Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Die Datenschutz-Grundverordnung – DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist ein einheitliches EU-Regelwerk, um personenbezogene Daten von Einzelpersonen zu schützen. Die DSGVO ist seit dem 25. Mai 2018 in den Mitgliedstaaten der Europäischen Union unmittelbar anwendbar.

➜ Welche Bestimmungen enthält die DSGVO?

Kamera
Bild: ©toondelamour / iStock / Getty Images Plus
Urteil

Ein Videodreh beim Friseur, Überwachungskameras, die mehr aufnehmen als erlaubt: Welche Rechtsregeln beinhaltet die Datenschutz-Grundverordnung (DSGVO) für Fotografien und Videos von Personen? Und was gilt in einem Strafprozess?

Eine praktisch wichtige Frage für den Datenschutz

Die Frage scheint einfach, doch bei der Antwort wird man schnell unsicher: Gilt die DSGVO auch für Auskünfte, die mündlich erfolgen? Endgültige Klarheit schafft erst der Europäische Gerichtshof.

Auskunftsrecht

Die DSGVO gewährt betroffenen Person umfangreiche Rechte. Gelten diese Rechte auch für juristische Personen, also etwa für eine GmbH? Ein Fall aus der Finanzgerichtsbarkeit zeigt, wie schwer eine allgemeine Antwort fällt.

Grundsätze der Datenverarbeitung, Teil 4

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ So heißt es in Art. 5 Abs. 2 DSGVO lapidar. Damit ist alles gesagt, oder? Wir werden für die Praxis dann doch etwas konkreter.

Grundsätze der DSGVO

Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

Das Schutzstufenkonzept im Datenschutz
Bild: Jirsak / iStock / Thinkstock
Klassifizierung von Daten

Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.

Sicherheit der Verarbeitung

Das Arbeitspapier zum „Stand der Technik“ des IT-Sicherheitsverbunds TeleTrusT adressiert Maßnahmen zur IT-Sicherheit. Bei der Verarbeitung personenbezogener Daten lohnt sich ein Blick samt Einordnung auf den aktuellen Stand des Jahres 2023.

Durchsetzung des Datenschutzes

„Abmahnwellen“ wegen angeblicher oder tatsächlicher Datenschutz­verletzungen sind gefürchtet. Bisher bleiben die Abmahnungen meist erfolglos. Aber könnte sich das vielleicht ändern? Dem BGH ist das ­Thema so wichtig, dass er dazu den EuGH eingeschaltet hat.

Datenschutzgrundsätze

In der DSGVO finden sich etliche Anforderungen, die sich auf den aktuellen Status personenbezogener Daten beziehen. Eine Anforderung, die den gesamten Lebenszyklus betrifft, ist hingegen die Richtigkeit personenbezogener Daten. Klingt einfach, ist es aber nicht.

Müllabfuhr & Datenschutz

Darf die Müllabfuhr Sperrmüll fotografieren, bevor sie ihn abholt? Die Frage mag leicht kurios wirken. Sie führt aber zu hochinteressanten Datenschutz-Überlegungen, die allgemeine Bedeutung haben.

1 von 4

DSGVO setzt Grundrecht um

Der Schutz personenbezogener Daten ist ein Grundrecht in der Europäischen Union.

Die Mitgliedstaaten haben ihre nationalen Rechtsvorschriften an die DSGVO angepasst. In Deutschland betrifft das neben zahlreichen weiteren Gesetzen etwa das Bundesdatenschutzgesetz.

Die nationalen Datenschutzbehörden sind dafür zuständig, die EU-Vorschriften durchzusetzen, und stimmen ihre Maßnahmen über Kooperations-Mechanismen und die Zusammenarbeit mit dem Europäischen Datenschutzausschuss (EDSA) aufeinander ab.

Der EDSA erstellt unter anderem Leitlinien zu zentralen Aspekten der Datenschutz-Grundverordnung, um die einheitliche Anwendung der Vorschriften zu unterstützen.

Was sind die Ziele der Datenschutz-Grundverordnung?

Die DSGVO (Verordnung (EU) 2016/679) soll Europa für das digitale Zeitalter rüsten, so die EU-Kommission. Sie gilt als wichtiger Schritt, um die Grundrechte des Einzelnen im digitalen Zeitalter zu stärken und Geschäftstätigkeiten zu erleichtern, indem sie die Vorschriften für Unternehmen und öffentliche Einrichtungen im digitalen Binnenmarkt klärt.

Die DSGVO verfolgt also zwei gleichberechtigt nebeneinander stehende Ziele: Zum einen will sie natürlichen Personen die Kontrolle über ihre personenbezogenen Daten geben. Gleichzeitig soll sie den freien Verkehr personenbezogener Daten zwischen den EU-Mitgliedstaaten garantieren.

Als einheitliches Datenschutzrecht für die EU soll die DSGVO der Zersplitterung in unterschiedliche nationale Systeme und unnötigem Verwaltungsaufwand ein Ende machen.

Was sind die Inhalte der DSGVO?

Die DSGVO

  • nennt die Grundsätze der Verarbeitung personenbezogener Daten,
  • regelt die Rechte der Betroffenen der Datenverarbeitung,
  • führt die Pflichten der Verantwortlichen und Auftragsverarbeiter auf,
  • stellt die Anforderungen an die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen klar,
  • beschreibt die Aufgaben und Berechtigungen der Aufsichtsbehörden für den Datenschutz,
  • erläutert die Zusammenarbeit und Kohärenz bei den Aufsichtsbehörden für den Datenschutz,
  • klärt über Rechtsbehelfe, Haftung und Sanktionen auf und
  • enthält Vorschriften für besondere Verarbeitungssituationen.

Der Gesetzestext mit seinen 99 Artikeln ist entsprechend aufgebaut:

Kapitel 1 (Art. 1-4): Allgemeine Bestimmungen

Kapitel 2 (Art. 5-11): Grundsätze

Kapitel 3 (Art. 12-23): Rechte der betroffenen Person

Kapitel 4 (Art. 24-43): Verantwortlicher und Auftragsverarbeiter

Kapitel 5 (Art. 44-50): Übermittlung personenbezogener Daten an Drittländer

Kapitel 6 (Art. 51-59): Unabhängige Aufsichtsbehörden

Kapitel 7 (Art. 60-76): Zusammenarbeit und Kohärenz

Kapitel 8 (Art. 77-84): Rechtsbehelfe, Haftung und Sanktionen

Kapitel 9 (Art. 85-91): Vorschriften für besondere Verarbeitungssituationen

Kapitel 10 (Art. 92-93): Delegierte Rechtsakte und Durchführungsrechtsakte

Kapitel 11 (Art. 94-99): Schlussbestimmungen

Welche Vorteile bietet die DSGVO für betroffene Personen?

Die Regeln der DSGVO sorgen dafür, dass Unternehmen und Institutionen genau sagen müssen, für welchen Zweck sie welche personenbezogenen Daten haben und verarbeiten wollen.

Zu den Rechten der Betroffenen gehören etwa das „Recht auf Vergessenwerden“, der Zugang zu den eigenen Daten und das Recht, zu erfahren, ob die eigenen Daten gehackt wurden.

Die Forderung nach Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Default, Privacy by Design) erleichtert es, den Datenschutz für betroffene Personen zu gewährleisten.

Was sind die wesentlichen Unterschiede für Unternehmen zum früheren Datenschutzrecht?

Die DSGVO hat die Grundprinzipien des Datenschutzes nicht geändert, sondern sie aktualisiert und modernisiert. Die entscheidende Neuerung ist, dass ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt.

Mit dem „One-Stop-Shop“ hat die Grundverordnung etwa eine zentrale Anlaufstelle für Unternehmen geschaffen. Unternehmen müssen sich nur noch an eine einzige Behörde für den Datenschutz richten.

Die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt: Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften bei der Verarbeitung personenebzogener Daten befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.

Wie hat sich die Umsetzung der DSGVO entwickelt?

Die DSGVO wird regelmäßig bewertet und überprüft. Alle vier Jahre findet eine Evaluation statt. Die erste Auswertung erfolgte im Mai 2020.

Bewertung der EU-Kommission

Dabei kam die EU-Kommission zu dem Schluss:

Innerhalb der letzten zwei Jahre haben die neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt.

In einer Welt, in der die Datenverarbeitung eine immer größere Rolle spielt, sorgt die Datenschutz-Grundverordnung dafür, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten haben.

Gleichzeitig schafft sie einen Rahmen für vertrauenswürdige Innovation. Die Datenschutz-Grundverordnung ist ein Eckpfeiler des digitalen Wandels in Europa. In den zwei Jahren ist das Bewusstsein der Bürger sowie der Unternehmen für die Bedeutung des Datenschutzes gestiegen.

Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht. Die nationalen Datenschutzbehörden, die für die Durchsetzung zuständig sind, sind vielerorts noch nicht voll einsatzfähig, so die EU-Kommission in ihrem Bericht zur Evaluierung der DSGVO.

Bewertung des BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erklärte zur Evaluierung der DSGVO im Mai 2020: „Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotential.

Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert.

Wesentliche Kernaussagen unserer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz finden sich auch im Bericht der Kommission. Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Bewertung der Wirtschaft

Wirtschaftsverbände wie der Digitalverband Bitkom berichten von weiterhin bestehenden Problemen bei der Umsetzung der DSGVO.

Demnach kämpft die große Mehrheit der Unternehmen in Deutschland auch mehrere Jahre nach Geltungsbeginn noch mit der Umsetzung der Datenschutz-Grundverordnung.

  • Laut Bitkom-Umfrage hat nur jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert.
  • Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise.
  • Sechs Prozent haben gerade erst mit der Umsetzung begonnen.
  • 89 Prozent meinen: Die Datenschutz-Grundverordnung ist praktisch nicht vollständig umsetzbar.

Problem Rechtsunsicherheit?

Die größte Herausforderung ist für drei Viertel der Unternehmen (74 Prozent) eine anhaltende Rechtsunsicherheit durch die Regeln der DSGVO:

  • Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung.
  • Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen und Informationen  durch Aufsichtsbehörden.
  • Ffast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU.

Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DSGVO mehr Aufwand haben und dies künftig so bleiben wird.

Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.