Die Datenschutz-Grundverordnung – DSGVO

DSGVO setzt Grundrecht um

Der Schutz personenbezogener Daten ist ein Grundrecht in der Europäischen Union.

Die Mitgliedstaaten haben ihre nationalen Rechtsvorschriften an die DSGVO angepasst. In Deutschland betrifft das neben zahlreichen weiteren Gesetzen etwa das Bundesdatenschutzgesetz.

Die nationalen Datenschutzbehörden sind dafür zuständig, die EU-Vorschriften durchzusetzen, und stimmen ihre Maßnahmen über Kooperations-Mechanismen und die Zusammenarbeit mit dem Europäischen Datenschutzausschuss (EDSA) aufeinander ab.

Der EDSA erstellt unter anderem Leitlinien zu zentralen Aspekten der Datenschutz-Grundverordnung, um die einheitliche Anwendung der Vorschriften zu unterstützen.

Was sind die Ziele der Datenschutz-Grundverordnung?

Die DSGVO (Verordnung (EU) 2016/679) soll Europa für das digitale Zeitalter rüsten, so die EU-Kommission. Sie gilt als wichtiger Schritt, um die Grundrechte des Einzelnen im digitalen Zeitalter zu stärken und Geschäftstätigkeiten zu erleichtern, indem sie die Vorschriften für Unternehmen und öffentliche Einrichtungen im digitalen Binnenmarkt klärt.

Die DSGVO verfolgt also zwei gleichberechtigt nebeneinander stehende Ziele: Zum einen will sie natürlichen Personen die Kontrolle über ihre personenbezogenen Daten geben. Gleichzeitig soll sie den freien Verkehr personenbezogener Daten zwischen den EU-Mitgliedstaaten garantieren.

Als einheitliches Datenschutzrecht für die EU soll die DSGVO der Zersplitterung in unterschiedliche nationale Systeme und unnötigem Verwaltungsaufwand ein Ende machen.

Was sind die Inhalte der DSGVO?

Die DSGVO

• nennt die Grundsätze der Verarbeitung personenbezogener Daten,
• regelt die Rechte der Betroffenen der Datenverarbeitung,
• führt die Pflichten der Verantwortlichen und Auftragsverarbeiter auf,
• stellt die Anforderungen an die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen klar,
• beschreibt die Aufgaben und Berechtigungen der Aufsichtsbehörden für den Datenschutz,
• erläutert die Zusammenarbeit und Kohärenz bei den Aufsichtsbehörden für den Datenschutz,
• klärt über Rechtsbehelfe, Haftung und Sanktionen auf und
• enthält Vorschriften für besondere Verarbeitungssituationen.

Der Gesetzestext mit seinen 99 Artikeln ist entsprechend aufgebaut:

Kapitel 1 (Art. 1-4): Allgemeine Bestimmungen

Kapitel 2 (Art. 5-11): Grundsätze

Kapitel 3 (Art. 12-23): Rechte der betroffenen Person

Kapitel 4 (Art. 24-43): Verantwortlicher und Auftragsverarbeiter

Kapitel 5 (Art. 44-50): Übermittlung personenbezogener Daten an Drittländer

Kapitel 6 (Art. 51-59): Unabhängige Aufsichtsbehörden

Kapitel 7 (Art. 60-76): Zusammenarbeit und Kohärenz

Kapitel 8 (Art. 77-84): Rechtsbehelfe, Haftung und Sanktionen

Kapitel 9 (Art. 85-91): Vorschriften für besondere Verarbeitungssituationen

Kapitel 10 (Art. 92-93): Delegierte Rechtsakte und Durchführungsrechtsakte

Kapitel 11 (Art. 94-99): Schlussbestimmungen

Welche Vorteile bietet die DSGVO für betroffene Personen?

Die Regeln der DSGVO sorgen dafür, dass Unternehmen und Institutionen genau sagen müssen, für welchen Zweck sie welche personenbezogenen Daten haben und verarbeiten wollen.

Zu den Rechten der Betroffenen gehören etwa das „Recht auf Vergessenwerden“, der Zugang zu den eigenen Daten und das Recht, zu erfahren, ob die eigenen Daten gehackt wurden.

Die Forderung nach Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Default, Privacy by Design) erleichtert es, den Datenschutz für betroffene Personen zu gewährleisten.

Was sind die wesentlichen Unterschiede für Unternehmen zum früheren Datenschutzrecht?

Die DSGVO hat die Grundprinzipien des Datenschutzes nicht geändert, sondern sie aktualisiert und modernisiert. Die entscheidende Neuerung ist, dass ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt.

Mit dem „One-Stop-Shop“ hat die Grundverordnung etwa eine zentrale Anlaufstelle für Unternehmen geschaffen. Unternehmen müssen sich nur noch an eine einzige Behörde für den Datenschutz richten.

Die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt: Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften bei der Verarbeitung personenebzogener Daten befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.

Wie hat sich die Umsetzung der DSGVO entwickelt?

Die DSGVO wird regelmäßig bewertet und überprüft. Alle vier Jahre findet eine Evaluation statt. Die erste Auswertung erfolgte im Mai 2020.

Bewertung der EU-Kommission

Dabei kam die EU-Kommission zu dem Schluss:

Innerhalb der letzten zwei Jahre haben die neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt.

In einer Welt, in der die Datenverarbeitung eine immer größere Rolle spielt, sorgt die Datenschutz-Grundverordnung dafür, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten haben.

Gleichzeitig schafft sie einen Rahmen für vertrauenswürdige Innovation. Die Datenschutz-Grundverordnung ist ein Eckpfeiler des digitalen Wandels in Europa. In den zwei Jahren ist das Bewusstsein der Bürger sowie der Unternehmen für die Bedeutung des Datenschutzes gestiegen.

Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht. Die nationalen Datenschutzbehörden, die für die Durchsetzung zuständig sind, sind vielerorts noch nicht voll einsatzfähig, so die EU-Kommission in ihrem Bericht zur Evaluierung der DSGVO.

Bewertung des BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erklärte zur Evaluierung der DSGVO im Mai 2020: „Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotential.

Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert.

Wesentliche Kernaussagen unserer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz finden sich auch im Bericht der Kommission. Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Bewertung der Wirtschaft

Wirtschaftsverbände wie der Digitalverband Bitkom berichten von weiterhin bestehenden Problemen bei der Umsetzung der DSGVO.

Demnach kämpft die große Mehrheit der Unternehmen in Deutschland auch mehrere Jahre nach Geltungsbeginn noch mit der Umsetzung der Datenschutz-Grundverordnung.

• Laut Bitkom-Umfrage hat nur jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert.
• Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise.
• Sechs Prozent haben gerade erst mit der Umsetzung begonnen.
• 89 Prozent meinen: Die Datenschutz-Grundverordnung ist praktisch nicht vollständig umsetzbar.

Problem Rechtsunsicherheit?

Die größte Herausforderung ist für drei Viertel der Unternehmen (74 Prozent) eine anhaltende Rechtsunsicherheit durch die Regeln der DSGVO:

• Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung.
• Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen und Informationen  durch Aufsichtsbehörden.
• Ffast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU.

Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DSGVO mehr Aufwand haben und dies künftig so bleiben wird.

Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.