Die DSGVO ist eine Verordnung der europäischen Union. In dieser Verordnung werden die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht und geregelt. Die DSGVO soll dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und besonders deren Recht auf den Schutz bei der Verarbeitung ihrer personenbezogenen Daten innerhalb der EU sicherstellen. Der freie Verkehr personenbezogenen Daten innerhalb der EU darf aus Gründen des Schutzes der natürlichen Person bei der Verarbeitung der personenbezogenen Daten weder eingeschränkt noch verboten werden.
Die am 25.05.2018 in Kraft getretene DSGVO ersetz die seit 1995 geltende Richtline 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Mit der neuen DSGVO werden Antworten nach neustem Stand der Technik auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft gegeben. Mit einer modernen DSGVO werden Lösungen zu Fragen, die sich durch die neuen Techniken („Big Data“) und die neuen Arten der Datenverarbeitung (Profilbildung, Conversion Tracking, Web Tracking oder Cloud Computing) ergeben, für den Schutz der Privatsphäre bereitgestellt.Anwendung der DSGVO
Für die ganz oder nur teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die digital in einem Dateisystem gespeichert werden oder auch gespeichert werden sollen ist die DSGVO anzuwenden.
Zur europaweiten Vereinheitlichung des Datenschutzes wurde mit der Einführung der DSGVO eine unmittelbar in allen EU-Mitgliedsstaaten gültige Verordnung geschaffen. Die Richtlinie 95/46/EG war hingegen von den EU-Mitgliedsstaaten in nationalen Recht umgesetzt worden so dass es in den einzelnen EU-Mitgliedsstaaten zu unterschiedlichen Handhabungen kam.
Ziel und Aufgaben der DSGVO
Vornehmlich geht es in der DSGVO um personenbezogene Daten die nur noch unter Einhaltung strenger Grundsätze erhoben werden dürfen.
Grundsätze für personenbezogene Daten (Aufzählung nicht abschließend)
- auf rechtmäßige Weise, nach Treu und Glauben verarbeitet werden
- für festgelegte, eindeutige und legitime Zwecke erhoben werden
- dem Zweck angemessen und erheblich sein
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein
- so gespeichert werden, dass die Identifizierung der betroffenen Personen nur so lange ermöglich ist, wie es für die Zwecke erforderlich ist
- so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist.
Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten (Aufzählung nicht abschließend)
- die Einwilligung der betroffenen Person vorliegt
- die Erfüllung eines Vertrags erforderlich ist
- die Durchführung rechtlicher Verpflichtungen erforderlich ist
- Lebenswichtige Interessen geschützt werden müssen
- die Verarbeitung Interesse des öffentlichen Rechts hat
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
Zur Erfassung und Verarbeitung von personenbezogener Daten muss die betroffene Person eine schriftliche Einwilligung abgegeben haben. Der Verantwortliche (Datenschutzbeauftragte/-r) muss nachweisen können, dass die betroffene Person die Einwilligung zur Verarbeitung der personenbezogenen Daten abgegeben hat. Die betroffene Person kann jederzeit die Einwilligung widerrufen. Die bis zum Widerruf erhobenen personenbezogenen Daten behalten ihre Rechtmäßigkeit aufgrund der abgegebenen Einwilligung bis zum Zeitpunkt des Widerrufs. Der Widerruf der Einwilligung muss für die betroffene Personen ebenso einfach sein wie die Einwilligung selber.
Personenbezogene Daten
Die verschiedenen personenbezogenen Daten (Aufzählung nicht abschließend)
Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse, Foto, Alter, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Religionszugehörigkeit, Familienstand, Beruf, religiöse- oder politische Einstellung, Gesundheitsdaten, Vorstrafen usw.
Haut-, Augen und, Haarfarbe, Körper- und Kleidergröße, Statur, Geschlecht usw.
Personalausweisnummer, Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenkassennummer usw.
Standortortung, IP-Adresse usw.
Kontonummer, Kreditauskünfte, Kontostand usw.
Immobilieneigentum, Auto, KFZ-Kennzeichen, Grundbucheintragungen, usw.
Kundennummer, Kundenstatus, Bestellungen, Adressdaten, Bezahlarten usw.
Kapitalvermögen, Steuererklärung, Einkommensverhältnisse, Schulden, Kredite usw.
Schul- und Studiumabschluss, Zeugnisse, Arbeitszeugnisse, Zertifikate usw.
Begriffsbestimmungen der DSGVO
Die in der DSGVO verwendeten Begriffe werden im Kapitel I Artikel 4 definiert.
Begriffe der DSGVO (Aufzählung nicht abschließend)
Personenbezogene Daten
Der Begriff „personenbezogene Daten“ ist genau definiert, aber im Artikel 4 der Datenschutz Grundverordnung weit gefasst:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann
Quelle: https://dejure.org/gesetze/DSGVO DSGVO
Verarbeitung
Jeder Vorgang, ob automatisiert oder nicht, der das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogener Daten ausführt
Verantwortlicher
Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde oder Einrichtung oder auch andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet
Auftragsverarbeiter
Eine natürliche oder juristische Person (…) die im Auftrag des Verantwortlichen allein oder gemeinsam mit anderen personenbezogene Daten verarbeitet
Empfänger
Eine natürliche oder juristische Person (…) der personenbezogene Daten offengelegt werden
Einwilligung
Jede freiwillig für den bestimmten Zweck abgegebene Willensbekundung, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist
Verarbeitung besonderer Kategorien personenbezogener Daten
Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, wenn aus ihnen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso gesetzwidrig ist die Verarbeitung von genetischen, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Ausnahmen für die Verarbeitung besonderer Kategorien (Aufzählung nicht abschließend)
- die betroffene Person ihre Einwilligung zur Verarbeitung gegeben hat
- die Verarbeitung erforderlich ist um Arbeits- oder Sozialrechte durchzusetzen
- zum Schutz lebenswichtiger Interessen
Verstoß gegen die DSGVO
Jedes in der EU tätige Unternehmen muss seine Geschäftsabläufe an die neue DSGVO und damit an die neue Rechtslage anpassen. Ein Verstoß gegen die DSGVO wird mitunter mit hohen Geldstrafen geahndet.
Artikel 83 DSGVO regelt die allgemeinen Bedingungen und die Höhe der Bußgelder die bei einem Verstoß gegen die DSGVO erhoben werden. Hierbei wird unmissverständlich darauf verwiesen, dass das Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Prüfung für die Höhe der Bußgeldern (Aufzählung nicht abschließend)
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit
- Getroffene Maßnahmen zur Minderung des Schadens der betroffenen Person
- Grad der Verantwortung der getroffenen technischen und organisatorischen Maßnahmen
- Einschlägige frühere Verstöße
- Zusammenarbeit mit der Aufsichtsbehörde
- Kategorien der personenbezogenen Daten
- Art und Weise wie die Aufsichtsbehörde von dem Verstoß erfahren hat
- Einhaltung früherer getroffenen Maßnahmen wegen desselben Verstoßes
- Einhaltung von Verhaltensregeln und Zertifizierungsverfahren
- Alle anderen erschwerenden oder mildernde Maßnahmen
Höhe der Bußgelder gemäß DSGVO
Das der Datenschutz für personenbezogene Daten ein sehr wichtiges Thema für die EU ist, sieht man an den immens hohen Geldstrafen die bei einem Verstoß gegen die DSGVO erhoben werden. Für besonders gravierende Verstöße können Bußgelder in Höhe von bis zu 20.000.000 Euro (Zwanzigmillionen!) oder im Fall von Unternehmen bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. In minder schweren Fällen können Bußgelder bis zu einer Höhe von 10.000.000 Euro (Zehnmillionen!) erhoben werden oder im Fall von Unternehmen bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Informationspflicht bei Erhebung von personenbezogenen Daten
Der Verantwortliche (Datenschutzbeauftragte) hat die Pflicht der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten Auskünfte zur Verfügung zu stellen.
Informationspflicht (Aufzählung nicht abschließend)
- Namen der Kontaktperson die Verantwortlich für die Erhebung ist
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke für die die personenbezogenen Daten erhoben werden
- Empfänger der personenbezogenen Daten
- Die Dauer der Speicherung der personenbezogenen Daten
- Das Auskunftsrecht der betroffenen Person
- Das Recht die Einwilligung jederzeit zu Widerrufen
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde
- Ob die Verarbeitung eine vertragliche oder gesetzliche Grundlage hat
- Ob eine automatisierte Entscheidungsfindung (Profiling) besteht
Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht über Auskunft von Informationen von dem Verantwortlichen eine Bestätigung zu verlangen, ob und in welcher Form die personenbezogenen Daten verarbeitet werden. Sollten die personenbezogenen Daten verarbeitet werden, so hat er über festgelegte Informationen ein Recht auf Auskunft.
Auskunftspflicht (Aufzählung nicht abschließend)
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger und/oder Kategorien der personenbezogenen Daten
- nach Möglichkeit die Dauer der Speicherung
- das Recht auf Berichtigung oder Löschung der personenbezogenen Daten
- das Beschwerderecht bei einer Aufsichtsbehörde
- die Herkunft der Daten, wenn sie nicht bei der betroffenen Person erhoben wurden
- eine automatisierte Entscheidungsfindung (Profiling)
Weitere Rechte der betroffenen Person
Sind personenbezogene Daten erhoben und verarbeitet worden, so hat die betroffene Person gegenüber dem Verantwortlichen das Recht diese personenbezogenen Daten unverzüglich berichtigen, löschen oder die Verarbeitung einschränken zu lassen. Werden die Daten berichtigt, gelöscht oder irgendwie anders verändert, so hat die verantwortliche Person die Pflicht, den Betroffenen unverzüglich darüber zu informieren.
Rechte (Aufzählung nicht abschließend)
- Unverzügliche Berichtigung der personenbezogenen Daten
- Vervollständigung der personenbezogenen Daten
- Unverzügliche Löschung der personenbezogenen Daten
- wenn die personenbezogenen Daten nicht mehr notwendig sind
- der betroffene seine Einwilligung widerruft
- es an einer Rechtsgrundlage fehlt
- keine vorrangigen berechtigten Gründe zur Verarbeitung vorliegen
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden - Einschränkung der Verarbeitung
- wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person angezweifelt werden
- die Verarbeitung unrechtmäßig ist
- die Speicherung nicht mehr länger nötig ist
- die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat
