Die 10 wichtigsten Punkte im Datenschutz

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) innerhalb der Europäischen Union in Kraft getreten. Mit dieser Regelung stellen sich Unternehmen verschiedene Fragen, wie beispielsweise „Wer ist von der DSGVO betroffen?“ bzw. „Für wen gilt diese?“.


Die folgenden Punkte müssen Unternehmen über die DSGVO wissen – die 10 wichtigsten Punkte im Datenschutz:

  1. Geltungsbereich der DSGVO: Der Geltungsbereich der DSGVO beinhaltet alle „Verantwortlichen“, d.h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen (Art. 4, Nr. 7 DSGVO), welche über die Verarbeitung personenbezogener Daten entscheiden (Art. 4, Nr. 2 DSGVO). Als personenbezogene Daten werden dabei alle Informationen angesehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4, Nr. 1 DSGVO). Auch Verantwortliche, dessen Sitz sich außerhalb der EU befindet, diese aber personenbezogene Daten von betroffenen Personen aus der EU verarbeiten, müssen die DSGVO befolgen (Art. 3 DSGVO).
  2. Rechtmäßige Verarbeitung: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treue und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5, Nr. 1 DSGVO). Zudem unterliegen die Verantwortlichen einer Rechenschaftspflicht und müssen die Einhaltung dieser Regelung nachweisen können (Art. 5, Nr. 2 DSGVO).
  3. Rechte der Betroffenen: Betroffene Personen, deren personenbezogene Daten verarbeitet werden, haben ein Recht auf transparente Informationen sowie ein Auskunftsrecht (Art. 12, 13, 14, 15 DSGVO). Des Weiteren besteht das Recht auf Berichtigung (Art. 16 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Recht auf die Löschung der Daten der betroffenen Personen (Art. 17 DSGVO). 
  4. Datenschutzfreundliche Techniken: Die Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen sicherstellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind (Art. 25, Nr. 2 DSGVO). 
  5. Risikoanalyse und Folgenabschätzung: Eine Datenschutz-Folgeabschätzung ist notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zu Folge hat. Das gilt insbesondere bei der Verwendung neuer Technologien (Art. 35, Nr. 1 DSGVO).
  6. Gemeinsame Verantwortliche: Zwei oder mehrere Verantwortliche, welche die personenbezogenen Daten gemeinsam verarbeiten,  müssen eine Vereinbarung in transparenter Form festgelegen, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt, insbesondre in Bezug auf die Rechte der betroffenen Person (Art. 26, Nr.1 DSGVO).
  7. Meldepflicht bei Datenschutzpannen: Verletzungen des Schutzes personenbezogener Daten müssen gemeldet werden, unabhängig von der Art, sofern ein Datenschutzrisiko besteht (Art. 33, Nr. 1 DSGVO). Diese Meldung muss innerhalb 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden, bei Verzögerung ist eine Begründung beizufügen (Art. 33, Nr. 1 DSGVO). Besteht durch die Verletzung der DSGVO ein Risiko für Recht und Freiheit der betroffenen Personen, so müssen diese unverzüglich benachrichtigt werden (Art. 34, Nr. 1 DSGVO).
  8. Datenschutzbeauftragte: Die Verantwortlichen und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn der Verantwortliche Verarbeitungsvorgänge durchführt, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO vorliegt (Art. 37, Nr. 1 DSGVO). Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann (Art. 37, Nr. 2 DSGVO). Dabei kann der Datenschutzbeauftragte ein Beschäftigter des Verantwortlichen sein oder seine Aufgabe auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37, Nr. 6 DSGVO).
  9. Aufsichtsbehörden: Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind (Art. 51, Nr. 1 DSGVO). In Deutschland arbeiten die Aufsichtsbehörden des Bundes und der Länder zusammen an dem Ziel einer einheitlichen Anwendung der DSGVO (§ 18 BDSG).
  10. Sanktionen: Bei Verstößen gegen die DSGVO sind Sanktionen in Form einer Geldbuße bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich (Art. 83, Nr. 5 DSGVO). Die Höhe dieser Geldbuße wird je nach den Umständen des Einzelfalls festgesetzt (Art. 83, Nr. 2 DSGVO).