Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung der Europäische Union (DSGVO) in Kraft.

  • Die DSGVO legt fest, wie vor allem Unternehmen personenbezogene Daten verarbeiten müssen, um die Privatsphäre und den Schutz der personenbezogenen Daten der Betroffenen zu gewährleisten.
  • Sie legt die Verantwortlichkeiten dafür fest,
  • weist den Betroffenen bestimmte Rechte zu
  • und gibt den Aufsichtsbehörden die Befugnis, Rechenschaft zu verlangen
  • und im Fall von Verfehlungen Strafen zu verhängen.

Die wichtigsten Forderungen der DSGVO

  1. Unternehmen, die personenbezogene Daten verarbeiten, müssen dies nach Rechtmäßigkeit, Treu und Glauben und Transparenz tun
    Rechtmäßig: die gesamte Verarbeitung muss auf einem legitimen Zweck beruhen
    nach Treu und Glauben: das Unternehmen muss sich verantwortlich zeigen und Daten nicht über den legitimen Zweck hinaus verarbeiten
    Transparent: das Unternehmen muss die betroffenen Personen über die Verarbeitungstätigkeiten bezüglich ihrer personenbezogenen Daten informieren
  2. Von den Unternehmen wird Zweckbindung, Daten- und Aufbewahrungsdauerbegrenzung gefordert
    personenbezogene Daten dürfen nur für den Zweck verwendet werden, für den sie legitim erhoben wurden
    es dürfen nur die für den legitimen Zweck notwendigen personenbezogenen Daten eingeholt erhoben werden
    die personenbezogene Daten müssen gelöscht werden, sobald der legitime Zweck, für den sie erhoben wurden, erfüllt ist
  3. Rechte der Betroffenen
    Betroffene haben das Recht
    zu erfahren, welchen Daten ein Unternehmen über sie hat
    was das Unternehmen mit diesen Daten tut
    eine Berichtigung zu verlangen
    der Verarbeitung zu widersprechen
    eine Beschwerde einzureichen
    die Löschung oder Übertragung der Daten zu verlangen
  4. Einwilligung zur Datenverarbeitung über den legitimen Zweck hinaus
    Für eine Datenverarbeitung über den legitimen Zweck hinaus müssen Betroffene ausdrücklich zustimmen. Die Zustimmung muss dokumentiert werden und kann jederzeit widerrufen werden.
    Für unter 16-Jährige ist die Zustimmung der Erziehungsberechtigten erforderlich.
  5. Umgang mit Datenschutzverletzungen
    Unternehmen müssen selber ein Verzeichnis von Schutzverletzungen personenbezogener Daten führen und die Aufsichtsbehörde und die Betroffenen je nach Schwere der Verletzung innerhalb von 72 Stunden nach Festellung der Schutzverletzung informieren.
  6. Vorbeugender Datenschutz
    Unternehmen sollen bei Veränderung und Entwicklung von Systemen und Prozessen organisatorische und technische Mechanismen einbauen, um personenbezogene Daten zu schützen.
  7. Datenschutz-Folgenabschätzung
    Wenn in einem Unternehmen Veränderungen durchgeführt werden (Verfahren,neue Projekte, neue Produkte, …), muss eine Datenschutz-Folgenabschätzung durchgeführt werden, sofern auch eine Veränderung der Verarbeitung personenbezogener Daten erfolgt.
  8. Verantwortung von Datenübertragungen an Dritte
    Wenn personenbezogene Daten an Dritte übertragen werden, ist das ursprüngliche Unternehmen dafür verantwortlich, dass die Bestimmungen des DSGVO eingehalten werden.
  9. Datenschutz-Beauftragte/r
    Wenn in einem Unternehmen bzw. einer Organisation eine erhebliche Verarbeitung personenbezogener Daten stattfindet, ist ein Datenschutz-Beauftragter/eine Datenschutz-Beauftragte zu ernennen, der/die die Einhaltung des DSGVO überwacht und gegebenenfalls die Unternehmensleitung zu informieren hat.