Zum Hauptinhalt springen
Bild
lila Hexagonmuster

Datenschutz-Grundverordnung der EU

Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und stellt Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, vor große Herausforderungen – unabhängig davon, wo die Organisation ihren Sitz hat.

Die im Mai 2018 in Kraft getretene General Data Protection Regulation der EU (Datenschutz-Grundverordnung, DSGVO) soll den Schutz personenbezogener Daten verbessern und die Verantwortlichkeit von Unternehmen für Datenschutzverletzungen erhöhen. Mit potenziellen Bußgeldern in Höhe von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen EUR (je nachdem, welcher Betrag höher ist) ist die DSGVO durchaus wirksam. Unabhängig davon, wo Ihr Unternehmen ansässig ist, muss es die Bestimmungen der DSGVO einhalten, wenn es personenbezogene Daten von EU-Bürgern verarbeitet oder kontrolliert. Ansonsten drohen erhebliche Bußgelder und die Verpflichtung, die betroffenen Personen über Verletzungen des Schutzes personenbezogener Daten zu informieren. Erfahren Sie mehr über DSGVO-Compliance.

Die DSGVO ist sehr umfangreich und umfasst die folgenden Kapitel und Artikel:

Kapitel 1: Allgemeine Bestimmungen

  • Artikel 1: Gegenstand und Ziele
  • Artikel 2: Sachlicher Anwendungsbereich Artikel 3: Räumlicher Anwendungsbereich Artikel 4: Definitionen

Kapitel 2: Grundsätze

  • Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
  • Artikel 6: Rechtmäßigkeit der Verarbeitung
  • Artikel 7: Bedingungen für die Einwilligung
  • Artikel 8: Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten
  • Artikel 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Artikel 11: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Kapitel 3: Rechte der betroffenen Person

Abschnitt 1: Transparenz und Modalitäten

  • Artikel 12: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  • Absatz 2: Informationen und Zugriff auf Daten
  • Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
  • Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
  • Artikel 15: Auskunftsrecht der betroffenen Person

Abschnitt 3: Berichtigung und Löschung

  • Artikel 16: Recht auf Berichtigung
  • Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
  • Artikel 18: Recht auf Einschränkung der Verarbeitung
  • Artikel 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  • Artikel 20: Recht auf Datenübertragbarkeit

Absatz 4: Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

  • Artikel 21: Widerspruchsrecht
  • Artikel 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Absatz 5: Beschränkungen

  • Artikel 23: Beschränkungen

Kapitel 4: Verantwortlicher und Auftragsverarbeiter

Abschnitt 1: Allgemeine Pflichten

  • Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
  • Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  • Artikel 26: Gemeinsam Verantwortliche
  • Artikel 27: Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
  • Artikel 28: Prozessoren
  • Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
  • Artikel 30: Verzeichnis von Verarbeitungstätigkeiten
  • Artikel 31: Zusammenarbeit mit der Aufsichtsbehörde

Absatz 2: Sicherheit personenbezogener Daten

  • Artikel 32: Sicherheit der Verarbeitung
  • Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
  • Artikel 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3: Datenschutz-Folgenabschätzung und vorherige Konsultation

  • Artikel 35: Datenschutz-Folgenabschätzung
  • Artikel 36: Vorherige Konsultation

Absatz 4: Datenschutzbeauftragter

  • Artikel 37: Benennung eines Datenschutzbeauftragten
  • Artikel 38: Stellung des Datenschutzbeauftragten
  • Artikel 39: Aufgaben des Datenschutzbeauftragten

Absatz 5: Verhaltensregeln und Zertifizierung

  • Artikel 40: Verhaltensregeln
  • Artikel 41: Überwachung der genehmigten Verhaltensregeln
  • Artikel 42: Zertifizierungen
  • Artikel 43: Zertifizierungsstellen

Kapitel 5: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

  • Artikel 44: Allgemeine Grundsätze der Datenübermittlung
  • Artikel 45: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
  • Artikel 46: Datenübermittlung vorbehaltlich geeigneter Garantien
  • Artikel 47: Verbindliche interne Datenschutzvorschriften
  • Artikel 48: Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
  • Artikel 49: Ausnahmen für bestimmte Fälle
  • Artikel 50: Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Kapitel 6: Unabhängige Aufsichtsbehörden

Abschnitt 1: Unabhängigkeitsstatus

  • Artikel 51: Aufsichtsbehörde
  • Artikel 52: Unabhängigkeit
  • Artikel 53: Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
  • Artikel 54: Errichtung der Aufsichtsbehörde

Absatz 2: Zuständigkeit, Aufgaben und Befugnisse

  • Artikel 55: Zuständigkeit
  • Artikel 56: Zuständigkeit der federführenden Aufsichtsbehörde
  • Artikel 57: Aufgaben
  • Artikel 58: Befugnisse
  • Artikel 59: Tätigkeitsbericht

Kapitel 7: Zusammenarbeit und Kohärenz

Abschnitt 1: Zusammenarbeit

  • Artikel 60: Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
  • Artikel 61: Gegenseitige Amtshilfe
  • Artikel 62: Gemeinsame Maßnahmen der Aufsichtsbehörden

Absatz 2: Konsistenz

  • Artikel 63: Kohärenzverfahren
  • Artikel 64: Stellungnahme des Ausschusses
  • Artikel 65: Streitbeilegung durch den Ausschuss
  • Artikel 66: Dringlichkeitsverfahren
  • Artikel 67: Informationsaustausch

Abschnitt 3: Europäischer Datenschutzausschuss

  • Artikel 68: Europäischer Datenschutzausschuss
  • Artikel 69: Unabhängigkeit
  • Artikel 70: Aufgaben des Ausschusses
  • Artikel 71: Berichte
  • Artikel 72: Verfahren
  • Artikel 73: Vorsitz
  • Artikel 74: Aufgaben des Vorsitzes
  • Artikel 75: Sekretariat
  • Artikel 76: Vertraulichkeit

Kapitel 8: Rechtsbehelfe, Haftung und Sanktionen

  • Artikel 77: Recht auf Beschwerde bei einer Aufsichtsbehörde
  • Artikel 78: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
  • Artikel 79: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
  • Artikel 80: Vertretung von betroffenen Personen
  • Artikel 81: Aussetzung des Verfahrens
  • Artikel 82: Haftung und Recht auf Schadenersatz
  • Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen
  • Artikel 84: Strafen

Kapitel 9: Vorschriften für besondere Verarbeitungssituationen

  • Artikel 85: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
  • Artikel 86: Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
  • Artikel 87: Verarbeitung der nationalen Kennziffer
  • Artikel 88: Datenverarbeitung im Beschäftigungskontext
  • Artikel 89: Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
  • Artikel 90: Geheimhaltungspflichten
  • Artikel 91: Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

Kapitel 10: Delegierte Rechtsakte und Durchführungsrechtsakte

  • Artikel 92: Ausübung der Befugnisübertragung
  • Artikel 93: Ausschussverfahren

Kapitel 11: Schlussbestimmungen

  • Artikel 94: Aufhebung der Richtlinie 95/46/EG
  • Artikel 95: Verhältnis zur Richtlinie 2002/58/EG
  • Artikel 96: Verhältnis zu bereits geschlossenen Übereinkünften
  • Artikel 97: Berichte der Kommission
  • Artikel 98: Überprüfung anderer Rechtsakte der Union zum Datenschutz
  • Artikel 99: Inkrafttreten und Anwendung

Wesentliche Bestimmungen des Artikels 32

Einige der wichtigsten Bestimmungen der DSGVO, Artikel 32 erfordern:

a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wesentliche Bestimmungen des Artikels 34

Artikel 34 der Verordnung beschreibt detailliert, was ein Unternehmen tun muss, um es zu vermeiden, betroffene Personen im Falle einer Datenschutzverletzung benachrichtigen zu müssen.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten...
Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a. Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugriff auf die personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b. der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c. die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.