Data Protection Academy » Data Protection Wiki » General Data Protection Regulation EU-GDPR

Die Fassade einer Aufsichtsbehörde. Datenschutzgrundverordnung EU-DSGVO

General Data Protection Regulation EU-GDPR

The EU General Data Protection Regulation (GDPR) ist ein breit diskutiertes Thema, das bei vielen Unternehmen und Privatpersonen für Unsicherheiten und Fragen sorgt.

Wir bringen Licht ins Dunkel: Im Folgenden haben wir zusammengefasst, was die DSGVO ist und welche Auswirkungen sie auf Unternehmen hat. Außerdem erklären wir, welche Datenschutz-Maßnahmen man ergreifen sollte und ob man einen Datenschutzbeauftragten benötigt.

Content on the General Data Protection Regulation EU-GDPR:

What is the GDPR?

Since 25 May 2018, the General Data Protection Regulation (GDPR). This is a law comprising almost 100 paragraphs for the protection of personal data within the EU.

Bis zum Inkrafttreten der Verordnung galten in jedem EU-Land andere Datenschutz-Standards. Durch die Datenschutz-Grundverordnung wurde das Datenschutzrecht in der Europäischen Union vereinheitlicht.

The aim of the General Data Protection Regulation

Die Datenschutz-Grundverordnung soll auf europäischer Ebene jeder natürlichen Person das Recht auf den Schutz ihrer persönlichen Daten gewährleisten. Dadurch sollen die Bürger die Hoheit über ihre personenbezogenen Daten zurückerhalten und selbst entscheiden können, was mit diesen passiert. Das übergeordnete Ziel der Datenschutzgrundverordnung (DSGVO) is the protection of the fundamental rights and freedoms of data subjects.

What is personal data?

At personal data. is any information that can be used to identify a specific individual. The GDPR bezieht sich also auf sämtliche Daten, die man direkt oder indirekt mit einer entsprechenden Person in Verbindung bringen kann. Die Informationen können sowohl aus dem privaten und familiären als auch aus dem wirtschaftlichen, rechtlichen oder sozialen Umfeld stammen. Nicht zu den personenbezogenen Daten zählen anonymised data. So lassen sich bspw. aus statistischen Erhebungen oder den Umsatzdaten eines Unternehmens keine Rückschlüsse auf eine bestimmte Einzelperson ziehen. Zu den personenbezogenen Dazu zählen bspw.:

  • Name
  • Date of birth
  • Age
  • Marital status
  • Address
  • E-mail address
  • IP addresses
  • Phone number
  • Account details
  • License plate
  • Identity card number
  • Social security number
  • Location data
  • Criminal record
  • Health data
  • Cultural / social characteristics
  • Biometric data (e.g. fingerprint)

Für wen gilt die Datenschutz-Grundverordnung?

The GDPR schützt die Rechte von Verbrauchern in der EU und erlegt damit zugleich Unternehmen zahlreiche Pflichten auf. Betroffen sind alle in der EU ansässigen bzw. tätigen Unternehmen. Dazu zählen auch außereuropäische Unternehmen, die entweder eine Niederlassung in einem EU-Land haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

The basic principles of data protection

In Article 5 of the GDPR sind die Grundsätze für die Datenverarbeitung festgelegt, mit denen sich Unternehmen vertraut machen sollten. Sie regeln, wie die Speicherung und Verarbeitung von personenbezogenen Daten rechtskonform umzusetzen ist. Mit Verarbeitung ist bspw. das Erheben, Verändern, Vernichten oder Speichern dieser Daten gemeint.

  1. Rechtmäßigkeit der Verarbeitung
    Zur Datenverarbeitung braucht es eine Rechtsgrundlage. Anders ausgedrückt: Die Verarbeitung ist verboten, es sei denn, die Person willigt ein oder die Erlaubnis entsteht aus einem Gesetz wie der TMG.
  2.  Earmarking
    Daten dürfen nur für den Zweck verarbeitet werden, zu dem sie erhoben wurden. Der Zweck muss legitim sein, bei der Erhebung eindeutig festgelegt und der betroffenen Person mitgeteilt werden. Eine nachträgliche Änderung des Zwecks ist dem Betroffenen mitzuteilen – dieser kann der Änderung widersprechen.
  3. Data minimisation
    Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie gemessen am Zweck benötigt werden. Für das Abonnieren eines Newsletters muss bspw. die E-Mail-Adresse notwendigerweise erhoben werden, nicht jedoch das KFZ-Kennzeichen oder der Familienstand.
  4. Correctness
    Die Daten müssen sachlich und inhaltlich richtig sowie auf dem aktuellsten Stand sein. Falsche Informationen müssen unverzüglich gelöscht oder korrigiert werden.
  5. Memory limitation
    Die Daten sind zu löschen, wenn der Zweck, für den die Daten erhoben wurden, erreicht wurde.
  6. Integrität / Vertraulichkeit
    Datenverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um die personenbezogenen Daten angemessen zu schützen. Schutz braucht es bspw. vor der unbefugten Verarbeitung oder der Weitergabe der Daten an Dritte.
  7. Accountability
    Datenverantwortliche im Unternehmen sind gegenüber Aufsichtsbehörden in der Nachweispflicht über die Einhaltung der Datenschutzprinzipien. Verstöße gegen die DSGVO werden mit teils hohen Geldbußen belegt.

Betroffenenrechte: Diese Pflichten gelten für Unternehmen

In addition to the basic principles, data controllers should take into account the principles set out in the General Data Protection Regulation festgehaltenen Betroffenenrechte auf dem Schirm haben. Daraus ergeben sich weitere Pflichten für Unternehmen.

A prominent provision is the right to be forgotten (Art. 17 GDPR). Eine Person hat bspw. dann ein Recht darauf, dass ihre Daten gelöscht werden müssen, wenn:

  • she withdraws her consent.
  • der Zweck für die Datenverarbeitung weggefallen ist.
  • die Datenverarbeitung unrechtmäßig war.

Other important data subject rights include:

  • Right to Information (Art. 12, Art. 13 and the Art. 14 DSGVO): Vor der Erhebung muss der Betroffene informiert und über seine Rechte aufgeklärt werden.
  • Right of access to information (Art. 15 GDPR): Der Betroffene kann Auskunft über Umfang und Art der verarbeiteten personenbezogenen Daten verlangen.
  • Right of rectification (Art. 16 GDPR): The data subject may request that inaccurate data be reported.
  • Recht auf Datenübertragbarkeit (Art. 20 GDPR): The data subject has a right to receive the record of his personal data in a machine-readable format. The background is that he can enter them into another database.
  • Right of objection (Art. 21 GDPR): Der Betroffene kann gegen die Datenverarbeitung Widerspruch einlegen. Der Verantwortliche darf die personenbezogenen Daten nur dann weiter verarbeiten, wenn er zwingende schutzwürdige Gründe nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Es wird deutlich: Ohne die Hilfe von Experten und die Einführung eines Datenschutzmanagements wird es für Unternehmen schwierig, die datenschutzrechtlichen Hinweis-, Rechenschaft- und documentation obligations zu erfüllen.

Lesen Sie den ausführlichen Wiki-Artikel zu den Betroffenenrechten der DSGVO oder informieren Sie sich in den Gesetzestexten der DSGVO in unserem Help Center.

To the article Data Protection Rights

Is a data protection officer necessary?

Laut EU-DSGVO kann es für ein Unternehmen erforderlich sein, einen Datenschutzbeauftragten zu bestellen. Dabei handelt es sich um eine Person, die dafür verantwortlich ist, dass ein Unternehmen den Data protection einhält. Diese Person kann ein Angestellter sein, aber auch die Beauftragung eines externen Datenschutzbeauftragten ist möglich.

So manches Unternehmen wird sich nun fragen: „Brauchen wir einen Datenschutzbeauftragten?“

Die Antwort lässt sich anhand dieser drei Punkte ermitteln:

  • Die Haupttätigkeit ist die „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“
  • Special categories of data (Art. 9 GDPR) are processed
  • There are more than 20 employees who process personal data automatically

Trifft einer der drei Punkte auf das Unternehmen zu, so wird ein Datenschutzbeauftragter benötigt. Davon unabhängig kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten einsetzen.

Lesen Sie den ausführlichen Wiki-Artikel zum Thema Datenschutzbeauftragter gemäß DSGVO in unserem Datenschutz-Wiki.

To the DSB Wiki article

What does a data protection officer do?

Der Datenschutzbeauftragte hat diverse Aufgaben zu erfüllen, die sich (un-)mittelbar aus der Datenschutz-Grundverordnung ableitet lassen. Zum Beispiel:

  • Create a data protection concept
  • Training and sensitisation of employees on the subject of data protection
  • Processing of technical inquiries from customers and employees
  • Überwachung der ordnungsgemäßen Anwendung von Data processing software
  • Erarbeitung und Aktualisierung von Datenschutz-Richtlinien, Datenschutzerklärung usw.
  • Monitoring and safeguarding the rights of data subjects
  • Risikobewertung bzw. Datenschutz-Folgenabschätzung
  • Data breach notification

Es empfiehlt sich, den Datenschutzbeauftragten frühzeitig in datenschutzrelevante Planungen und Projekte einzubinden und ihn im Unternehmen fest zu verankern. Ob man intern einen Mitarbeiter für diese Funktion bestimmt oder sich besser Unterstützung durch einen externen Datenschutzbeauftragten holt, ist je nach Anforderungen des Unternehmens Abwägungssache.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Zur DSB Leistungsübersicht

Special feature of commissioned processing

Es gibt Fälle, in denen personenbezogene Daten durch einen Auftragnehmer im Auftrag des Verantwortlichen verarbeitet werden. Dies ist bspw. der Fall, wenn ein externer Newsletter-Anbieter oder eine Cloud zum Einsatz kommen.

This case was once referred to as commissioned data processing, in the GDPR it is referred to as Job processing genannt. Während bei der Auftragsdatenverarbeitung vorrangig der Auftraggeber für die Einhaltung des Datenschutzes verantwortlich war, ist bei der Auftragsverarbeitung auch der Auftragsverarbeiter mitverantwortlich. Für ihn bestehen Pflichten wie das Führen eines Verzeichnisses zu seinen Verarbeitungstätigkeiten and the reporting of Data breaches. Another new feature is that the contract for commissioned processing can be concluded electronically.

Bußgelder und Sanktionen

Vor Inkrafttreten der Datenschutz-Grundverordnung wurden Datenschutzverstöße mit Bußgeldern zwischen 50.000 bis max. 300.000 Euro geahndet. Einige Organisationen haben dieses Risiko billigend in Kauf genommen. Zudem haben die Datenschutzbehörden die obere Bußgeldgrenze meist erst bei dauerhaften Verstößen angewandt.

Die EU-DSGVO sieht drastischere Sanktionen vor. Die Bußgelder wurden angehoben auf bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Die Verordnung soll mit ihren hohen Bußgeldern abschreckenden Charakter haben und Unternehmen dazu bringen, das Thema Datenschutz ernst zu nehmen. Datenschutzverstöße können nach der DSGVO abgemahnt werden – in diesem Fall drohen Gerichtsverfahren.

Video: Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen

Video data protection management system

Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen

Organisationen müssen zahlreichen Pflichten nachkommen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten. Oft sind beträchtliche Zeit- und Kostenaufwände nötig, um das notwendige Fachwissen aufzubauen, den Datenschutz ganzheitlich zu überblicken und ein Datenschutz-Management-System (DSMS) aufzubauen.

In den Robin Data Hacks zum Thema Datenschutz-Management-System, zeigen wir Ihnen, wie Sie Ihren Datenschutz digital umsetzen und die gesetzlich geforderten Maßnahmen im Umgang mit personenbezogenen Daten systematisch steuern, kontrollieren und dokumentieren können.

The video is a recording of the Robin Data Hack. The Robin Data Hacks take place online and participation is free of charge. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

FAQ: Antworten auf häufige Fragen

Nein. Egal ob Kleinunternehmer, Ein-Mann-GmbH oder großer Konzern – sie alle sind von der Datenschutz-Grundverordnung betroffen. Sie müssen sich an die Verordnung halten, sobald sie personenbezogene Daten verarbeiten.

EU-Bürger müssen sich bei Datenschutzverstößen und Streitigkeiten an die Datenschutzbehörde in ihrem Land wenden. Auch für Unternehmen gilt, dass sie sich mit der Datenschutzbehörde in dem europäischen Mitgliedsstaat befassen müssen, in dem sie ihren Hauptsitz haben.

Ja. Alle Online Shop- und Website-Betreiber, Unternehmer und Dienstleister müssen ihre Datenschutzerklärung DSGVO-konform aufbereiten. Insbesondere geht es darum, betroffene Personen über Art und Umfang der Verarbeitung ihrer persönlichen Daten zu informieren. Die Datenschutzbestimmungen müssen entsprechend präzise und verständlich formuliert sowie einfach auffindbar sein.

Ja. In Sachen Marketing warten auf Unternehmen zahlreiche Pflichten und Fallstricke im Zusammenhang mit der Datenschutz-Grundverordnung. Es geht bspw. um die Berücksichtigung des Double-Opt-In-Verfahrens bei Newslettern oder um die rechtliche Begründung für die Verarbeitung von erfassten personenbezogenen Daten zu Marketingzwecken.

In Art. 88 GDPR and the § 26 BDSG neue Fassung finden sich wichtige Regelungen zum Beschäftigtendatenschutz. Es dürfen vom Arbeitgeber nur personenbezogene Daten erfasst und verarbeitet werden, die erforderlich sind. Also bspw. Daten, die zur Ausübung eines Beschäftigungsverhältnisses notwendig sind. Arbeitgeber sollten in jedem Fall

  • ihre internen datenschutzrelevanten Prozesse prüfen,
  • ensure that contracts are drawn up in compliance with data protection requirements, and
  • eine Compliance-Strategie entwickeln, die datenschutzrechtliche Verstöße verhindern kann

According to Art. 3 para. 1 der Datenschutz-Grundverordnung ist entscheidend, wo der Verantwortliche bzw. der Auftragsverarbeiter seine Niederlassung hat. Ist er in der Europäischen Union niedergelassen, gilt stets die DSGVO – unabhängig davon, wo auf der Welt die Daten verarbeitet wurden. Ist das Unternehmen außerhalb der EU ansässig und bietet Waren/Dienstleistungen in der EU an oder beobachtet das Verhalten von Personen in der EU, unterliegt es ebenfalls der DSGVO.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.
Read more

DSMS according to GDPR: Structure & practical implementation

Erfahren Sie alles über Vorlagen, Aufbau und Umsetzung eines DSGVO-konformen Datenschutz-Management-System (DSMS).
Read more
künstliche intelligenz

AI and data protection in practice

Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Read more