Zum Inhalt springen Zur Navigation springen
DSGVO einfach erklärt: Antworten auf die wichtigsten Fragen

DSGVO einfach erklärt: Antworten auf die wichtigsten Fragen

Die DSGVO ist für Sie ein unbekanntes Wesen? In diesem Beitrag geben wir einfache Antworten auf wesentliche Fragen zum neuen „Goldstandard“ des Datenschutzrechts.

Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung, oder kurz DSGVO, ist ein europäischer Rechtsakt in Form einer sog. Verordnung. Verordnungen gelten, anders als Richtlinien, in allen Mitgliedstaaten der EU unmittelbar. Sie müssen nicht erst durch nationale Gesetze umgesetzt werden.

Erklärtes Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zugleich die Gewährleistung des freien Verkehrs solcher Daten (Art. 1 Abs. 1 DSGVO). Beide Ziele waren mit der früher geltenden Datenschutz-Richtlinie (Richtlinie 95/46/EG), die den einzelnen Mitgliedstaaten einigen Umsetzungsspielraum ließ, nicht erreicht worden (vgl. Erwägungsgrund 9). Daher sah sich der europäische Gesetzgeber veranlasst, den Schutz von personenbezogenen Daten in Europa durch die Datenschutz-Grundverordnung zu vereinheitlichen.

Wann ist die DSGVO in Kraft getreten?

Um ein kleines Missverständnis auszuräumen: Die DSGVO ist nicht erst 2018 in Kraft getreten, sondern bereits am 25. Mai 2016. Jedoch beansprucht sie, gemäß ihrem Art. 99 Abs. 2, erst ab dem 25. Mai 2018 auch Geltung. Es gab also eine 2-jährige „Schonfrist“ – die viele Unternehmen hinsichtlich ihrer Umsetzungsbemühungen leider allzu wörtlich genommen haben.

Wen oder was schützt die Datenschutz-Grundverordnung?

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

So heißt es jedenfalls in Art. 1 Abs. 2 der Verordnung. So richtig eindeutig ist die Frage nach dem, was die Juristen den „Schutzbereich“ oder das „Schutzgut“ nennen, damit aber nicht beantwortet. Es gibt dementsprechend auch ausschweifende Diskussionen in Fachkreisen zu diesem Thema.

Festzuhalten ist aber jedenfalls, dass es im Zentrum nicht um den Schutz von Daten an sich geht, (was der Begriff nahelegen könnte). Die DSGVO beabsichtigt vielmehr den Schutz der Grundrechte und Grundfreiheiten der natürlichen Person, auf die diese Daten sich beziehen. Dementsprechend spricht die DSGVO auch stets vom Schutz personenbezogener Daten.

Es können nur natürliche Personen „Betroffene“ (und damit Rechteinhaber) im Sinne der DSGVO sein (vgl. Erwägungsgrund 9). Unternehmen bzw. sogenannte juristische Personen werden nicht von der DSGVO geschützt.

Wer ist für die Umsetzung der DSGVO-Vorgaben verantwortlich?

Die zahlreichen Pflichten der DSGVO richten sich an den sog. Verantwortlichen für die Datenverarbeitung (womit die Verarbeitung personenbezogener Daten gemeint ist). Verantwortlicher ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

In der freien Wirtschaft ist damit das Unternehmen (die juristische Person) selbst Verantwortlicher im Sinne der DSGVO. Intern liegt die Verantwortung letztlich bei der Geschäftsführung. Zwar besteht die Möglichkeit (und regelmäßig auch die organisatorische Notwendigkeit) datenschutzrelevante Entscheidungen innerhalb des Unternehmens durch intern Zuständige, wie etwa Datenschutzkoordinatoren oder Abteilungsleitungen, zumindest vorzubereiten, wenn nicht gar treffen zu lassen. Nach außen hin verantwortlich bleibt jedoch in jedem Fall das Unternehmen.

Wann ist die DSGVO zu beachten?

Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Nach Art. 2 Abs. 1 DSGVO umfasst er

„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Diese sperrige Beschreibung umfasst im Wesentlichen alle Verarbeitungen personenbezogener Daten durch eine elektronische Datenverarbeitung (Computer, Scanner, Digitalkameras, Smartphones) sowie strukturierte analoge Datensammlungen (wie etwa ein sortiertes Aktenregal). Von dieser Definition – und damit von der Anwendbarkeit der DSGVO – nicht umfasst werden lediglich unsortierte analoge Datensammlung (z.B. unsortierte Zettelhaufen).

Für bestimmte Bereiche gibt es jedoch Sonderregeln (wie etwa für den Beschäftigtendatenschutz, vgl. § 26 BDSG) oder Ausnahmen von der Anwendbarkeit der DSGVO (s.u.).

Wann gilt die DSGVO nicht?

Natürlich ist die DSGVO nicht in jeder einzelnen Lebenssituation zu beachten. Sie ist primär auf Datenverarbeitungen im beruflichen oder wirtschaftlichen Kontext ausgerichtet. Daher gilt die DSGVO z.B. nicht im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten (sog. Haushaltsausnahme). Jede(r) kann daher ohne Beachtung irgendwelcher Vorgaben der DSGVO private E-Mail-Korrespondenz führen oder seine privaten Kontakte (auch elektronisch) verwalten (vgl. Erwägungsgrund 18). Allerdings verlässt man diesen „privaten“ Bereich schon wieder, wenn man etwa Fotos von Familienfeiern in öffentlich zugängliche Internetforen einstellt…

Wer Verstorben ist, der genießt im Übrigen auch keinen Schutz aus der DSGVO mehr (s. Erwägungsgrund 27). Auch die Erben werden kaum datenschutzrechtlich Ansprüche für den Verstorbenen geltend machen können.

Im Übrigen beansprucht die DSGVO auch keine Geltung für Tätigkeiten, die erst gar nicht dem EU-Recht unterfallen. Gleiches gilt für Tätigkeiten durch die Mitgliedstaaten im Bereich der Gemeinsamen Außen- und Sicherheitspolitik der EU sowie für Datenverarbeitung zur Verfolgung von Straftaten und zur Strafvollstreckung – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.

Zudem gilt für den sehr speziellen Bereich der „Datenverarbeitung durch Organe und Einrichtungen der Europäischen Union“ weiterhin die gesonderte VO (EG) Nr. 45/2001.

Gilt die Datenschutz-Grundverordnung nur in Europa?

Ein klares Nein! Denn neben der einleuchtenden Anwendbarkeit auf die Datenverarbeitung von Unternehmen mit Sitz (oder Niederlassung) in der EU gilt zusätzlich das „Marktortprinzip“.

D.h.: werden personenbezogene Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der europäischen Union verarbeitet, muss sich die verarbeitende Stelle ebenso an die Vorgaben der DSGVO halten, wie wenn sie das Verhalten betroffener Personen in der EU beobachten will (Art. 3 Abs. 2 DSGVO). Dadurch fällt der Kreis der Betroffenen deutlich weiter aus. Unter anderem freuen sich auch große Internetkonzerne wie Facebook (pardon: Meta) und Google darüber, die Vorgaben der DSGVO befolgen zu dürfen, da ihre Profilbildung ein eindeutiger Fall der Beobachtung des Verhaltens betroffener Personen in der EU darstellt.

Zur besseren Orientierung hat im Übrigen auch der Europäische Datenschutzausschuss „Leitlinien zum räumlichen Anwendungsbereich der DSGVO“ aufgestellt.

Was hat sich mit der DSGVO im Datenschutz grundlegend geändert?

Datenschutz war in der Bundesrepublik auch schon vor der DSGVO ein gewichtiges Thema. Durch die DSGVO sind aber ein paar bedeutsame Aspekte bzw. Anpassungen des früheren Datenschutzrechts hinzugekommen:

So hat die DSGVO die Dokumentations- bzw. Nachweispflichten für die Verantwortlichen erheblich erweitert. Die verantwortliche Stelle muss nun etwa die Einhaltung sämtlicher in Art. 5 genannten Datenschutzgrundsätze der DSGVO nachweisen können (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Der Dokumentationsaufwand steigt damit erheblich an. Auch die Anforderungen an die Informationen der Betroffenen sind strenger und umfassender geworden. Dass nicht nur über mehr Einzelheiten, sondern zugleich auch noch „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichtet werden soll (Art. 12 DSGVO), macht es den Verantwortlichen wahrlich nicht leicht – wie man aktuell auch an vielen datenschutzrechtlich unzureichenden Cookie-Consent-Managern erkennen kann.

Gleichwohl dürfen diese Informationspflichten nicht auf die leichte Schulter genommen werden, weil ein Verstoß hiergegen bußgeldbewehrt ist. Und die DSGVO sieht einen im Vergleich zur früheren Rechtslage wesentlich erhöhten Bußgeldrahmen vor – je nach Verstoß von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit (!) erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Schließlich sind auch die weiteren Betroffenenrechte (Art. 15 ff.) bedeutend ausgeweitet und in den Fokus der Öffentlichkeit gerückt worden. Insbesondere das Auskunftsrecht, dessen konkreter Umfang weiterhin Gegenstand der Rechtsfindung durch die Gerichte ist, stellt Unternehmen vor erhebliche, sowohl organisatorische als auch finanzielle, Herausforderungen.

Wie verhält sich die DSGVO zum nationalen Recht? Ersetzt sie das BDSG?

Die DSGVO gilt als Verordnung unmittelbar und geht als europäisches Recht dem nationalen Recht (also etwa dem BDSG) vor. Allerdings enthält sie in verschiedenen Konstellationen sog. Öffnungs- oder Spezifizierungsklauseln. Diese erlauben es den Mitgliedstaaten, für die in diesen Klauseln genannten Fälle eigene Regelungen zu erlassen, die z.B. eigene Rechtsgrundlagen für eine Datenverarbeitung schaffen können, eigene Bereiche selbständig (unter Einhaltung wesentlicher Aspekte der DSGVO) zu regeln, oder Regelungen der DSGVO zu spezifizieren.

Das BDSG (Bundesdatenschutzgesetz) bleibt insoweit insbesondere für den Bereich der öffentlichen Verwaltung relevant; es enthält aber auch allgemein anwendbare Normen wie etwa den § 26 BDSG, der den Beschäftigtendatenschutz regelt. Zur Beurteilung datenschutzrechtlicher Fragestellungen sind somit die Datenschutz-Grundverordnung und die Regelungen im Allgemeinen sowie gegebenenfalls auch im bereichsspezifischen nationalen Datenschutzrecht (sei es im Landes- oder Bundesrecht) im Zusammenhang zu lesen und anzuwenden.

Welche Kritik gibt es an der DSGVO?

An erster Stelle steht hier sicherlich der erhebliche Umsetzungsaufwand, gerade auch in Bezug auf die Kosten. Aber auch die o.g. Auskunftspflichten überfordern kleinere Betriebe regelmäßig. Hinzu kommen zahlreiche ungeklärte Rechtsfragen (nicht unüblich bei neuen Gesetzen) und das Dilemma oftmals unterschiedlicher Auslegungen durch einzelne (Landes-)Datenschutzaufsichten.

Im ersten Bericht der Kommission über die Bewertung und Überprüfung der DSGVO wurde festgestellt, dass es bei der Zusammenarbeit zwischen den Aufsichtsbehörden noch hapert. Zudem bemängelte die EU-Kommission eine noch unzureichende Zurverfügungstellung von Ressourcen an die Aufsichtsbehörden. Gerade für KMUs ist die DSGVO regelmäßig eine große Herausforderung. Die von den Aufsichtsbehörden (theoretisch) zu leistenden Hilfestellungen bleiben oftmals mangels personeller Kapazitäten bei den Behörden aus.

Ein weiterhin ungelöstes Problem stellt der Drittlandtransfer (insb. in die USA) dar. Zwar haben die neuen Standarddatenschutzklauseln der Kommission gewisse Erleichterung verschafft. Angesichts der Bedeutung der USA für die Digitalisierung bedürfte es aber dringend einer politischen Klärung, um den Datenverkehr zwischen der EU und den USA zu normalisieren.

Die DSGVO – ein fortlaufendes (Erfolgs-)Projekt

Es bleibt also noch einiges zu tun, um die Kinderkrankheiten der DSGVO in den Griff zu bekommen. Nichtsdestotrotz gilt sie bereits heute in der internationalen Wahrnehmung als echte Erfolgsgeschichte. Sie hat es zum Exportschlager geschafft, wird als Vorlage für zahlreiche neue Datenschutzgesetze weltweit genutzt und als „Goldstandard“ gelobt. Fast nebenbei bewirkt sie dadurch eine zunehmende Angleichung des Datenschutzstandards auf globaler Ebene und stärkt so auch die europäische Wirtschaft.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Handelt es sich um eine Datenverarbeitung i.S.d. DSGVO, wenn eine Verantwortliche irrtümlicherweise personenbezogene Daten zur weiteren Verarbeitung erhält, die richtigerweise an einen anderen Empfänger hätten adressiert werden müssen und die falsch angeschriebene Verantwortliche die personenbezogenen Daten an den richtigen Empfänger weiterleitet?

    • In Ihrem Beispiel würde es darauf ankommen, auf welche Art und Weise die Daten erhalten wurden. Die Anwendbarkeit der DSGVO setzt eine automatisierte Verarbeitung durch ein digitales Gerät oder bei einer analogen Verarbeitung die anschließende Speicherung in einem Dateisystem voraus. Das Erhalten eines falsch adressierter Briefes würde somit nicht zwangsläufig unter die DSGVO fallen, das erhalten einer falsch adressierten E-Mail hingegen schon. Das von Ihnen angesprochene Problem, das der Verantwortliche hier Daten erhält, die er nicht haben möchte, wird oft unter dem Schlagwort „aufgedrängte Daten (-verarbeitung)“ diskutiert.

  • [Off-Topic – Von der Redaktion gelöscht]

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.