EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln | Compliance

Regula Heinzelmann

Rechtsberatung

EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln — Bild: pixabay EU-Datenschutz-Grundverordnung - Harmonisierung des Datenschutzrechts auf EU-Ebene.

Die DSGVO regelt seit Mai 2018 das Datenschutzrecht innerhalb der Europäischen Union einheitlich und unmittelbar. Was sind die wichtigsten Grundsätze? Wer ist davon betroffen und muss im Ernstfall mit Sanktionen rechnen? Wer kann sich wie auf den Schutz berufen?

Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung. Das Bundesdatenschutzgesetz (BDSG) wurde der neuen Richtlinie angepasst. Die DSGVO gilt unmittelbar und das BDSG regelt diejenigen Sachverhalte, die die DSGVO aus- oder bewusst offen lässt.

Geltungsbereich: Die Datenschutz- Grundverordnung (DSGVO) gilt für „Verantwortliche“, d.h. natürliche oder juristische Personen, Behörden oder andere Stellen, die allein oder gemeinsam mit anderen über die Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) entscheiden. Auch Anbieter mit Sitz außerhalb der EU müssen die DSGVO befolgen, soweit sie ihre Angebote an Bürger in der EU richten oder Daten von EU-Bürgern verarbeiten (Art. 3 DSGVO).
Rechtmäßige Verarbeitung: Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Art. 5 Abs. 1 DSGVO enthält weitere Vorschriften. Die Verantwortlichen müssen nachweisen können, dass sie diese einhalten, dafür sind betriebliche Richtlinien der Geschäftsleitung zu empfehlen („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DSGVO).
Rechte der Betroffenen: Personen, deren Daten verarbeitet werden, haben ein Recht auf bestimmte Informationen, sowie ein Auskunftsrecht (Art. 13, 14, 15 DSGVO). Sie haben weiter das Recht, auf die sie betreffenden Daten zuzugreifen (Art. 20 DSGVO) sowie auf Berichtigung und Einschränkung der Datenverarbeitung (Art. 16 und 18 DSGVO). Sie können auch die Löschung der Daten verlangen (Recht auf Vergessen, Art. 17 DSGVO).
Datenschutzfreundliche Techniken: Die Verantwortlichen müssen mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 24 und 25 DSGVO). Dabei ist die Sicherheit der Verarbeitung zu gewährleisten (Art. 32 DSGVO).
Risikoanalyse und Folgenabschätzung: Eine Datenschutz-Folgenabschätzung ist notwendig, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das gilt insbesondere bei der Verwendung neuer Technologien (Art. 35 DSGVO).
Gemeinsam Verantwortliche: Unternehmen oder Konzerne, die Daten gemeinsam verarbeiten, müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, besonders in Bezug auf die Rechte der betroffenen Personen (Art. 26 DSGVO). Zu empfehlen ist eine gemeinsame Beratungsstelle für die betroffenen Personen.
Meldepflicht bei Datenschutzpannen: Es müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht (Art. 33 DSGVO). Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Verspätungen muss man begründen. Auch die Betroffenen sind unverzüglich zu benachrichtigen (Art. 34 DSGVO).
Datenschutzbeauftragter: Ein solcher ist zu engagieren, wenn der Verantwortliche Verarbeitungsvorgänge durchführt, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder sensible Daten nach Art. 9 DSGVO bearbeitet werden (Art. 37 DSGVO). Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht zu erreichen ist. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
Aufsichtsbehörden: Jeder EU-Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung zuständig sind (Art. 51 DSGVO). In Deutschland gibt es einen Datenschutzbeauftragten des Bundes, sowie Beauftragte der Länder. Diese arbeiten nach Bundesdatenschutzgesetz (§ 18 BDSG) zusammen, wenn es um die Anwendung der DSGVO geht.
Sanktionen: Bei Verstößen gegen die DSGVO sind bis zu 20 Millionen Euro Bußgeld möglich, oder bei Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art. 83 DSGVO). Bei der Festlegung der Sanktion sind Art, Schwere und Dauer des Verstoßes zu berücksichtigen sowie Art, Umfang oder Zweck der betreffenden Verarbeitung, die Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens (Art. 83 Art. 2 DSGVO).

Das könnte Sie auch interessieren: Themenseite zur Datenschutz-Grundverordnung

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024