Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Die europäische Datenschutz-Grundverordnung (DSGVO)

eine Hand hält eine Kugel bestehend aus digitalen Netzpunkten und darin schwebt ein Datenschutzschild
Quelle: ©geralt via Pixabay

Gleiche Datenschutzstandards für alle

Was steckt dahinter?

Die Datenschutz-Grundverordnung (DSGVO) ist eine von der Europäischen Union (EU) erlassene Verordnung zum Schutz personenbezogener Daten. Sie soll sowohl ein hohes Datenschutzniveau als auch den freien Datenverkehr in Europa gewährleisten. Dabei gelten ihre Vorgaben nicht nur für die Mitgliedstaaten und hiesigen Unternehmen, sondern auch für außereuropäische Marktteilnehmer, die Daten von EU-Bürgern bzw. generell innerhalb der EU verarbeiten möchten. Unmittelbar gilt die DSGVO zudem auch für die Teilnehmer am Europäischen Wirtschaftsraum (EWR) wie Island, Liechtenstein und Norwegen.

Die Verordnung ist am 25. Mai 2016 in Kraft getreten und seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindlich anwendbar. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen, Vereine und Einzelpersonen. Um den gesteigerten europäischen Charakter des Datenschutzes zu verstärken, führte die DSGVO auch erstmals verbindliche Entscheidungen auf dieser Ebene ein, die vor allem im extra dafür geschaffenen Europäischen Datenschutzausschuss (EDSA) getroffen werden. Darüber hinaus hat jeder Mitgliedstaat noch mindestens eine eigene Datenschutz-Aufsichtsbehörde, die sich um nationale Aufgaben kümmert.

In welchem Verhältnis stehen DSGVO und BDSG?

Natürlich gab es in der EU auch vor der DSGVO schon Datenschutz. Er wurde durch die aus dem Jahr 1995 stammende Datenschutzrichtlinie 95/46/EG geregelt. In Deutschland wurde diese durch das Bundesdatenschutzgesetz (BDSG) umgesetzt. Die erste Fassung dieses Gesetzes zum Schutz vor Missbrauch personenbezogener Daten ist aber noch viel älter. Es trat bereits am 27. Januar 1977 in Kraft. Damit ist das BDSG aber trotzdem nicht das älteste Datenschutzgesetz der Welt. Diesen Titel hält das Hessische Datenschutzgesetz vom 13. Oktober 1970. Nicht umsonst gilt Deutschland als „Wiege des Datenschutzes“.

Die letzte Neufassung des BDSG erfolgte zur Anpassung des Gesetzes an die DSGVO. Dieser Schritt war notwendig geworden, weil die DSGVO als EU-Verordnung unmittelbar auch in Deutschland als Recht gilt. Das Bundesdatenschutzgesetz ergänzt und präzisiert die europäische Datenschutz-Grundverordnung an den Stellen, die den EU-Staaten durch sogenannte Öffnungsklauseln ausdrücklich selbst überlassen wurden. Es greift mit seinen Bestimmungen also nur dann, wenn die DSGVO dies zulässt oder nicht angewendet werden kann. Das gilt zum Beispiel für die Verarbeitung von Beschäftigtendaten oder die Einrichtung von Aufsichtsbehörden. Will man also den vollen „Durchblick“ in Sachen Datenschutz haben, muss man die DSGVO und das BDSG zusammen betrachten – und noch mehrere Hundert weitere bereichsspezifische Datenschutzregeln.

Wie wirkt sich die DSGVO aus?

Die Antwort auf diese Frage fällt unterschiedlich aus – je nachdem, welche „Seite der Medaille“ man betrachtet. Die DSGVO stärkte zunächst einmal die Rechte von EU-Bürgerinnen und -Bürgern. Sie genießen nun in allen Mitgliedstaaten die gleiche Rechtssicherheit und haben das letzte Wort in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Private Unternehmen und öffentliche Stellen, die schon immer datenschutzkonform gehandelt haben, mussten nur sehr wenig anpassen. In manchen Bereichen gibt es jetzt gesteigerte Anforderungen, zum Beispiel bei der Rechenschaftspflicht oder dem Verarbeitungsverzeichnis. Manche Dinge sind aber auch komplett neu. So gab es vorher zum Beispiel das Recht auf Datenübertragbarkeit noch gar nicht.

Es lohnt sich in jedem Fall, sich mit der DSGVO auseinanderzusetzen, denn bei Verstößen gegen die Verordnung drohen enorme Bußgelder. Sie können bis zu 20 Millionen Euro bzw. 4 Prozent des gesamten (weltweiten) Jahresumsatzes eines Unternehmens betragen. Andererseits vereinfachte die Verordnung die Situation für europaweit tätige Unternehmen auch. Sie müssen die gesetzliche Lage nun nicht mehr gesondert für jeden einzelnen europäischen Standort betrachten. Da die DSGVO den Verantwortlichen konkrete und einheitliche Verhaltensregeln in Bezug auf den Datenschutz an die Hand gibt, erleichtert sie die Einhaltung aller gesetzlichen Bestimmungen enorm.

Was versteht man unter One-Stop-Shop?

Oft ist nicht nur eine Datenschutz-Aufsichtsbehörde in der EU an einem Verfahren beteiligt, sondern es sind gleich mehrere involviert. Hierfür wurde das One-Stop-Shop-Verfahren in die DSGVO aufgenommen. Dieses legt fest, dass bei grenzüberschreitend tätigen Unternehmen in der EU die Aufsichtsbehörde an der Hauptniederlassung des Verantwortlichen die federführende ist. Sinn der Sache ist es, eine einheitliche Kommunikation und darüber eine Harmonisierung der aufsichtsrechtlichen Tätigkeiten innerhalb der EU zu gewährleisten. So sollten sich alle Verantwortlichen zum Ziel setzen, den mit der DSGVO vereinheitlichten Rechtsrahmen auch einheitlich auszulegen. Für Unternehmen mit verschiedenen Anknüpfungspunkten in der EU wird also die Aufsichtsbehörde der Hauptniederlassung als einziger Ansprechpartner tätig.

Sollte es hierbei zu Meinungsverschiedenheiten zwischen der federführenden und weiteren beteiligten Aufsichtsbehörden kommen, wird der Europäische Datenschutzausschuss zur Streitbeilegung angerufen, der dann einen verbindlichen Beschluss zur Streitbeilegung fassen kann.

Welche Rechte haben Sie nun genau?

Recht auf Auskunft

Sie können jederzeit von einer datenverarbeitenden Stelle darüber Auskunft verlangen, ob diese personenbezogene Daten von Ihnen verarbeitet. Ist dies der Fall, können Sie weitere, die konkrete Verarbeitung betreffende Informationen einfordern und sogar eine Kopie ihrer Daten. Dieses Recht ist in aller Regel kostenlos.

Recht auf Löschung

Wenn beispielsweise ein Unternehmen oder eine öffentliche Stelle Ihre Daten nicht mehr benötigt oder Sie Ihre Einwilligung zur Datenverarbeitung widerrufen haben, muss der Verantwortliche auf Aufforderung Ihre Daten löschen. Gleiches gilt, wenn ein Kind oder eine Jugendliche bzw. ein Jugendlicher sich eigenständig bei sozialen Netzwerken angemeldet hat.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist ein nachgelagertes Recht. Es richtet sich an löschpflichtige Verantwortliche, die die personenbezogenen Daten öffentlich zugänglich gemacht haben. Durch diese Veröffentlichung konnten Daten beispielsweise auch von einer Suchmaschine erfasst werden. Die löschpflichtigen Verantwortlichen sollen sich nach Erteilen eines Löschauftrags durch den Betroffenen an diese Dritten wenden und darauf hinwirken, dass auch diese die betreffenden Daten löschen.

Datenportabilität

Sie können – beispielsweise bei sozialen Netzwerken – darauf bestehen, dass ihre personenbezogenen Daten zwischen verschiedenen Dienstleistern übertragen werden.

Privacy by Design und by Default

Unternehmen sind verpflichtet, ihre Prozesse so zu gestalten, dass sie von Anfang an den größtmöglichen Datenschutz für Ihre personenbezogenen Daten bieten.

Weiteres zur DSGVO

Welche Pflichten haben Unternehmen bei Datenpannen?

Gehen personenbezogene Daten verloren oder geraten sie in die Hände Unberechtigter, zum Beispiel durch Hacking oder Gerätediebstahl, liegt eine Datenpanne vor. Die DSGVO hat die Meldepflicht in Bezug auf derartige Ereignisse verschärft. Jede Datenpanne, die die Rechte und Freiheiten natürlicher Personen bedroht, muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Wie wichtig ist den Menschen ihre Privatsphäre eigentlich?

Spätestens seit Inkrafttreten der DSGVO dürfte das Thema Datenschutz im öffentlichen Bewusstsein angekommen sein. Die meisten Menschen würden auf Nachfrage auch bestätigen, dass ihnen der Schutz ihrer Privatsphäre wichtig ist. Dennoch handeln viele nicht entsprechend. Dieses Phänomen wird als „Privacy-Paradox“ bezeichnet: Trotz eines eindeutigen Sicherheitsbewusstseins passen die Menschen ihr Nutzerverhalten nicht an – insbesondere, wenn es um beliebte soziale Medien geht. Die wenigsten sind bereit, aus Datenschutzgründen auf bestimmte Apps zu verzichten. Gleiches gilt für die Nutzung von Suchmaschinen. Mehr als 90 Prozent der Deutschen nutzen eine große bekannte amerikanische Suchmaschine, trotz aller Kritik an den Datenschutzpraktiken des Unternehmens. Alternative Suchmaschinen sind kaum bekannt. Woran liegt das?

Es gibt verschiedene Erklärungen für dieses paradoxe Verhalten: Die Menschen wissen entweder nicht genug über vorhandene Datenschutztechniken bzw. mögliche Gefährdungen ihrer Privatsphäre oder sie glauben, die Sache „im Griff“ zu haben. Letzteres trifft vermutlich vor allem auf Vertreterinnen und Vertreter der digital sozialisierten Generationen zu. Sie glauben, das Gesamtbild, das man sich aus den im Netz auffindbaren Informationen von ihnen machen kann, steuern zu können. Viele Menschen möchten auch einfach nicht auf den Komfort der digitalen Dienste und Geräte verzichten, die zu einem so wichtigen Bestandteil unseres (sozialen) Lebens geworden sind.

Sehr beliebt ist auch das Argument, man habe ja nichts zu verbergen – und daher auch nichts zu befürchten. Doch diese Einstellung ist blauäugig. Es gibt Informationen – zum Beispiel über eine schwere Krankheit – die jedem schaden können, wenn sie öffentlich werden. Außerdem wird gerne übersehen, dass mosaikartig verknüpfte Daten selten das „wahre“ Bild eines Menschen zeichnen. Vielmehr entsteht durch verarbeitete, verknüpfte und verwertete Daten ein Zerrbild, das in den wenigsten Fällen mit dem Selbstbild der betroffenen Person übereinstimmen dürfte. Zu guter Letzt besteht natürlich auch immer die Gefahr, dass Menschen unschuldig ins Visier der Sicherheitsbehörden geraten können.

Was war noch mal Big Data?

Der Sammelbegriff Big Data steht für riesige Datenmengen, die überall im Netz entstehen und mit herkömmlichen Speicher- und Analysewerkzeugen nicht mehr zu bewältigen sind. Um Big Data verarbeiten zu können, haben große Suchmaschinen spezielle Werkzeuge entwickelt. So werden zum Beispiel in einem besonderen Verfahren auch Daten verarbeitet, die unstrukturiert – also nicht in Datenbanken – vorliegen. Dazu zählen zum Beispiel alle Texte, Bilder und Videos, die Menschen in sozialen Medien hinterlassen.

Warum Internetkonzerne solche Programme entwickelt haben, liegt auf der Hand: Sie selbst haben Zugriff auf die größten Datenmengen überhaupt und ein großes finanzielles Interesse daran, sie auszuwerten. Auf dem Weltwirtschaftsforum in Davos 2011 wurden Daten als „das Öl von heute“ bezeichnet. Alle Daten sind wertvoll. Kein Wunder also, dass sie zum Kerngeschäft vieler Unternehmen geworden sind.

Wo kann ich mich über meine Rechte im Datenschutz informieren?

Nur wer seine Rechte kennt, kann sie auch einfordern. Über Ihre Rechte können Sie sich auch in unseren Flyern und im Bereich Betroffenenrechte informieren.