In a Nutshell
Die DSGVO oder auch EU-DSGVO (auf Englisch GDPR) ist die europäische Datenschutzgrundverordung. Seit dem 25. Mai 2018 regelt sie die Verarbeitung personenbezogener Daten durch Behörden und auch private Unternehmen.
Dabei gilt die DSGVO nicht nur in Deutschland, sondern in der gesamten EU und vereinheitlicht damit auf europäischer Ebene das Datenschutzrecht. Aber auch Unternehmen, die ihren Sitz nicht in der EU haben können davon betroffen sein, nämlich dann, wenn sie die Daten von Bürgern der EU verarbeiten.
Neben umfangreichen Pflichten für Unternehmen und Behörden regelt die DSGVO auch eine große Anzahl von Rechten für die betroffenen Personen. Zudem enthält sie Regelungen, die die Folgen von Verstößen gegen diese Rechte und Pflichten festlegen. Schlimmstenfalls können dies Geldbußen im zweistelligen Millionenbereich sein. Daneben gewährt die DSGVO den betroffenen Personen Schadensersatzansprüche für materielle, aber auch immaterielle Schäden, die aufgrund dieser Verstöße entstehen.
Geltungsbereich
Der sachliche Anwendungsbereich regelt die Frage, worauf das Gesetz anwendbar ist. Niedergelegt ist dies in Artikel 2 DSGVO. Danach ist die Verordnung anwendbar auf die automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden. Ein Dateisystem ist dabei auch eine systematische Dokumentenablage (z.B. Personalakten).
Der räumliche Anwendungsbereich ist der geografische Bereich in dem die DSGVO anzuwenden ist und findet sich in Artikel 3 DSGVO. Wie bereits oben geschrieben, gilt das Gesetz für alle Unternehmen und Behörden in der EU und für Unternehmen in Drittstaaten, die die Daten von Bürgern der Mitgliedsstaaten verarbeiten. Beispiele hierfür sind Amazon, Microsoft, Google, Facebook etc.
Grundsätze der Datenverarbeitung
In Artikel 5 DSGVO werden zudem sehr strikte Grundsätze festgelegt, an die sich die Unternehmen bei der Datenverarbeitung halten müssen. Dabei handelt es sich um die folgenden:
- Rechtmäßigkeit: Es darf keine Datenverarbeitung geben, die nicht auf eine Rechtsgrundlage gestützt werden kann
- Treu und Glauben (greifbarer ist wohl der Englische Begriff „Faire Datenverarbeitung“)
- Transparenzgebot: Es muss für die Betroffenen Personen jederzeit nachvollziehbar sein, auf welche Art und Weise die Daten verarbeitet werden
- Zweckbindung: Personenbezogene Daten dürfen nur zu einem bestimmten Zweck erhoben werden, der auch nicht im Nachhinein einseitig durch den Verarbeiter geändert werden darf.
- Datensparsamkeit: Für eine rechtmäßige Datenverarbeitung dürfen immer noch die hierfür tatsächlich notwendigen Daten erhoben werden. Datensammlungen („Vllt. benötige ich das noch mal“) sind nicht erlaubt
- Korrektheit der Daten: Der Verarbeiter hat immer darauf zu achten, dass die Daten, die von ihm verarbeitet werden, korrekt sind
- Begrenzung der Speicherung: Daten dürfen nicht unbegrenzt gespeichert werden. Ist der Zweck, zu dessen Erreichung die Daten erhoben wurden, erreicht, sind die Daten zu löschen.
- Integrität und Vertraulichkeit: Die Daten sind auf eine Art und Weise zu verarbeiten, die gewährleistet, dass diese nicht unrechtmäßig verarbeitet werden oder vernichtet werden. Außerdem müssen die Daten vertraulich gehalten werden
Rechte der Betroffenen Personen
Die Rechte der betroffenen Personen findet man in Artikel 12 DSGVO bis Artikel 23 DSGVO. Dabei handelt es sich um:
- Recht auf Information bei Erhebung der personenbezogenen Daten (Artikel 13 DSGVO und Artikel 14 DSGVO)
- Recht auf Auskunft (Artikel 15 DSGVO)
- Recht auf Berichtigung (Artikel 16 DSGVO)
- Recht auf Löschung (Artikel 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten (Artikel 19 DSGVO)
- Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
- Widerspruchsrecht (Artikel 21 DSGVO)
- Widerspruchsrecht gegen automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Artikel 22 DSGVO)
Artikel 23 DSGVO regelt die Ausnahmen, in denen diese Rechte nicht anwendbar sind.