Was genau ist die allgemeine Datenschutzverordnung (DSGVO) in Europa?
Einleitung
Die Allgemeine Datenschutzverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie zielt darauf ab, den Datenschutz und die Privatsphäre aller Bürger innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zu stärken und zu vereinheitlichen. Darüber hinaus regelt sie den Export personenbezogener Daten außerhalb der EU und des EWR. Die DSGVO ist eines der umfassendsten Datenschutzgesetze weltweit und hat erhebliche Auswirkungen auf Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten.
Hintergrund und Entwicklung
Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG, die seit 1995 in Kraft war. Diese Richtlinie hatte zum Ziel, den freien Datenverkehr innerhalb der EU zu ermöglichen und gleichzeitig ein hohes Schutzniveau für personenbezogene Daten sicherzustellen. Mit der rasanten technologischen Entwicklung und dem Aufkommen des Internets war jedoch schnell klar, dass die alte Richtlinie nicht mehr ausreichte, um den modernen Anforderungen an den Datenschutz gerecht zu werden. Daher begann die EU im Jahr 2012 mit der Ausarbeitung der DSGVO, die schließlich im April 2016 verabschiedet wurde.
Grundsätze der DSGVO
Die DSGVO basiert auf mehreren Grundsätzen, die als Leitlinien für die Verarbeitung personenbezogener Daten dienen. Diese Grundsätze sind:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Artikel 5 Absatz 1 lit. a DSGVO):
- Personenbezogene Daten müssen auf rechtmäßige, faire und für die betroffene Person nachvollziehbare Weise verarbeitet werden.
Zweckbindung (Artikel 5 Absatz 1 lit. b DSGVO):
- Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
Datenminimierung (Artikel 5 Absatz 1 lit. c DSGVO):
- Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit (Artikel 5 Absatz 1 lit. d DSGVO):
- Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es müssen alle angemessenen Maßnahmen getroffen werden, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung (Artikel 5 Absatz 1 lit. e DSGVO):
- Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit (Artikel 5 Absatz 1 lit. f DSGVO):
- Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung, durch geeignete technische und organisatorische Maßnahmen.
Rechte der betroffenen Personen
Die DSGVO stärkt die Rechte der betroffenen Personen erheblich. Diese Rechte umfassen:
Recht auf Auskunft (Artikel 15 DSGVO):
- Betroffene Personen haben das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Auskunft über diese Daten und bestimmte Informationen zu erhalten.
Recht auf Berichtigung (Artikel 16 DSGVO):
- Betroffene Personen haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Recht auf Vergessenwerden) (Artikel 17 DSGVO):
- Unter bestimmten Umständen hat die betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.
Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO):
- Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Artikel 18 Absatz 1 DSGVO genannten Voraussetzungen erfüllt ist.
Recht auf Datenübertragbarkeit (Artikel 20 DSGVO):
- Betroffene Personen haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
Widerspruchsrecht (Artikel 21 DSGVO):
- Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen.
Recht auf nicht ausschließlich automatisierte Entscheidungen (Artikel 22 DSGVO):
- Betroffene Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Pflichten der Verantwortlichen und Auftragsverarbeiter
Neben den Rechten der betroffenen Personen legt die DSGVO auch strenge Pflichten für Verantwortliche und Auftragsverarbeiter fest:
Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO):
- Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen.
Datenschutz-Folgenabschätzung (DSFA) (Artikel 35 DSGVO):
- Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 DSGVO):
- Verantwortliche müssen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.
Meldung von Datenschutzverletzungen (Artikel 33 und 34 DSGVO):
- Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden. Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss auch die betroffene Person unverzüglich benachrichtigt werden.
Sanktionen und Durchsetzung
Die DSGVO sieht strenge Sanktionen für Verstöße vor. Gemäß Artikel 83 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Die Höhe der Geldbuße richtet sich nach verschiedenen Kriterien, darunter die Art, Schwere und Dauer des Verstoßes sowie etwaige Maßnahmen, die zur Minderung des Schadens für die betroffenen Personen ergriffen wurden.
Auswirkungen und Herausforderungen
Seit ihrem Inkrafttreten hat die DSGVO erhebliche Auswirkungen auf Unternehmen und Organisationen weltweit. Sie mussten ihre Datenschutzpraktiken überarbeiten, Datenschutzbeauftragte ernennen und umfangreiche technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der DSGVO sicherzustellen.
Fazit
Die Allgemeine Datenschutzverordnung (DSGVO) stellt einen bedeutenden Meilenstein im Datenschutzrecht dar. Sie bietet einen umfassenden rechtlichen Rahmen, der die Rechte der betroffenen Personen stärkt und hohe Anforderungen an die Verantwortlichen und Auftragsverarbeiter stellt. Durch ihre strengen Vorgaben und erheblichen Sanktionen hat die DSGVO die Art und Weise, wie Unternehmen und Organisationen weltweit mit personenbezogenen Daten umgehen, grundlegend verändert.
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.