Kapitel 01 In Kraft: 25. Mai 2018

DSGVO

Datenschutz-Grundverordnung

Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist das Fundament des EU-Datenschutzrechts. Sie ersetzte die Datenschutzrichtlinie 95/46/EG und stärkte die Rechte der Einzelpersonen an ihren personenbezogenen Daten erheblich, während sie umfassende Pflichten für Verantwortliche und Auftragsverarbeiter auferlegt.[1]

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig davon, wo die Organisation ihren Sitz hat. Dieser extraterritoriale Anwendungsbereich hat die DSGVO zu einem de facto globalen Standard für Datenschutz gemacht.[2]

Wer muss sich daran halten

  • Verantwortliche: Organisationen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen
  • Auftragsverarbeiter: Organisationen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten
  • Nicht-EU-Einheiten: Jede Organisation, die Waren/Dienstleistungen für EU-Bewohner anbietet oder deren Verhalten überwacht
  • Alle Branchen: Gilt branchenübergreifend mit begrenzten Ausnahmen für Strafverfolgung und nationale Sicherheit

Wesentliche Anforderungen für Entwickler

Rechtsgrundlage für die Verarbeitung

Jede Verarbeitung muss eine gültige Rechtsgrundlage gemäß Artikel 6 haben:[3]

  1. Einwilligung: Freiwillig, spezifisch, informiert und unmissverständlich
  2. Vertrag: Notwendig für die Erfüllung eines Vertrags mit der betroffenen Person
  3. Rechtliche Verpflichtung: Erforderlich nach EU- oder nationalem Recht
  4. Lebenswichtige Interessen: Schutz des Lebens der betroffenen Person oder einer anderen Person
  5. Öffentliches Interesse: Erforderlich für eine Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt
  6. Berechtigte Interessen: Abgewogen gegen die Rechte der betroffenen Person (nicht für öffentliche Stellen verfügbar)

Technische Anforderungen

  • Datenminimierung: Nur das erfassen, was für den angegebenen Zweck notwendig ist
  • Speicherbegrenzung: Personenbezogene Daten nur so lange aufbewahren, wie es notwendig ist
  • Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen umsetzen
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Datenschutz von Anfang an in Systeme einbauen (Artikel 25)[4]

Rechte der betroffenen Personen

Anwendungen müssen die folgenden Rechte unterstützen:

RechtBeschreibungAntwortzeit
Zugriff (Art. 15)Kopie der personenbezogenen Daten und Informationen zur Verarbeitung bereitstellen1 Monat
Berichtigung (Art. 16)Unrichtige personenbezogene Daten korrigierenUnverzüglich
Löschung (Art. 17)Daten löschen, wenn sie nicht mehr notwendig sindUnverzüglich
Einschränkung (Art. 18)Verarbeitung unter bestimmten Umständen einschränkenUnverzüglich
Datenübertragbarkeit (Art. 20)Daten in maschinenlesbarem Format bereitstellen1 Monat
Widerspruch (Art. 21)Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen einlegenUnverzüglich

Meldung von Datenschutzverletzungen

  • An die Aufsichtsbehörde: Innerhalb von 72 Stunden nach Bekanntwerden (Artikel 33)[5]
  • An betroffene Personen: Unverzüglich bei hohem Risiko für Rechte und Freiheiten (Artikel 34)
  • Dokumentation: Aufzeichnungen über alle Verstöße führen, unabhängig von Meldepflicht

Strafen

Die DSGVO sieht ein gestuftes Bußgeldsystem vor:

  • Niedrigere Stufe: Bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
  • Höhere Stufe: Bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist[6]

Wichtige verhängte Bußgelder umfassen:

  • Amazon (Luxemburg, 2021): 746 Millionen €
  • Meta/Facebook (Irland, 2023): 1,2 Milliarden €
  • Google (Frankreich, 2022): 90 Millionen €

Implementierungs-Checkliste

  • Alle Verarbeitungstätigkeiten personenbezogener Daten identifizieren
  • Rechtsgrundlage für jede Verarbeitung festlegen
  • Einwilligungsmanagement implementieren, wo erforderlich
  • Datenschutzhinweise erstellen, die Transparenzanforderungen erfüllen
  • Mechanismen zur Bearbeitung von Betroffenenanfragen aufbauen
  • Angemessene Sicherheitsmaßnahmen umsetzen
  • Verfahren zur Erkennung und Meldung von Datenschutzverletzungen etablieren
  • Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durchführen
  • Datenschutzbeauftragten benennen, falls erforderlich
  • Verzeichnis von Verarbeitungstätigkeiten (RoPA) führen

Quellen & Referenzen

[1]
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates. EUR-Lex: DSGVO Amtstext
[2]
Anwendungsbereich der DSGVO, Artikel 3. GDPR.eu: Anwendungsbereich
[3]
Rechtmäßigkeit der Verarbeitung, Artikel 6. GDPR-Info: Artikel 6
[4]
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Artikel 25. GDPR-Info: Artikel 25
[5]
Meldung von Datenschutzverletzungen, Artikel 33. GDPR-Info: Artikel 33
[6]
Verwaltungsstrafen, Artikel 83. GDPR-Info: Artikel 83