DSGVO – einfach erklärt

Illustration zu DSGVO

Inhaltsverzeichnis

Was bedeutet DSGVO?

Die Abkürzung DSGVO steht für die Datenschutz-Grundverordnung der Europäischen Union. Sie gilt seit dem 25.05.2018 für alle Mitgliedstaaten der EU. Die Verordnung vereinheitlicht die europäischen Bestimmungen zur Datenverarbeitung und trägt zu einem umfassenderen Datenschutz von Privatpersonen bei. Das deutsche Bundesdatenschutzgesetz (BDSG) existiert jedoch weiterhin und präzisiert einige Sachverhalte für die nationale Gesetzgebung. Da die DSGVO keine Unterschiede bei der Größe einer Organisation macht, betrifft sie nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen, öffentliche Institutionen und Vereine.

Für wen gilt die DSGVO?

Die DSGVO betrifft

  • Unternehmen oder Institutionen, die personenbezogene Daten an einem Standort innerhalb der EU verarbeiten.

    • Unternehmen oder Institutionen, die personenbezogene Daten von EU-Bürgern verarbeiten – ungeachtet des Ortes der Datenverarbeitung.

      Die DSGVO gilt also auch für Länder, die selbst nicht in der EU sitzen. Entscheidend ist, ob sie mit den Daten von EU-Bürgern hantieren oder eine Niederlassung in der EU haben. Damit ist ein wichtiger Schritt in Richtung Datenhoheit gelungen, denn große Tech-Unternehmen konnten Regulierungen oftmals umgehen, indem sie sich auf das Recht ihrer Firmensitze berufen, beispielsweise das US-Recht. Für die einheitliche Anwendung der DSGVO ist der Europäische Datenschutzausschuss (EDSA) zuständig.

      Die Daten von EU-Bürgern sind durch die Datenschutz-Grundverordnung also besonders gut geschützt. Die Rechenschaftspflicht liegt bei den jeweiligen Organisationen: Sie müssen „geeignete technische und organisatorische Maßnahmen ergreifen“ und gegenüber den Aufsichtsbehörden nachweisen können, dass sie wirksame Handlungen zur Umsetzung unternommen haben.

      Der weite Rahmen der neuen Verordnung sorgt dafür, dass auch viele kleine Organisationen die Verordnung umsetzen und ihrer Rechenschaftspflicht nachkommen müssen, denn mit personenbezogenen Daten kommt heutzutage nahezu jeder öffentliche Auftritt in Berührung.

      Welche Daten sind personenbezogene Daten?

      Als personenbezogene Daten werden Daten bezeichnet, die sich „auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 DSGVO). Das betrifft nicht nur Daten, die unmittelbar einem Namen oder einer Kennnummer zugeordnet werden, sondern auch Teilinformationen, die im Zusammenspiel mit anderen Daten zur Identifizierung einer Person beitragen.

      Dabei spielt keine Rolle, auf welche Weise die Daten gespeichert werden: Aufnahmen von Überwachungskameras, Sprachaufzeichnungen oder persönliche Angaben in Papierform fallen gleichermaßen unter die Datenschutz-Grundverordnung. Besonders relevant ist sie im Bereich der digitalen Kommunikation, denn wer eine Website besucht, sich für einen Newsletter anmeldet oder eine Online-Bestellung aufgibt, hinterlässt personenbezogene Daten.

      Zu personenbezogenen Daten zählen:

      • Name

        • Geburtsdatum

          • Anschrift

            • Mail-Adresse

              • Telefonnummer

                • Ausweisnummern

                  • Ausbildung

                    • Gesundheitsdaten

                      • Fotos und Videos

                        Im digitalen Bereich besonders relevant:

                        • IP-Adresse

                          • Cookie-ID

                            • Standortdaten

                              Wer eine Website betreibt, kommt nicht umher, mit personenbezogenen Daten der User zu interagieren – denn zur Kommunikation der User mit dem Webserver ist schon die IP-Adresse eine notwendige Information. Welche Inhalte sich auf der Seite befinden, spielt dabei keine Rolle, sie könnte sogar völlig leer sein. Mit anderen Worten: Jede Website, die von einer in der EU-ansässigen Organisation betrieben wird oder mit EU-Bürgern interagiert, ist zur Einhaltung der DSGVO verpflichtet.

                              Anonymisierte und pseudonymisierte Daten

                              Daten gelten nicht länger als personenbezogen, wenn sie vollständig anonymisiert werden. Das gilt nur als erfüllt, wenn sie sich auf keine Weise wieder der übermittelnden Person zuführen lassen – die Anonymisierung muss also unumkehrbar sein.

                              Werden die Angaben bei der Datenverarbeitung lediglich durch andere Daten ersetzt und bekommen sozusagen einen Platzhalter zugewiesen, spricht man von pseudonymisierten Daten. Diese lassen sich jedoch wieder der ursprünglichen Identität zuordnen – für die Datenschutz-Grundverordnung ein unzureichender Schutz.

                              Bedeutet das, dass nur anonymisierte Daten erhoben werden dürfen? Nein, es bedeutet, dass Nutzer in die Verarbeitung ihrer personenbezogenen Daten einwilligen müssen. Das kennt man beispielsweise von Cookie-Anfragen, die einen beim ersten Besuch einer Website erwarten.

                              Da die Daten nach der Einwilligung jedoch weiterhin gut geschützt sein müssen, verlangt die DSGVO von den zuständigen Organisationen eine transparente Kommunikation mit den Usern und eine sorgfältige Verwaltung der Datensätze.

                              Illustration zu DSGVO

                              Informationspflichten, Folgenabschätzung und Vergessenwerden – welche Anforderungen stellt die DSGVO?

                              Wer sich über die DSGVO informiert, stellt schnell fest, dass er es mit einer Vielzahl spezifischer Begriffe zu tun hat. Gerade für kleinere und mittelständische Unternehmen, öffentliche Institutionen und Vereine kann das Vokabular eine Herausforderung darstellen. Mit welchen begriffen sollten Datenschutzbeauftragte und User vertraut sein?

                              Informationspflichten

                              Die Datenschutz-Grundverordnung hat nicht nur den Schutz der Daten zum Ziel, sie soll auch für eine transparentere Verarbeitung führen. Dazu zählt zuallererst, die betroffene Person über die Erhebung ihrer Daten zu unterrichten. Werden die Daten direkt bei der Person erhoben – beispielsweise beim Besuch einer Website – muss die Informationspflicht spätestens zum Zeitpunkt der Erhebung erfüllt sein. Informiert wird dabei beispielsweise über:

                              • Kontaktdaten des Datenschutzbeauftragten

                                • Zweck der Erhebung

                                  • Angaben zur Speicherdauer

                                    • Übermittlung an Drittländer

                                      • Rechte der betroffenen Person

                                        Übrigens: Zu den Rechten zählen unter anderem das Auskunftsrecht und das Recht auf Datenübertragbarkeit. Ersteres besagt, dass betroffene Personen verlangen können zu erfahren, ob und welche Art von Daten von ihnen verarbeitet werden. Zweiteres sorgt dafür, dass die Daten, die über sie gesammelt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden müssen.

                                        Datenschutz-Folgenabschätzung

                                        Zusätzlich sieht die DSGVO eine sogenannte Datenschutz-Folgenabschätzung vor – und zwar immer dann, wenn durch die vorgesehene Datenverarbeitung ein hohes Risiko für die betroffene Person entstehen könnte. Um den Verantwortlichen die Einschätzung zu erleichtern, stellen die Aufsichtsbehörden Listen mit Einsatzfeldern und Daten zur Verfügung, die eine Folgenabschätzung unbedingt notwendig machen. Dazu zählen beispielsweise:

                                        • Erhebung von Biometrischen und genetischen Daten

                                          • Verarbeitung von Daten zu Vermögensverhältnissen

                                            • Tracking von Bewegungsdaten

                                              • Automatisierte Auswertung von Telefonaten

                                                • Erfassung des Kaufverhaltens

                                                  Recht auf Löschung und Vergessenwerden

                                                  Die DSGVO räumt Nutzern das Recht auf die Löschung von personenbezogenen Daten ein. Es ermöglicht natürlichen Personen die Daten binnen eines Monats bei der jeweiligen Organisation löschen zu lassen – eine besonders wichtige Möglichkeit zur Durchsetzung der datenschutzrechtlichen Selbstbestimmung. Aber: Dieses wichtige Recht ist nur unter bestimmten Voraussetzungen anwendbar, die in Art. 17 Abs. 1 DSGVO genauer definiert sind. Umstände, die das Recht auf Löschung begründen, sind unter anderem:

                                                  • Die personenbezogenen Daten sind nicht mehr notwendig.

                                                    • Die Daten wurden unrechtmäßig verarbeitet.

                                                      • Die Einwilligung in die Nutzung der Daten wurde mittlerweile widerrufen.

                                                        Ein Recht auf Löschung besteht unter anderem nicht, wenn die Daten zur Ausübung des Rechts auf freie Meinungsäußerung benötigt werden oder einem legitimen öffentlichen Interesse dienen. Zudem gibt es noch einige Ausnahmen der Löschpflicht, die im Bundesdatenschutzgesetz (BDSG) ausgeführt werden.

                                                        Neben dem Recht auf Löschung gewährt die Datenschutz-Grundverordnung zusätzlich das sogenannte „Recht auf Vergessenwerden“. Beantragt eine Person die Löschung der eigenen Daten, ist es Aufgabe der Datenverantwortlichen andere Stellen der Datenverarbeitung über die Löschung zu informieren. Das bedeutet: Kopien und Links, die auf die Daten verweisen, müssen ebenfalls gelöscht werden.

                                                        Datenverantwortlicher und Auftragsverarbeiter

                                                        Die DSGVO unterscheidet zudem zwischen dem Datenverantwortlichen und dem (Daten-)Auftragsverarbeiter – doch wer macht eigentlich was?

                                                        Als Datenverantwortlicher gilt, wer über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wer also darüber entscheidet, „wofür“ und „wie“ die Daten verarbeitet werden, ist der Verantwortliche. Das können Unternehmen, Behörden, Organisationen oder auch natürliche Personen sein. Einige Beispiele für Zweck und Mittel von Daten:

                                                        • Soziale Medien sammeln Daten, um individuelle Werbung zu schalten.

                                                          • Ein Lieferdienst benötigt Adressen, um die gewünschte Ware zuzustellen.

                                                            • Das örtliche Museum sammelt E-Mail-Adressen, um über kommende Veranstaltungen zu informieren.

                                                              Doch nicht immer bearbeiten Organisationen sämtliche Daten selbst, manchmal werden dabei auch Dienste anderer Organisationen in Anspruch genommen. Nutzt beispielsweise das Museum einen externen Newsletter-Dienst, überträgt es die Mailadressen und damit die personenbezogenen Daten an ein anderes Unternehmen weiter. Dieses entscheidet bei der weiteren Verarbeitung aber nicht darüber, was mit den Daten geschieht, sondern verarbeitet diese nur gemäß dem Auftrag des Museums. Damit ist der Newsletter-Dienst Auftragsverarbeiter und nicht Datenverantwortlicher.

                                                              Das bedeutet: Unternehmen und Organisationen, mit denen Sie im alltäglichen Leben Umgang haben, sind fast immer Datenverantwortliche. Diese Organisationen müssen auf Nachfragen von Betroffenen oder der Aufsichtsbehörden reagieren und können für Verstöße gegen die DSGVO mit Sanktionen belegt werden.

                                                              Um Aufgaben wie Rechenschaftspflicht und Informationspflichten gerecht zu werden, benennen viele Organisationen einen Datenschutzbeauftragen. Sind in einem Unternehmen mindestens 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt, sind Datenverantwortliche zur Bestellung eines Datenschutzbeauftragten verpflichtet.

                                                              DSGVO-Verstoß melden und DSGVO-Strafen

                                                              Die Datenschutz-Grundverordnung verlangt von Organisationen, die mit personenbezogenen Daten hantieren enorme Sorgfalt und Transparenz. Die Privatsphäre natürlicher Personen wird umfassender als bislang geschützt, nicht zuletzt, da mit Verstößen gegen die DSGVO empfindliche Sanktionen einhergehen können – bis zu 20 Millionen EUR oder 4 % des jährlichen Unternehmens-Umsatzes können fällig werden. Bei den Verstößen gilt es drei Bereiche zu unterscheiden.

                                                              Meldung einer Organisation bei einer Aufsichtsbehörde

                                                              Für Organisationen, die mit personenbezogenen Daten hantieren, besteht eine Meldepflicht: Kommt es bei der Verarbeitung zu einer Verletzung des Schutzes, muss ein Datenverantwortlicher binnen 72 Stunden die zuständige Aufsichtsbehörde informieren.

                                                              Meldung bei betroffenen Personen

                                                              Besteht durch die Datenpanne ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten, müssen neben der Aufsichtsbehörde auch die betroffenen Personen unverzüglich benachrichtigt werden.

                                                              Meldung als betroffene Person

                                                              Natürlich ist es auch betroffenen Personen möglich DSGVO-Verstöße zu melden. Sie können dazu entweder mit dem Datenschutzbeauftragten des Unternehmens aufnehmen oder die zuständige Aufsichtsbehörde informieren. Die Behörde ist verpflichtet den Beschwerden in angemessenem Umfang nachzugehen und nach spätestens drei Monaten über den Stand Verfahrensstand zu unterrichten.

                                                              Häufige Fragen & Antworten zur DSGVO