EU-Datenschutz-Grundverordnung

Zusammenfassung

 

Begriff

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 das Datenschutzrecht innerhalb der Europäischen Union einheitlich und unmittelbar. Sie löst die davor geltende Datenschutzrichtlinie 95/46/EG ab. Das reformierte Bundesdatenschutzgesetz sowie alle anderen nationalen Regelungen zum Datenschutz regeln lediglich nationale Wahlrechte oder Organisationsformen.

 

Gesetze, Vorschriften und Rechtsprechung

Die Datenschutzgrundverordnung wurde im April 2016 beschlossen ("Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/E"“).

Sie trat nach einer Übergangsfrist von 2 Jahren am 25. Mai 2018 in Kraft.

1 Inhalte

Einige wichtige Regelungen der DSGVO sind unter anderem:

  • Harmonisierung: Weil die Regeln in der Rechtsform einer Verordnung beschlossen wurden, gelten sie in allen EU-Mitgliedstaaten einheitlich und unmittelbar. Nur dort, wo Öffnungsklauseln vorgesehen sind, dürfen die Staaten bzw. nationalen Gesetzgeber eigene nationale Vorgaben erlassen.
  • Geltungsbereich: Die DSGVO gilt explizit auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.
  • Datenschutzkonzept: Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt ("Rechenschaftspflicht"). Dieses muss sie auch regelmäßig kontrollieren und ggf. weiterentwickeln.
  • Informationsrechte: Die Betroffenen sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessenabwägung herangezogen wird, müssen auch die "berechtigten Interessen" aufgezählt werden.
  • Privacy by design und by default: Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.
  • Risikoanalyse und Folgenabschätzung: Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.
  • Datenschutz in Konzernen: Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als "legitim" anerkannt. Andererseits können sich mehrere Stellen zusammenschließen, um Daten gemeinsamen zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.
  • Datenschutzverstöße: Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind "ohne unangemessene Verzögerung" zu benachrichtigen.
  • Datenschutzbeauftragter: In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes fortbestehen. Die DSGVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte. In den anderen europäischen Mitgliedsstaaten müssen nur dann Datenschutzbeauftragte bestellt werden, wenn höhere Datenschutzrisiken bestehen.
  • Aufsichtsbehörden: Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig ("federführende Aufsichtsbehörde"). Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.
  • Bußgelder: Fast jeder Verstoß gegen die DSGVO kann geahndet werden. Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 % des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

2 Besonderer DSGVO-Schutz für besonders sensible Daten

Der Verordnungsgeber sieht bestimmte Arten der Datenspeicherung als besonders gefährlich für die Betroffenen an. Dazu gehört insbesondere die Speicherung von Daten zum Zweck des so genannten Profiling. Unter Profiling wird versteht der Verordnungsgeber die Bewertung personenbezogener Daten für besonders heikle Aspekte wie

  • Arbeitsleistung,
  • wirtschaftliche Lage,
  • Gesundheit,
  • persönliche Vorlieben, Interessen,
  • Zuverlässigkeit
  • oder allgemein künftig zu erwartendes Verhalten des Betroffenen, Art. 4 Nr. 4 DSGVO.

Für die Bearbeitung solcher besonderer Kategorien personenbezogener Daten sieht Art. 9 DSGVO besondere Voraussetzungen für die Erteilung einer Einwilligung und die Erforderlichkeit der Verarbeitung vor.

3 DSGVO statuiert dezidierte Auskunftsrechte

Gemäß Art. 15 DSGVO hat jeder Betroffene das Recht,

  • von dem Datenschutzverantwortlichen eine Bestätigung darüber zu fordern, welche Daten zu welchem Zweck in welchem Umfang gespeichert wurden
  • und wie lange ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge