Die "Datenschutz-Grundverordnung" (auch DSGVO oder EU-DSGVO oder englisch GDPR genannt) ist eine Verordnung der Europäischen Union, in der der Datenschutz in der EU neugeregelt wird. Am 25. Mai 2018 enden die letzten Übergangsphasen und die DSGVO tritt endgültig in Kraft. Bisher geltendes Recht wird damit ersetzt. Zum einen sollen durch die DSGVO die EU-Bürger stärker vor dem Missbrauch ihrer Daten geschützt werden, zum anderen sollen die Regelungen in den EU-Mitgliedsstaaten so vereinheitlicht werden.
Die DSGVO gilt in allen 28 Mitgliedsstaaten, auch in den "exotischeren" Mitgliedern wie Malta oder Zypern. Dass beispielsweise Anbieter von Sportwetten auf diesen Inseln beheimatet sind, hat sicher auch etwas mit dem Datenschutz zu tun.
Bisher waren in Deutschland maximal 300.000 Euro als Strafgelder für Verstöße gegen den Datenschutz möglich. Ab dem 25. Mai 2018 sind es 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.
Verbraucher haben nun das Recht auf Vergessenwerden. Unternehmen müssen auf Aufforderung alle Daten über den Verbraucher löschen. Darauf müssen die Unternehmen vorbereitet sein und auch technische Möglichkeiten bereitstellen, die dem Verbraucher erlauben, die Löschung zu beantragen.
Unternehmen brauchen nicht grundsätzlich einen Datenschutzbeauftragten, das ist ein verbreitetes Missverständnis. Sie brauchen einen, wenn es Verarbeitungsvorgänge gibt, die eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich" machen. Außerdem ist der Datenschutzbeauftragte nötig, wenn besondere persönliche Daten erhoben und verarbeitet werden.
Wenn die Form der Datenverarbeitung ein "hohes Risiko" beinhaltet, dann muss eine "Abschätzung der Folgen" durchgeführt werden. Das Risiko ist hoch, wenn in der Datenverarbeitung die systematische und umfassende Bewertung besonderer persönlicher Aspekte natürlicher Personen vorgenommen wird.In anderen Worten: Immer dann, wenn es um Sex, Religion, Nationalität, Rasse, Ethnie, Gesundheit, Vorstrafen, Gene, biometrische Merkmale oder um die systematische Überwachung von öffentlichen Plätzen geht, ist besondere Vorsicht – und die Folgeabschätzung – Pflicht.
In der DSGVO sind insbesondere die Informations- und Löschungspflichten neue Pflichten für Unternehmen aus Deutschland. Betroffene Menschen haben ein umfassendes Auskunftsrecht und können von Unternehmen eine Kopie Ihrer Daten in elektronischer Form verlangen. Außerdem haben Betroffene das Recht auf Vergessenwerden. Auf Aufforderung müssen Unternehmen alle Daten des Nutzers löschen, die über den Betroffenen vorliegen.
Abhängig von der Tätigkeit des Unternehmens und den damit zusammenhängenden Risiken kann mit dieser Formel vom Zaun oder Türschloss bis zum VPN alles gemeint sein. Eine Auflistung finden Sie hier.
Grundsätzlich müssen alle Verletzungen des Datenschutzes gemeldet werden; und zwar innerhalb von 72 Stunden nach Bekanntwerden. An wen? An die zuständige Aufsichtsbehörde (je nach Land unterschiedlich) und – sofern möglich – an die betroffenen Personen. Sorgt die Verletzung des Datenschutzes "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen", ist keine Meldepflicht gegeben.
zurück zum Anfang