| General data protection regulation (GDPR) | Datenschutz-Grundverordnung (DSGVO) |
| | Verordnung (EU) 2016/679 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr |
| Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and the free movement of such data | |
WHAT IS THE AIM OF THE REGULATION?
| WAS IST DER ZWECK DER VERORDNUNG? |
| The general data protection regulation (GDPR) protects individuals when their data is being processed by the private sector and most of the public sector. The processing of data by the relevant authorities for law-enforcement purposes is subject to the data protection law enforcement directive (LED) instead (see summary). | Die Datenschutz-Grundverordnung (DSGVO) schützt Personen, wenn ihre Daten von privaten oder vielen öffentlichen Unternehmen verarbeitet werden. Die Datenverarbeitung durch zuständige Behörden zu Zwecken der Strafverfolgung unterliegt der Richtlinie zum Datenschutz bei der Strafverfolgung (siehe Zusammenfassung). |
| It allows individuals to better control their personal data. It also modernises and unifies rules, allowing businesses to reduce red tape and to benefit from greater consumer trust. | Sie ermöglicht Personen eine bessere Kontrolle über ihre personenbezogenen Daten. Außerdem werden Vorschriften erneuert und vereinheitlicht, die es Unternehmen erlauben, ihre Bürokratie zu verringern und von einem höheren Vertrauen der Verbraucher zu profitieren. |
| It establishes a system of completely independent supervisory authorities in charge of monitoring and enforcing compliance. | Sie richtet ein System vollständig unabhängiger Aufsichtsbehörden für die Überwachung und Durchsetzung der Einhaltung ein. |
| It is part of the European Union (EU) data protection reform, along with the data protection law enforcement directive and Regulation (EU) 2018/1725 on the protection of natural persons with regard to the processing of personal data by the EU institutions, bodies, offices and agencies (see summary). | Die Richtlinie ist Teil der Datenschutzreform der Europäischen Union (EU), zusammen mit der Richtlinie zum Datenschutz bei der Strafverfolgung und der Richtlinie (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU (siehe Zusammenfassung). |
KEY POINTS
| WICHTIGE ECKPUNKTEDie Rechte einer Person |
| Individuals’ rights | Die Datenschutz-Grundverordnung stärkt bestehende Rechte, führt neue Rechte ein und gibt Einzelpersonen eine umfassendere Kontrolle über ihre personenbezogenen Daten. Sie umfasst Folgendes:Vereinfachter Zugang zu personenbezogenen Daten einer Person. Dazu gehören die Bereitstellung von umfassenderen Informationen zur Verarbeitung der Daten und die Gewährleistung, dass diese Informationen klar und verständlich verfügbar gemacht werden.Ein neues Recht auf Datenübertragbarkeit. Dieses erleichtert die Übermittlung personenbezogener Daten zwischen Anbietern.Ein eindeutigeres Recht auf Löschung (Recht auf Vergessenwerden). Wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht.Das Recht auf Mitteilung über eine Verletzung des Schutzes personenbezogener Daten. Unternehmen und Organisationen müssen die entsprechenden Datenschutzaufsichtsbehörden und, in Fällen schwerer Verletzungen des Datenschutzes, auch die betroffenen Personen informieren.Unternehmensvorschriften |
| The GDPR strengthens existing rights, provides for new rights and gives individuals more control over their personal data. It includes the following. | Die DSGVO schafft einheitliche Wettbewerbsbedingungen für alle Unternehmen, die im Binnenmarkt der EU operieren, folgt einem technologieneutralen Ansatz und regt durch verschiedene Schritte Innovation an, darunter die Folgenden:Einheitliche EU-weite Vorschriften. Ein einzelnes EU-weites Datenschutzgesetz erhöht die rechtliche Sicherheit und reduziert den Verwaltungsaufwand.Datenschutzbeauftragte. Öffentliche Behörden und Unternehmen, die umfangreich Daten verarbeiten oder deren Kernaktivität die Verarbeitung besonderer Kategorien von Daten, wie gesundheitsbezogener Daten, ist, müssen eine Person ernennen, die für den Datenschutz verantwortlich ist.Einzige Anlaufstelle. Unternehmen müssen nur mit einer einzigen Aufsichtsbehörde arbeiten (in dem Mitgliedstaat mit der Hauptniederlassung); die betroffenen Aufsichtsbehörden arbeiten im Rahmen des Europäischen Datenschutzausschusses für grenzüberschreitende Fälle zusammen.EU-Vorschriften für Nicht-EU-Unternehmen. In Drittländern beheimatete Unternehmen müssen dieselben Vorschriften anwenden, wenn sie in der EU Dienstleistungen oder Waren anbieten oder das Verhalten von Personen beobachten.Innovationsfördernde Vorschriften. Eine Garantie, dass Datenschutzbestimmungen bereits in einer frühen Entwicklungsphase in Produkte und Dienstleistungen (Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen) integriert werden.Datenschutzgerechte Techniken. Um die Aufdringlichkeit der Verarbeitung einzugrenzen, werden beispielsweise Pseudonymisierung (wenn identifizierende Felder in einem Datensatz durch eine oder mehrere künstliche Kennungen ersetzt werden) und Verschlüsselung (wenn Daten so verschlüsselt sind, dass nur befugte Parteien sie lesen können) empfohlen.Beseitigung der Meldepflichten. Die DSGVO schaffte die meisten Meldepflichten und die damit verbundenen Kosten ab. Eines der Ziele ist die Beseitigung von Hürden, die sich auf den freien Verkehr personenbezogener Daten in der EU auswirken. So können Unternehmen einfacher im digitalen Binnenmarkt expandieren.Datenschutz-Folgenabschätzungen. Unternehmen führen Folgenabschätzungen durch, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte.Führen von Verzeichnissen. Kleine und mittlere Unternehmen sind nicht verpflichtet, Verzeichnisse über die Datenverarbeitung zu führen, sofern die Verarbeitung nicht zu einem hohen Risiko für die Rechte und Freiheiten der Person führen, deren Daten verarbeitet werden, oder sensible Datenkategorien umfasst.Moderne Mittel für internationale Datenübertragungen. Die DSGVO bietet verschiedene Wege, Daten außerhalb der EU zu übertragen, darunter Angemessenheitsbeschlüsse der Europäischen Kommission, über die Nicht-EU-Länder angemessenen Datenschutz, zuvor gebilligte Standardvertragsklauseln, bindende Unternehmensvorschriften, Verhaltenskodizes und Zertifizierung bieten.Überprüfung |
| Easier access to an individual's own data. This includes providing more information on how that data is processed and ensuring that that information is available in a clear and understandable way. | Die Kommission hat im Juni 2020 einen Bericht über die Bewertung und Überprüfung dieser Verordnung vorgelegt. Der nächste Bericht ist 2024 fällig. |
| A new right to data portability. This makes it easier to transmit personal data between service providers. | |
| A clearer right to erasure (right to be forgotten). When an individual no longer wants their data to be processed and there is no legitimate reason to keep it, the data will be deleted. | |
| The right to know when their personal data has been breached. Companies and organisations have to notify the relevant data protection supervisory authority and, in cases of serious data breaches, also the individuals affected. | |
| Rules for businesses | |
| The GDPR creates a level playing field for all companies operating in the EU internal market, adopts a technology-neutral approach and stimulates innovation through a number of steps, which include the following. | |
| A single set of EU-wide rules. A single EU-wide law for data protection increases legal certainty and reduces administrative burden. | |
| A data protection officer. A person responsible for data protection has to be designated by public authorities and by businesses that process data on a large scale, or whose core activity is the processing of special categories of data, such as health-related data. | |
| One-stop shop. Businesses only have to deal with one single supervisory authority (in the EU Member State in which they have their main establishment); the relevant supervisory authorities cooperate in the framework of the European Data Protection Board for cross-border cases. | |
| EU rules for non-EU companies. Companies based outside the EU must apply the same rules when offering services or goods to, or when monitoring the behaviours of, individuals within the EU. | |
| Innovation-friendly rules. A guarantee that data protection safeguards are built into products and services from the earliest stage of development (data protection by design and by default). | |
| Privacy-friendly techniques. Pseudonymisation (when identifying fields within a data record are replaced by one or more artificial identifiers) and encryption (when data is coded in such a way that only authorised parties can read it), for example, are encouraged, in order to limit the intrusiveness of processing. | |
| Removal of notifications. The GDPR scrapped most notification obligations and the costs associated with these. One of its aims is to remove obstacles that affect the free flow of personal data within the EU. This will make it easier for businesses to expand in the single digital market. | |
| Data protection impact assessments. Organisations will have to carry out impact assessments when data processing may result in a high risk for the rights and freedoms of individuals. | |
| Record keeping. Small and medium-sized enterprises are not required to keep records of processing activities – unless the processing is regular or likely to result in a risk to the rights and freedoms of the person whose data is being processed, or includes sensitive categories of data. | |
| A modern toolbox for international data transfers. The GDPR offers various instruments to transfer data outside the EU, including adequacy decisions adopted by the European Commission where the non-EU country offers an adequate level of protection, pre-approved (standard) contractual clauses, binding corporate rules, codes of conduct and certification. | |
| Review | |
| The Commission submitted a report on the evaluation and review of the regulation in June 2020. The next evaluation is due in 2024. | |
FROM WHEN DOES THE REGULATION APPLY?
| WANN TRITT DIE VERORDNUNG IN KRAFT? |
| The GDPR has applied since 25 May 2018. | Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten. |
BACKGROUND
| HINTERGRUND |
| For further information, see: | Weiterführende Informationen:Reform der EU-Datenschutzvorschriften (Europäische Kommission),EU-Datenschutzvorschriften (Europäische Kommission),Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß – Pressemitteilung (Europäische Kommission),Datenschutzreform – Pressemitteilung (Europäische Kommission),Schutz personenbezogener Daten (Europäische Kommission). |
| Reform of EU data protection rules (European Commission) | Infolge des Ausbruchs von COVID-19 und der Einführung von Maßnahmen zur Bewältigung der Auswirkungen der Krise hat die Kommission Folgendes erlassen:Empfehlung (EU) 2020/518 der Kommission vom 8. April 2020 für ein gemeinsames Instrumentarium der Union für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise, insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten. |
| EU data protection rules (European Commission) | |
| Commission report: EU data protection rules empower citizens and are fit for the digital age – press release (European Commission) | |
| Data protection reform – press release (European Commission) | |
| Protection of personal data (European Commission). | |
| Following the COVID-19 outbreak and the introduction of measures to cope with the impact of the crisis, the Commission adopted: | |
| Commission Recommendation (EU) 2020/518 of 8 April 2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data. | |
MAIN DOCUMENT
| HAUPTDOKUMENT |
| Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, pp. 1–88). | Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88). |
| Successive amendments to Regulation (EU) 2016/679 have been incorporated in the original text. This consolidated version is of documentary value only. | Nachfolgende Änderungen der Verordnung (EU) 2016/679 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter. |
RELATED DOCUMENTS
| VERBUNDENE DOKUMENTE |
| Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, pp. 89–131). | Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89-131). |
| See consolidated version. | Siehe konsolidierte Fassung. |
| Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, pp. 39–98). | Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39-98). |
| Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, pp. 37–47). | Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37-47). |
| See consolidated version. | Siehe konsolidierte Fassung. |
| last update 07.01.2022 | Letzte Aktualisierung: 07.01.2022 |
