DSGVO und Datenschutz: Was müssen Sie wissen?

Die Datenschutz-Grundverordnung (DSGVO) ist ein zentrales Regelwerk für den Datenschutz. Dieser Artikel erklärt die grundlegenden Ziele, den Anwendungsbereich und die wichtigsten Pflichten, die sich aus der DSGVO ergeben. Er beleuchtet zudem die wesentlichen Änderungen, die die Verordnung für Unternehmen und den Schutz personenbezogener Daten mit sich gebracht hat.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung, kurz DSGVO, ist ein europäischer Rechtsakt in Form einer Verordnung. Im Gegensatz zu Richtlinien gelten Verordnungen in allen EU-Mitgliedstaaten unmittelbar und müssen nicht erst durch nationale Gesetze umgesetzt werden. Erklärtes Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zugleich die Gewährleistung deren freien Verkehrs (Art. 1 Abs. 1 DSGVO).

Diese Ziele wurden mit der früher geltenden Datenschutz-Richtlinie (Richtlinie 95/46/EG) nicht erreicht, weshalb der europäische Gesetzgeber den Datenschutz mit der DSGVO vereinheitlichte.

Wann ist die DSGVO in Kraft getreten?

Obwohl die Verordnung bereits am 25. Mai 2016 in Kraft trat, gilt sie gemäß Art. 99 Abs. 2 DSGVO erst seit dem 25. Mai 2018. Diese zweijährige Übergangsfrist wurde von vielen Unternehmen für die Umsetzung genutzt.

Wen schützt die DSGVO?

Laut Art. 1 Abs. 2 DSGVO schützt die Verordnung

„die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

Im Zentrum der DSGVO steht also nicht der Schutz von Daten an sich – die DSGVO zielt vielmehr darauf ab, die Grundrechte und Grundfreiheiten natürlicher Personen, auf die sich diese Daten beziehen, zu schützen.

Aus diesem Grund können nur natürliche Personen als „Betroffene“ und somit als Rechteinhaber im Sinne der DSGVO gelten (vgl. Erwägungsgrund 14). Unternehmen und andere juristische Personen fallen nicht unter den Schutzbereich der Verordnung.

Wer ist für die Umsetzung der DSGVO-Vorgaben verantwortlich?

Die zahlreichen Pflichten der DSGVO richten sich an den sogenannten Verantwortlichen für die Verarbeitung personenbezogener Daten. Laut der Definition in Art. 4 Nr. 7 DSGVO ist dies

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

In der freien Wirtschaft ist somit das Unternehmen selbst der Verantwortliche im Sinne der DSGVO, wobei intern die Verantwortung bei der Geschäftsführung liegt. Selbst wenn datenschutzrelevante Aufgaben und Entscheidungen an interne Stellen wie Datenschutzkoordinatoren oder Abteilungsleitungen delegiert würden, bleibt das Unternehmen nach außen hin verantwortlich für den Datenschutz.

Wann ist die DSGVO zu beachten?

Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Gemäß Art. 2 Abs. 1 DSGVO gilt sie für

„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Dies betrifft den Datenschutz in fast allen Unternehmensbereichen. Denn diese Definition schließt praktisch alle digitalen Verarbeitungen personenbezogener Daten (via Computer, Scanner, Digitalkamera, Smartphone etc.) und strukturierte analoge Sammlungen personenbezogener Daten (z. B. mittels sortierter Akten) ein.

Lediglich unsortierte rein manuelle Datensammlungen, wie z. B. unsortierte Haufen von Hand beschriebener Zettel, die dieses Schicksal auf ewig teilen sollen, sind vom Anwendungsbereich ausgenommen.

Für bestimmte Bereiche, wie den Beschäftigtendatenschutz (vgl. § 26 BDSG), existieren zudem Sonderregeln, die neben der DSGVO zu beachten sind.

In welchen Fällen gilt die DSGVO nicht?

Die DSGVO ist nicht in jeder Lebenssituation zu beachten bzw. anwendbar. Eine wichtige Ausnahme ist die Verarbeitung von personenbezogenen Daten im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten, die sog. Haushaltsausnahme (vgl. Erwägungsgrund 18).

Somit unterliegt private E-Mail-Korrespondenz keinen DSGVO-Vorgaben. Dieser private Rahmen wird jedoch verlassen, sobald beispielsweise Fotos auf öffentlich zugänglichen Plattformen geteilt werden.

Verstorbene genießen keinen Schutz durch die DSGVO (vgl. Erwägungsgrund 27).

Darüber hinaus beansprucht die DSGVO keine Geltung für Tätigkeiten, die nicht dem EU-Recht unterfallen, wie im Bereich der Gemeinsamen Außen- und Sicherheitspolitik der EU. Auch die Datenverarbeitung zur Verfolgung von Straftaten und zur Strafvollstreckung ist ausgenommen – hierfür ist die Richtlinie (EU) 2016/680 maßgeblich. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Europäischen Union gilt die spezielle Verordnung (EU) 2018/1725.

Gilt die DSGVO nur in Europa?

Nein, der Geltungsbereich der DSGVO ist nicht auf Europa beschränkt. Neben Unternehmen mit Sitz oder Niederlassung in der EU gilt die Verordnung aufgrund des sog. Marktortprinzips auch für Organisationen außerhalb der EU.

Dieses kommt gem. Art. 3 Abs.2 DSGVO zum Tragen, wenn personenbezogene Daten von Personen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der europäischen Union oder Beobachtung deren dort stattfindendes Verhalten verarbeitet werden.

Zur Orientierung hat der Europäische Datenschutzausschuss hierzu Leitlinien veröffentlicht.

Was hat sich durch die DSGVO im Datenschutz geändert?

Obwohl der Datenschutz in Deutschland schon vor der DSGVO eine wichtige Rolle spielte, hat die Verordnung einige wesentliche Änderungen und Verschärfungen mit sich gebracht.

Zu den dadurch grundlegenden Neuerungen für den Datenschutz gehören:

• Erweiterte Dokumentations- bzw. Nachweispflichten: Verantwortliche müssen die Einhaltung der in 5 Abs. 1 DSGVO genannten Datenschutzgrundsätze jederzeit nachweisen können (sog. Rechenschaftspflicht gem. Art. 5 Abs.2 DSGVO). Der Dokumentationsaufwand für Verantwortliche stieg bzw. steigt damit erheblich an.
• Umfassendere Informationspflichten: Betroffene Personen müssen umfangreiche, präzise, transparente und leicht verständliche und leicht zugängliche Informationen über die Datenverarbeitung erhalten (Art. 12, 13 und 14 DSGVO).
• Erhöhter Bußgeldrahmen: Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres und auch des gesamten Konzerns geahndet werden, je nachdem, welcher Wert der höhere ist.
• Gestärkte Betroffenenrechte: Betroffenenrechte (Art. 15 DSGVO ff.) wie das Auskunftsrecht (Art. 15 DSGVO) wurden ausgeweitet und stellen Unternehmen vor organisatorische und finanzielle Herausforderungen.

Wie verhält sich die DSGVO zum nationalen Datenschutzrecht?

Als EU-Verordnung gilt die DSGVO unmittelbar in allen Mitgliedstaaten und hat Vorrang vor nationalem Recht wie dem Bundesdatenschutzgesetz (BDSG). Sie enthält jedoch sogenannte Öffnungs- bzw. Spezifizierungsklauseln. Diese erlauben es den nationalen Gesetzgebern der Mitgliedstaaten, z.B. bestimmte Bereiche des Datenschutzes durch Regelungen zu konkretisieren oder spezifische Rechtsgrundlagen für die Datenverarbeitung zu schaffen.

Das BDSG bleibt daher weiterhin relevant, insbesondere für die öffentliche Verwaltung und durch spezifische Normen wie § 26 BDSG zum Beschäftigtendatenschutz.

Für eine korrekte datenschutzrechtliche Beurteilung müssen daher stets die DSGVO und die anwendbaren nationalen Gesetze im Zusammenspiel betrachtet werden.

Welche Kritik gibt es an der DSGVO?

Die Hauptkritik an der DSGVO betrifft den hohen Umsetzungsaufwand und die damit verbundenen Kosten, die insbesondere kleine und mittlere Unternehmen (KMU) belasten.

Auch die umfassenden Auskunftspflichten, ungeklärte Rechtsfragen und uneinheitliche Auslegungen durch einzelne (Landes-)Datenschutz-Aufsichtsbehörden stellen eine große Herausforderung dar.

Zudem wird eine mangelnde Zusammenarbeit zwischen den europäischen Aufsichtsbehörden sowie deren unzureichende personelle Ausstattung kritisiert.

Ein zentrales ungelöstes Problem bleibt der Datentransfer in Drittländer wie die USA. Trotz neuer Standarddatenschutzklauseln der EU-Kommission fehlt eine stabile politische Lösung, die den transatlantischen Datenverkehr rechtssicher gestaltet und den nötigen Datenschutz gewährleistet.

Die DSGVO bleibt ein zentraler Baustein für den globalen Datenschutz

Trotz bestehender Herausforderungen und offener Rechtsfragen hat sich die DSGVO als wegweisendes Regelwerk etabliert. Es bleibt zwar weiterhin notwendig, Unklarheiten zu beseitigen und die Zusammenarbeit der Aufsichtsbehörden zu verbessern, doch die Grundprinzipien der Verordnung haben sich bewährt. Der Fokus auf Transparenz, Rechenschaftspflicht und die Stärkung der Betroffenenrechte hat den Datenschutz nachhaltig geprägt.

International gilt die DSGVO als „Goldstandard“ der Datenschutzgesetzgebung, der weltweit als Vorlage für neue Datenschutzgesetze dient. Diese Entwicklung fördert nicht nur eine globale Angleichung der Schutzstandards, sondern stärkt auch die Position der europäischen Wirtschaft. Die DSGVO ist somit mehr als nur ein Gesetz – sie ist ein fortlaufendes Projekt, das die Grundrechte der Bürger sichert.