Der Countdown läuft: Am 25. Mai tritt die EU-Datenschutzgrundverordnung in Kraft. Grund genug also, sich die Grundsätze, Ziele und wichtigsten Punkte einmal kurz und knackig, am besten bei einer Tasse Kaffee oder Tee, zu Gemüte zu führen.

Die DSGVO – Hintergrund 

Die Datenschutzgrundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission 2012 vorgestellt hat. Sie löst die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ab. Das ist längst überfällig, denn diese Richtlinie stammt aus dem Jahre 1995 – lange vor Social Media, Cambridge Analytica und Online-Marketing. Musste diese Richtlinie von den EU-Mitgliedstaaten in nationales Recht umgewandelt werden, so gilt die DSGVO unmittelbar in allen EU-Mitgliedstaaten. Sie soll die unterschiedlichen Standards in puncto Datenschutz der einzelnen Mitgliedsstaaten auf ein Niveau angleichen. Hierbei ist anzumerken, dass Deutschland im Vergleich zu einigen Nachbarländern bereits strenge Datenschutzgesetze hat – für deutsche Unternehmen und Privatpersonen ändert sich also gar nicht so besonders viel. Dennoch erhofft sich die EU-Kommission neben mehr Kontrolle der Bürger über ihre Daten, auch faire Wettbewerbsbedingungen für alle Unternehmen, die in der EU tätig sind.  

Zum Inhalt  

Die DSGVO besteht aus 99 Artikeln, unterteilt in elf Kapitel. Statt alle Kapitel, oder gar Artikel hier aufzudröseln, konzentrieren wir uns besser auf das absolut Wichtigste: Was ist das Ziel der DSGVO? Dies wird im ersten Artikel einfach und deutlich aufgezeigt:  

• Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. 
• Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. 

• Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. 

 Personenbezogene Daten? Sämtliche Daten, durch die eine natürliche Person identifizierbar wird – beispielsweise Name, Adresse, Bankdaten oder IP-Adresse, sind damit gemeint. Zudem gibt es noch die besonderen personenbezogenen Daten. Hier wird es pikanter: Daten über Gesundheit, Sexualleben, politische Meinung, religiöse Weltanschauung, Gewerkschaftszugehörigkeit, biometrische oder strafrechtliche Daten. 

Okay, und für wen gilt die Verordnung nun? Kurz gesagt für alle, die automatisiert personenbezogene Daten verarbeiten. Das sind vor allem Unternehmen und zum Teil Selbständige. Aber auch Vereine wie Wer hat meine Daten sind betroffen, denn auch das elektronische Mitgliederverzeichnis fällt schon unter die DSGVO. Ausgenommen sind Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden.   

Und was bedeutet das für den Einzelnen? Dank der DSGVO müssen Bürger ab dem 25. Mai noch umfassender informiert werden. Nicht nur welche Daten überhaupt von ihnen gespeichert sind, auch wie diese verwendet werden. Wichtigste Neuerung für Unternehmen: Das „Recht auf Datenübertragbarkeit“ gibt Usern von digitalen Diensten wie Apps die Möglichkeit, ihre Daten von einem Anbieter zum nächsten mitzunehmen. Dies fördert zum einen zwar den Wettbewerb, birgt aber auch die größten Probleme. Doch dazu im nächsten Blogpost mehr.  

Wer kontrolliert die Umsetzung und Einhaltung und was droht bei Verstößen?  

Die einzelnen Landesdatenschutzbeauftragten sind zusammen mit weiteren Behörden für die Einhaltung der DSGVO zuständig. Sie gehen auch Hinweisen auf Verstöße nach und führen Stichproben durch. Bei Verstößen drohen in erster Linie Bußgelder. Diese können empfindlich hoch sein: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist. Zwar gibt es Ermessensspielräume und die Bußgelder müssen im Verhältnis stehen, dennoch müssen auch kleine Unternehmen bis zum 25. Mai die Verordnung sauber umgesetzt haben.  

Wie Unternehmen am besten mit der bevorstehenden DSGVO umgehen und was zu beachten ist, gibt es im nächsten Blogartikel zu lesen.