Die DSGVO ist eine Verordnung der europäischen Union. In dieser Verordnung werden die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht und geregelt. Die DSG-VO soll dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und besonders deren Recht auf den Schutz bei der Verarbeitung ihrer personenbezogenen Daten innerhalb der EU sicherstellen. Der freie Verkehr personenbezogenen Daten innerhalb der EU darf aus Gründen des Schutzes der natürlichen Person bei der Verarbeitung der personenbezogenen Daten weder eingeschränkt noch verboten werden.
Die am 25.05.2018 in Kraft getretene DS-GVO ersetz die seit 1995 geltende Richtline 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Mit der neuen DS-GVO werden Antworten nach neustem Stand der Technik auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft gegeben. Mit einer modernen DS-GVO werden Lösungen zu Fragen, die sich durch die neuen Techniken („Big Data“) und die neuen Arten der Datenverarbeitung (Profilbildung, Conversion Tracking, Web Tracking oder Cloud Computing) ergeben, für den Schutz der Privatsphäre bereitgestellt.
Anwendung der DS-GVO
Für die ganz oder nur teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die digital in einem Dateisystem gespeichert werden oder auch gespeichert werden sollen ist die DS-GVO anzuwenden.
Zur europaweiten Vereinheitlichung des Datenschutzes wurde mit der Einführung der DS-GVO eine unmittelbar in allen EU-Mitgliedsstaaten gültige Verordnung geschaffen. Die Richtlinie 95/46/EG war hingegen von den EU-Mitgliedsstaaten in nationalen Recht umgesetzt worden so dass es in den einzelnen EU-Mitgliedsstaaten zu unterschiedlichen Handhabungen kam.
Ziel und Aufgaben der DS-GVO
Vornehmlich geht es in der DS-GVO um personenbezogene Daten die nur noch unter Einhaltung strenger Grundsätze erhoben werden dürfen.
Personenbezogene Daten müssen demnach (Aufzählung nicht abschließend):
- auf rechtmäßige Weise, nach Treu und Glauben verarbeitet werden
- für festgelegte, eindeutige und legitime Zwecke erhoben werden
- dem Zweck angemessen und erheblich sein
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein
- so gespeichert werden, dass die Identifizierung der betroffenen Personen nur so lange ermöglich ist, wie es für die Zwecke erforderlich ist
- so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist.
Die Verarbeitung von personenbezogenen Daten ist nur Rechtmäßig, wenn (Aufzählung nicht abschließend):
- die Einwilligung der betroffenen Person vorliegt
- die Erfüllung eines Vertrags erforderlich ist
- die Durchführung rechtlicher Verpflichtungen erforderlich ist
- Lebenswichtige Interessen geschützt werden müssen
- die Verarbeitung Interesse des öffentlichen Rechts hat
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
Zur Erfassung und Verarbeitung von personenbezogener Daten muss die betroffene Person eine schriftliche Einwilligung abgegeben haben. Der Verantwortliche (Datenschutzbeauftragte/-r) muss nachweisen können, dass die betroffene Person die Einwilligung zur Verarbeitung der personenbezogenen Daten abgegeben hat. Die betroffene Person kann jederzeit die Einwilligung widerrufen. Die bis zum Widerruf erhobenen personenbezogenen Daten behalten ihre Rechtmäßigkeit aufgrund der abgegebenen Einwilligung bis zum Zeitpunkt des Widerrufs. Der Widerruf der Einwilligung muss für die betroffene Personen ebenso einfach sein wie die Einwilligung selber.
Personenbezogenen Daten:
Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse, Foto, Alter, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Religionszugehörigkeit, Familienstand, Beruf, religiöse- oder politische Einstellung, Gesundheitsdaten, Vorstrafen usw.
Haut-, Augen und, Haarfarbe, Körper- und Kleidergröße, Statur, Geschlecht usw.
Personalausweisnummer, Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenkassennummer usw.
Standortortung, IP-Adresse usw.
Kontonummer, Kreditauskünfte, Kontostand usw.
Immobilieneigentum, Auto, KFZ-Kennzeichen, Grundbucheintragungen, usw.
Kundennummer, Kundenstatus, Bestellungen, Adressdaten, Bezahlarten usw.
Kapitalvermögen, Steuererklärung, Einkommensverhältnisse, Schulden, Kredite usw.
Schul- und Studiumabschluss, Zeugnisse, Arbeitszeugnisse, Zertifikate usw.
Begriffsbestimmungen der DS-GVO
Die in der DS-GVO verwendeten Begriffe werden im Kapitel I Artikel 4 definiert. Die wichtigsten Begriffe kurz zusammengefasst:
Personenbezogene Daten
Der Begriff „personenbezogene Daten“ ist genau definiert, aber im Artikel 4 der Datenschutz Grundverordnung weit gefasst:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann
Quelle: https://dejure.org/gesetze/DSGVOÂ DS-GVO
Verarbeitung
Jeder Vorgang, ob automatisiert oder nicht, der das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogener Daten ausführt
Verantwortlicher
Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde oder Einrichtung oder auch andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet
Auftragsverarbeiter
Eine natürliche oder juristische Person (…) die im Auftrag des Verantwortlichen allein oder gemeinsam mit anderen personenbezogene Daten verarbeitet
Empfänger
Eine natürliche oder juristische Person (…) der personenbezogene Daten offengelegt werden
Einwilligung
Jede freiwillig für den bestimmten Zweck abgegebene Willensbekundung, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist
Verarbeitung besonderer Kategorien personenbezogener Daten
Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, wenn aus ihnen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso gesetzwidrig ist die Verarbeitung von genetischen, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Eine Ausnahme gilt, unter anderem wenn (Aufzählung nicht abschließend):
- die betroffene Person ihre Einwilligung zur Verarbeitung gegeben hat
- die Verarbeitung erforderlich ist um Arbeits- oder Sozialrechte durchzusetzen
- zum Schutz lebenswichtiger Interessen
Verstoß gegen die DS-GVO
Jedes in der EU tätige Unternehmen muss seine Geschäftsabläufe an die neue DS-GVO und damit an die neue Rechtslage anpassen. Ein Verstoß gegen die DS-GVO wird mitunter mit hohen Geldstrafen geahndet.
Artikel 83 DSGVO regelt die allgemeinen Bedingungen und die Höhe der Bußgelder die bei einem Verstoß gegen die DS-GVO erhoben werden. Hierbei wird unmissverständlich darauf verwiesen, dass das Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Bei der Verhängung von Bußgeldern ist wird unter anderem gebührend geprüft (Aufzählung nicht abschließend):
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit
- Getroffene Maßnahmen zur Minderung des Schadens der betroffenen Person
- Grad der Verantwortung der getroffenen technischen und organisatorischen Maßnahmen
- Einschlägige frühere Verstöße
- Zusammenarbeit mit der Aufsichtsbehörde
- Kategorien der personenbezogenen Daten
- Art und Weise wie die Aufsichtsbehörde von dem Verstoß erfahren hat
- Einhaltung früherer getroffenen Maßnahmen wegen desselben Verstoßes
- Einhaltung von Verhaltensregeln und Zertifizierungsverfahren
-  Alle anderen erschwerenden oder mildernde Maßnahmen
Höhe der Bußgelder gemäß DS-GVO
Das der Datenschutz für personenbezogene Daten ein sehr wichtiges Thema für die EU ist, sieht man an den immens hohen Geldstrafen die bei einem Verstoß gegen die DS-GVO erhoben werden. Für besonders gravierende Verstöße können Bußgelder in Höhe von bis zu 20.000.000 Euro (Zwanzigmillionen!) oder im Fall von Unternehmen bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. In minder schweren Fällen können Bußgelder bis zu einer Höhe von 10.000.000 Euro (Zehnmillionen!) erhoben werden oder im Fall von Unternehmen bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Informationspflicht bei Erhebung von personenbezogenen Daten
 Der Verantwortliche (Datenschutzbeauftragte) hat die Pflicht der betroffenen Person bei Erhebung der personenbezogenen Daten folgende Auskünfte zur Verfügung zu stellen (Aufzählung nicht abschließend):
- Namen der Kontaktperson die Verantwortlich für die Erhebung ist
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke für die die personenbezogenen Daten erhoben werden
- Empfänger der personenbezogenen Daten
- Die Dauer der Speicherung der personenbezogenen Daten
- Das Auskunftsrecht der betroffenen Person
- Das Recht die Einwilligung jederzeit zu Widerrufen
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde
- Ob die Verarbeitung eine vertragliche oder gesetzliche Grundlage hat
- Ob eine automatisierte Entscheidungsfindung (Profiling) besteht
Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht über Auskunft von Informationen von dem Verantwortlichen über (Aufzählung nicht abschließend):
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger und/oder Kategorien der personenbezogenen Daten
- nach Möglichkeit die Dauer der Speicherung
- das Recht auf Berichtigung oder Löschung der personenbezogenen Daten
- das Beschwerderecht bei einer Aufsichtsbehörde
- die Herkunft der Daten, wenn sie nicht bei der betroffenen Person erhoben wurden
- Â eine automatisierte Entscheidungsfindung (Profiling)
Weitere Rechte der betroffenen Person
Sind personenbezogene Daten erhoben und Verarbeitet worden, so hat die betroffene Person gegenüber dem Verantwortlichen folgende Rechte (Aufzählung nicht abschließend):
- Unverzügliche Berichtigung der personenbezogenen Daten
- Vervollständigung der personenbezogenen Daten
- Unverzügliche Löschung der personenbezogenen Daten
– wenn die personenbezogenen Daten nicht mehr notwendig sind
– der betroffene seine Einwilligung widerruft
– es an einer Rechtsgrundlage fehlt
– keine vorrangigen berechtigten Gründe zur Verarbeitung vorliegen
– die personenbezogenen Daten unrechtmäßig verarbeitet wurden - Einschränkung der Verarbeitung
– wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person angezweifelt werden
– die Verarbeitung unrechtmäßig ist
– die Speicherung nicht mehr länger nötig ist
– die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat