Datenschutz-Grundverordnung (DSGVO)

Die DSGVO regelt, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen. Sie stärkt die Rechte betroffener Personen, harmonisiert das Datenschutzrecht in der EU und schafft verbindliche Vorgaben für Unternehmen, Behörden und Organisationen. Im Mittelpunkt stehen Transparenz, Zweckbindung, Datenminimierung und Rechenschaftspflicht.

Die DSGVO gilt für alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten verarbeiten – unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der EU erfolgt, sofern sich das Angebot an Personen in der EU richtet. Erfasst sind insbesondere Unternehmen aller Branchen, öffentliche Einrichtungen, Vereine und Forschungseinrichtungen. Auch Auftragsverarbeiter unterliegen eigenständigen Pflichten.

Verantwortliche müssen sicherstellen, dass jede Datenverarbeitung auf einer rechtmäßigen Grundlage beruht (z. B. Einwilligung, Vertrag, berechtigtes Interesse). Betroffenenrechte wie Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit und Widerspruch sind zu gewährleisten. Besondere Anforderungen gelten bei sensiblen Daten (z. B. Gesundheitsdaten). Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Privacy by Design and Default“) sind ebenso verpflichtend wie die Bestellung eines Datenschutzbeauftragten in bestimmten Fällen. Verstöße müssen unter Umständen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden.

Die DSGVO verpflichtet Unternehmen zur umfassenden Dokumentation ihrer Datenverarbeitungsprozesse. Dazu gehören insbesondere Verzeichnisse von Verarbeitungstätigkeiten, Einwilligungsnachweise, Datenschutz-Folgenabschätzungen bei risikobehafteten Verarbeitungen, Verträge mit Auftragsverarbeitern sowie technische und organisatorische Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Unternehmen müssen jederzeit nachweisen können, dass sie die Vorgaben der DSGVO einhalten (Rechenschaftspflicht).

Der Schutz personenbezogener Daten ist integraler Bestandteil der DSGVO. Er umfasst sowohl organisatorische Maßnahmen (z. B. Rollen- und Berechtigungskonzepte, Schulungen) als auch technische Schutzvorkehrungen (z. B. Verschlüsselung, Zugriffskontrollen, Pseudonymisierung). Der Schutz erstreckt sich über den gesamten Lebenszyklus der Daten – von der Erhebung bis zur Löschung.

Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadenersatzansprüche betroffener Personen und aufsichtsrechtliche Maßnahmen wie Untersagungen oder Prüfverfahren durch Datenschutzbehörden.

Die DSGVO schafft nicht nur Pflichten, sondern auch Chancen. Unternehmen, die Datenschutz aktiv und transparent gestalten, stärken das Vertrauen ihrer Kunden, Mitarbeiter und Partner. Datenschutzkonforme Produkte und Prozesse werden zunehmend zu einem Wettbewerbsvorteil. Zudem schafft die Verordnung einheitliche Rahmenbedingungen im europäischen Binnenmarkt und reduziert rechtliche Unsicherheiten im internationalen Datenverkehr.