Europa Flagge

DSGVO: EU-Datenschutz­grundverordnung

Hier finden Sie alle Facts zum Thema DSGVO:
Grundlagen und hilfreiche Tipps zur Umsetzung der DSGVO im Unternehmen

Fragen Sie noch heute ein unverbindliches Beratungsgespräch an

Was ist die DSGVO?

Die Europäische Datenschutzgrundverordnung (EU-DSGVO oder einfach nur DSGVO; umgangssprachlich auch europäische Datenschutzverordnung genannt) ist eine Verordnung der Europäischen Union. Sie zielt darauf ab, den Datenschutz in Europa zu vereinheitlichen und somit gleiche Datenschutzstandards für alle Mitgliedsstaaten zu schaffen. Die Datenschutzgrundverordnung gilt seit dem 25. Mai 2018.

Inhalte der EU-DSGVO

Die insgesamt 99 Artikel der EU DSGVO sind in 11 Kapitel unterteilt. Hier erfahren Sie welche Kapitel es gibt und was in den unterschiedlichen Artikeln konkret festgelegt ist.

Kapitel 1 EU-DSGVO: Allgemeine Bestimmungen
Art. 1 – Gegenstand und Ziele
Art. 2 – Sachlicher Anwendungsbereich
Art. 3 – Räumlicher Anwendungsbereich
Art. 4 – Begriffsbestimmungen

Kapitel 2 EU-DSGVO: Grundsätze
Art. 5 – Grundsätze für die Verarbeitung personenbezogener Daten
Art. 6 – Rechtmäßigkeit der Verarbeitung
Art. 7 – Bedingungen für die Einwilligung
Art. 8 – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Art. 9 – Verarbeitung besonderer Kategorien personenbezogener Daten
Art. 10 – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten 
Art. 11 – Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Kapitel 3 EU-DSGVO: Rechte der Betroffenen
Art. 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Art. 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Art. 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Art. 15 – Auskunftsrecht der betroffenen Person
Art. 16 – Recht auf Berichtigung
Art. 17 – Recht auf Löschung ("Recht auf Vergessenwerden")
Art. 18 – Recht auf Einschränkung der Verarbeitung
Art. 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Art. 20 – Recht auf Datenübertragbarkeit
Art. 21 – Widerspruchsrecht
Art. 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Art. 23 – Beschränkungen

Kapitel 4 EU-DSGVO: Verantwortlicher und Auftragsverarbeiter
Art. 24 – Verantwortung des für die Verarbeitung Verantwortlichen
Art. 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Art. 26 – Gemeinsam für die Verarbeitung Verantwortliche
Art. 27 – Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
Art. 28 – Auftragsverarbeiter
Art. 29 – Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Art. 30 – Verzeichnis von Verarbeitungstätigkeiten
Art. 31 – Zusammenarbeit mit der Aufsichtsbehörde
Art. 32 – Sicherheit der Verarbeitung
Art. 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Art. 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Art. 35 – Datenschutz-Folgenabschätzung
Art. 36 – Vorherige Konsultation
Art. 37 – Benennung eines Datenschutzbeauftragten
Art. 38 – Stellung des Datenschutzbeauftragten
Art. 39 – Aufgaben des Datenschutzbeauftragten
Art. 40 – Verhaltensregeln
Art. 41 – Überwachung der genehmigten Verhaltensregeln
Art. 42 – Zertifizierung
Art. 43 – Zertifizierungsstellen

Kapitel 5 EU-DSGVO: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
Art. 44 – Allgemeine Grundsätze der Datenübermittlung
Art. 45 – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Art. 46 – Datenübermittlung vorbehaltlich geeigneter Garantien
Art. 47 – Verbindliche interne Datenschutzvorschriften
Art. 48 – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Art. 49 – Ausnahmen für bestimmte Fälle
Art. 50 – Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Kapitel 6 EU-DSGVO: Unabhängige Aufsichtsbehörden
Art. 51 – Aufsichtsbehörde
Art. 52 – Unabhängigkeit
Art. 53 – Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
Art. 54 – Errichtung der Aufsichtsbehörde
Art. 55 – Zuständigkeit
Art. 56 – Zuständigkeit der federführenden Aufsichtsbehörde
Art. 57 – Aufgaben
Art. 58 – Befugnisse
Art. 59 – Tätigkeitsbericht

Kapitel 7 EU-DSGVO: Zusammenarbeit und Kohärenz
Art. 60 – Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
Art. 61 – Gegenseitige Amtshilfe
Art. 62 – Gemeinsame Maßnahmen der Aufsichtsbehörden
Art. 63 – Kohärenzverfahren
Art. 64 – Stellungnahme Ausschusses
Art. 65 – Streitbeilegung durch den Ausschuss
Art. 66 – Dringlichkeitsverfahren
Art. 67 – Informationsaustausch
Art. 68 – Europäischer Datenschutzausschuss
Art. 69 –  Unabhängigkeit
Art. 70 – Aufgaben des Ausschusses
Art. 71 – Berichterstattung
Art. 72 – Verfahrensweise
Art. 73 – Vorsitz
Art. 74 – Aufgaben des Vorsitzes
Art. 75 – Sekretariat
Art. 76 – Vertraulichkeit

Kapitel 8 EU-DSGVO: Rechtsbehelfe, Haftung und Sanktionen
Art. 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde
Art. 78 – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Art. 79 – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
Art. 80 – Vertretung von betroffenen Personen
Art. 81 – Aussetzung des Verfahrens
Art. 82 – Haftung und Recht auf Schadenersatz
Art. 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen
Art. 84 – Sanktionen

Kapitel 9 EU-DSGVO: Vorschriften für besondere Verarbeitungssituationen
Art. 85 – Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Art. 86 – Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Art. 87 – Verarbeitung der nationalen Kennziffer
Art. 88 – Datenverarbeitung im Beschäftigungskontext
Art. 89 – Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
Art. 90 – Geheimhaltungspflichten
Art. 91 – Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

Kapitel 10 EU-DSGVO: Delegierte Rechtsakte und Durchführungsrechtsakt
Art. 92 – Ausübung der Befugnisübertragung
Art. 93 – Ausschussverfahren

Kapitel 11 EU-DSGVO: Schlussbestimmungen
Art. 94 – Aufhebung der Richtlinie 95/46/EG
Art. 95 – Verhältnis zur Richtlinie 2002/58/EG
Art. 96 – Verhältnis zu bereits geschlossenen Übereinkünften
Art. 97 – Berichte der Kommission
Art. 98 – Überprüfung anderer Rechtsakte der Union zum Datenschutz
Art. 99 – Inkrafttreten und Anwendung

Inhalt europäische Datenschutzgrundverordnung:


1. Gelten nun überall in der EU gleiche Datenschutzstandards?

Ja, …

Die europäische Datenschutzgrundverordnung ist unmittelbar geltendes Recht. Das heißt: Die Datenschutzgrundverordnung muss nicht in eigenständiges nationales Recht umgesetzt werden. Sie gilt in allen EU-Staaten gleichermaßen. Für die Einhaltung der EU-DSGVO und die Einheitlichkeit der Anwendung sorgt der Europäische Datenschutzausschuss

… aber:

Allerdings finden sich in der EU-DSGVO einige offene Regelungen, die nationale europäische Gesetzgeber ergänzen oder ausfüllen dürfen. Man spricht hierbei von sogenannten Öffnungsklauseln. Ein Beispiel für eine nationale Ergänzungsregelung ist das BDSG-neu in Deutschland.

2. Für wen gilt die europäische Datenschutzgrundverordnung (Das "EU-Datenschutzgesetz")?

Wer die Europäische Union als Markt benutzt, ist an die europaweit geltenden Datenschutzregelungen gebunden. Das heißt:

  • Die europäische Datenschutzgrundverordnung, umgangssprachlich auch "Datenschutzgesetz EU" oder "EU Datenschutzgesetz" genannt, gilt für alle Unternehmen, die ihren Sitz in der EU haben.
  • Sie gilt auch für alle Unternehmen, die ihren Hauptsitz außerhalb der EU, aber eine oder mehrere Niederlassungen in der Europäischen Union haben.
  • Die Datenschutzgrundverordnung gilt ebenfalls für Unternehmen, deren Sitz außerhalb der EU liegt, die aber personenbezogene Daten von EU-Bürgern verarbeiten.

3. Die wichtigsten Inhalte der Datenschutzgrundverordnung auf einen Blick

Nachteile

  • Die DSGVO erlegt Unternehmen neue Pflichten und Regelungen auf, mit denen sie sich zurechtfinden müssen.

  • Die von Aufsichtsbehörden verhängte Bußgeldhöhe ist enorm angestiegen: Bei Verstößen gegen die DSGVO drohen Geldbußen von bis zu 20 Millionen Euro, beziehungsweise 4 % des gesamten (weltweiten) Jahresumsatzes eines Unternehmens. Weitere Informationen zum Verstoß gegen Datenschutz

Vorteile

  • Die europaweite Verordnung bedeutet zugleich auch eine deutliche Vereinfachung, da die gesetzliche Lage nicht mehr für jeden einzelnen europäischen Standort gesondert betrachtet werden muss.

  • Für europaweit tätige Unternehmen wird dadurch die Compliance enormvereinfacht.

  • Die Datenschutzgrundverordnung der europäischen Union gibt Verantwortlichen konkrete und einheitliche Verhaltensregeln zur Datenverarbeitung personenbezogener Daten an die Hand.


4. Europäische Datenschutzgrundverordnung: 6 Punkte, auf die Unternehmen besonders achten müssen

Unternehmen, die personenbezogene Daten verarbeiten, müssen diese nach der Datenschutzgrundverordnung besonders schützen. Personenbezogene Daten sind Angaben, die sich einer natürlichen Person zuordnen lassen. Dazu zählen beispielsweise Name, Adresse, IP-Adresse, Geburtsdatum etc.

Dazu müssen Firmen unter anderem die folgenden Punkte beachten:

1. Verbraucherfreundliche Voreinstellungen
 

Die Daten von Verbrauchern sollen ohne besondere Anpassungen möglichst umfassend geschützt sein (vgl. Art. 25 DSGVO). Das bedeutet für Unternehmen: Bereits bei der Entwicklung digitaler Vorgänge sollte darauf geachtet werden, dass das Datenschutzniveau hoch ist (Privacy by Design). Außerdem sind Unternehmen zu verbraucherfreundlichen Voreinstellungen verpflichtet (Privacy by Default).

2. Verzeichnis über Verarbeitungstätigkeiten
 

Gemäß Art. 30 DSGVO hat der Unternehmer ein (schriftliches oder elektronisches) Verzeichnis über seine Verarbeitungstätigkeiten zu führen. Darin muss unter anderem Folgendes enthalten sein: 

Dieses Verzeichnis ist laut EU-DSGVO für den unternehmensinternen Gebrauch gedacht. Auf Verlangen muss es aber der Datenschutzbehörde vorgelegt werden.

3. Datenschutz-Folgeabschätzung
 

Firmen sind bei neuen Formen der Datenverarbeitung zu einer Folgenabschätzung verpflichtet, sofern ein hohes Risiko der Verletzung des Datenschutzes besteht (Art. 35 DSGVO). Das bedeutet: Unternehmen müssen proaktiv die Aufsichtsbehörde kontaktieren und die möglichen datenschutzrechtlichen Auswirkungen einer vorgesehenen Maßnahme darlegen.
Die Voraussetzungen für die Folgenabschätzung sind allerdings rechtlich umstritten. Eine individuelle juristische Beratung ist daher dringend zu empfehlen. 

4. Ernennung eines Datenschutzbeauftragen
 

Nach Art. 35 ff. DSGVO müssen Unternehmen einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  1. Das Unternehmen verarbeitet besondere Kategorien von Daten (gem. Art. 9 DSGVO).
  2. Eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen zählt zur Kerntätigkeit des Unternehmens.
  3. Mehr als 20 Personen im Unternehmen befassen sich mit der Verarbeitung personenbezogener Daten.

5. Rechenschaftspflicht
 

Die Datenverantwortlichen müssen nach Art. 5 DSGVO auf Aufforderung nachweisen können, dass alle Datenschutzprinzipien im Unternehmen eingehalten werden.

6. Meldepflicht
 

Kommt es beispielsweise durch eine Datenpanne zu einer Verletzung der Datenschutzvorgaben, muss das jeweilige Unternehmen laut Datenschutzgrundverordnung

Ausnahme: Wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, muss der Vorfall nicht gemeldet werden (Art. 33 DSGVO). Um abschätzen zu können, wann diese Ausnahmeregelung greift, sollten Sie sich datenschutzrechtlich beraten lassen.


Die europäische Datenschutzgrundverordnung stärkt EU-weit die Rechte der betroffenen Personen.

5. EU-DSGVO für Verbraucher: 3 Neuerungen, die Sie kennen sollten

1.

Einwilligung in die Datenverarbeitung

Personenbezogene Daten dürfen nur nach Einwilligung der Betroffenen verarbeitet werden. Kinder und Jugendliche unter 16 Jahren benötigen eine Einwilligung der Eltern. Betroffene können ihre Einwilligung außerdem zu jedem Zeitpunkt widerrufen.

2.

Recht auf Löschung

Wenn eine betroffene Person ihre Einwilligung widerruft oder falls der Zweck der Datenverarbeitung wegfällt, müssen datenverarbeitende Stellen die entsprechenden Daten löschen (Art. 17 DSGVO).

3.

Auskunftsrecht

Im Zuge der EU-DSGVO wurden die Auskunftsrechte der Verbraucher erweitert. Betroffene müssen auf Anfrage nicht nur über den Zweck der Datenverarbeitung informiert werden, sondern auch über die Dauer der Verarbeitung und ihre damit verbundenen Rechte (Art. 15 DSGVO).

Die Position von Verbrauchern wird nicht zuletzt durch die Androhung hoher Geldbußen bei Verstößen gestärkt.


6. Ein heikler Punkt: Recht auf Datenübertragbarkeit mit der europäischen Datenschutzgrundverordnung

Nach Art. 20 DSGVO hat der Betroffene ein normiertes Recht auf Datenübertragbarkeit. Das heißt: Er darf verlangen, dass seine Daten von einer verantwortlichen Stelle auf eine andere übertragen werden. Ohne seine Einwilligung darf dies nicht geschehen.

Wie diese Vorschrift der Datenschutzgrundverordnung in der Praxis umgesetzt werden kann, ist angesichts verschiedener Daten- und Verarbeitungsformate noch sehr umstritten. Um Fallstricke zu vermeiden, sollten Sie sich hierzu individuell beraten lassen!


7. Ein Jahr europäische Datenschutzgrundverordnung – das hat sich seit der Einführung verändert

Seit der Einführung der Datenschutzgrundverordnung hat sich viel in diesem Bereich getan. So wurde die EU-DSGVO auch bereits angepasst, zum Beispiel im sogenannten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG). Dieses legt u.a. fest, dass ab dem 26.11.2019 ein Datenschutzbeauftragter erst ab 20 Mitarbeitern, und nicht wie vorher ab 10 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, bestellt werden muss.

Infografik 1 Jahr DSGVO

Abmahnwelle durch die Datenschutzgrundverordnung
 

Noch vor einem Jahr herrschte in vielen Unternehmen regelrechte Angst, dass mit Inkrafttreten der EU-Datenschutzgrundverordnung eine große Abmahnwelle durch die Aufsichtsbehörden drohen würde. Eine solche ist bislang ausgeblieben, doch die Behörden greifen europaweit konsequent durch. Alleine 2019 wurden sieben Bußgelder in Millionenhöhe gegen Unternehmen aufgrund von Verstößen gegen die DSGVO verhängt.

Stärkeres Datenschutz-Bewusstsein
 

Das Thema Datenschutz und der korrekte Umgang mit Daten ist seither intensiv in den Medien behandelt worden. Die Verbraucher wissen deshalb heute mehr über ihre eigenen Rechte in puncto Datenschutz & DSGVO und nehmen die Verordnung ofmals ernster als Unternehmen.

In der unten abgebildeten Übersicht sehen Sie anhand weniger Zahlen, wie sich die Lage innerhalb eines Jahres geändert hat. Sie werden feststellen: Die EU-DSGVO ist angekommen.


8. So hilft datenschutzexperte.de bei der Umsetzung der DSGVO

Für Unternehmen bedeutete die Datenschutzgrundverordnung, dass einiges an den internen Prozessen angepasst werden musste. Zudem müssen Verantwortliche und Mitarbeiter beim Datenschutz nach wie vor stets auf dem Laufenden gehalten werden, um evtl. beschlossene Neuerungen schnell umsetzen zu können. datenschutzexperte.de hilft Unternehmen dabei, alle datenschutzrechtlichen Vorgaben der DSGVO umzusetzen. Dabei können Unternehmen auf unsere innovative Datenschutzsoftware Proliance 360 zurückgreifen, die Unternehmen Step-by-Step durch die Aufgaben des internen Datenschutzes führt sowie Muster, Vorlagen und Mitarbeiterschulungen und vieles mehr zur Verfügung stellt. Wollen Unternehmen aufgrund der Zeitintensität keine interne Person mit dem Thema Datenschutz betrauen, können sie auf die Lösung mit einem externen Datenschutzbeauftragten von datenschutzexperte.de vertrauen, der Unternehmen bei allen danteschutzrechtlichen Fragen zur Seite steht.

9. Ist Ihre Website wirklich fit für die DSGVO?

Jeder, der eine Internetpräsenz unterhält, ist laut DSGVO dazu verpflichtet, eine Datenschutzerklärung und ein Impressum anzugeben. Doch es gibt viel mehr, was es laut der Datenschutzgrundverordnung auf Websites zu beachten gibt. Von der richtigen Verschlüsselung bis hin zum Tracking und der korrekten Formulareinbindung gibt es vieles, was Websitebetreiber wissen und beachten müssen. Hinter all dem steht ein Ziel: die Daten der Websitebesucher zu schützen. datenschutzexperte.de hat einen automatisierten Website-Check entwickelt, der es Websitebetreibern und Verantwortlichen ermöglicht, automatisch eine Analyse ihrer Website durchzuführen. Im anschließenden Ergebnisreport erhalten sie eine Analyse zur Umsetzung der DSGVO auf der geprüften Website. So können Schwachstellen auf Websites erkannt und ausgebessert werden.


10. FAQ zur DSGVO

Die Datenschutzgrundverordnung, kurz DSGVO oder EU-DSGVO, ist eine Verordnung der Europäischen Union. Durch diese Verordnung sollen die Datenschutzstandards in der ganzen EU vereinheitlicht werden. Konkret betrifft die DSGVO personenbezogene Daten, die Unternehmen, Konzerne, Behörden, Praxen und Vereine erheben, verarbeiten und speichern. Die DSGVO gibt den Verantwortlichen Verhaltensregeln für die korrekte Datenverarbeitung personenbezogener Daten vor.

Die Datenschutzgrundverordnung gilt seit dem 25. Mai 2018 auch in Deutschland verbindlich. Die DSGVO hat damit Vorrang vor dem BDSG-neu. Beide Gesetze ersetzen sich jedoch nicht, sondern ergänzen sich vielmehr.

Die Datenschutzgrundverordnung der europäischen Union regelt, wie Unternehmen, Konzerne, Behörden, Praxen oder Vereine mit den personenbezogenen Daten ihrer Kunden und Mitarbeiter bzw. Mitglieder umgehen müssen. Die DSGVO gilt für alle EU-Mitgliedstaaten und vereinheitlicht dadurch den europäischen Datenschutz.

Die DSGVO stärkt Verbrauchern den Rücken: Neu ist vor allem, dass Verbraucher von Unternehmen die vollständige Löschung ihrer Daten fordern können (sog. „Recht auf Vergessenwerden“ nach Art. 17 DSGVO). Dieser Aufforderung müssen Unternehmen schnellstmöglich nachkommen, wenn die erhobenen Daten nicht nach gesetzlichen Aufbewahrungsfristen gespeichert werden müssen.

Die DSGVO fordert den Schutz von personenbezogenen Daten. Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Ausgenommen sind neben juristischen Personen Personenmehrheiten und -gruppen sowie Verstorbene. Konkret handelt es sich bei personenbezogenen Daten z.B. um Namen, Telefonnummern, E-Mail-Adressen, IP-Adressen oder Postanschriften.

Unternehmen, die gegen den Datenschutz verstoßen und eine Datenschutzverletzung im Unternehmen vorliegen haben, müssen diese nach den Melde- und Anzeigepflichten (nach Art. 33 DSGVO) den zuständigen Aufsichtsbehörden melden, wenn dieser Verstoß voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Einen Leitfaden für Datenschutzverletzungen gibt es hier zum Download.

Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

Aktuelle Beiträge zum Thema "europäische Datenschutz­grundverordnung (EU-DSGVO)"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr