Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 in allen Mitgliedstaaten gilt und den Schutz personenbezogener Daten regelt. Sie wurde eingeführt, um die Privatsphäre der Bürger in der Europäischen Union zu stärken und einen einheitlichen Rechtsrahmen für den Datenschutz zu schaffen. Personenbezogene Daten umfassen Informationen, die eine Person identifizieren können, wie Namen, Adressen, Geburtsdaten, IP-Adressen oder Gesundheitsdaten.
Die wichtigsten Punkte der DSGVO:
1. Rechtsgrundlagen der Datenverarbeitung
Unternehmen, Behörden und andere Organisationen dürfen personenbezogene Daten nur unter bestimmten Bedingungen erheben und verarbeiten. Das kann der Fall sein, wenn die betroffene Person ihre Einwilligung gegeben hat, die Daten zur Erfüllung eines Vertrags notwendig sind oder rechtliche Pflichten erfüllt werden müssen. Alle erhobenen Daten dürfen nur für den festgelegten Zweck verwendet und so lange gespeichert werden, wie es erforderlich ist.
2. Rechte der betroffenen Personen
Die DSGVO soll die Rechte der Bürger stärken, indem sie ihnen umfassende Kontrolle über ihre Daten ermöglicht:
- Recht auf Auskunft: Bürger haben das Recht zu erfahren, welche Daten über sie gespeichert sind.
- Recht auf Berichtigung: Falsche Daten müssen auf Wunsch korrigiert werden.
- Recht auf Löschung (Recht auf Vergessenwerden): Personen können verlangen, dass ihre Daten unter bestimmten Umständen gelöscht werden.
- Recht auf Datenübertragbarkeit: Nutzer können ihre Daten zu einem anderen Anbieter übertragen lassen.
- Widerspruchsrecht: Bürger können der Verarbeitung ihrer Daten widersprechen, besonders bei der Nutzung für Werbung.
3. Pflichten für Unternehmen
Unternehmen müssen sicherstellen, dass personenbezogene Daten sicher aufbewahrt und verarbeitet werden. Sie sind verpflichtet, Datenpannen innerhalb von 72 Stunden zu melden, wenn personenbezogene Daten betroffen sind. Außerdem müssen sie den Grundsatz der Datensicherheit und Datenminimierung beachten – Daten sollen also nur in dem Umfang erhoben werden, wie es notwendig ist.
4. Datenschutzbeauftragter
Unternehmen, die viele oder besonders sensible Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Dieser überwacht die Einhaltung der DSGVO und dient als Ansprechpartner für Datenschutzfragen.
5. Strafen bei Verstößen
Die Nichteinhaltung der DSGVO kann hohe Strafen nach sich ziehen. Unternehmen müssen mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes rechnen, wenn sie gegen die Vorschriften verstoßen.
Datenübermittlung in Drittländer
Ein besonderer Aspekt der DSGVO ist die Datenverarbeitung in Drittländern, also außerhalb der EU. Personenbezogene Daten dürfen nur in Länder außerhalb der EU übermittelt werden, wenn diese Länder ein angemessenes Datenschutzniveau bieten. Dies wird durch die EU-Kommission festgelegt. Länder wie die Schweiz und Kanada erfüllen diese Kriterien, während andere, wie die USA, aufgrund der mangelnden Kontrolle über Geheimdienste und unzureichender Betroffenenrechte als problematisch gelten. Im „Schrems II“-Urteil hat der Europäische Gerichtshof das Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt, was die Übertragung von Daten in die USA erschwert. Unternehmen müssen nun alternative rechtliche Grundlagen wie Standardvertragsklauseln nutzen, um Daten in unsichere Drittstaaten zu übertragen.
