Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) – auf Englisch: GDPR (General Data Protection Regulation) – in der gesamten Europäischen Union in Kraft. Sie ist eine EU-Verordnung und gilt damit unmittelbar in allen Mitgliedstaaten – ohne nationale Umsetzung.
Die DSGVO regelt wie personenbezogene Daten von natürlichen Personen erhoben, verarbeitet und gespeichert werden dürfen. Sie gibt betroffenen Personen umfangreiche Rechte und legt Unternehmen und Behörden klare Pflichten auf. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden – je nachdem was höher ist.
Personenbezogene Daten sind alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Person muss nicht namentlich bekannt sein – es reicht wenn sie indirekt identifiziert werden kann.
Beispiele: Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Standortdaten, Kfz-Kennzeichen, Kundennummer, Foto, Fingerabdruck, Gesundheitsdaten.
Keine personenbezogenen Daten: Vollständig anonymisierte Daten bei denen kein Rückschluss auf eine Person mehr möglich ist.
Bestimmte Datenkategorien sind besonders sensibel und genießen erhöhten Schutz. Die Verarbeitung dieser Daten ist grundsätzlich verboten – außer es greift eine der engen Ausnahmen:
Gesundheitsdaten und genetische Daten
Biometrische Daten (zur eindeutigen Identifizierung)
Rassische und ethnische Herkunft
Politische Meinungen, religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
Sexuelle Orientierung
Der Verantwortliche ist die natürliche oder juristische Person (Unternehmen, Behörde) die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung entscheidet. Das ist in der Regel das Unternehmen das Daten erhebt und nutzt.
Ein Auftragsverarbeiter ist eine Person oder Organisation die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Beispiel: Ein Cloud-Dienstleister der Kundendaten auf seinen Servern speichert. Zwischen Verantwortlichem und Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.
Die betroffene Person ist die natürliche Person deren Daten verarbeitet werden – der Kunde, Mitarbeiter, Nutzer. Die DSGVO gibt ihr umfangreiche Rechte.
Der Begriff Verarbeitung ist sehr weit gefasst: Er umfasst jeden Umgang mit personenbezogenen Daten – Erheben, Erfassen, Speichern, Verändern, Übermitteln, Verknüpfen, Löschen. Selbst das bloße Lesen einer gespeicherten Datei ist eine Verarbeitung.
Alle Datenverarbeitung muss diesen sieben Grundsätzen genügen:
Grundsatz | Bedeutung |
|---|---|
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Verarbeitung braucht eine Rechtsgrundlage und muss für Betroffene nachvollziehbar sein |
Daten dürfen nur für den festgelegten Zweck genutzt werden | |
Nur so viele Daten wie nötig erheben | |
Richtigkeit | Daten müssen korrekt und aktuell sein |
Daten dürfen nicht länger als nötig gespeichert werden | |
Angemessene technische und organisatorische Schutzmaßnahmen (TOM) | |
Der Verantwortliche muss die Einhaltung nachweisen können |
Die DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU. Sie gilt auch für Unternehmen außerhalb der EU wenn sie Daten von EU-Bürgern verarbeiten – das nennt man das Marktortprinzip. Ein US-amerikanisches Unternehmen das eine App für europäische Nutzer anbietet muss die DSGVO einhalten.
Die DSGVO gilt seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten
Personenbezogene Daten sind alle Informationen die eine natürliche Person identifizierbar machen
Besondere Kategorien (Gesundheit, Religion, Biometrie...) genießen erhöhten Schutz
Verantwortlicher entscheidet über Zweck und Mittel der Verarbeitung
Auftragsverarbeiter verarbeiten im Auftrag – AVV nach Art. 28 ist Pflicht
Sieben Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht
Das Marktortprinzip gilt auch für Nicht-EU-Unternehmen die EU-Bürger-Daten verarbeiten