Dsgvo: Was Sie zur Datenschutzgrundverordnung wissen sollten

Quell der Freude…

Diese drei Worte fallen in unseren täglichen Gesprächen zum Thema Datenschutz nur sehr (seeehr) selten. Aber nützt ja alles nichts. Die DSGVO gilt seit Mai 2018. Seitdem sollten Unternehmen die passenden Antworten auf (möglicherweise bußgeldbewährte) Fragen finden, formulieren – und schriftlich nachweisen können. Falls das noch nicht abschließend und umfassend getan wurde: Wo bzw. wie am besten beginnen? Wie wäre es mit einer sachlichen und schrittweisen Betrachtung der wesentlichen Punkte:

Was verbirgt sich hinter der DSGVO?

DSGVO ist die Abkürzung für „Datenschutz-Grundverordnung“. Die Vorgaben für den Umgang mit personenbezogenen Daten regelte für deutsche Unternehmen erst das Bundesdatenschutzgesetz (BDSG); im Mai 2018 wurde dann die DSGVO wirksam – und damit ein einheitliches Datenschutzrecht für die gesamte Europäische Union (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Die DSGVO betrifft jedes Unternehmen, das mit Kundendaten, Nutzer-Tracking, Newsletter, Onlinewerbung oder einer Datenschutzerklärung in Berührung kommt.

Worum geht es bei der DSGVO?

Mitarbeiter, Kunden, Lieferanten – also Menschen – haben auch im beruflichen Kontext das Recht auf informationelle Selbstbestimmung; ein Begriff, der auf das Volkszählungsurteil aus den 1980er Jahren zurückzuführen ist. Dem Datenschutzrecht liegt die Idee zugrunde, dass jeder Mensch grundsätzlich selbst entscheiden darf, wer seine persönlichen Daten (Name, Anschrift, Bankdaten, Kfz-Kennzeichen etc.) speichern, verwenden und weiter geben darf – und die DSGVO stellt Regelungen zum Umgang mit personenbezogenen Daten in der ganzen EU auf. Es geht also um den Schutz natürlicher, nicht juristischer Personen und den einheitlichen, europaweiten Umgang von Unternehmen mit personenbezogenen Daten.

Ein Kontinent, ein Recht – das Ziel der DSGVO

Kurz: Die Harmonisierung des Datenschutzrechts in Europa. Also eine einheitliche Rechtsordnung statt vieler nationaler Gesetze. Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht in der gesamten EU. Wenn Unternehmen mit Sitz außerhalb der EU personenbezogene Daten aus der EU verarbeiten, ist die DSGVO ebenfalls wirksam.

Inhalt der DSGVO:

Die DSGVO besteht aus 99 Artikeln die in 11 Kapiteln zusammengefasst sind:

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ –, Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling)
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)

Wie hoch können die Bußgelder bei Datenschutzverstößen werden?

Die DSGVO enthält zwei Bußgeldkategorien. In einigen Fällen, die nicht mit der direkten Verletzung von Rechten und Freiheiten betroffener Personen einhergehen, drohen Bußgelder von bis zu 10 Millionen Euro bzw. bis zu 2 % des weltweiten Vorjahresumsatzes (sollte dieser Betrag höher sein). Diese „Preisklasse“ gilt beispielsweise für die Nichteinhaltung der Vorschriften: Privacy by Design & Default, Datenschutz-Folgenabschätzung oder zur Pflicht der Benennung eines Datenschutzbeauftragten.

Werden die Rechte und Freiheiten der betroffenen Personen direkt verletzt, beispielsweise, weil ihren Betroffenenrechten (z.B. Auskunfts-, Löschungs-, Berichtigungsanspruch) nicht nachgekommen wird, drohen sogar Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes. Im Vergleich dazu der Bußgeldkatalog des BDSG: bis zu 50.000 bzw. 300.000 Euro.

Meldung von Datenschutzvorfällen

Die DSGVO sieht vor, dass Datenschutzverstöße gemeldet werden müssen. Innerhalb von 72 Stunden müssen diese an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht und der Schutz personenbezogener Daten verletzt wurde. Die Betroffenen müssen in diesem Fall sofort informiert werden. Auch Betroffene können sich jederzeit an die Aufsichtsbehörden wenden und eine Beschwerde einreichen. Wenn der Schutz personenbezogener Daten nicht oder nur zu einem sehr geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt, besteht keine Meldepflicht. Zur Bewertung eines Datenschutzvorfalls muss das Unternehmen entsprechende Informationen vorlegen.

Für die Meldung eines Datenschutzvorfalls können Sie unser Online – Formular nutzen.

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download