Die europäische Datenschutz-Grundverordnung, kurz EU-DSGVO, ist eine Datenschutzverordnung, die personenbezogene Daten innerhalb der europäischen Union schützen soll. Gleichzeitig soll die Verordnung den freien Datenverkehr innerhalb des europäischen Binnenmarktes gewährleisten. Die DSGVO trat am 24. Mai 2016 in Kraft. Unternehmen und Behörden hatten jedoch bis zum 25. Mai 2018 Zeit, die entsprechenden Maßgaben zum Datenschutz umzusetzen.

Inhalte der Datenschutz-Grundverordnung

Die DSCGVO soll vor allem die Rechte der Verbraucher stärken, deren Daten gesammelt und verarbeitet werden. Dabei geht es vor allem um Transparenz: Verbraucher sollen besser verstehen können, was genau mit ihren Daten passiert. Für Unternehmen, die Daten von Mitarbeitern und Kunden verarbeiten, resultieren daraus vor allem Pflichten. Die DS-GVO soll sie dazu zwingen, die Verarbeitung noch transparenter und sicherer zu gestalten. Nutzer sollen gut darüber informiert sein, wer welche Daten erhebt und was mit ihnen passiert. Sie haben ein Recht auf eine Auskunft.  Unternehmen und Behörden müssen eine erweiterte Auskunftspflicht erfüllen – klare, verständliche Erklärungen in Datenschutzerklärungen und Einwilligungen inklusive.

Die Grundsätze der DSGVO

In Artikel 5 der DS-GVO werden sechs Grundsätze aufgeführt, die für die Verarbeitung personenbezogener Daten in der europäischen Union gelten. In diesen wird geregelt, dass Daten auf rechtmäßige Weise und für betroffene Personen transparent verarbeitet werden. Zudem dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Auch die Verarbeitung darf nur dann stattfinden, wenn sie mit diesen Zwecken zu vereinbaren ist. Ausgenommen davon sind Archivierungen im öffentlichen Interesse sowie wissenschaftliche oder historische Forschungszwecke und statistische Zwecke. Die DS-GVO gibt unter dem Punkt Datenminimierung auch vor, dass so wenige Daten wie möglich und so viele Daten wie nötig gesammelt werden dürfen.

Falsche Daten oder Daten, die für die vereinbarten Zwecke nicht benötigt werden, müssen unverzüglich gelöscht oder berichtigt werden. Die Daten müssen so abgespeichert werden, dass die Identifizierung einer Person nur so lange möglich ist, wie für die Durchführung des vereinbarten Zwecks nötig. Auch hier dürfen die Daten zur Archivierung im öffentlichen Interesse und zu Forschungszwecken länger gespeichert werden. In jedem Fall muss allerdings die Sicherheit der Daten muss gewährleistet werden. Unternehmen und Behörden müssen nachweisen, dass sie diese Grundsätze befolgt werden.  

Unter diesen Umständen ist die Datenverarbeitung erlaubt

Damit Daten verarbeitet werden dürfen muss der Verbraucher dem ausdrücklich zustimmen. Personenbezogene Daten dürfen darüber hinaus verarbeitet werden, wenn die Verarbeitung nötig ist, damit ein Vertrag geschlossen oder erfüllt werden kann. Müssen rechtliche Pflichten erfüllt werden, ist die Verarbeitung der Informationen ebenfalls erlaubt. Informationen dürfen auch genutzt werden, um lebenswichtige Interessen der betroffenen Person zu schützen. Aus Sicht der DSGVO ist es auch zulässig, Daten zu verarbeiten, die benötigt werden, um ein öffentliches Interesse zu wahren. Wer Informationen außerhalb dieser Regelungen verarbeiten möchte, muss ein berechtigtes Interesse daran haben und darf die Daten nur dann nutzen, wenn die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Die DSGVO legt hier besonderen Wert auf das Alter der betroffenen Person und mahnt insbesondere zum Schutz von Kindern.

Mit der EU-Datenschutz-Grundverordnung dürfen Daten nur gesammelt und gespeichert werden, wenn

  • eine Person ausdrücklich ihre Erlaubnis dazu gegeben hat,
  • die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder für das Zustandekommen eines Vertrages erforderlich sind.
  • die Verarbeitung der Daten für die Erfüllung rechtlicher Pflichten erforderlich ist,
  • die Daten für den Schutz lebenswichtiger Interessen benötigt werden,
  • die Daten benötigt werden um eine Aufgabe des öffentlichen Interesses zu erfüllen,
  • berechtigte Interessen des Verantwortlichen oder eines Dritten gewahrt werden sollen.

Strafen von bis zu 20 Millionen Euro

Unternehmen, die die Vorgaben der DS-GVO nicht einhalten, müssen mit hohen Strafen rechnen. Vor dem Stichtag, 25. Mai 2018, wurde eine massive Abmahnwelle befürchtet, die bisher noch auf sich warten lässt. Fakt ist: Bei groben Verstößen können Unternehmen mit Strafen von bis zu 20 Millionen Euro belegt werden. Deshalb sollten sich Firmen genau mit dem Thema Datenschutz befassen und die gestärkten Rechte der Verbraucher ernstnehmen.