DSGVO: Bedeutung, Zweck, Regelungen und Pflichten 

© WrightStudio | stock.adobe.com
Viele Unternehmen sind mit der Gefahr konfrontiert, nationale oder internationale Datenschutzrechte zu verletzen. Die Weitergabe einer Kundenadresse, der Versand eines Newsletters an einen Empfänger, der der Verarbeitung seiner Daten nicht zugestimmt hat oder der Versand einer E-Mail mit einem Angebot an einen Privatkunden ohne vorherige Einwilligung, sind typische Fälle von Datenschutzverletzungen. Damit personenbezogene Daten geschützt sind, gelten in der Europäischen Union strenge Regelungen zum Schutz persönlicher Informationen. Ein Großteil der Vorschriften und Regelungen im Datenschutzrecht finden sich in der sogenannten DSGVO.
Inhaltsverzeichnis

Was ist die DSGVO?

Die Datenschutzgrundverordnung (in Deutschland abgekürzt als DSGVO) ist ein umfassendes Datenschutzgesetz, dessen Regelungen für die Europäische Union (EU) gelten. Die DSGVO gibt dabei konkrete Vorschriften und Richtlinien für den Umgang mit personenbezogenen Daten vor, die jede Organisation, die in der EU ansässig ist, einhalten muss.  Die Kontrolle und Überwachung der Umsetzung von den Richtlinien der Verordnung obliegt der zuständigen Aufsichtsbehörde.

International ist die Verordnung unter dem Namen „The EU General Data Protection Regulation“ (GDPR) bekannt.

Wann ist die DSGVO in Kraft getreten?

Die DSGVO ist am 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union in Kraft getreten. Vorgänger der EU-DSGVO in Deutschland war das Bundesdatenschutzgesetz (BDSG), das im Zuge des Ausrollens der DSGVO ebenfalls reformiert wurde und aktuell die wesentlichen Verordnungen der Datenschutzgrundverordnung enthält. 

Was ist der Zweck der DSGVO?

Die Datenschutzgrundverordnung verfolgt den Zweck, die Kontrolle des Einzelnen über seine persönlichen Daten zu stärken, indem sie von Unternehmen mehr Transparenz darüber verlangt, wie personenbezogene Daten verarbeitet und geschützt werden. 

Im Artikel 1 der DSGVO werden die beiden wichtigsten Ziele der Richtlinien des EU-Gesetzes genannt: 

  1. Sie dient als Vorschrift zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
  2. Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen und im Besonderen deren Recht auf Schutz personenbezogener Daten.

Was regelt die DSGVO? 

Die DSGVO regelt den Umgang sowie die Verarbeitung von personenbezogenen Daten. Gleichzeitig gibt die Datenschutzgrundverordnung einen Ordnungsrahmen für den freien Verkehr personenbezogener Daten vor. 

Die Datenschutzgrundverordnung verpflichtet Unternehmen unter anderem, die Einwilligung der Kunden vorab einzuholen sowie ihren Kunden Auskunftsrecht zu ihren persönlichen Daten zu gewähren und sie darüber zu informieren, wofür sie verwendet werden, besonders bei Werbeeinwilligungen. Zugleich gibt die Richtlinie vor, dass den Kunden die Möglichkeit gegeben werden muss, bei Bedarf die Einwilligung zu widerrufen oder die Löschung oder Korrektur der Daten einzufordern. 

Darüber hinaus verlangt die Datenschutzgrundverordnung von Unternehmen, dass sie proaktive und geeignete Sicherheitsmaßnahmen ergreifen, um die gemäß den Bestimmungen der DSGVO gespeicherten oder verarbeiteten personenbezogenen Daten zu schützen. Wichtig hier ist auch die Schulung des Personals im Umgang mit betrieblich genutzten Smartphones.

Wen betrifft die DSGVO? 

Die DSGVO gilt für alle Organisationen, die in der Europäischen Union tätig sind und die mit den personenbezogenen Daten von EU-Bürgern arbeiten. Die Anwendungsbereiche der Grundverordnung werden jedoch in einen sachlichen und einen räumlichen Anwendungsbereich unterteilt. 

Was ist der sachliche Anwendungsbereich der DSGVO?

Der sachliche Anwendungsbereich wird im Artikel 2 der DSGVO definiert und bezieht sich auf die: 

  • nicht automatisierte Verarbeitung personenbezogener Daten,
  • die teilweise automatisierte Verarbeitung oder 
  • die vollständig automatisierte Verarbeitung personenbezogener Daten, 

die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Was ist der sachliche Anwendungsbereich der DSGVO?

Räumlich findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten in EU-Unternehmen innerhalb und außerhalb der Europäischen Union. Es gilt sowohl das Niederlassungsprinzip wie das Marktortprinzip. 

Das Niederlassungsprinzip wird in Artikel 3 der DSGVO erläutert. Es sagt aus, dass die Grundverordnung bei in der EU ansässigen Verantwortlichen oder Auftragsverarbeitern Anwendung findet. 

Für die Praxis bedeutet diese Richtlinie, dass ebenfalls dann eine exterritoriale gesetzliche Wirkung entsteht, wenn der eigentliche Prozess der Datenverarbeitung in ein außer-europäisches Land verlagert wird. Würde beispielsweise ein portugiesisches Unternehmen personenbezogenen Daten in seiner Niederlassung in Spanien verarbeiten und den eigentlichen Prozess der Datenverarbeitung in seine Dependancen nach Indien auslagern, müsste die DSGVO Anwendung finden. Entscheidend ist, mit welcher Niederlassung die Datenverarbeitung in Zusammenhang steht. 

Das Marktortprinzip, bei dem ebenfalls die Vorgaben der DSGVO zur Datenverarbeitung gelten, sagt aus, dass sich die Verarbeitung der Daten grundsätzlich auf den Ort des Betroffenen beziehen muss. Verarbeitet ein internationaler Konzern mit Hauptsitz im Vereinigten Königreich Kundendaten eines Kunden aus Österreich, gilt das Marktortprinzip. Obwohl der Konzern nicht in der Europäischen Union beheimatet ist, erfolgt die Verarbeitung nach personenbezogenen Daten nach DSGVO-Prinzipien. 

Welche Pflichten müssen Unternehmen gemäß der DSGVO erfüllen? 

Unternehmen sind gemäß der Datenschutzgrundverordnung zu folgenden Maßnahmen verpflichtet:

Einsatz geeigneter technischer und organisatorischer Maßnahmen für den Datenschutz

Arbeitgeber sind dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für Datenschutz und Datensicherheit sicherzustellen. Ziele hierbei sind unter anderem eine Datenminimierung und eindeutige Zugangsbeschränkungen sowie Zugriffskontrollen. Angemessene Schutzmaßnahmen müssen implementiert werden. 

– geregelt in Artikel 24, 25, 32 DSGVO

Sicherstellung geeigneter Maßnahmen bei Datenverarbeitung über Auftragsverarbeiter

Erfolgt die Datenverarbeitung über einen Dritten (Auftragsverarbeiter), muss sichergestellt sein, dass das externe Unternehmen über geeignete technische und organisatorische Maßnahmen verfügt, um die DSGVO-Vorgaben einzuhalten. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines schriftlichen Vertrags. 

– geregelt in Artikel 28 DSGVO

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Arbeitgeber sind dazu aufgefordert, ein Verzeichnis von Verarbeitungstätigkeiten mit folgendem Inhalt zu führen: 

  • Namen und die Kontaktdaten des Verantwortlichen,
  • Zweck der Verarbeitung,
  • Beschreibung der Kategorien personenbezogener Daten,
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, 
  • Vorgesehenen Fristen für die Löschung, 
  • Beschreibung der technischen und organisatorischen Maßnahmen

– geregelt in Artikel 30 DSGVO

Meldung bei Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Unternehmen müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde innerhalb von 72 Stunden melden. Doch auch die unverzügliche Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ist vorgeschrieben.

– geregelt in Artikel 33, 34 DSGVO

Datenschutz-Folgenabschätzung

Unternehmen müssen eine proaktive Datenschutz-Folgenabschätzung leisten, wenn die Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Zugleich ist das Einholen von Feedback beim Datenschutzbeauftragten sowie vorherige Konsultation der Datenschutz-Behörden bei einem hohen Risiko von Datenmissbrauch erforderlich.

– geregelt in Artikel 35, 36 DSGVO

Benennung eines Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten muss erfolgen. Zudem ist die Sicherstellung, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird und seine Aufgaben gemäß Artikel 39 DSGVO ordnungsgemäß ausführen kann, essenziell.

– geregelt in Artikel 37, 38. 39 DSGVO

Was sind die Grundsätze der Datenverarbeitung?

Personenbezogene Daten müssen nach den Grundsätzen der DSGVO wie folgt verarbeitet werden: 

  • Rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Einwilligung verarbeitet werden.
  • Erhebung für festgelegte, eindeutige und legitime Zwecke.
  • Dem Zweck angemessen und auf das für die Zwecke der Verarbeitung auf das notwendige Maß beschränkt sein.
  • Sachlich richtig und auf dem neuesten Stand sein.
  • Speicherbegrenzung: Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  • Integrität und Vertraulichkeit: In einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. 

Welche Rechte haben betroffene Personen? 

Betroffene Personen haben auf Grundlage der DSGVO 9 wesentliche Rechte, die sie ausüben können. Dazu gehört: 

  1. Das Recht auf transparente, präzise, verständliche und leicht zugängliche Informationen in einer klaren und einfachen Sprache. 
  2. Recht auf unverzügliche Information nach einem Antrag auf Offenlegung gespeicherter Daten.
  3. Recht auf proaktive Information, welche Daten der betroffenen Person zum Zeitpunkt der Erhebung gespeichert werden, inklusive der voraussichtlichen Dauer der Speicherung. 
  4. Recht auf Berichtigung.
  5. Recht auf Vergessenwerden: Betroffene können auf Antrag eine komplette Löschung ihrer personenbezogenen Daten beantragen und durchsetzen.
  6. Recht auf Einschränkung der Verarbeitung.
  7. Recht auf Datenübertragbarkeit.
  8. Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, Widerspruch einzulegen. 
  9. Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu werden. Dies ist beispielsweise der Fall, wenn automatisiert und durch eine KI entschieden wird, ob ein Vertragsabschluss zustande kommt oder nicht. 

Sind die Regeln der DSGVO für Unternehmen verpflichtend? 

Die DSGVO gilt seit dem 25.05.2018 europaweit für alle Unternehmen und stellt ein verpflichtendes Gesetz dar, das im betrieblichen Alltag angewendet werden muss. 

Was droht bei Verstößen gegen die DSGVO?

Der Artikel 83 der DSGVO definiert die Höhe der Bußgelder, die bei Verstößen gegen die europäische Richtlinie fällig werden: 

„Bei Verstößen gegen die Bestimmungen werden Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“

Auf der Webseite DSGVO-Portal können die bisher verhängten Bußgelder und die Unternehmen, gegen die Strafzahlungen verhängt wurden, eingesehen werden. 

Im Kalenderjahr 2023 wurde beispielsweise das weltweit bekannte Unternehmen WhatsApp Ireland Limited aufgrund eines Verstoßes gegen Transparenzpflichten und aufgrund mangelnder Informationen zur Rechtsgrundlage der Datenerhebung zu einer Bußgeld-Strafe von 5,5 Millionen Euro verurteilt. Zur bisher größten Strafe mit mehr als 4,5 Milliarden Euro wurde am 24.07.2019 der Internetkonzern Facebook verurteilt. 

Was sind die Vor- und Nachteile der DSGVO für Unternehmen? 

Unternehmen profitieren durch die einheitliche Grundverordnung von elementaren Vorteilen. Jedoch geht die DSGVO auch mit vielen Nachteilen einher. Welche Vor- und Nachteile die Datenschutzgrundverordnung für Arbeitgeber und Unternehmen hat, zeigt folgende Tabelle.

Vorteile UnternehmenNachteile Unternehmen
Hohe Transparenz und Harmonisierung des Datenschutzniveaus in der EUHoher administrativer Aufwand als Wettbewerbsnachteil gegenüber Firmen in den USA oder China
Konformität in Bezug auf die gesetzlichen VorgabenStrikte Vorgaben belasten vor allem KMU und Existenzgründer
Größere Datensicherheit und Fokus auf IT-SicherheitDetaillierte Vorschriften können innovationsmindernd wirken
Innovative Prozesse in der DatenverarbeitungDatenschutz macht Geschäftsprozesse und den globalisierten Handel komplizierter
Einheitliche Regeln öffnen globale MärkteKann in seiner gesamten Bandbreite nicht umgesetzt werden: Risiko für Strafzahlungen
Effektivere Marketingkampagnen statt Werbemaßnahmen mit veralteten DatenHohe Strafzahlungen für kleine Unternehmen existenzgefährdend
Klare Einwilligung des Verbrauchers 

Warum ist die DSGVO so wichtig?

In einer digitalisierten Welt, in der Informationen und Daten in Echtzeit rund um den Globus geschickt werden, gehört der Schutz personenbezogener Daten zu den wichtigsten Anliegen. Persönliche Daten sind eine unschätzbare Ressource und sollten zu jeder Zeit vor missbräuchlicher Verwendung geschützt werden.

Gelangen persönliche Daten und Informationen in falsche Hände, können sie für viele bösartige Zwecke wie Identitätsdiebstahl, Betrug oder zur Erpressung genutzt werden. Die Datenschutzgrundverordnung bietet eine gute Basis, um solchen Risiken vorzubeugen und die unzulässige oder missbräuchliche Nutzung von personenbezogenen Daten mit schweren Folgen zu ahnden.