Die DSGVO (Datenschutz-Grundverordnung) ist die zentrale, für alle Mitgliedsstaaten verbindliche Datenschutz-Gesetzgebung. Die Verordnung hat das Ziel, die Grundrechte natürlicher Personen und deren Recht auf Schutz personenbezogener Daten zu schützen. Die EU reagiert damit auch auf die zunehmenden Herausforderungen der Digitalisierung. Alle relevanten News zur Datenschutzgrundverordnung gibt es von der Europe.Table-Redaktion.
DSGVO: Wie ist der aktuelle Stand?
Bis 2018 war der Datenschutz in den einzelnen EU-Staaten sehr unterschiedlich geregelt. Die DSGVO, die aus insgesamt 99 Artikeln besteht, löste die bereits seit 1995 gültige Datenschutzrichtlinie ab. Die Verabschiedung der DSGVO sorgte nicht nur für eine einheitliche Regelung in den einzelnen Mitgliedsländern und den jeweiligen Unternehmen, sondern auch für eine Anpassung an digitale Veränderungen. Für Nicht-EU-Staaten des europäischen Binnenmarkts (Island, Liechtenstein und Norwegen) gilt die DSGVO ebenfalls verbindlich.Die überarbeitete Datenschutzgrundverordnung beruht ebenso wie die bis dahin geltende Datenschutzrichtlinie auf den Prinzipien der „Zweckbindung und Datenminimierung“. Personenbezogene Daten dürfen also nur noch für den Zweck der Dienstleistung und nicht etwa für unabhängige Dienstleistungen wie Werbung weiterverarbeitet werden (Zweckbindung). Außerdem beschränken sich Inhalt und Ausmaß der erfassten Daten ebenfalls auf einen festgelegten Zweck: Zusätzliche Informationen dürfen im Sinne der Datenminimierung nicht erhoben werden.
Was ändert die DSGVO für Verbraucher?
Grundlegende Neuerungen der DSGVO gibt es insbesondere in Bezug auf die Privatsphäre der Verbraucher. Die Prinzipien „Privacy by Design“ und „Privacy by Default“ regeln per Voreinstellungen den größtmöglichen Datenschutz. Dazu müssen Verbraucher im Vorfeld darüber informiert werden, welche Datenverarbeitung für die Vertragserfüllung unerheblich sind. Für jede weitere Weiterverarbeitung der Daten muss eine Einwilligung erteilt werden, die jederzeit widerrufen werden kann.Gleichzeitig müssen Verbraucher über den Zweck der Datenerhebung informiert werden und können bei unrechtmäßiger oder falscher Datenverarbeitung Berichtigung und Löschung verlangen. Ebenso können sie Widerspruch bei unsachgemäßer Datenverarbeitung einlegen. Bei der Um- und Durchsetzung der Datenschutzrechte helfen Datenschutzbehörden und Verbraucherzentralen. Dort können Betroffene auch Auskunftsrechte erwirken und Schadensersatzansprüche geltend machen.
DSGVO: Stand in der EU
Die DSGVO gilt für sämtliche auf dem europäischen Markt operierenden Dienstleister und Anbieter von Waren. Das umfasst unter anderem auch Unternehmen ohne Firmensitz in der EU. Für die Datenverarbeitung in Nicht-EU-Ländern gelten dann weiterhin die Rechte zur Information, Auskunft, Berichtigung, ggf. Löschung, Widerspruch und Beschwerde.Der Europäische Gerichtshof (EuGH) entschied 2020, dass US-Unternehmen personenbezogenen Daten von EU-Bürgern nicht in die USA übermitteln dürfen. Ein österreichischer Datenschützer hatte gegen die Weitergabe von Facebook-Daten an den Mutterkonzern in den USA geklagt und Recht bekommen. Mit diesem EuGH-Urteil wurde das sogenannte „Privacy Shield-Abkommen“ für ungültig erklärt, nachdem bereits 2013 das Vorgängerabkommen „Safe Harbor“ gekippt wurde. US-Unternehmen können jedoch weiterhin die von der EU-erstellten Standardvertragsklauseln nutzen.
Datenverarbeitung außerhalb der EU: US-Privacy Shield
Ursprünglich verpflichteten sich Unternehmen mit der Einhaltung des Privacy Shield personenbezogene Daten nur dann außerhalb der EU zu verarbeiten, wenn dort vergleichbar strenge Datenschutzrichtlinien gelten. Das ist nach der EuGH-Entscheidung nun nicht mehr ohne weiteres in den USA möglich. Das Gerichtsurteil hat demnach datenschutzrechtliche Folgen für multilaterale Konzerne wie Facebook oder Google, die ihren Sitz in den USA haben. Nach Ansicht von Datenschützer erhöht das den Druck auf Datenschutzrichtlinien weltweit. Bei Verstoß gegen das Urteil, drohen Bußgelder. Die Höhe der Bußgelder können nach Artikel 83 Absatz 5 der DSGVO bis zu 20 Millionen Dollar betragen respektive vier Prozent des weltweiten Jahresumsatzes.
DSGVO: Umsetzung in Deutschland
Mit dem Beschluss vom 25. Mai 2018 gilt die Verordnung auch in Deutschland. Zuvor regelte das Bundesdatenschutzgesetz (BDSG) auf Basis des Grundrechtes auf informationelle Selbstbestimmung den Datenschutz hierzulande. Darüber hinaus verfügte bis Mai 2018 jedes Bundesland über ein eigenes Landesdatenschutzgesetz.Eine wesentliche und unmittelbare Veränderung der EU-weiten Datenschutz-Grundverordnung stellen zum Beispiel deutlich höhere Bußgelder dar. Konkret änderte sich weiterhin, dass mit dem Inkrafttreten der DSGVO Datenschutzbeauftragte in allen Unternehmen ernannt werden müssen. Ausnahmen bilden kleine Unternehmen, in denen weniger als 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind. Zuständige Behörden für Datenschutzverstöße und entsprechende Bußgelder sind in Deutschland die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die einzelnen Landesbeauftragten für den Datenschutz.
DSGVO ist eine Belastung für den Mittelstand
Die EU-Kommission kommt bei einem Bericht zur Umsetzung der DSGVO zu dem Schluss, dass die Richtlinien besonders für kleine und mittlere Unternehmen schwer umsetzbar seien. Es entstünden vor allem zusätzliche Kosten durch Mitarbeiterschulungen. Außerdem müssten die EU-Mitgliedsstaaten die nationalen Datenschutzbehörden in ihrer Arbeit stärken und besonders belastete Länder wie Irland und Luxemburg unterstützen. Grundsätzlich aber feiert die EU-Kommission die DSGVO als einen Erfolg und Chance für weltweite Standards des Datenschutzes.