Die Datenschutz-Grundverordnung (DSGVO) ist eine Rechtsvorschrift, die seit dem 25. Mai 2018 die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Europa regelt. Sie harmonisiert die rechtlichen Vorgaben und stärkt die Verbraucherrechte. Unternehmen müssen umfangreiche Pflichten erfüllen, wie Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit und Umsetzung von Betroffenenrechten. Verstöße gegen die DSGVO können mit hohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Die DSGVO gewährt außerdem Schadensersatzansprüche für materielle und immaterielle Schäden, die durch Verletzungen der DSGVO entstehen.
Vereinheitlichung des Datenschutzes in Europa
Die DSGVO, auch bekannt als “Verordnung (EU) 2016/679”, trat am 24. Mai 2016 in Kraft. Sie enthält Bestimmungen zur Verarbeitung personenbezogener Daten und dient der Vereinheitlichung des Datenschutzrechts in Europa. Ziel ist es, natürliche Personen bei der Verarbeitung ihrer Daten zu schützen und gleichzeitig den freien Verkehr solcher Daten zu gewährleisten. Die DSGVO schafft einen einheitlichen Rechtsrahmen, ermöglicht es den Mitgliedsstaaten jedoch, eigene Regelungen zu treffen. Deutschland hat beispielsweise Regelungen zum Beschäftigtendatenschutz und zur Benennung eines Datenschutzbeauftragten eingeführt.
Was schützt die DSGVO und wann gilt sie?
Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Schutz personenbezogener Daten. Ihr Anwendungsbereich ist sachlich und räumlich beschränkt. Sachlich gilt sie für alle Verarbeitungen personenbezogener Daten durch elektronische Datenverarbeitung oder sortierte analoge Datensammlungen. Privatpersonen im persönlich-familiären Bereich sind davon ausgenommen, ebenso wie Straftatsverfolgung und Strafvollstreckung. Räumlich gilt die DSGVO für Unternehmen mit Sitz oder Niederlassung in der EU sowie für Unternehmen außerhalb der EU, die Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern verfolgen.
Datenschutzrechtliche Grundsätze der DSGVO
Verstöße gegen die datenschutzrechtlichen Grundsätze der DSGVO können mit hohen Bußgeldern geahndet werden. Zu den Grundsätzen gehören unter anderem die Rechtmäßigkeit der Verarbeitung, Fairness der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung und Integrität der Datenverarbeitung. Besonders der Grundsatz der Transparenz ist wichtig, da die betroffenen Personen umfassend über die Datenverarbeitung informiert werden müssen. Unternehmen sollten das Transparenzgebot ernst nehmen, um Probleme bei der Umsetzung der DSGVO zu vermeiden.
Das sog. Accountability-Prinzip
Das Accountability-Prinzip besagt, dass der Verantwortliche nachweisen muss, dass er die Datenschutzgrundsätze einhält. Dies hat praktische Auswirkungen, wie die Herstellung von Datensicherheit, die Erstellung interner Strategien zur Einhaltung der DSGVO, die Führung von Verarbeitungsverzeichnissen und die Durchführung einer Datenschutz-Folgenabschätzung bei riskanten Datenverarbeitungen. Eine lückenhafte Dokumentation der Datenverarbeitung kann schwerwiegende Folgen haben, sowohl bei Bußgeldern als auch bei Schadensersatzklagen.
Weitere Pflichten für Unternehmen
Die DSGVO enthält neben den Grundsätzen und Rechten der betroffenen Personen eine Vielzahl weiterer Pflichten für Unternehmen. Dazu gehören Informationspflichten gegenüber Betroffenen, Beantwortung von Betroffenenanfragen, Melde- und Benachrichtigungspflichten bei Datenschutzvorfällen, Abschluss von Auftragsverarbeitungsverträgen, Erstellung eines Löschkonzepts und Herstellung eines angemessenen Datenschutzniveaus bei Datentransfer in ein Drittland. Unternehmen sollten ein Datenschutzmanagement einführen, um die erforderlichen Maßnahmen umzusetzen und das Haftungsrisiko zu minimieren.
Sanktionen und Bußgelder
Verstöße gegen die DSGVO können mit hohen Geldbußen geahndet werden. Es gibt zwei Bußgeldrahmen, abhängig von der Art des Verstoßes. Bei Verstößen gegen die Grundsätze der Datenverarbeitung können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden. Bei Verletzung bestimmter Dokumentationspflichten können Geldbußen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängt werden. Es ist daher wichtig, die Pflichten der DSGVO ernst zu nehmen und die Vorgaben umzusetzen, um hohe Bußgelder zu vermeiden.
