Die Datenschutz-Grundverordnung (DSGVO) schützt Personen, wenn ihre Daten von privaten oder vielen öffentlichen Unternehmen verarbeitet werden. Die Datenverarbeitung durch zuständige Behörden zu Zwecken der Strafverfolgung unterliegt der Richtlinie zum Datenschutz bei der Strafverfolgung (siehe Zusammenfassung).
Sie ermöglicht Personen eine bessere Kontrolle über ihre personenbezogenen Daten. Außerdem werden Vorschriften erneuert und vereinheitlicht, die es Unternehmen erlauben, ihre Bürokratie zu verringern und von einem höheren Vertrauen der Verbraucher zu profitieren.
Sie richtet ein System vollständig unabhängiger Aufsichtsbehörden für die Überwachung und Durchsetzung der Einhaltung ein.
Die Richtlinie ist Teil der Datenschutzreform der Europäischen Union (EU), zusammen mit der Richtlinie zum Datenschutz bei der Strafverfolgung und der Richtlinie (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU (siehe Zusammenfassung).
WICHTIGE ECKPUNKTE
Die Rechte einer Person
Die Datenschutz-Grundverordnung stärkt bestehende Rechte, führt neue Rechte ein und gibt Einzelpersonen eine umfassendere Kontrolle über ihre personenbezogenen Daten. Sie umfasst Folgendes:
Vereinfachter Zugang zu personenbezogenen Daten einer Person. Dazu gehören die Bereitstellung von umfassenderen Informationen zur Verarbeitung der Daten und die Gewährleistung, dass diese Informationen klar und verständlich verfügbar gemacht werden.
Ein neues Recht auf Datenübertragbarkeit. Dieses erleichtert die Übermittlung personenbezogener Daten zwischen Anbietern.
Ein eindeutigeres Recht auf Löschung (Recht auf Vergessenwerden). Wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht.
Das Recht auf Mitteilung über eine Verletzung des Schutzes personenbezogener Daten. Unternehmen und Organisationen müssen die entsprechenden Datenschutzaufsichtsbehörden und, in Fällen schwerer Verletzungen des Datenschutzes, auch die betroffenen Personen informieren.
Unternehmensvorschriften
Die DSGVO schafft einheitliche Wettbewerbsbedingungen für alle Unternehmen, die im Binnenmarkt der EU operieren, folgt einem technologieneutralen Ansatz und regt durch verschiedene Schritte Innovation an, darunter die Folgenden:
Einheitliche EU-weite Vorschriften. Ein einzelnes EU-weites Datenschutzgesetz erhöht die rechtliche Sicherheit und reduziert den Verwaltungsaufwand.
Datenschutzbeauftragte. Öffentliche Behörden und Unternehmen, die umfangreich Daten verarbeiten oder deren Kernaktivität die Verarbeitung besonderer Kategorien von Daten, wie gesundheitsbezogener Daten, ist, müssen eine Person ernennen, die für den Datenschutz verantwortlich ist.
Einzige Anlaufstelle. Unternehmen müssen nur mit einer einzigen Aufsichtsbehörde arbeiten (in dem Mitgliedstaat mit der Hauptniederlassung); die betroffenen Aufsichtsbehörden arbeiten im Rahmen des Europäischen Datenschutzausschusses für grenzüberschreitende Fälle zusammen.
EU-Vorschriften für Nicht-EU-Unternehmen. In Drittländern beheimatete Unternehmen müssen dieselben Vorschriften anwenden, wenn sie in der EU Dienstleistungen oder Waren anbieten oder das Verhalten von Personen beobachten.
Innovationsfördernde Vorschriften. Eine Garantie, dass Datenschutzbestimmungen bereits in einer frühen Entwicklungsphase in Produkte und Dienstleistungen (Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen) integriert werden.
Datenschutzgerechte Techniken. Um die Aufdringlichkeit der Verarbeitung einzugrenzen, werden beispielsweise Pseudonymisierung (wenn identifizierende Felder in einem Datensatz durch eine oder mehrere künstliche Kennungen ersetzt werden) und Verschlüsselung (wenn Daten so verschlüsselt sind, dass nur befugte Parteien sie lesen können) empfohlen.
Beseitigung der Meldepflichten. Die DSGVO schaffte die meisten Meldepflichten und die damit verbundenen Kosten ab. Eines der Ziele ist die Beseitigung von Hürden, die sich auf den freien Verkehr personenbezogener Daten in der EU auswirken. So können Unternehmen einfacher im digitalen Binnenmarkt expandieren.
Datenschutz-Folgenabschätzungen. Unternehmen führen Folgenabschätzungen durch, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte.
Führen von Verzeichnissen.Kleine und mittlere Unternehmen sind nicht verpflichtet, Verzeichnisse über die Datenverarbeitung zu führen, sofern die Verarbeitung nicht zu einem hohen Risiko für die Rechte und Freiheiten der Person führen, deren Daten verarbeitet werden, oder sensible Datenkategorien umfasst.
Moderne Mittel für internationale Datenübertragungen. Die DSGVO bietet verschiedene Wege, Daten außerhalb der EU zu übertragen, darunter Angemessenheitsbeschlüsse der Europäischen Kommission, über die Nicht-EU-Länder angemessenen Datenschutz, zuvor gebilligte Standardvertragsklauseln, bindende Unternehmensvorschriften, Verhaltenskodizes und Zertifizierung bieten.
Überprüfung
Die Kommission hat im Juni 2020 einen Bericht über die Bewertung und Überprüfung dieser Verordnung vorgelegt. Der nächste Bericht ist 2024 fällig.
WANN TRITT DIE VERORDNUNG IN KRAFT?
Die Datenschutz-Grundverordnung ist am in Kraft getreten.
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom , S. 1-88).
Nachfolgende Änderungen der Verordnung (EU) 2016/679 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.
VERBUNDENE DOKUMENTE
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom , S. 89-131).
Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom , S. 39-98).
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom , S. 37-47).