ComputerWeekly.com/de

https://www.computerweekly.com/de/definition/EU-Datenschutz-Grundverordnung-EU-DSGVO

EU-Datenschutz-Grundverordnung (EU-DSGVO)

von Malte Jeschke

Was ist die EU-Datenschutz-Grundverordnung (EU-DSGVO)?

Die EU-Datenschutz-Grundverordnung oder auch kurz EU-DSGVO beziehungsweise GDPR (General Data Protection Regulation) ist eine Modernisierung und Anpassung der bestehenden Datenschutzregelungen in den EU-Mitgliedsstaaten. Mit der EU-DSGVO sollen insbesondere die Rechte der EU-Bürger in Hinblick auf ihre Daten gestärkt werden. Dabei geht es unter anderem um die so genannten Betroffenenrechte.

Die Datenschutz-Grundverordnung ist im Frühjahr 2016 in Kraft getreten und wurde Ende Mai 2018 in den EU-Mitgliedsstaaten unmittelbar wirksam. Mit der EU-DSGVO sollen insbesondere die Rechte der EU-Bürger in Hinblick auf ihre Daten gestärkt werden.

Die DSGVO ist räumlich nicht auf Organisationen innerhalb der EU beschränkt. Sie gilt für personenbezogene Daten von EU-Bürgern, wenn diese Daten innerhalb der EU verarbeitet werden. Aber auch wenn eine Niederlassung eines Unternehmens in der EU, die Daten außerhalb der EU verarbeiten lässt, greift die DSGVO.

Und wenn Unternehmen keine Niederlassung in der EU haben, aber den betroffenen Personen in der EU Waren oder Dienste anbieten oder das Verhalten von Personen innerhalb der EU verfolgt wird, unterliegen diese der Datenschutz-Grundverordnung.

Wichtige Prinzipien und Betroffenenrechte der Datenschutz-Grundverordnung

Die DSGVO hat ein einige wesentliche Prinzipien, wenn es um die Verarbeitung von personenbezogenen Daten geht. Hier einige der wichtigsten Aspekte ohne Anspruch auf Vollständigkeit:

• Transparenz: Die betroffene Person muss darüber informiert sein, wie ihre Daten verarbeitet werden.
• Richtigkeit: Bei der Datenerfassung müssen Organisationen sicherstellen, dass diese richtig sind oder diese bei Bedarf aktualisieren. Wenn eine betroffene Person diese verlangt, müssen Daten gelöscht oder geändert werden.
• Zweckbindung: Die Daten dürfen nur zu dem Zweck verarbeitet werden, zudem sie mit dem Einverständnis erfasst wurden.
• Datenminimierung: Es dürfen nur die Daten erfasst werden, die für die jeweilige Verarbeitung erforderlich sind (siehe auch Datenminimierung in der Praxis: Was Firmen oft falsch machen)
• Speicherbegrenzung: Erfasste Daten dürfen nicht länger als erforderlich aufbewahrt werden.
• Integrität und Vertraulichkeit: Es sind angemessene Schutzmaßnahmen für personenbezogene Daten einzurichten.

Aus diesen Prinzipien ergeben sich beispielsweise eine Reihe von Betroffenenrechte der DSGVO:

• Recht auf Auskunft: Betroffene Personen können die Daten anfragen und einsehen, die Organisationen über sie gespeichert haben (siehe auch Wie die Auskunftspflicht nach DSGVO richtig umgesetzt wird).
• Widerspruchsrecht: Betroffene Personen können einem Unternehmen die Verarbeitung oder die Verwendung der personenbezogenen Daten untersagen.
• Recht auf Berichtigung: Betroffene Personen können erwarten, dass unrichtige personenbezogene Daten korrigiert werden.
• Recht auf Vergessenwerden: Betroffene Personen können beantragen, dass die über sie gespeicherten personenbezogenen Daten von der Organisation gelöscht werden (siehe auch Was Datenschützer bei Löschkonzepten prüfen wollen).
• Recht auf Datenübertragbarkeit: Betroffene Personen können auf personenbezogene Daten zugreifen, die eine Organisation über sie gespeichert hat, und diese übertragen (Sicherheitsfragen der Datenübertragbarkeit).

Bei einigen Prinzipien und Betroffenenrechte können gegebenenfalls andere rechtliche Vorschriften greifen, die beispielsweise eine Löschung erst zu einem späteren Zeitpunkt möglich machen.

Die Aufsicht der Datenschutz-Grundverordnung

In Deutschland kontrollieren prinzipiell die Aufsichtsbehörden der Länder die Erhebung und Verarbeitung personenbezogener Daten (siehe auch Datenschutz: Was machen eigentlich die Aufsichtsbehörden?). Üblicherweise hängt es vom Standort des Unternehmens oder der Organisation ab, welche Landesdatenschutzbehörde jeweils zuständig ist. Es gibt einige Bereiche, bei denen die zentral Aufsicht durch die Bundesdatenschutzbeauftragte (BfDI) erfolgt. Das sind beispielsweise Telekommunikations- und Postdienstunternehmen. Und die BfDI ist auch zuständig, wenn es etwa um den Datenschutz bei gesetzlichen Krankenkassen oder der Deutschen Rentenversicherung geht.

Welche Bußgelder gibt es gemäß der DSGVO?

Mit der EU-Datenschutz-Grundverordnung gehen neue Sanktionen beziehungsweise Bußgelder einher. Bei Verstößen können Bußgelder die Höhe von 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes des Unternehmens erreichen – je nachdem welcher Wert höher ausfällt.

Seit der Wirksamkeit der DSGVO wird immer wieder an der Harmonisierung der Bußgelder gearbeitet, denn eine klare Formel oder ein Bußgeldkatalog existiert in diesem Sinne nicht. So kann ein Bußgeld bei ähnlichen Verstößen je nach Land höchst unterschiedlich ausfallen - und auch innerhalb eines Landes wie in Deutschland mit verschiedenen Behörden in den Bundesländern.

Der Europäische Datenschutzausschuss (EDSA) ist zuständig, sich um eine einheitliche Anwendung der DSGVO zu bemühen. So hat der EDSA entsprechende Leitlinien zur Festsetzung von Bußgeldern veröffentlicht.

In Deutschland hat die Datenschutzkonferenz (DSK) Musterrichtlinien zum Verfahren im Hinblick auf Bußgelder veröffentlicht und will so Unternehmen wie Behörden gleichermaßen informieren.

KI und die Datenschutz-Grundverordnung

Auch wenn seit 2024 der EU AI Act beziehungsweise die KI-Verordnung (KI-VO) gilt verdrängen diese Vorschriften nicht die DSGVO wenn es um Schutz personenbezogener Daten geht (siehe auch Kostenloser E-Guide: KI und Datenschutz). Die Datenschutzbehörden veröffentlichen Leitlinien und Hinweise auf den Umgang mit KI und Datenschutz und führen dementsprechend auch Kontrollen und Prüfungen durch.