Datenschutz-Grundverordnung (DSGVO)

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) 2016/679 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

WAS IST DER ZWECK DER VERORDNUNG?

Die Datenschutz-Grundverordnung (DSGVO) schützt Personen, wenn ihre Daten von privaten oder vielen öffentlichen Unternehmen verarbeitet werden. Die Datenverarbeitung durch zuständige Behörden zu Zwecken der Strafverfolgung unterliegt der Richtlinie zum Datenschutz bei der Strafverfolgung (siehe Zusammenfassung).
Sie ermöglicht Personen eine bessere Kontrolle über ihre personenbezogenen Daten. Außerdem werden Vorschriften erneuert und vereinheitlicht, die es Unternehmen erlauben, ihre Bürokratie zu verringern und von einem höheren Vertrauen der Verbraucher zu profitieren.
Sie richtet ein System vollständig unabhängiger Aufsichtsbehörden für die Überwachung und Durchsetzung der Einhaltung ein.
Die Richtlinie ist Teil der Datenschutzreform der Europäischen Union (EU), zusammen mit der Richtlinie zum Datenschutz bei der Strafverfolgung und der Richtlinie (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU (siehe Zusammenfassung).

WICHTIGE ECKPUNKTE

Die Rechte einer Person

Die Datenschutz-Grundverordnung stärkt bestehende Rechte, führt neue Rechte ein und gibt Einzelpersonen eine umfassendere Kontrolle über ihre personenbezogenen Daten. Sie umfasst Folgendes:

Vereinfachter Zugang zu personenbezogenen Daten einer Person. Dazu gehören die Bereitstellung von umfassenderen Informationen zur Verarbeitung der Daten und die Gewährleistung, dass diese Informationen klar und verständlich verfügbar gemacht werden.
Ein neues Recht auf Datenübertragbarkeit. Dieses erleichtert die Übermittlung personenbezogener Daten zwischen Anbietern.
Ein eindeutigeres Recht auf Löschung (Recht auf Vergessenwerden). Wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht.
Das Recht auf Mitteilung über eine Verletzung des Schutzes personenbezogener Daten. Unternehmen und Organisationen müssen die entsprechenden Datenschutzaufsichtsbehörden und, in Fällen schwerer Verletzungen des Datenschutzes, auch die betroffenen Personen informieren.

Unternehmensvorschriften

Die DSGVO schafft einheitliche Wettbewerbsbedingungen für alle Unternehmen, die im Binnenmarkt der EU operieren, folgt einem technologieneutralen Ansatz und regt durch verschiedene Schritte Innovation an, darunter die Folgenden:

Einheitliche EU-weite Vorschriften. Ein einzelnes EU-weites Datenschutzgesetz erhöht die rechtliche Sicherheit und reduziert den Verwaltungsaufwand.
Datenschutzbeauftragte. Öffentliche Behörden und Unternehmen, die umfangreich Daten verarbeiten oder deren Kernaktivität die Verarbeitung besonderer Kategorien von Daten, wie gesundheitsbezogener Daten, ist, müssen eine Person ernennen, die für den Datenschutz verantwortlich ist.
Einzige Anlaufstelle. Unternehmen müssen nur mit einer einzigen Aufsichtsbehörde arbeiten (in dem Mitgliedstaat mit der Hauptniederlassung); die betroffenen Aufsichtsbehörden arbeiten im Rahmen des Europäischen Datenschutzausschusses für grenzüberschreitende Fälle zusammen.
EU-Vorschriften für Nicht-EU-Unternehmen. In Drittländern beheimatete Unternehmen müssen dieselben Vorschriften anwenden, wenn sie in der EU Dienstleistungen oder Waren anbieten oder das Verhalten von Personen beobachten.
Innovationsfördernde Vorschriften. Eine Garantie, dass Datenschutzbestimmungen bereits in einer frühen Entwicklungsphase in Produkte und Dienstleistungen (Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen) integriert werden.
Datenschutzgerechte Techniken. Um die Aufdringlichkeit der Verarbeitung einzugrenzen, werden beispielsweise Pseudonymisierung (wenn identifizierende Felder in einem Datensatz durch eine oder mehrere künstliche Kennungen ersetzt werden) und Verschlüsselung (wenn Daten so verschlüsselt sind, dass nur befugte Parteien sie lesen können) empfohlen.
Beseitigung der Meldepflichten. Die DSGVO schaffte die meisten Meldepflichten und die damit verbundenen Kosten ab. Eines der Ziele ist die Beseitigung von Hürden, die sich auf den freien Verkehr personenbezogener Daten in der EU auswirken. So können Unternehmen einfacher im digitalen Binnenmarkt expandieren.
Datenschutz-Folgenabschätzungen. Unternehmen führen Folgenabschätzungen durch, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte.
Führen von Verzeichnissen. Kleine und mittlere Unternehmen sind nicht verpflichtet, Verzeichnisse über die Datenverarbeitung zu führen, sofern die Verarbeitung nicht zu einem hohen Risiko für die Rechte und Freiheiten der Person führen, deren Daten verarbeitet werden, oder sensible Datenkategorien umfasst.
Moderne Mittel für internationale Datenübertragungen. Die DSGVO bietet verschiedene Wege, Daten außerhalb der EU zu übertragen, darunter Angemessenheitsbeschlüsse der Europäischen Kommission, über die Nicht-EU-Länder angemessenen Datenschutz, zuvor gebilligte Standardvertragsklauseln, bindende Unternehmensvorschriften, Verhaltenskodizes und Zertifizierung bieten.

Überprüfung

Die Kommission hat im Juni 2020 einen Bericht über die Bewertung und Überprüfung dieser Verordnung vorgelegt. Der nächste Bericht ist 2024 fällig.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten.

HINTERGRUND

Weiterführende Informationen:

Reform der EU-Datenschutzvorschriften (Europäische Kommission),
EU-Datenschutzvorschriften (Europäische Kommission),
Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß – Pressemitteilung (Europäische Kommission),
Datenschutzreform – Pressemitteilung (Europäische Kommission),
Schutz personenbezogener Daten (Europäische Kommission).

Infolge des Ausbruchs von COVID-19 und der Einführung von Maßnahmen zur Bewältigung der Auswirkungen der Krise hat die Kommission Folgendes erlassen:

Empfehlung (EU) 2020/518 der Kommission vom 8. April 2020 für ein gemeinsames Instrumentarium der Union für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise, insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten.

HAUPTDOKUMENT

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88).

Nachfolgende Änderungen der Verordnung (EU) 2016/679 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

VERBUNDENE DOKUMENTE

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89-131).

Siehe konsolidierte Fassung.

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39-98).

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37-47).

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 07.01.2022