Die DSGVO – Ein Überblick über die Datenschutzgrundverordnung

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und betrifft jeden, der personenbezogene Daten erhebt und verarbeitet. In diesem Blog-Artikel geben wir Ihnen einen kompakten Überblick über die wichtigsten Bestimmungen und Pflichten, die die DSGVO vorsieht.

Was ist die DSGVO und warum wurde sie eingeführt?

Immer mehr Unternehmen bieten Online-Dienste an und sammeln dabei personenbezogene Daten. Darunter fallen etwa persönliche Informationen über Webshop-Käufer und registrierte Nutzer oder Daten über Website-Besucher.

Welche Informationen ein Anbieter sammelt, wo er diese speichert und wie er sie benutzt, ist für die Betroffenen kaum kontrollierbar. Für sie stellen sich Fragen wie diese:

• Verkauft das Unternehmen meine Daten an Dritte weiter?
• Verrät das Unternehmen persönliche Informationen über mich an US-amerikanische Behörden?
• Verwendet das Unternehmen meine Daten, um mir unerwünschte Werbung zu senden?
• Wie lange bleiben meine Daten gespeichert?
• Wie kann ich meine Daten korrigieren oder löschen lassen?

Vor diesem Hintergrund wurde die Datenschutzgrundverordnung (DSGVO) eingeführt: eine EU-weite Verordnung, die einheitliche Standards für den Umgang mit personenbezogenen Daten innerhalb der EU festlegt.

Ziele der DSGVO

Die DSGVO will Einzelpersonen mehr Kontrolle über ihre Daten geben und Unternehmen dazu zwingen, ihre Datenverarbeitungspraktiken transparenter und sicherer zu gestalten.

Im Einzelnen sind die Ziele der DSGVO wie folgt definiert:

• Sicherstellen, dass personenbezogene Daten nur für bestimmte legitime Zwecke verarbeitet werden
• Den Missbrauch personenbezogener Daten verhindern
• Die Aufbewahrungsfrist von personenbezogenen Daten beschränken
• Die Rechte der betroffenen Personen stärken, insbesondere das Recht auf Auskunft über die gespeicherten Daten sowie das Recht auf deren Löschung oder Berichtigung
• Verantwortlichkeit und Rechenschaftspflicht der datenverarbeitenden Unternehmen und Organisationen sicherstellen
• Angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten bei datenverarbeitenden Unternehmen und Organisationen durchsetzen

Arten von personenbezogenen Daten

Im Zentrum der DSGVO stehen „personenbezogene Daten“. Gemeint sind alle Informationen, die sich auf eine natürliche Person beziehen. Hier einige typische personenbezogene Daten im Sinne der DSGVO:

• Personendaten wie Name, Vorname, Geschlecht, Geburtsdatum, Geburtsort oder Familienstand.
• Kontaktdaten wie Adresse, Telefonnummer, E-Mail-Adresse usw.
• Offizielle Informationen wie Staatsangehörigkeit, Passnummer, Steueridentifikationsnummer, Sozialversicherungsnummer usw.
• Finanzielle Daten wie Bankverbindung, Kreditkartennummer usw.
• Gesundheitsdaten wie Krankenakten, Medikamentenlisten usw.
• Berufliche Informationen wie Arbeitsverträge, Bewerbungsunterlagen, Gehaltsabrechnungen usw.
• Biometrische Daten wie Fingerabdrücke, Gesichtserkennungsdaten usw.
• Bild- und Tonaufnahmen, auf denen die Person identifizierbar ist, wie Fotos, Videos, Telefonaufzeichnungen usw.

Als personenbezogene Daten gelten auch pseudonymisierte Informationen, die nur indirekt Rückschlüsse auf die Person zulassen. Das Gesetz spricht in diesem Zusammenhang von Informationen über eine „identifizierte oder identifizierbare natürliche Person“. Ein häufiges Beispiel dafür sind Daten, welche über Website-Besucher gesammelt werden, wie Cookies oder IP-Adressen. Diese Daten sind zwar anonym, lassen sich jedoch mit geeigneten Mitteln einer bestimmten Person zuordnen.

Rechte von Einzelpersonen gemäß der DSGVO

Die DSGVO gewährt natürlichen Personen verschiedene Rechte gegenüber Unternehmen und Organisationen, die personenbezogene Daten sammeln oder verarbeiten:

• Auskunftsrecht: Das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten über sie verarbeitet werden.
• Recht auf Berichtigung: Das Recht, fehlerhafte personenbezogene Daten korrigieren zu lassen.
• Recht auf Löschung: Das Recht, unter bestimmten Umständen die Löschung ihrer Daten zu fordern.
• Recht auf Einschränkung: Das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken oder ganz zu untersagen.
• Recht auf Datenübertragung: Das Recht, die gesammelten personenbezogenen Daten in einem gängigen, strukturierten, maschinenlesbaren Format zu erhalten oder an ein anderes Unternehmen übertragen zu lassen.

Diese Rechte dienen dazu, den Schutz personenbezogener Daten zu stärken und den Einzelpersonen mehr Kontrolle über die Verarbeitung ihrer Daten zu geben.

Unterschiede zur vorherigen Datenschutzgesetzgebung

Die DSGVO stellt eine umfassende Reform des europäischen Datenschutzrechts dar und ersetzt die bisherige Datenschutzgesetzgebung. Im Vergleich dieser ist die DSGVO wesentlich strenger und umfangreicher. Hier die wichtigsten Unterschiede:

• Anwendungsbereich: Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von betroffenen Personen in der EU verarbeiten, unabhängig davon, ob die Organisation selbst in der EU ansässig ist oder nicht. Die vorherige Datenschutzgesetzgebung galt nur für Organisationen innerhalb der EU.
• Höhere Standards: Die DSGVO setzt einen höheren Standard für den Datenschutz und enthält strengere Vorschriften für die Verarbeitung personenbezogener Daten. Die Strafen sind wesentlich höher als vorher.
• Rechte von Einzelpersonen: Die DSGVO gewährt Einzelpersonen mehr Rechte, um den Schutz ihrer personenbezogenen Daten zu gewährleisten, wie das bereits erwähnte Recht auf Datenübertragbarkeit und das Recht auf Löschung der Daten.
• Meldepflicht bei Datenschutzverletzungen: Die DSGVO verpflichtet Organisationen, Datenschutzverletzungen innerhalb von 72 Stunden zu melden. Die vorherige Datenschutzgesetzgebung enthielt keine Meldepflicht.

Diese Änderungen zielen darauf ab, personenbezogene Daten noch besser zu schützen und die Datenschutzbestimmungen konsequenter durchzusetzen.

Unternehmen und Organisationen, die von der DSGVO betroffen sind

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten, und zwar sowohl von EU-Bürgern als auch von Menschen, die sich vorübergehend in der EU aufhalten.

Wie erwähnt, ist die DSGVO auch für diejenigen Organisationen verpflichtend, die ihren Firmensitz nicht in der EU haben. Entscheidend ist einzig die dauernde oder zeitweilige Verarbeitung personenbezogener Daten von Personen in der EU. Typische Beispiele sind Unternehmen, die ihre Waren oder Dienstleistungen in der EU anbieten, Social-Media-Plattformen (Facebook, Instagram usw.) und Onlinedienste, welche von der EU aus zugänglich sind.

Pflichten von Unternehmen gemäß der DSGVO

Die DSGVO definiert eine Reihe von Pflichten für diejenigen Unternehmen, die personenbezogene Daten verarbeiten:

• Informationspflichten: Unternehmen müssen die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten informieren – und zwar auf transparente, verständliche und leicht zugängliche Art und Weise.
• Rechtmäßigkeit sicherstellen: Personenbezogene Daten dürfen nur auf der Grundlage einer rechtmäßig erworbenen Einwilligung erhoben bzw. verarbeitet werden, zum Beispiel aufgrund eines Vertrags oder einer ausdrücklichen Zustimmung (z. B. Double-Opt-in).
• Datensicherheit gewährleisten: Wer personenbezogene Daten sammelt oder verarbeitet, muss diese vor unbefugtem Zugriff, Verlust und Verfälschung schützen.
• Datenschutzbeauftragten bestellen: Wenn die Verarbeitung personenbezogener Daten zur Kerntätigkeit eines Unternehmens zählt, muss dieses einen Datenschutzbeauftragten bestellen. Dabei kann es sich um einen Angestellten oder einen externen Dienstleister handeln.
• Auftragsdatenverarbeitung: Wenn ein Unternehmen personenbezogene Daten an einen anderen Dienstleister überträgt, muss es mit diesem einen Auftragsdatenverarbeitungsvertrag abschließen. Dieser verpflichtet den Dienstleister zu denselben hohen Datenschutzstandards wie das auftraggebende Unternehmen.
• Datenschutz-Folgenabschätzung: Stellt die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen dar, muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen.
• Rechte der betroffenen Personen schützen: Unternehmen müssen betroffenen Personen ermöglichen, ihre Rechte auszuüben: Auskunft, Berichtigung, Löschung und Widerspruch.

FAQ – Häufig gestellte Fragen zur DSGVO

DSGVO leicht gemacht mit iS-Fun

Die Datenschutzgrundverordnung (DSGVO), welche seit dem 25. Mai 2018 gilt, verpflichtet sämtliche Unternehmen der Welt, personenbezogene Daten von Menschen in der EU zu schützen. Die DSGVO definiert eine Reihe von Maßnahmen, welche Unternehmen ergreifen müssen, und setzt hohe Geldbußen für die Nichteinhaltung der Vorschriften fest.

Für Unternehmen enthält die DSGVO zahlreiche Fallstricke, an welche kaum jemand denkt. Selbst das Einbinden von Google-Fonts stellt ein Risiko dar, wie kürzliche Abmahnwellen gezeigt haben. Deshalb ist es eine ausgezeichnete Idee, für das Webhosting mit einem Experten für die DSGVO zusammenzuarbeiten. Nehmen Sie mit uns Kontakt auf; wir beraten Sie gerne.