Die Datenschutz-Grundverordnung (DSGVO) geht uns alle an. Entweder wir verarbeiten Daten oder es werden von uns Daten verarbeitet. Speziell wenn Sie unternehmerisch tätig sind und eine Webseite betreiben, müssen Sie sich mit der Datenschutz-Grundverordnung auseinandersetzen. Seit der europäischen Datenschutz-Grundverordnung müssen Webseitenbetreiber immer ein Impressum und eine Datenschutzerklärung auf ihrer Website eingebaut haben. Mit dem kostenlosen Impressum- und Datenschutz Generator von AdSimple® können Sie mit nur wenigen Klicks das Impressum bzw. die entsprechenden Datenschutztexte generieren und in Ihre Seite einbinden.
Die Datenschutz-Grundverordnung gehört zu den wichtigsten Errungenschaften, um den Datenschutz im europäischen Binnenmarkt zu stärken und an die digitalen Veränderungen der letzten 15-20 Jahre anzupassen. In diesem Beitrag wollen wir Ihnen die Datenschutz-Grundverordnung genauer vorstellen und einen Überblick über das Thema bieten. Wir möchten ausdrücklich darauf hinweisen, dass es sich hier nicht um eine Rechtsberatung handelt. Sie werden mehr über die Datenschutz-Grundverordnung erfahren, was eigentlich „personenbezogene Daten“ sind und welche nationalen Unterscheidungen es trotz der europaweiten Verordnung geben kann.
Was ist die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung ist ein Teilbereich der EU-Datenschutzreform. Die EU-Datenschutzreform wurde bereits am 25 Jänner 2012 von der Europäische Kommission vorgestellt. Sie soll Probleme mit der Verarbeitung von Daten innerhalb der Europäischen Union lösen. Dabei geht es um alle möglichen Arten von Datenverarbeitung wie die Bildung eines Profils, Webtracking (z.B., um Usern individualisierte Werbung anzubieten) oder dem Cloud Computing. Oberstes Ziel dabei ist der Schutz der Privatsphäre.
Seit dem 25. Mai 2018 bildet die DSGVO gemeinsam mit der Datenschutz-Richtlinie für Polizei und Strafjustiz den Datenschutzrahmen in der Europäischen Union. In der Datenschutz-Grundverordnung wurden die Regeln zur Verarbeitung personenbezogener Daten durch die meisten privaten und öffentlichen Datenverarbeiter innerhalb der Mitgliedsstaaten der Europäischen Union vereinheitlicht. Mit der DSGVO versucht man sowohl den Interessen der Wirtschaftstreibenden als auch den Interessen der Verbraucher gerecht zu werden. Auf diese Weise sollen personenbezogene Daten innerhalb der Europäischen Union geschützt werden und gleichzeitig der freie Datenverkehr im europäischen Binnenmarkt gewährleistet werden. Einer der größten Vorteile dieser einheitlichen und europaweiten Verordnung ist, mögliche Wettbewerbsverzerrungen und Marktzugangsbarrieren, die durch unterschiedliche nationale Gesetze entstehen, zu verhindern.
Denn eine EU-Verordnung bedeutet immer, dass sie für die Mitgliedsstaaten allgemeine Gültigkeit hat und unmittelbar wirksam ist. Anders ist das bei EU-Richtlinien. Hier gilt der Rechtsakt nicht unmittelbar, sondern muss von den Mitgliedsstaaten erst in nationales Recht umgewandelt werden. Dennoch sprechen viele Juristen aufgrund vieler Öffnungsklauseln von einer Mischform. Aber dazu später mehr.
Ein weiteres Ziel der DSGVO ist es, die „Pseudonymisierung“ von Daten zu fördern. Das heißt, Name oder ein anderes Merkmal, das zur Identifizierung einer Person führt, wird durch ein Pseudonym ersetzt. Das kann eine mehrstellige Buchstaben- oder Zahlenkombination sein. Auf diese Weise können große Datenmengen ohne Personenbezug verarbeitet werden.
Europäische Verordnung mit nationalem Spielraum
Grundsätzlich dürfen die Mitgliedsstaaten der Europäischen Union den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen nicht verändern. Allerdings bringen die Mitgliedsstaaten durch Rechtsvorschriften das Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang. Weiters hat die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedsstaaten möglich macht, bestimmte Aspekte des Datenschutzes national zu regeln. Das ist auch der Grund, warum die Verordnung oft als Mischform zwischen Richtlinie und Verordnung bezeichnet wird. Wie genau das jeweilige nationale Datenschutzrecht durch die DSGVO ersetzt werden soll, ist noch nicht vollständig geklärt. Auch im Hinblick auf die Öffnungsklauseln gibt es in vielen Ländern der EU noch Regelungspotenzial.
Die Umsetzung der DSGVO in Deutschland
In Deutschland wurde durch die Neufassung des Bundesdatenschutzgesetzes und weiteren Gesetzesänderungen die nötigen Vorkehrungen getroffen, um die EU-DSGVO im deutschen Recht zu verankern. Am 30. Juni 2017 wurde das Datenschutz-Anpassungs- und Umsetzungsgesetz beschlossen. Dadurch wurde das nationale Datenschutzgesetz aufgehoben bzw. die durch die DSGVO unwirksamen Regelungen in andere Gesetzesbereiche verschoben. Es wurden teilweise neue Regelungen erschaffen und „alte“ an die Verordnung angepasst. Durch die Öffnungsklauseln ist es möglich, dass durch nationales Recht in vielen Bereichen Erweiterungen oder genauere Festlegungen des Datenschutzes erfolgen können. Die DSGVO hat – je nach Zählweise – 50 oder 60 dieser Öffnungsklauseln. Auf diese Weise wird der rechtliche „Spielraum“ auf nationaler Ebene deutlich erhöht. Natürlich dürfen aber in Folge der Einbindung in nationales Recht nie die Inhalte der EU-Verordnung unterlaufen werden.
Obwohl die DSGVO bereits seit dem 25. Mai 2018 in Kraft ist, ist die Umsetzung der Änderungen bis zum heutigen Tag noch nicht vollständig abgeschlossen.
Wie ist die Datenschutz-Grundverordnung aufgebaut?
Die DSGVO besteht insgesamt aus 99 Artikeln und ist in 11 Kapiteln untergliedert. Hier zeigen wir Ihnen die jeweiligen Kapitel mit der entsprechenden Betitelung:
- Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen
- Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit
- Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person
- Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter
- Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
- Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
- Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
- Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
- Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen
- Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
- Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen
Was sind personenbezogene Daten?
„Personenbezogen“ ist grundsätzlich ein Begriff aus dem Datenschutzrecht. Speziell der Begriff „personenbezogene Daten“ in Artikel 4 der DSGVO ist weit gefasst und lässt viel Definitionsspielraum zu. Je nach Land wird der Begriff etwas unterschiedlich ausgelegt.
Hier die deutsche Definition von “personenbezogenen Daten”:
In Deutschland fallen nur die Daten einer natürlichen Person unter die gesetzliche Definition. Natürliche Personen sind in der „Rechtssprache“ alle Menschen, die Rechte und Pflichten haben. Dem gegenüber steht die juristische Person. Im vorherrschenden Sprachgebrauch bezeichnet man als juristische Personen nur Rechtspersonen, die keine Menschen sind (z.B. Körperschaften, Vereine oder Gesellschaften).
Personenbezogene Daten haben immer, wie der Name schon verrät, einen Bezug zur natürlichen Person. Diese Daten müssen folglich nicht unbedingt, ein körperliches Merkmal einer Person sein. Der Bezug einer Sache zu einer Person reicht aus, um von personenbezogenen Daten zu sprechen. Auch Informationen, die man auf den ersten Blick nicht als „personenbezogen“ wahrnehmen würde, können in die Kategorie der personenbezogenen Daten fallen. Dazu zählen beispielsweise Kfz-Kennzeichen, Kontonummern, Versicherungsnummern, Matrikelnummern usw.).
Als Faustregel kann man sich merken: Wenn es gelingen kann, eine Information mit einem überschaubaren Aufwand einer Person zuzuordnen, handelt es sich um personenbezogene Daten.
Zudem gibt es in Deutschland noch besonders sensible personenbezogene Daten, die einem noch strengeren Datenschutz unterliegen. Dabei handelt es sich um Informationen über ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Die betroffenen Personen haben immer das Recht auf informelle Selbstbestimmung.
Das Verarbeiten und Speichern von personenbezogenen Daten muss immer von der betroffenen Person erlaubt werden. Das war allerdings auch vor der DSGVO bereits der Fall. In der Datenschutz-Grundverordnung wird darauf in Artikel 6 eingegangen.
- die betroffene Person hat ihre Einwilligung gegeben
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
Weitere wichtige Rechte der betroffenen Personen sind das Recht auf Auskunft und das Recht auf Löschung personenbezogener Daten. Nach Artikel 19 und Artikel 34 sind betroffene Personen berechtigt, die Informationen zur eigenen Person bei Unternehmen und Behörden einzusehen. Und gleichzeitig müssen (Pflicht!) die entsprechenden Behörden/Unternehmen darüber Auskunft geben. Die betroffenen Personen haben das Recht, Daten zu berichtigen oder zu ergänzen. Weiters haben sie auch das Recht personenbezogenen Daten vollkommen löschen zu lassen oder auch einschränken zu lassen. Dafür muss auch kein formaler Antrag gestellt werden. In vielen Fällen reicht sogar ein mündlicher Antrag.
Webseiteninhaber sind dazu verpflichtet sowohl eine Datenschutzerklärung als auch ein Impressum auf ihrer Website einzubauen. Dadurch werden User über die Datenverarbeitung informiert und erhalten Informationen über den Webseitenbetreiber. Mit dem kostenlosen Impressum Generator und dem kostenlosen Datenschutz Generator ist das in nur wenigen Minuten erledigt.
Welche Neuigkeiten bringt die DSGVO?
Viele Regelungen hat die DSGVO vom „alten“ Datenschutzrecht übernommen bzw. die Hauptelemente kaum verändert. Es gibt aber auch vollkommen neue datenschutzrechtliche Vorgaben, die bei Nichteinhaltung hohe Bußgelder nach sich ziehen. Und das ist neben einigen Detailregelungen auch die größte Neuigkeit, die die DSGVO mit sich bringt.
Wenn es um die Verarbeitung von personenbezogenen Daten geht, zeigt die DSGVO – wie auch schon das „alte“ Datenschutzrecht – in Artikel 5 ganz genau folgende 6 Grundsätze auf. Zu diesen Themen bringt die DSGVO Neuregelungen oder grundsätzliche Verfeinerungen:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Ein Beispiel für eine Neuerung durch die DSGVO ist auch der Ungehemmte Austausch personenbezogener Daten innerhalb der Europäischen Union. Der personenbezogene Datenverkehr in der EU darf nicht mehr abgelehnt werden, weil ein Land das Argument vorbringt, der Datenschutz wird von EU-Land zu EU-Land verschieden gehandhabt. Weiters unterscheidet die DSGVO nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen. Dieses Datenschutzrecht gilt auch für Firmen, die ihren Sitz nicht in der EU haben, aber ihre Dienstleistungen und Produkte in der EU vertreiben. Daher brauchen Firmen wie Google oder Amazon ein eigenes Abkommen, das gewährleistet, dass das Unternehmen im Sinne der DSGVO handelt. Zwischen Amerika und der EU heißt dieses Übereinkommen im Datenschutzrecht EU-US Privacy Shield.
Wie hoch sind die Strafen bei Nichteinhaltung der DSGVO?
Verantwortliche für die erhobenen personenbezogenen Daten müssen all die oben genannten Grundsätze erfüllen. Wenn die Gesetze nicht eingehalten werden, können Bußgelder in der Höhe bis zu 20 Millionen Euro ausgesprochen werden. Im Fall eines Unternehmens können von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes geahndet werden. Datenschutzaufsichtsbehörden können Anordnungen und Bußgelder nicht nur gegen private Datenverarbeiter erlassen, sondern auch gegenüber Behörden, sofern dies im nationalen Recht vorgesehen ist.
Besonders, wenn Sie Online-Unternehmer sind und eine Website betreiben, können Sie Strafen dieser Art leicht verhindern. Mit einem vollständigen Impressum und den entsprechenden Datenschutztexten erfüllen Sie bereits einen Großteil der DSGVO-Anforderungen. Mit dem kostenlosen Impressum– und Datenschutz Generator von AdSimple® können Sie mit wenigen Klicks Ihre Website mit einem vollständigen Impressum und informativen Datenschutztexten versehen. Diese sind nützlich, ersetzen allerdings keine Rechtsberatung.
Wer kontrolliert die Einhaltung der DSGVO?
Die EU-Kommission steht im Europäischen Parlament im ständigen Austausch mit den einzelnen Mitgliedsstaaten und bespricht hier die nationalen Entwicklungen in Bezug auf die DSGVO. Zu dem findet alle 4 Jahre eine Evaluation statt. Die EU-Kommission legt dafür im Europaparlament dem Europäischen Rat einen Bericht über die nationale Umsetzung der einzelnen Mitgliedsstaaten vor. Dieser Bericht wird auch der Öffentlichkeit zur Verfügung gestellt. Wenn in einzelnen Bereichen Handlungsbedarf besteht, entwickelt die Kommission einen veränderten Vorschlag der Verordnung.
Fazit
Datenschutz ist für Websitebetreiber, Unternehmer und Privatpersonen ein ernst zunehmendes und wichtiges Thema. Spätestens seit der Einführung der Datenschutz-Grundverordnung müssen wir uns mit dem Umgang mit Daten auseinandersetzen. Wie in allen anderen EU-Mitgliedsstaaten ist die DSGVO auch in Deutschland verbindliches und geltendes Recht. In unserem Artikel haben wir einen Überblick über das Thema Datenschutz-Grundverordnung (DSGVO) gegeben. Für Websitebetreiber empfehlen wir unseren kostenlosen Impressum- und Datenschutz Generator. In nur wenigen Minuten wird Ihnen ein passender Datenschutztext samt Impressum zur Verfügung gestellt. Damit können Sie Ihre User umfangreich über die Verwendung von personenbezogenen Daten informieren. Unser Impressum- und Datenschutz Generator ersetzt allerdings keine Rechtsberatung, ist aber dennoch ein sehr effektives und praktisches Tool.
