Die Datenschutz-Grundverordnung, kurz DSGVO, ist seit 2018 die wesentliche Regelung im Bereich Datenschutz für die EU. Als Verordnung gilt sie direkt in den Mitgliedstaaten der EU und ist somit auch in Deutschland bindend. Aber was genau steckt eigentlich hinter dieser wegweisenden Verordnung? Für wen gilt sie, und wie funktioniert sie? Diese Fragen beantworten wir hier in unserer Übersicht über die DSGVO.
Welche Betroffenenrechte gibt es?
Die DSGVO dient in erster Linie dem Schutz von personenbezogenen Daten betroffener Personen gegenüber Stellen, die diese Daten verarbeiten. Das sind vor allem Unternehmen sowie staatliche Behörden. Die DSGVO räumt Betroffenen umfangreiche Rechte ein, bei den entsprechenden Stellen Auskunft über Verarbeitung ihrer personenbezogenen Daten zu verlangen, sowie gegebenenfalls Ansprüche auf Berichtigung oder Löschung ihrer Daten. Zusätzlich werden Unternehmen zur ausführlichen Dokumentation von Datenverarbeitungen verpflichtet, damit Betroffene und Behörden diese besser nachvollziehen können.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Daten, die Rückschlüsse auf die Identität der betroffenen Person ermöglichen. Wie viele Begriffe der DSGVO auch sind personenbezogene Daten in Artikel 4 DSGVO definiert, unter Nr. 1. Auch Begriffe wie die Verarbeitung oder der Verantwortliche sind in Artikel 4 DSGVO definiert. Neben den generischen personenbezogenen Daten gibt es noch ein paar besondere Kategorien. Dazu zählen die genetischen Daten gemäß Artikel 4 Nr. 13, biometrische Daten gemäß Artikel 4 Nr. 14 und Gesundheitsdaten gemäß Artikel 4 Nr. 15 DSGVO. Einige dieser Kategorien finden sich auch unter den besonderen Kategorien gemäß Artikel 9 DSGVO wieder, die besonders geschützt sind.
Wann liegt ein Verstoß gegen die DSGVO vor?
Ein Verstoß gegen die DSGVO kann bei einer rechtswidrigen Verarbeitung von personenbezogenen Daten, oder aber bei einem Verstoß gegen die Dokumentierungspflichten vorliegen. Für Privatpersonen ist die erste Kategorie interessanter, die zweite betrifft ausschließlich Unternehmen und generell Verarbeiter. Eine rechtswidrige Verarbeitung kann aus verschiedenen Gründen geschehen. Sie könnte zum Beispiel ohne einen rechtmäßigen Grund nach Artikel 6 DSGVO erfolgt sein. Es könnten aber auch besonders sensible Daten gemäß Artikel 9 DSGVO verarbeitet worden sein. Zwar ist auch dies in Ausnahmefällen möglich, jedoch sind die Kriterien hier deutlich strenger.
Die dritte häufig auftretende Verstoßkategorie ist ein Verstoß gegen die Auskunftspflichten aus Artikel 15 DSGVO sowie die daran anschließenden Pflichten zur Berichtigung nach Artikel 16 DSGVO, der Löschung aus Artikel 17 DSGVO oder der Einschränkung der Verarbeitung nach Artikel 18 DSGVO. Nach Artikel 15 DSGVO steht Betroffenen jederzeit ein Anspruch an den Verarbeiter auf Auskunft über die Art der erfassten personenbezogenen Daten sowie die Arten der Verarbeitungen zu, zusätzlich zu weiteren Ansprüchen. Darauf aufbauend können Betroffene die Berichtigung, Einschränkung der Verarbeitungen oder gar die Löschung ihrer personenbezogenen Daten verlangen.
Welche Daten fallen nicht unter die DSGVO?
Nicht alle Daten, die sich im Umlauf befinden, sind von der DSGVO erfasst. Diese beschränkt sich nämlich auf personenbezogene Daten von natürlichen Personen. Neben natürlichen Personen gibt es aber noch juristische Personen. Darunter fallen zum Beispiel Vereine, Gesellschaften oder Stiftungen. Diese können sich nicht auf die DSGVO berufen. Außerdem gibt es nicht nur personenbezogene Daten. Vollständig anonymisierte Daten sowie sachbezogene Daten, aus denen keine Rückschlüsse auf die Identität einer Person möglich sind, sind ebenfalls nicht erfasst.
Welche Daten dürfen ohne Zustimmung verarbeitet werden?
Es gibt in der DSGVO keine Regelung nach Art der Daten, welche mit und welche ohne Zustimmung verarbeitet werden dürfen. Grundsätzlich muss jede Verarbeitung von personenbezogenen Daten rechtmäßig sein. Dafür muss mindestens eine der Bedingungen aus Artikel 6 DSGVO erfüllt sein. Die einfachste Bedingung ist natürlich die Zustimmung durch die betroffene Person. Aber auch ohne explizite Zustimmung kann eine Verarbeitung rechtmäßig sein. So kann die Verarbeitung notwendig sein, um einen zwischen den Parteien geschlossenen Vertrag zu erfüllen, oder wenn die Verarbeitung für die Erfüllung gesetzlicher Pflichten notwendig ist. Aber auch lebenswichtige oder öffentliche Interessen sowie die berechtigten Interessen Dritter können eine Verarbeitung rechtfertigen. Es gibt allerdings keine konkreten Situationen, in denen eine Zustimmung niemals erforderlich ist. Ob einer dieser Rechtfertigungsgründe tatsächlich greift, muss immer im Einzelfall entschieden werden.
Die besonderen Kategorien nach Artikel 9 DSGVO dürfen derweil generell nicht verarbeitet werden. Auch hier gibt es jedoch eine Reihe von Ausnahmeregelungen, die alle im Einzelfall geprüft werden müssen. Die Gründe sind hier ähnliche wie in Artikel 6, jedoch sind die Anforderungen deutlich höher, bis diese Gründe tatsächlich greifen. Diese besonderen Kategorien genießen also einen höheren Schutz.
Wer prüft die DSGVO?
Die DSGVO verpflichtet alle Mitgliedstaaten der EU zur Einrichtung von mindestens einer Behörde für die Überwachung der Einhaltung der Vorgaben. In Deutschland sind das die unabhängigen Datenschutzbeauftragten der Länder sowie der oder die Bundesbeauftragte für Datenschutz und Informationssicherheit, kurz BfDI. Unternehmen und andere Verantwortliche sind diesen Behörden gegenüber zur regelmäßigen Auskunft verpflichtet, außerdem gibt es verschiedene Ermächtigungen zu Kontrollen durch die Behörden. Zusätzlich sind die Verantwortlichen den betroffenen Personen gegenüber zu einer rechtmäßigen Verarbeitung ihrer personenbezogenen Daten verpflichtet. Andernfalls können saftige Bußgelder von bis zu 20.000, im Falle von großen Unternehmen sogar bis zu 10 Millionen EUR fällig werden.