriff ist allerdings relativ dehnbar und beschäftigt seit Umsetzung der DSGVO die Juristen. Wer sicher sein will, führt auch als kleineres Unternehmen ein Verzeichnis.

DSGVO - Wie wird ein Verstoß gegen die DSGVO gemeldet?

Wie wird ein Verstoß gegen die DSGVO gemeldet?

Wird gegen die DSGVO verstoßen, besteht gemäß Art. 33 DSGVO eine Meldepflicht bei der zuständigen Aufsichtsbehörde. Der Verstoß sollte zeitnah gemeldet und dokumentiert werden. Es gilt eine Frist von 72 Stunden.

Eine natürliche Person und Dateninhaber kann sich, falls der Verstoß in einem Unternehmen passiert, an dessen Datenschutzbeauftragten wenden. Gibt es keine betrieblichen Datenschutzbeauftragten, ist der Landesdatenschutzbeauftragte zuständig. Auf Bundesebene ist sich an den Bundesdatenschutzbeauftragten zu wenden. Im Zweifelsfall kann ein Verstoß gegen den Datenschutz auch der Polizei gemeldet werden.

Noch sind die Zuständigkeiten der Behörden nicht exakt geregelt. Aktuell scheint es den einen Weg, einen Verstoß gegen die Datenschutzgrundverordnung zu melden, noch nicht zu geben. Immerhin sieht die Verordnung das "One-Stop-Shop"-Prinzip in Art. 56 Abs. 1 DSGVO, vor. Das besagt, dass sich bei einem Datenschutzverstoß in einem anderen Mitgliedsstaat immer an den regional zuständigen Datenschutzbeauftragten zu wenden ist.

Welche Sanktionen drohen bei einem Verstoß gegen die DSGVO?

Das Bundesdatenschutzgesetz sah im Vergleich zur EU-DSGVO recht milde Bußgelder vor. So drohten bei einem Verstoß zwischen 50.000 und 300.000 Euro. Das obere Limit wurde in der Vergangenheit nur sehr selten von den Behörden ausgeschöpft.

Gemäß EU-Datenschutzgrundverordnung kann bei schweren Verstößen ein Bußgeld von bis zu 20 Millionen Euro oder alternativ 4% des weltweit erzielten Vorjahresumsatz erhoben werden, wenn dieser höher ist. Weniger gewichtige Verstöße können immerhin noch mit bis zu 10 Millionen Euro oder 2% des Umsatzes im vorausgehenden Geschäftsjahr geahndet werden. Das gilt für jede Art von Unternehmen unabhängig von der Rechtsform.

Die Summen wurden extra so hoch angesetzt, damit sich auch große, global agierende Unternehmen nicht zu Verstößen gegen den Datenschutz verleiten lassen. Die Bemessung der Bußgelder ist in Art. 83 DSGVO geregelt. Angesichts dieser drastischen Strafen ist eine exakte Implementierung der Vorschriften in einem Unternehmen unabdingbar.

Fazit

Unternehmen müssen die Privatsphäre von Einzelpersonen stärker schützen als jemals zuvor. Statt sich auf all die Auflagen der Datenschutzgrundverordnung zu konzentrieren, sollte der Blick auch auf die Chancen des Systems gehen. So haben Unternehmen dank der DSGVO eine Möglichkeit, wirklich qualifizierte Daten zu sammeln. Denn Kunden, die ihre Einwilligung geben, zeigen, dass sie ein echtes Interesse an Produkten und Dienstleistungen besitzen. So ergeben sich im Marketing deutlich zielgerichtetere Maßnahmen, die auf Dauer neue Kundenerlebnisse ermöglichen und zur Umsatzsteigerung beitragen können.

Wissen ›
Usercentrics Knowledge Hub: Hier teilen wir unser Wissen und geben Ihnen tiefgehende Einblicke.
Presse ›
Usercentrics in der Presse: Hier finden Sie eine Übersicht unserer Pressemitteilungen sowie eine Historie unserer Artikel.
Whitepaper ›
Geballtes Wissen: Mit unseren Whitepapern erhalten Sie strategische und operative Einblicke.
Webinare ›
Sie haben eines unserer Live-Webinare verpasst? Die Aufzeichnungen haben wir hier für Sie bereitgestellt.
Newsletter icon
Legal Update
Immer up-to-date: Mit unserem Legal Update halten wir Sie auf dem Laufenden über aktuelle Trends rund ums Thema Datenschutz.
Whitepaper Cookie Einwilligungs-Management nach DSGVO für Enterprises Cover
Neues Whitepaper
Checklisten und praktische Hinweise zum korrekten Umgang mit Cookies und User-Identifiern nach DSGVO.