DSGVO – was ist die Datenschutz Grundverordnung?

Die Datenschutz Grundverordnung 2018 ist eine neue Richtlinienverordnung der EU und ersetzt somit die alte Richtlinie 95/46/EG. Sie erlangt am 25. Mai 2018 in allen Mitgliedstaaten der EU zudem unmittelbare Rechtskraft. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, entfällt demzufolge eine Umsetzung in nationales Recht.

Die Datenschutz Grundverordnung 2018 enthält jedoch mehrere Öffnungsklauseln und erlaubt somit den Mitgliedstaaten, auch einzelne Bestimmungen zum Datenschutz auf nationaler Ebene per Gesetz zu regeln.

In Deutschland tritt deshalb im Mai 2018 zeitgleich mit der EU-Datenschutzgrundverordnung ein Ergänzungsgesetz (DSAnpUG) in Kraft, das die DSGVO in Teilen verändert bzw. konkretisiert.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für:

alle (!) Unternehmen, die in der EU ansässig sind – sodass man sagen kann: Die DSGVO trifft wirklich alle Unternehmen (!) vom 1-Mann-Unternehmen (1-Frau-Unternehmen), Freelancer, Handwerker etc. bis hin zum DAX-Konzern.

DSGVO: auch außereuropäische Unternehmen betroffen!

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

  • Eine Niederlassung in der EU haben und/oder
  • personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Punkt beim Anwendungsbereich der Datenschutzgrundverordnung ist demzufolge die Verarbeitung von personenbezogenen Daten.

Was sind personenbezogenen Daten?

Unter personenbezogenen Daten versteht die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. “Identifizierbar”´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie beispielsweise einem Namen, einer Kennnummer, Standortdaten (IP-Adresse) oder auch anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier somit aus.

Was ändert sich mit der EU-Datenschutzgrundverordnung?

Wichtig für Unternehmen sind vor allem die neuen Bussgeld Vorschriften. Bei Verstößen gegen die EU-Datenschutzgrundverordnung wird ein Bussgeld bis zu 20 Millionen Euro, oder bis zu 4 % der weltweiten Umsätze des Unternehmens fällig. Die Aufsichtsbehörden sind gehalten den jeweils höheren Wert einzufordern.

Die EU-Datenschutzgrundverordnung regelt nicht alles neu!

Die Definition „personenbezogene Daten“ bleibt wie bisher schon weit gefasst. Es werden lediglich Begriffe ersetzt. So wird die Beschreibung für personenbezogene Daten geändert. Die Begriffe bestimmte oder bestimmbare Personen werden durch identifizierte oder identifizierbare Personen ersetzt. Desweiteren bleiben auch die bisherigen Erlaubnistatbestände (z.B. Einwilligung) weitestgehend erhalten.

DSGVO: 99 Regelungen die wichtig sind!

Die DSGVO besteht aus 99 Artikeln mit datenschutzrechtlichen Regelungen. Ein jeder Datenschutzbeauftragter in den Unternehmen ist deshalb gehalten sich unverzüglich mit der neuen Verordnung vertraut zu machen. Denn für eine Umsetzung der Vorgaben aus der EU-Datenschutzverordnung ist nur noch wenig Zeit – die Zeit drängt!

Ein wenn auch nur kleines Beispiel sind die Datenschutzhinweise auf den Webseiten der Unternehmen. Sind diese nicht dsgvo-konform, droht eine Abmahnung durch Verbraucherschutzverbände oder u.U. auch eine Abmahnung durch andere Marktteilnehmer. Ein interner oder externer Datenschutzbeauftragter sollte sich deshalb insbesondere Art. 12 der EU-Datenschutzgrundverordnung genau anschauen.

Die wichtigsten Neuerungen der EU-Datenschutzgrundverordnung:

  • Erstellung eines unternehmensinternen Datenschutzkonzeptes
  • Erweiterung der Informationsrechte Betroffener
  • Datenschutz durch Technikgestaltung (Privacy by Design)
  • Datenschutzfreundliche Voreinstellungen (Privacy by Default)
  • Implemetierung einer Risikoanalyse und Folgenabschätzung
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Meldung von Datenschutzverstößen
  • Hohe Bussgelder