Das Wichtigste zur Datenschutzgrundverordnung (DSGVO) in Kürze
- Die Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 in der gesamten Europäischen Union wirksam und sorgt dann für eine einheitliche Regelung zum Schutz von personenbezogenen Daten.
- Insbesondere Unternehmen müssen sich mit den Änderungen befassen: Die Umsetzung der DSGVO ist mit weitreichenden Pflichten verbunden. Hohe Sanktionen schrecken vor Zuwiderhandlungen ab.
- Gleichzeitig kommen mit der Datenschutz-Grundverordnung Änderungen, die die Verbraucherrechte ausweiten, zum Beispiel bei Auskunft und Löschung. Neu ist auch das Recht auf Datenübertragbarkeit.
EU-DSGVO – Änderungen für Unternehmen und Verbraucher. Kostenloses eBook zum Download!
Hier können Sie sich unser kostenloses eBook herunterladen.
- Grundbegriffe zur DSGVO
- Änderungen für Unternehmen
- Verbesserungen für Verbraucher
Bußgeldrechner: DSGVO-Verstöße
DSGVO: Die EU-Datenschutzgrundverordnung
Inhaltsverzeichnis
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) findet ab dem 25. Mai 2018 in der gesamten Europäischen Union Anwendung – also auch in Deutschland. Doch was hat es mit der DSGVO auf sich? Und was ändert sich eigentlich konkret für Verbraucher und Unternehmen?
Die europäische Datenschutzgrundverordnung (DSGVO) vereinheitlicht die Regelungen zum Datenschutz in der EU. In Deutschland galt bisher das Bundesdatenschutzgesetz (BDSG), welches die alte europäische Datenschutzrichtlinie umsetzt. Im Gegensatz dazu wird die DSGVO unmittelbar geltendes Recht.
Um die DSGVO besser zu verstehen, sollen zunächst einige Grundbegriffe erläutert werden. Anschließend geht es um die konkreten Änderungen zum einen für Unternehmen und zum anderen für Privatpersonen.
Die Protagonisten der DSGVO: personenbezogene Daten
Die DSGVO regelt den Datenschutz. Allerdings geht es nicht um irgendwelche Daten, sondern ganz speziell um die sogenannten personenbezogenen Daten. Was ist damit genau gemeint?
Hierunter fallen alle Angaben, die sich einer bestimmten natürlichen Person (also einem Menschen) zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen kann (Artikel 4 Abs. 1 DSGVO).
Besondere Arten personenbezogener Daten, die in höherem Maße sensibel sind, unterliegen einem verschärften Schutz. In diese Kategorie fallen Angaben zu:
- Rassischer und ethnischer Herkunft
- Politischen Meinungen
- Religiösen oder weltanschaulichen Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit und Sexualität
Diese Daten dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.
Weitere wichtige Begriffe zur DSGVO
Ausgehend von den personenbezogenen Daten geht es in DSGVO und BDSG vor allem um deren Verarbeitung: Im Sinne der DSGVO wird hierunter jeder Vorgang verstanden, der mit personenbezogenen Daten zu tun hat. Dazu zählen zum Beispiel deren Erhebung, Speicherung oder auch deren Löschung.
Den Grundsatz bildet dabei das Verbot mit Erlaubnisvorbehalt: Dieses sagt aus, dass die Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist – außer es liegt eine ausdrückliche Erlaubnis vor.
Diese kann in folgenden zwei Formen vorliegen:
- Gesetzliche Regelung
- Einwilligung des Betroffenen
Was ändert sich mit der DSGVO für Unternehmen?
Die EU-DSGVO bringt einige Neuerungen mit, welche die Unternehmen in Sachen Datenschutz noch stärker in die Pflicht nehmen. Zum Teil sind diese für deutsche Unternehmen gar nicht so neu, da sie bereits im Bundesdatenschutzgesetz bestanden.
Zum Beispiel muss laut EU-DSGVO ein Datenschutzbeauftragter bestellt werden, wenn die Datenverarbeitung eine Kerntätigkeit des Unternehmens ist und einen großen Umfang aufweist.
Da in Deutschland bereits ein Datenschutzbeauftragter vor der DSGVO vorgesehen war, müssen Unternehmen hier nur mit Anpassungen im Detail rechnen. Im Rest Europas stellt dies aber zum Teil eine größere Änderung dar.
Welche Neuerungen die DSGVO mit ihrem Inkrafttreten konkret für Unternehmen mit sich bringt, stellen wir nun im Folgenden vor.
Neuerungen und Pflichten für Unternehmen nach der DSGVO
- Anwendungsbereich: Die neue Datenschutzverordnung gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für außereuropäische, die auf dem europäischen Markt tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten.
- Sanktionen: Sehr empfindlich fallen jetzt die von der Datenschutz-Grundverordnung vorgesehenen Konsequenzen bei Nichteinhaltung der Regelungen aus. Die Geldbußen können bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes betragen.
- Privacy by Design: Die DSGVO setzt beim Datenschutz schon früh an. So sollen technische Maßnahmen, die dem Schutz personenbezogener Daten dienen, bereits bei der Entwicklung von Vorgängen mit einbezogen werden. Im Sinne der DSGVO soll „Privacy by Design“ also dafür sorgen, dass Datenschutz von vornherein zum Standard gehört.
- Privacy by Default ist mit dem vorherigen Punkt verwandt. Hier geht es darum, dass die Voreinstellungen bereits datenschutzfreundlich sein sollen, sodass die personenbezogenen Daten von Verbrauchern auch ohne besondere Anpassungen von vornherein geschützt sind.
- Meldepflicht: Wenn der Schutz personenbezogener Daten verletzt wurde, etwa durch eine Datenpanne, muss das Unternehmen dies innerhalb von 72 Stunden melden. Allerdings besteht eine solche Pflicht nicht, wenn diese Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Artikel 33 DSGVO). Diese Einschränkung stellt eine deutliche Abschwächung der Regelung dar.
Welche Neuerungen bringt die DSGVO für Verbraucher?
Im Vergleich zum BDSG bringt die DSGVO Neuerungen, welche die Rechte betroffener Personen stärken. Zum Teil ergeben diese sich aus den oben dargestellten Pflichten für die Unternehmen.
So schützen die Meldepflicht und die Vorgabe des voreingestellten Datenschutzes die Rechte der Verbraucher.
Auch die Vereinheitlichung der Regeln innerhalb der Europäischen Union sowie die Androhung hoher Sanktionen für Unternehmen, die der DSGVO zuwiderhandeln, stärken insgesamt die Position von Verbrauchern.
Einige spezifische Verbesserungen, die die DSGVO in der EU für Verbraucher bringt, sollen im Folgenden näher beleuchtet werden.
Einzelne Verbesserungen für Verbraucher
- Datenportabilität: Betroffene haben mit der DSGVO das Recht, ihre personenbezogenen Daten zu einem anderen Anbieter mitzunehmen. Hierzu müssen die Daten in einem sicheren und gängigen Format entweder an die neue Stelle oder die betreffende Person ausgehändigt werden. Dieses Recht auf Datenübertragbarkeit erleichtert dem Verbraucher einen Wechsel.
- Einwilligung in die Datenverarbeitung: Diese muss stets freiwillig erfolgen – so besagt z. B. das Koppelungsverbot, dass ein Vertrag nicht von einer Einwilligungserklärung in eine nicht erforderliche Verarbeitung abhängen darf. Zudem kann der Betroffene laut DSGVO seine Einwilligung zu jedem Zeitpunkt widerrufen.
- Recht auf Löschung: Dieses ist erstmals in Artikel 17 DSGVO festgeschrieben. Verarbeitende Stellen müssen die Daten löschen, sobald beispielsweise der Zweck wegfällt oder die Einwilligung widerrufen wird.
- Auskunftsrecht: Auch in diesem Bereich wurden die Rechte der Verbraucher erweitert. Nach Artikel 15 DSGVO beinhaltet dies nun zum Beispiel nicht nur die Auskunft über den Zweck der Datenverarbeitung, sondern auch über die Dauer und die bestehenden Rechte in Verbindung mit dieser (z. B. Widerrufsrecht, Beschwerderecht, Recht auf Löschung).
Wiebke meint
24. November 2022 at 19:25
Guten Abend,
es ist mehrfach erwähnt worden, dass mit der Einwilligung des Betroffenen UND bei gesetzlichen Regelungen von dem Verbot der Verarbeitung personenbezogener Daten abgewichen werden kann. Wie kann ich die Regelungen für die Verarbeitung und Weiterleitung personenbezogener Daten im Gesundheitswesen finden? Anstatt Papierprotokolle die elektronische Protokollierung und Weitergabe an das Krankenhaus. Dafür muss es ja rechtliche Regeln geben, sonst könnte es nicht praktiziert werden.
Schöne Grüße
Wiebke
Monika meint
15. Juli 2022 at 10:35
Guten Tag, ein Arzt sagte heute er dürfe keine Faxe mehr über die Daten der PAtienten senden auch wenn sie die DAtenschutzeinwilligung unterschrieben haben, weil sich das ab dem 01.07.22 geändert haben soll. Haben sie dazu einen Text, etwas genaueres? Ich finde im Netz nichts.
DAnke
Jojia meint
21. Mai 2021 at 8:00
Sehr geehrtes Team,
sind die einzelnen Buchungen bei einer Behörde teil der persönlichen Daten?
und kann man dazu detaillierte Informationen „kostenlos“ gemäß DSGVO anfordern.
Hintergrund:
Eine Behörde (RP) verweigert die Auskunft über gezahlte Rechnungen, mögliche Fehlbuchungen und plötzlich auftauchende Posten und das nun seit 1,5 Jahren – letztlich nun mit Verweis auf die LGebG..
Wenn das nicht möglich ist muss man ernsthaft überlegen das vor einer europäischen Behörde einmal grundsätzlich klären zu lassen.
(Andere Behörden haben ohne Probleme detaillierte Buchungsdaten zu Verfügung gestellt)
Uschi meint
9. November 2020 at 20:10
Sehr geehrtes DSVGO Team,
stellt es eine Verletzung der neuen DSVGO da, wenn ein Vertriebsunterstüzungsunternehmen (Telesales und Marketing) persönliche Daten von Geschäftsführung und Arbeitnehmern ( Vorname, Name, Funktion, Unternehmenstelefonnummer und Durchwahl, Firmen E-Mailadresse des Ansprechpartners oder allgemeine Info E-Mail) für Verkaufszwecke des Unternehmens und seiner Kunden( Auftrag: Datenrecherche und Validierung von Entscheidern) digital erfasst aus dem Impressum oder den Inhalten der jeweiligen Firmen Hompage (allgemein öffentlich zugänglich)?
Muss auch in diesem Fall ein Opt-in eingeholt werden, wenn ja muss so etwas schriftlich erfolgen oder reicht eine mündliche Zusage am Telefon aus? Vielen DAnk. Viele Grüße U.
Walter meint
2. Dezember 2019 at 16:12
Frage: Mein Facharzt sagt, dass er mir eine Krankengymnastik-Verordnung aufgrund des Datenschutzverordnung NICHT per Post zusenden darf, sie darf mir nur persönlich ausgehändigt werden. Stimmt das?
Walter meint
27. Dezember 2018 at 20:57
Hallo, und wertes Team!
Wie muss ich mich als Privat Person verhalten. Umgang im Online Bereich.
E Mail Anwendungen Firmen gegenüber, oder auch öffentlichen Ämtern, Anwälten und Organisationen gegenüber.
Wie ist meine Anfrage Datenschutzmäßig geschützt.
Gibt es eine Grundsatz in Form einer schriftlichen Vereinbarung, die ich ich unter alle Anwendungen vermerke.
Danke für die Rückmeldung
Walter
R. meint
25. Dezember 2018 at 16:18
Es ist sehr toll dass man einen Kommentar schreiben kann. Der Artikel gefällt mir eigentlich ganz gut die Ansätze sind wirklich lobenswert. Dem Kunden der nichts bezahlt steht jetzt gegenüber dass Personen Daten gelöscht werden. Das ist aber wahrscheinlich für die Politik nicht anders zu machen. Dieser Hebel da an zu setzen wo man das Gesetz kaum noch versteht kann aber auch eine Taktik sein die nicht aufgeht. Wenn man das ganze mit gesunde Menschenverstand betrachtet ist es doch so das meine personenbezogenen Daten und die personenbezogenen Daten mit jemand am selben Ort schützenswert sind. Ich möchte nicht im Urwald Leben und darauf angewiesen sein Beeren zu flücken und so gehe ich auch von den Möglichkeiten des technischen Fortschritt aus. Das einfach löschen von meinen Daten reicht mir nicht. Ich glaube sie haben auch durch aus einen sozialen wirtschaftlichen und eben politischen Wert. Gś R.
woody meint
8. November 2018 at 19:52
hallo dsgvo
Vordruckhilfen zu den ganzen Auflagen die man erfüllen muss, währen hilfreich.
Kleingetriebe stehen da völlig im dunklen, zumal es keine genaue Aussage gibt in welcher Form man es formulieren muss. z.B. Datensicherungskonzept,Datensicherung,anschreiben Kunden und anschreiben Nachunternehmer.
woody
Samm meint
18. September 2018 at 16:11
Hallo,
mir ist folgendes passiert. Wegen der DSGVO legt mir mein Fußpfleger eine Liste vor mit meinen neuen Rechten etc und verlangt dafür mehr persönliche Daten als er je von mir hatte. Er kannte mich bisher nur mit Namen. Jetzt will er
Vorname Nachname Strasse Nr PLZ Stadt Geburtsdatum Handynummer/Festnetznummer
Das Geburtsdatum habe ich bewußt erst ausgelassen. Er bestand aber darauf. Es sei ein medizin. Beruf um Personenverwechslungen beim Umzug ausschliessen zu können.
Und meine Frisörin will wohl morgen auch so eine Datenabfrage. Kommt mir vor, dass damit mehr Daten gesammelt werden als je zuvor.
Geht mit schon zuweit.
Was kann ich der sagen? Danke
datenschutz.org meint
21. September 2018 at 10:07
Hallo Samm,
wir können an dieser Stelle keine Rechtsberatung erteilen. Wollen Sie der Datenverarbeitung in diesem Umfang nicht zustimmen, können Sie die Einwilligung grundsätzlich auch verweigern. Beachten Sie dabei jedoch, dass nicht in jedem Falle auch tatsächlich eine Einwilligung des Betroffenen erforderlich ist, um personenbezogene Daten zu verarbeiten. Dies gilt insbesondere dann, wenn die Daten zur Vertragserfüllung nötig sind oder ein Gesetz die Verarbeitung gestattet oder gebietet.
Die Redaktion von Datenschutz.org
Claudia meint
12. September 2018 at 9:11
Guten morgen,
kann ich bei der professionellen Kindergartenfotografie einen Aushang machen, auf dem unterschrieben wird? Oder muss ich jeder Familie eine einzelne Einwilligungserklärung zukommen lassen?
Müssen beide Erziehungsberechtigten unterschreiben oder reicht ein Elternteil?
vielen dank im Voraus für eine Antwort.
datenschutz.org meint
17. September 2018 at 15:22
Hallo Claudia,
eine entsprechende Einwilligung ist in der Regel separat von den jeweils Betroffenen einzuholen. Bei Kindern genügt häufig die Einwilligung eines Sorgeberechtigten. Bitte wenden Sie sich an die Kindergartenleitung und einen Datenschutzbeauftragten, um die Abläufe genauer zu betrachten.
Die Redaktion von Datenschutz.org
Rene meint
23. Juli 2018 at 11:13
Sehr geehrte Redaktionsmitglieder,
Mein Laptop muß zur Reparatur.
Kann das Reparaturunternehmen meine zu reparierende Festplatte einfach wegwerfen?
Habe ich Anspruch auf Herausgabe der eventuell defekten Geräteteile?
Wie kann ich meine Daten retten, wenn ich aus Garantiegründen das Gerät nicht öffnen darf?
Vielleicht ist gar nicht die Festplatte defekt, sondern vielleicht ein anderes Teil?
herzlichen Dank für eine Antwort
datenschutz.org meint
2. August 2018 at 16:04
Hallo Rene,
bitte wenden Sie sich an das zuständige Reparaturunternehmen, um klären zu lassen, wir Ihre Daten gesichert werden können. Wir können dies an dieser Stelle nicht bewerten.
Die Redaktion von Datenschutz.org
Jen T meint
7. Dezember 2018 at 17:00
Liebes Datenschutz Team
Mir ist aufgefallen: wenn ich beim Arzt stehe, werde ich erstmal nach meinem Namen gefragt. Zur Sicherheit muss ich dann noch meinen Geburtstag angeben und schließlich werde ich noch gefragt ob die Straße und Hausnummer xy denn noch aktuell sei. Mir persönlich ist das sehr unangenehm denn jeder der jetzt hinter mir steht, weiß nun wie ich heiße, wie alt ich bin und wo ich wohne. Je nachdem warum ich beim Arzt bin also auch was mich plagt.
Von Datenschutz – bei aller liebe- keine Spur!
Das sollte meiner Meinung nach geändert werden. Seid ihr dafür verantwortlich oder an wen muss ich mich wenden, damit dies geändert wird?
Mfg Jen
Alexander meint
12. Juli 2018 at 16:43
Liebes Datenschutz.org Team,
wie sieht es mit der mobilen Datensicherheit aus? Ich habe gelesen, dass auch hier die Schutzmechanismen nachgewiesen werden müssen (Link von der Redaktion entfernt). Ist das korrekt?
Danke für die Antwort!
Gruß,
Alexander
datenschutz.org meint
2. August 2018 at 14:49
Hallo Alexander,
die angemessene Datensicherung muss bei allen Systemen gewährleistet sein, mit deren Hilfe personenbezogene Daten automatisiert verarbeitet werden. Dies gilt im Übrigen auch für analoge Datensätze (Akten usf.), nur dass hier andere Schutzmaßnahmen zu ergreifen sind.
Die Redaktion von Datenschutz.org
Sarah meint
21. Juni 2018 at 21:27
Hallo,
Müssen schon vorhandene Mitglieder in einem Verein nun nach der neuen Verordnung erneut postalisch angeschrieben und Einverständniserklärungen schriftlich eingeholt werden, oder reicht ein Aushang im Vereinshaus bzw. eine Info im Antragsformular für Neumitglieder? Und was ist mit Fotos, die vor dem 25.05. gemacht wurden bzw. vor dem 25.05. auch schon verwendet wurden? Außerdem noch die Frage mit Fotos auf Veranstaltungen : Reicht ein allgemeiner Aushang, dass Fotos gemacht werden und diese eventuell veröffentlicht werden oder muss jede Person individuell informiert werden bei einer Ablichtung?
datenschutz.org meint
27. Juli 2018 at 15:30
Hallo Sarah,
Einwilligungen sind in der Regel nur dann erforderlich, wenn Datenverarbeitungen vorgenommen werden sollen, die nicht von einer gesetzlichen Grundlage gedeckt sind. Bei normalen Vereinstätigkeiten dürfte dies in der Regel nicht erforderlich werden.
Eine Ausnahme bilden Fotos, vor allem deren Veröffentlichung. Hier muss eine Einwilligung jeder abgebildeten Person vorliegen, eine bloße Information reicht nicht.
Die Redaktion von Datenschutz.org
Michael meint
25. Mai 2018 at 10:06
Liebe Datenschutz-Redaktion,
wir haben eine weitere Frage.
Müssen wir laut DSGVO alle Kunden anschreiben und fragen, ob wir weiterhin elektronisch kommunizieren dürfen?
Wenn ja, reicht folgende Formulierung aus?
Diesen Hinweistext als Abbinder vor der Signaturhaben wir formuliert:
Sie erhalten diese E-Mail aufgrund unserer bisherigen Kommunikation im Rahmen unserer Geschäftsbeziehung. Ihre Adresse ist also in unserem Verzeichnis elektronisch gespeichert. Möchten Sie keine Nachrichten mehr von uns erhalten, teilen Sie uns dies gerne mit. Wir werden Ihre entsprechenden Daten zeitnah löschen.
Besten Dank für Ihr Engagement
Michael G.
datenschutz.org meint
21. Juni 2018 at 13:51
Hallo Michael,
wir dürfen keine Rechtsberatung geben. Wir können Ihnen also keine juristische Einschätzung zu Ihrem Text geben. Bitte wenden Sie sich an einen Anwalt.
Die Redaktion von Datenschutz.org
Michael meint
25. Mai 2018 at 9:55
Liebe Datenschutz-Redaktion,
ein sehr guter und hilfreicher Service von Ihnen, Danke dafür. Hier meine Frage:
Wir betreuen einen Kunden hinsichtlich PR und versenden über eine Mailingsoftware Presseinformationen an Redakteure von Verlagen und auch an Freelancer.
Wir haben über 300 relevante Personen in unserer Kartei.
Müssen wir alle Journalisten nun um Erlaubnis fragen, E-Mails an diese zu versenden?
Eigentlich geht es dooch hier um Pressefreiheit und davon leben die Redakteure, mit Nachrichten versorgt zu werden.
Wenn ja, können wir diese Nachrchricht so verfassen, dass bei einer Nicht-Reaktion der Kontakt erlaubt ist?
Diesen Text haben wir formuliert:
Im Rahmen unserer Tätigkeit als PR-Agentur informieren wir im Auftrag unserer Kunden Verlage und Redakteure aus gegebenem Anlass (Redaktionsthemen) mit aktuellen journalistischen Informationen. Ihre Adresse ist zur Kommunikation mittels Presseverteiler also in unserem Verzeichnis elektronisch gespeichert. Wir planen eine aktuelle Aussendung im Namen unseres Kunden. Möchten Sie keine Nachrichten mehr von uns erhalten, teilen Sie uns dies gerne mit. Wir werden Ihre entsprechenden Daten zeitnah löschen. Erhalten wir keine Rückmeldung von Ihnen, gehen wir von der bestehenden Geschäftsbeziehung aus und informieren Sie gerne weiterhin.
Vielen herzlichen Dank für Ihre Rückmeldung
Michael G.
datenschutz.org meint
21. Juni 2018 at 13:49
Hallo Michael,
wir dürfen keine Rechtsberatung geben. Um individuelle und verbindliche rechtliche Auskünfte zu erhalten, müssten Sie sich an einen Anwalt wenden.
Die Redaktion von Datenschutz.org