EU-Datenschutz-Grundverordnung

Um die Persönlichkeitsrechte jedes Menschen zu schützen, hat die Europäische Union die Datenschutzgrundverordnung (DSGVO) beschlossen. Die DSGVO bietet einen EU-weit einheitlichen Rahmen für den Umgang mit personenbezogenen Daten.

I. Welche Regelungen gelten in Deutschland?

Die Datenschutzgrundverordnung gilt in der gesamten EU, aber die jeweiligen Mitgliedsstaaten dürfen ergänzende Regelungen erlassen. In Deutschland gelten zusätzlich das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgesetze der Bundesländer. Diese regeln primär den Datenschutz für öffentliche Stellen, beinhalten aber auch Vorschriften für nichtöffentliche Stellen. Darüber hinaus enthalten auch andere Gesetze vereinzelt Bestimmungen zum Datenschutz. Im Falle von Widersprüchen zwischen den jeweiligen Gesetzen hat die DSGVO als EU-Verordnung Anwendungsvorrang.

II. Was regelt die DSGVO?

1. Räumlicher Anwendungsbereich – das Marktortprinzip

Die DSGVO stellt für ihre räumliche Geltung darauf ab, ob ein Anbieter von entgeltlichen oder unentgeltlichen Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet. Dieser umfassende Anwendungsbereich dient dem Verbraucherschutz und stellt gleiche Anforderungen für alle Marktteilnehmer auf. Daneben ist die DSGVO auch dann anzuwenden, wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Unter Letzteres fällt die Analyse des Surfverhaltens im Internet und auch die Speicherung von Cookies, egal zu welchem Zweck.

2. Grundsätze der Datenverarbeitung

In Art. 5 DSGVO werden die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datensparsamkeit, der Richtigkeit, der Begrenzung der Speicherdauer und der „Integrität und Vertraulichkeit” der Datenverarbeitung genannt. Die Zweckbindung stellt ein zentrales Element der Datenschutzgrundverordnung dar. Dieser Grundsatz ist für alle Mitgliedsstaaten verbindlich und Betroffene müssen vor einer Zweckänderung der Datennutzung informiert werden. Dadurch haben die Betroffenen einen besseren Überblick und eine bessere Kontrolle darüber, was mit ihren Daten geschieht. Die Nutzung von zweckgebunden erhobenen Daten zu einem mit dem ursprünglichen Erhebungszweck unvereinbaren Zweck ist nicht zulässig. Für eine solche Zweckänderung müssen die Daten also auf rechtmäßigem Weg erneut erhoben werden.

3. Rechtmäßigkeit der Datenverarbeitung

Eine Verarbeitung ist nur rechtmäßig, wenn eine Rechtsgrundlage gegeben ist (Art. 6 DSGVO). Das können sein:
  • Eine Einwilligung der betroffenen Person.
  • Die Verarbeitung ist für die Erfüllung eines Vertrages erforderlich.
  • Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interesse zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt.
  • Es besteht ein berechtigtes Interesse an der Datenverarbeitung.
Ohne das Vorliegen einer passenden Rechtsgrundlage ist die Datenverarbeitung verboten.

4. Verzeichnis aller Datenverarbeitungstätigkeiten

Art. 30 DSGVO ordnet an, dass Verantwortliche und Auftragsdatenverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten unter der Angabe der im Artikel genannten Punkte führen müssen. Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

5. Erweiterung der Informationspflichten

Um die Verwendung von Daten nachvollziehbar zu machen, bestehen weitreichende Informationspflichten der verantwortlichen Datenverarbeiter gegenüber den Betroffenen gemäß Art. 12 ff. DSGVO. Der Betroffene ist vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in den Artikeln genannten Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:
  • Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
  • Ggf. die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke und die Rechtsgrundlage der Verarbeitung
  • das berechtigte Interesse des Verantwortlichen oder eines Dritten
  • ggf. Empfänger der personenbezogenen Daten
  • Ggf. die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation
Daneben ist der Betroffene auch über
  • die voraussichtliche Dauer der Datennutzung
  • die Betroffenenrechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechte
  • das Recht auf jederzeitigen Widerruf der Einwilligung
  • das Beschwerderecht bei einer Aufsichtsbehörde
  • die Bereitstellung der personenbezogenen Daten
  • eine automatische Entscheidungsfindung
zu informieren. Falls die Daten nicht vom Betroffenen stammen, ist dieser in gleicher Weise zu informieren und darüber hinaus über die Quelle seiner Daten in Kenntnis zu setzen.

6. „Recht auf Vergessenwerden“

In Art. 17 DSGVO wird das Recht auf Löschung niedergelegt. Es handelt sich insofern nicht um ein Recht auf Vergessen, als dass der Betroffene selbst die Löschung verlangen muss. Dann allerdings ist der Verantwortliche verpflichtet, die Löschung unter den im Artikel genannten Voraussetzungen unverzüglich vorzunehmen. Wurden die personenbezogenen Daten über einen Betroffenen öffentlich (gerade bei Internetveröffentlichungen) gemacht, ist der Verantwortliche künftig zusätzlich dazu verpflichtet, angemessene Maßnahmen zu treffen und andere verantwortliche Stellen darüber zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten sowie von Kopien verlangt.
Dieses Recht auf Löschen gilt nicht unbeschränkt. Ausnahmen, in welchen Fällen die Daten nicht gelöscht werden müssen oder dürfen sind ebenfalls in Art. 17 DSGVO festgelegt. In der Regel betrifft das Fälle, in denen das Gesetz Aufbewahrungsfristen vorgibt. Vor Ablauf dieser Fristen dürfen die Daten nicht gelöscht werden.

7. Personenbezogene Daten von Kindern

Regelmäßig kann es vorkommen, dass personenbezogene Daten von Kindern verarbeitet werden. Dafür ist in der Regel die Einwilligung der Erziehungsberechtigten notwendig. Ab wann eine minderjährige Person selbst in eine Datenverarbeitung einwilligen kann, ist nicht gesetzlich festgelegt.
Eine gesetzliche Vorgabe gibt es nur im Hinblick auf Dienste der Informationsgesellschaft. Das sind jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, z. B. Streaming Dienste. Bei solchen Diensten wird ausdrücklich festgelegt, dass eine Einwilligung in die Datenverarbeitung personenbezogener Daten erst mit 16 Jahren möglich ist. Zuvor bedarf es der elterlichen Einwilligung. Dabei ist wichtig, dass eine nachträgliche Genehmigung ausdrücklich ausgeschlossen ist.
In all diesen Fällen ist es aber wichtig, dass die Daten von minderjährigen Personen besonders umfassend geschützt werden sollen.
Hinweis: Die Mitgliedstaaten haben die Möglichkeit, die Altersgrenze bei Diensten der Informationsgesellschaft um bis zu drei Jahre herabzusetzen. Einige Länder haben diese Option genutzt, sodass dort bereits ab einem Alter von 13 Jahren eine wirksame Einwilligung erteilt werden kann. In Deutschland bleibt die Altersgrenze jedoch weiterhin bei 16 Jahren.

8. Datenschutzfolgenabschätzung

Wenn die Verarbeitung voraussichtlich zu einem hohem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine Datenschutzfolgenabschätzung erforderlich. Dabei werden Risiken und Folgen der Verarbeitung analysiert und Maßnahmen zur Risikominderung festgelegt. In bestimmten Fällen ordnet die DSGVO in Art. 35 die zwingende Durchführung der Folgenabschätzung an. Dies sind die automatische Verarbeitung von Daten, Profilbildungsmaßnahmen und die systematische Überwachung öffentlich zugänglicher Bereiche. Weitere Fälle werden durch die Aufsichtsbehörden in Form einer Blacklist festgelegt. Theoretisch können die Behörden auch eine Whitelist mit Verarbeitungsvorgängen festlegen, die keine Folgenabschätzung benötigen. Von dieser Möglichkeit hat aber keine deutsche Aufsichtsbehörde Gebrauch gemacht.

9. Prinzip des „One-Stop-Shop“

Das Prinzip des „One-Stop-Shop“, zu Deutsch das Prinzip der einheitlichen Anlaufstelle besagt, dass künftig für grenzüberschreitende Datenvereinbarungen innerhalb der EU grundsätzlich die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig sein wird. Diese ist dann auch alleiniger Ansprechpartner für die Verpflichteten.

10. Meldepflicht von „Datenpannen“

Die Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche, bspw. das Unternehmen, ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, sofern nicht ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen ist (Art. 33 DSGVO). Eine solche Meldung ist in der Regel auch Online auf der Internetseite der jeweiligen Aufsichtsbehörde möglich.

11. Haftung

Durch die DSGVO wird die Haftung erheblich verschärft. So wird bei Verstößen gegen die Grundprinzipien der DSGVO ein Bußgeld von bis zu 20 Mio. EUR oder bis zu vier Prozent des weltweiten letztjährigen Jahresumsatzes angedroht. Für leichtere Verstöße gegen Pflichten aus der DSGVO ist ein Bußgeld von maximal zehn Mio. EUR oder von zwei Prozent des weltweiten letztjährigen Jahresumsatzes vorgesehen.

Stand: 15. April 2025