Die Daten­schutz-Grund­ver­ord­nung (DSGVO) und das Bun­des­da­ten­schutz­ge­setz (BDSG)

Die DSGVO und das BDSG sind die wich­tigs­ten Geset­ze zum Schutz per­so­nen­be­zo­ge­ner Daten in Deutsch­land und der Euro­päi­schen Uni­on. Sie regeln, wie Unter­neh­men und Behör­den mit den Daten von Bür­ge­rin­nen und Bür­gern umge­hen müs­sen, wel­che Rech­te die­se haben und wel­che Pflich­ten die Ver­ant­wort­li­chen haben. Die DSGVO gilt seit dem 25. Mai 2018 für alle Mit­glied­staa­ten der EU und für alle Orga­ni­sa­tio­nen, die Daten von EU-Bür­gern ver­ar­bei­ten. Das BDSG ist die natio­na­le Umset­zung der DSGVO in Deutsch­land und ent­hält eini­ge spe­zi­fi­sche Rege­lun­gen, die nur für Deutsch­land gelten.

Die Zie­le der DSGVO und des BDSG

Die Zie­le der DSGVO und des BDSG sind unter anderem:

• Die Stär­kung der infor­ma­tio­nel­len Selbst­be­stim­mung und des Per­sön­lich­keits­rechts der Betroffenen
• Die Schaf­fung eines ein­heit­li­chen Daten­schutz­rechts in der EU und eines hohen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten
• Die För­de­rung des frei­en Daten­ver­kehrs inner­halb des Bin­nen­markts und mit Drittländern
• Die Erhö­hung der Trans­pa­renz und der Rechen­schafts­pflicht der Verantwortlichen
• Die Ein­füh­rung von wirk­sa­men Sank­tio­nen bei Ver­stö­ßen gegen die Datenschutzvorschriften

Die Anfor­de­run­gen der DSGVO und des BDSG

Die DSGVO und das BDSG ent­hal­ten ver­schie­de­ne Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, wie zum Beispiel:

Die Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

Die Ver­ant­wort­li­chen müs­sen die Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein­hal­ten, wie Recht­mä­ßig­keit, Zweck­bin­dung, Daten­mi­ni­mie­rung, Rich­tig­keit, Spei­cher­be­gren­zung, Inte­gri­tät und Ver­trau­lich­keit.
Bei­spiel: Ein Online-Shop darf nur die Daten erhe­ben, die für die Abwick­lung einer Bestel­lung erfor­der­lich sind, und muss die­se nach einer ange­mes­se­nen Frist löschen.

Die Infor­ma­ti­ons­pflich­ten gegen­über den Betroffenen

Die Ver­ant­wort­li­chen müs­sen die Betrof­fe­nen über die Ver­ar­bei­tung ihrer Daten, ihre Rech­te und die Kon­takt­da­ten des Ver­ant­wort­li­chen und des Daten­schutz­be­auf­trag­ten infor­mie­ren.
Bei­spiel: Eine Web­site muss einen Hin­weis anzei­gen, der erklärt, wel­che Coo­kies sie ver­wen­det, wofür sie die­se benö­tigt und wie man ihnen wider­spre­chen kann.

Die Ein­wil­li­gung oder ande­re Rechts­grund­la­gen für die Datenverarbeitung

Die Ver­ant­wort­li­chen müs­sen eine wirk­sa­me Ein­wil­li­gung der Betrof­fe­nen für bestimm­te Arten der Daten­ver­ar­bei­tung ein­ho­len oder eine ande­re Rechts­grund­la­ge vor­wei­sen kön­nen.
Bei­spiel: Ein Arzt muss die Zustim­mung sei­ner Pati­en­ten ein­ho­len, bevor er ihre Gesund­heits­da­ten an eine For­schungs­ein­rich­tung weitergibt.

Die Daten­schutz-Fol­gen­ab­schät­zung bei risi­ko­rei­chen Verarbeitungen

Die Ver­ant­wort­li­chen müs­sen eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren, wenn sie eine Ver­ar­bei­tung pla­nen, die ein hohes Risi­ko für die Rech­te und Frei­hei­ten der Betrof­fe­nen birgt.
Bei­spiel: Eine Bank muss eine Ana­ly­se durch­füh­ren, bevor sie ein neu­es Sys­tem zur auto­ma­ti­sier­ten Kre­dit­ver­ga­be einführt.

Die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz der Daten

Die Ver­ant­wort­li­chen müs­sen tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men umset­zen, um die Sicher­heit der Daten zu gewähr­leis­ten.
Bei­spiel: Ein Unter­neh­men muss sei­ne Daten nach Mög­lich­keit ver­schlüs­seln, regel­mä­ßig sichern und den Zugang zu ihnen kontrollieren.

Die Mel­dung von Daten­schutz­ver­let­zun­gen an die Auf­sichts­be­hör­de und die Betroffenen

Die Ver­ant­wort­li­chen müs­sen Daten­schutz­ver­let­zun­gen an die zustän­di­ge Auf­sichts­be­hör­de und gege­be­nen­falls an die Betrof­fe­nen mel­den, wenn die­se zu einem Risi­ko für ihre Rech­te und Frei­hei­ten füh­ren kön­nen.
Bei­spiel: Ein sozia­les Netz­werk muss einen Hacker­an­griff mel­den, bei dem Mil­lio­nen von Nut­zer­da­ten gestoh­len wurden.

Die Über­mitt­lung von Daten an Dritt­län­der oder inter­na­tio­na­le Organisationen

Die Ver­ant­wort­li­chen müs­sen die Vor­ga­ben für die Über­mitt­lung von Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen beach­ten, wenn sie die­se außer­halb des Euro­päi­schen Wirt­schafts­raums (EWR) über­tra­gen wol­len.
Bei­spiel: Ein Kon­zern muss sicher­stel­len, dass sei­ne Toch­ter­ge­sell­schaf­ten in ande­ren Län­dern ein ange­mes­se­nes Daten­schutz­ni­veau bie­ten oder ande­re Garan­tien erfüllen.

Die Rech­te der Betrof­fe­nen auf Aus­kunft, Berich­ti­gung, Löschung etc.

Die Betrof­fe­nen haben ver­schie­de­ne Rech­te in Bezug auf ihre Daten, wie das Recht auf Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung, Wider­spruch und Daten­über­trag­bar­keit.
Bei­spiel: Eine Ver­si­che­rung muss einem Kun­den auf Anfra­ge mit­tei­len, wel­che Daten sie über ihn gespei­chert hat und ihm ermög­li­chen, die­se zu kor­ri­gie­ren oder zu löschen.

Bestell­pflicht eines Datenschutzbeauftragten

Die DSGVO sowie das BDSG geben vor, ab wann ein Unter­neh­men einen Daten­schutz­be­auf­trag­ten benen­nen muss.
Gemäß BDSG liegt die Gren­ze bei 20 Mit­ar­bei­ten­den, die sich regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­ebe­zo­ge­nen Daten befas­sen, dazu reicht schon ein Mail­ac­count.
Das Unter­neh­men ent­scheidt, ob ein inter­ner oder ein exter­ne Daten­schutz­be­auf­trag­ter bestellt wird. Es sind aller­dings gewis­se Anfor­de­run­gen an die­sen gestellt.

Mehr erfah­ren Sie beim Klick auf den nach­fol­gen­den Button.