Recht und Steuern

EU-Datenschutz-Grundverordnung

1. Allgemeines

Die Datenschutz-Grundverordnung (DS-GVO) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und wird in Deutschland durch das BDSG ergänzt. Ziel ist ein europaweit einheitliches Datenschutzniveau. Die DS-GVO enthält Öffnungsklauseln, etwa für den Beschäftigtendatenschutz, die nationale Regelungen ermöglichen.
Datenschutz bedeutet den Schutz personenbezogener Daten, also aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse (Art. 4 Nr. 1 DS-GVO). Der Anwendungsbereich der DS-GVO ist weit gefasst und umfasst nahezu alle Bereiche, in denen personenbezogene Daten verarbeitet werden.

2. Grundsätze der DS-GVO

Die DS-GVO übernimmt und konkretisiert die bisherigen Grundsätze des Datenschutzes. Die wichtigsten Grundsätze sind in Art. 5 DS-GVO geregelt:
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Rechtsgrundlage besteht und die Verarbeitung für die betroffene Person nachvollziehbar ist (Art. 5 Abs. 1 lit. a DS-GVO).
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b DS-GVO).
  • Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind (Art. 5 Abs. 1 lit. c DS-GVO).
  • Richtigkeit: Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1 lit. d DS-GVO).
  • Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist (Art. 5 Abs. 1 lit. e DS-GVO).
  • Integrität und Vertraulichkeit: Die Verarbeitung muss eine angemessene Sicherheit der Daten gewährleisten (Art. 5 Abs. 1 lit. f DS-GVO).
  • Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können (Art. 5 Abs. 2 DS-GVO)

3. Zulässigkeit der Datenverarbeitung

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn, sie ist durch eine der in Art. 6 Abs. 1 DS-GVO genannten Rechtsgrundlagen erlaubt. Zulässigkeitsgründe sind insbesondere:
  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DS-GVO),
  • Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DS-GVO),
  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO),
  • Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DS-GVO).
Die Weiterverarbeitung für andere Zwecke ist unter den Voraussetzungen des Art. 6 Abs. 4 DS-GVO möglich, sofern der neue Zweck mit dem ursprünglichen Zweck kompatibel ist.

4. Einwilligung

Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden (Art. 4 Nr. 11, Art. 7 DS-GVO). Sie kann schriftlich, elektronisch oder mündlich erfolgen; die DS-GVO schreibt keine bestimmte Form vor, jedoch muss die Einwilligung nachweisbar sein (Art. 7 Abs. 1 DS-GVO, Art. 5 Abs. 2 DS-GVO). Die Einwilligung darf nicht in Allgemeinen Geschäftsbedingungen oder Datenschutzerklärungen „versteckt“ werden, sondern muss klar und verständlich erfolgen.

Das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) untersagt, die Erbringung von Leistungen von einer Einwilligung abhängig zu machen, soweit die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist. Die Wirksamkeit alter Einwilligungen richtet sich nach Erwägungsgrund 171 DS-GVO; sie gelten fort, wenn sie den Anforderungen der DS-GVO entsprechen.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden; hierüber muss die betroffene Person vorab informiert werden (Art. 7 Abs. 3 DS-GVO).

5. Besondere Pflichten und aktuelle Entwicklungen

  • Bußgelder: Die DS-GVO sieht bei Verstößen gegen zentrale Vorschriften Geldbußen von bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Jahresumsatzes vor (Art. 83 DS-GVO).
  • Informationspflichten: Die Informationspflichten gegenüber Betroffenen wurden in Art. 13 und 14 DS-GVO erheblich erweitert.
  • Rechenschaftspflicht und Dokumentation: Unternehmen müssen die Einhaltung der DS-GVO jederzeit nachweisen können (Art. 5 Abs. 2, Art. 30 DS-GVO).
  • Datenschutz-Folgenabschätzung: Bei risikobehafteten Verarbeitungen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen.
  • Marktortprinzip: Die DS-GVO gilt auch für Unternehmen außerhalb der EU, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten (Art. 3 Abs. 2 DS-GVO).
  • Recht auf Löschung („Recht auf Vergessenwerden“) nach Art. 17 DS-GVO.
  • Datenschutz für Kinder: Einwilligungen sind grundsätzlich erst ab 16 Jahren wirksam; die Mitgliedstaaten können ein niedrigeres Alter vorsehen, mindestens jedoch 13 Jahre (Art. 8 DS-GVO).
  • One-Stop-Shop-Prinzip: Für grenzüberschreitende Datenverarbeitungen ist die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig (Art. 56 DS-GVO).
  • Meldepflichten bei Datenschutzverletzungen: Datenpannen müssen binnen 72 Stunden gemeldet werden (Art. 33 DS-GVO).

6. Weitere Hinweise

Für die praktische Umsetzung sind aktuelle DIN-Normen (z. B. DIN 66398 für Löschkonzepte) und die Empfehlungen der Datenschutzaufsichtsbehörden zu beachten. In Rheinland-Pfalz finden Sie die Informationen beim Landesbeauftragten für Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Dieses Merkblatt soll – als Service Ihrer IHK Koblenz – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.