Die Datenschutz-Grundverordnung (DS-GVO)

Die EU-Datenschutz-Grundverordnung 2016/679 trat am 25. Mai 2018 in Kraft

 

Was ist die DS-GVO?

Die EU-Datenschutz-Grundverordnung 2016/679 (abgekürzt DS-GVO) ist eine Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU regelt.

Die Datenschutz-Grundverordnung ersetzt die Datenschutzrichtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Am 25. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung in Kraft getreten. Zwingend anzuwenden ist sie seit dem 25. Mai 2018.

Sie wird unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und bedarf somit nicht eines nationalen Umsetzungsaktes. Die meisten Datenschutzgesetze der Mitgliedsstaaten traten daher ab Mai 2018 außer Kraft. Dadurch soll ein gleichwertiges Datenschutzniveau in der EU geschaffen werden. Dem steht jedoch entgegen, dass die DS-GVO ca. 50 bis 60 Öffnungsklauseln enthält, in denen die Verordnung nur Mindeststandards setzt und es den Mitgliedsstaaten überlässt, hierzu detailliertere Regelungen zu treffen. Dies gilt etwa bei den Anforderungen an die Bestellung eines Datenschutzbeauftragten und beim Mitarbeiterdatenschutz.

Um das deutsche Recht an die Verordnung anzupassen und diesen Mindeststandards umzusetzen, wurde das Bundesdatenschutzgesetz neu verfasst (abgekürzt BDSG neu).

Was wird durch die DS-GVO geschützt?

Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Dadurch wird Bürgerinnen und Bürgern mehr Kontrolle über personenbezogene Daten gewährt. Zum einen sollen die den Datenschutz betreffenden Grundrechte und Grundfreiheiten des Einzelnen geschützt werden, andererseits muss vermiedenen werden, dass der Grundrechtschutz den freien Verkehr solcher Daten in der Europäischen Union einschränkt oder unterbindet. So enthält die Verordnung Normen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie solche zum freien Verkehr dieser Daten innerhalb des Europäischen Binnenmarktes. Die DS-GVO trägt damit zum wirtschaftlichen und sozialen Fortschritt innerhalb der Europäischen Union sowie zum Wohlergehen natürlicher Personen bei.

Grundrecht auf Datenschutz

Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten. Denn Datenschutz soll jedem Menschen das Recht geben grundsätzlich selber darüber zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Schutz personenbezogener Daten ist Menschenrecht. Was der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten umfasst, ergibt sich somit aus Art. 8 GRC sowie Art. 16 Abs. 1 AEUV. Der durch die DS-GVO gewährte Schutz betrifft demnach die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsortes. Der Schutz richtet sich sowohl gegen den Staat als auch gegen private Datenverarbeiter, insbesondere auch gegen Marktgiganten, die diese Daten zum Gegenstand ihres Geschäftsmodells machen. Die Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen.

Freier Datenverkehr innerhalb der EU

Auch wird der freie Datenverkehr innerhalb der Union geschützt. Der freie Verkehr personenbezogener Daten darf aus Gründen des Schutzes der Betroffenen weder eingeschränkt noch verboten werden. Der Datenschutz darf keine Grundlage für innereuropäische Verkehrsbeschränkungen sein. Es gilt sicherzustellen, dass der Austausch auch von personenbezogenen Daten europaweit frei bleibt. Übermittlung aus der EU in Drittstaaten ist geregelt durch die Vorschriften zur Drittstaatenübermittlung (Art. 44 ff. DS-GVO).

Schutz vor Verarbeitung personenbezogener Daten

Geschützt werden personenbezogene Daten. Darunter sind alle Daten zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DS-GVO). Nicht erfasst sind damit Daten, die keinen Personenbezug aufweisen.

Die Datenschutz-Grundverordnung soll den Einzelnen vor der Verarbeitung personenbezogener Daten schützen, wenn diese automatisiert oder für ein Dateisystem erfolgt (Art. 2 Abs. 1 DS-GVO). Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DS-GVO). Letztlich ist jeglicher Umgang mit personenbezogenen Daten umfasst. Wer die Daten verarbeitet, ist grundsätzlich irrelevant. Insbesondere kommt es nicht darauf an, ob ein hoheitlich Tätiger oder ein privater Verantwortlicher handelt.

Art. 2 Abs. 2 DS-GVO enthält Ausnahmen vom Anwendungsbereich. Abs. 2 lit. a beschränkt den Anwendungsbereich der Verordnung auf Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen. Abs. 2 lit. b nimmt Datenverarbeitungen der Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik vom Anwendungsbereich der Verordnung aus. Abs. 2 lit. c schließt die Anwendung der DS-GVO auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlicher persönlicher oder familiärer Tätigkeiten aus. Nach Abs. 2 lit. d fallen Datenverarbeitungen zur Bekämpfung von Straftaten nicht unter die Verordnung.

An wen richtet sich die DS-GVO?

Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DS-GVO). Doch gilt die Datenschutz-Grundverordnung nicht nur für Unternehmen mit Sitz innerhalb der EU, sondern auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Produkte und Dienstleistungen in der EU anbieten und dabei personenbezogene Daten über die in der EU ansässigen Personen erheben, verarbeiten und nutzen (Art. 3 Abs. 2 DS-GVO). Der Ort der Datenverarbeitung spielt somit keine Rolle.

Als Verantwortlicher gilt nach der Definition des Art. 4 Nr. 7 DS-GVO jede natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichen haften nach der DS-GVO dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden.

Was sind die wichtigsten Regelungen der DS-GVO?

Grundsätze für die Datenverarbeitung

Art. 5 Abs. 1 DS-GVO regelt eine Vielzahl von Grundsätzen für die Verarbeitung personenbezogener Daten:

  • Nach lit. a muss eine Verarbeitung auf rechtmäßige Weise und nach dem Grundsatz von Treu und Glauben vorgenommen werden und für die betroffene Person nachvollziehbar sein.
  • Eine Verarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 lit. b DS-GVO). Legitim ist der Zweck, wenn einer der Erlaubnistatbestände aus Art. 6 DS-GVO erfüllt ist, aber auch, wenn der Zweck gesetzlich vorgesehen ist.
  • Nach lit. c muss eine Verarbeitung dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein (Datenminimierung). Die Daten müssen also qualitativ und quantitativ begrenzt werden.
  • Personenbezogene Daten müssen richtig sein, um als Repräsentation der Realität gelten zu können. Daher sind alle angemessenen Maßnahmen zu treffen, damit unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden (Art. 5 Abs. 1 lit. d DS-GVO).
  • Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist (Art. 5 Abs. 1 lit. e DS-GVO).
  • Die personenbezogenen Daten sollen vor Beeinträchtigungen geschützt werden. Es soll eine angemessene Sicherheit sowie Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet werden (Art. 5 Abs. 1 lit. f DS-GVO).

Der Verantwortliche trägt die Rechenschaftspflicht, d.h. er ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Art. 5 Abs. 2 DS-GVO).

Rechtmäßigkeit der Datenverarbeitung

Der Umgang mit personenbezogenen Daten bleibt auch weiterhin verboten, wenn er nicht durch einen Erlaubnistatbestand der DS-GVO oder durch eine sonstige zulässige Rechtsgrundlage, die sich aus Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, vorgesehen ist. Die Erlaubnistatbestände aus Art. 6 DS-GVO sind:

  • Es liegt eine Einwilligung des Betroffenen vor. Eine Einwilligung soll durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Detaillierte Anforderungen finden sich in Art. 7 und Art. 8 DS-GVO .
  • Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Hier ist eine Interessensabwägung vorzunehmen.

Für Erhebung und Verarbeitung personenbezogener Daten gilt der Grundsatz der Zweckbindung. Daten dürfen ausschließlich für den Zweck erhoben werden, der im Vorfeld festgelegt wurde. In Art. 6 Abs. 4 DS-GVO ist aber auch eine Regelung enthalten, nach der Daten später auch zu Zwecken verarbeitet werden dürfen, die nicht dem ursprünglichen Zweck der Erhebung entsprechen. Dies ist aber nur dann zulässig, wenn die Verarbeitung mit dem ursprünglichen Erhebungszweck vereinbar ist. In diesem Fall ist dann keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Ersterhebung der personenbezogenen Daten.

Verarbeitung von sensiblen Daten

Personenbezogene Daten, die hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Sensible Daten sind solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 Abs. 1 DS-GVO). Eine Verarbeitung solcher personenbezogenen Daten ist nur unter speziellen Umständen erlaubt, z.B. durch Einwilligung oder wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen ist und eine Verarbeitung durch das öffentliche Interesse gerechtfertigt ist (weitere Erlaubnistatbestände in Art. 9 Abs. 2 DS-GVO).

Informationspflichten

Die Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt, damit Betroffene leichter Zugang zu ihren Daten und der Information über deren Nutzung haben.

Art. 13 DS-GVO regelt Art und Umfang der Informationspflicht des Verantwortlichen bei Erhebung von personenbezogenen Daten gegenüber der betroffenen Person. Eine solche Information muss sofort bei Erhebung der Daten erfolgen. Dabei legt Abs. 1 diejenigen Informationen fest, die der Verantwortliche mitzuteilen hat, wenn personenbezogene Daten bei der betroffenen Person erhoben werden:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke und Rechtsgrundlage der Datenverarbeitung,
  • Darlegung der berechtigten Interessen, wenn die Datenverarbeitung auf dem Tatbestand der berechtigten Interessen aus Art.6 1 lit. f DS-GVO beruht,
  • Empfänger oder Kategorien von Empfängern der Daten,
  • Informationen zu den Empfängern der Datenübermittlung,
  • Informationen zu den empfangenden Drittländern.

Abs. 2 erweitert die Informationspflicht um weitere Informationen, die zur Gewährleistung einer fairen und transparenten Verarbeitung notwendig sind:

  • Dauer der Datenspeicherung,
  • Belehrung über Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenübertragbarkeit und das Beschwerderecht bei einer Aufsichtsbehörde,
  • Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und mögliche Folgen der Nichtbereitstellung,
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling.

Dass betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden. Falls der Verantwortliche erhobene personenbezogene Daten für einen anderen als den ursprünglichen Zweck zu verarbeiten beabsichtigt, sind vor der Weiterverarbeitung ebenso (neue und erweiterte) Informationen der betroffenen Person zur Verfügung zu stellen (Abs. 3). Diese Pflichten bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Abs. 4). Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist. Dann ist allerdings eine öffentliche Bekanntmachung dieser Information, z.B. auf einer Webseite, von Nöten.

Art. 14 DS-GVO regelt die Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden. Der Verantwortliche muss der betroffenen Person die selben Informationen wie in Art. 13 DS-GVO mitteilen. Falls der Verantwortliche erhobene personenbezogene Daten für einen anderen als den ursprünglichen Zweck zu verarbeiten beabsichtigt, sind vor der Weiterverarbeitung ebenso Informationen der betroffenen Person zur Verfügung zu stellen (Abs. 4). Die Informationspflichten bestehen nach Abs. 5 nicht, wenn die betroffene Person bereits über die Informationen verfügt (lit. a), sich die Erteilung der Information als unmöglich erweist (lit. b), die Maßnahme bereits im Unionsrecht ausdrücklich geregelt ist (lit. c) oder vom Schutz des Berufsgeheimnisses umfasst ist (lit. d).

Transparenzpflichten

Die Informationen nach Art. 13 und 14 DS-GVO müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden, dies gilt insbesondere für Informationen, die sich speziell an Kinder richten (Art. 12 Abs. 1 DS-GVO). Die Übermittlung der Informationen kann schriftlich, elektronisch oder in anderer Form erfolgen. Für natürliche Personen bedeutet Transparenz, dass sie betreffende personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Auch soll sie Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung 
erhalten.

Weitere Rechte der Nutzer

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob, wie und zu welchem Zweck die sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie nach Art. 15 DS-GVO ein Recht auf Auskunft über diese personenbezogenen Daten. Zudem hat die betroffene Person nach Art. 16 DS-GVO das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Auch steht der betroffenen Person das Recht zu, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen („Recht auf Vergessenwerden“, Art. 17 DS-GVO.

Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung ist nach Art. 28 und 29 DS-GVO erlaubt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung erfolgt gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Darunter fallen z.B. Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die externe Stellen zur Buchhaltung beauftragen.

Durchführung von Datenschutz-Folgenabschätzungen

Außerdem stellt die DS-GVO auch eine neue Anforderung an den Datenschutz in Unternehmen durch die Pflicht zur Datenschutz-Folgenabschätzung. Eine Datenschutz-Folgenabschätzung ist notwendig, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 DS-GVO). Sie ist beispielsweise bei umfangreichen Verarbeitungsvorgängen durchzuführen, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen und wahrscheinlich ein hohes Risiko mit sich bringen und bei denen eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die 
Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.

Datenschutzbeauftragter

Nach Art. 37 DS-GVO besteht nun eine europaweite Pflicht einen Datenschutzbeauftragten zu bestellen. Diese besteht für Behörden, öffentliche Stellen und Unternehmen. Sie besteht, wenn die Verarbeitung personenbezogener Daten als Kerntätigkeit einzustufen ist, welche aufgrund ihrer Art, ihres Umfangs oder Zwecks eine umfangreiche, regelmäßige und systemische Überwachung erfordert. Ebenso besteht die Verpflichtung zur Bestellung, sofern besondere Kategorien von Daten in der Verarbeitung betroffen sind und auch hier eine Kerntätigkeit vorliegt.

Der Verantwortliche oder der Auftragsverarbeiter soll bei der Überwachung der internen Einhaltung der DS-GVO von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden, dem Datenschutzbeauftragten. Jedes Unternehmen unterliegt der Verpflichtung, eigenständig zu prüfen, zu dokumentieren und nachzuweisen, ob das Erfordernis besteht, einen Datenschutzbeauftragten zu bestellen.

Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen und deren Beschäftigte, sorgt für eine Einhaltung der Datenschutz-Grundverordnung, nationaler Gesetze und die Sicherstellung des Datenschutzes. Auf Anfrage des Verantwortlichen hat der Datenschutzbeauftragte mit der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO zu beraten. Schließlich obliegt es dem Datenschutzbeauftragten mit der Aufsichtsbehörde zusammenzuarbeiten und für diese eine Anlaufstelle darzustellen. Dabei muss dieser völlig unabhängig handeln.

Übermittlung personenbezogener Daten in Drittländer

Die Übermittlung personenbezogener Daten an Unternehmen in Drittländern oder an internationale Organisationen ist für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit notwendig. Eine solche Übermittlung ist allerdings nur unter strikter Einhaltung der DS-GVO zulässig (Art. 44 DS-GVO). Wichtig ist, dass die Gesetzgebung des jeweiligen Landes ein angemessenes Datenschutzniveau gewährleistet. Wie bisher wird auch weiterhin von der EU Kommission festgelegt, welche Drittländer die Voraussetzungen erfüllen.

Datenschutzaufsichtsbehörden

Art. 51 DS-GVO verpflichtet die Mitgliedstaaten eine oder mehrere unabhängige Aufsichtsbehörden zu errichten. Die Aufsichtsbehörden sind wichtig, damit Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird.

Art. 52 DS-GVO regelt vorrangig die Unabhängigkeit der einzelnen mitgliedstaatlichen Aufsichtsbehörden. Zudem verpflichtet Abs. 4 die Mitgliedstaaten zu einer hinreichenden Ausstattung ihrer jeweiligen Behörden, sodass diesen eine effektive Aufgabenwahrnehmung möglich ist, d.h. jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden.

Die Aufsichtsbehörden sollen die Anwendung der DS-GVO überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen.
 Außerdem gehört zu den Aufgaben der Aufsichtsbehörden die Aufklärung der Öffentlichkeit über die Rechte der Datenverarbeitung und die Beschwerdezuständigkeit. Die Behörden müssen sich untereinander abstimmen und zusammenarbeiten.

Haftungsansprüche

Haftungsansprüche sind in Art. 82 DS-GVO geregelt. Betroffene können Haftungsansprüche auf materielle oder immaterielle Schäden (moralische Schäden) geltend machen. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Somit haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Dafür wird geprüft, ob die Datenverarbeitung so erfolgt ist, wie es für den Betroffenen zu erwarten war. Der Verantwortliche kann von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. 
Für Unternehmen bedeutet dies trotzdem, dass sie nun einem deutlich höheren Haftungsrisiko ausgesetzt sind und ihre Prozesse daher kritischer betrachten müssen.

Sanktionen bei Verstößen gegen die DS-GVO

Fast jeder Verstoß gegen die DS-GVO kann geahndet werden. Die Höhe von Bußgeldern wird nach den jeweiligen Umständen bestimmt (Art. 83 DS-GVO). Hier werden zwei Unterscheidungen getroffen:

  • Bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter (gem. Art. 8, 11, 25 bis 39, 42 und 43 DS-GVO), die Pflichten der Zertifizierungsstelle (gem. Art. 42 und 43 DS-GVO) und die Pflichten der Überwachungsstelle (gem. 41 Abs. 4 DS-GVO) werden Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
  • Bei Verstößen gegen die Grundsätze für die Verarbeitung und der Bedingungen für die Einwilligung (gem. Art. 5, 6, 7 und 9 DS-GVO), die Rechte der betroffenen Person (gem. 12 bis 22 DS-GVO) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den (gem. Art. 44 bis 49 DS-GVO), alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde (gem. Art. 58 DS-GVO) werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Jede Aufsichtsbehörde ist befugt, Geldbußen zu verhängen. 
Diese sind in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen.

Fazit

Durch die fortschreitende technologische Entwicklung und die Globalisierung ist es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten umfassend auf personenbezogene Daten zurückgreifen sowie auch natürliche Personen persönliche Informationen öffentlich weltweit zugänglich machen können. Um einen sicheren unionsweiten Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren sowie natürlichen Personen, Vereinigungen und Unternehmen zu gewährleisten, wurde mit dem 25. Mai 2018 die Datenschutz-Grundverordnung unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Sie ist als Rechtsrahmen im Bereich des Datenschutzes in der EU zu sehen und schafft Sicherheit und Transparenz für die Verarbeitung personenbezogener Daten. Durch die DS-GVO soll ein gleichmäßiges und hohes  Schutzniveau personenbezogener Daten in allen Mitgliedstaaten der Europäischen Union sichergestellt sowie der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet Hemmnisse für den Verkehr personenbezogener Daten beseitigt werden.

Welche datenschutzkonforme Umsetzung bieten wir?

Um dem unionsweiten Datenschutz gerecht zu werden, ist eine Löschung von personenbezogenen Daten auf allen ausgemusterten gewerblich genutzten IT-Altgeräten, insbesondere auf gebrauchten Computern und Smartphones, von Nöten, um eine Beeinträchtigung der Grundrechte anderer zu verhindern und Vertrauen zu Ihrem Unternehmen zu schaffen. Eine unzureichende Datenvernichtung kann daher als Verstoß gegen das BDSG neu und die DS-GVO gesehen Die Remarketing Company nimmt eine revisionssichere Datenlöschung auf den Datenträgern der von Ihnen ausgemusterten Informationstechnologie-Produkten vor und setzt die Vorgaben der Datenschutz-Grundverordnung gewissenhaft um.

Lesen Sie hier mehr zu der nationalen Anpassung an die DSGVO durch das Bundesdatenschutzgesetz neu:

Zum BDSG neu