Datenschutz-Grundverordnung – das Wichtigste kurz zusammengefasst

Mit der Datenschutzgrund-Verordnung (DSGVO), die mit 25. Mai 2018 in Kraft getreten ist, wurde ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen. Die EU-Verordnung ist in allen MItgliedstaaten der EU unmittelbar anwendbar. 

Erweiterter Anwendungsbereich durch das Marktortprinzip

Seit In-Kraft-Treten der EU-Datenschutzrichtlinie im Jahr 1995 haben sich die Anforderungen an den Datenschutz stark verändert. Viele Geschäfte werden über das Internet abgewickelt und erfordern keine physischen Betriebs- und Organisationsstrukturen in Europa. Mit den bisherigen Datenschutzbestimmungen konnten Datenschutzverletzungen aus Drittländern nicht verfolgt werden.
Das wird sich mit der DSGVO ändern: Auch Unternehmen, die keine Niederlassung in der EU haben, aber auf dem europäischen Markt tätig werden, müssen die DSGVO voll anwenden.

Verstärkte Verantwortung der Unternehmen, die Daten verarbeiten oder anwenden

Die DSGVO überträgt Verantwortlichen und Auftragsverarbeitern (siehe: Wichtige Begriffe) mehr Verantwortung als bisher. Insbesondere beinhaltet sie verschiedene Pflichten für datenverarbeitende Unternehmen:

• "Privacy by Design" (übersetzt "Datenschutz durch Technikgestaltung"): Verantwortliche und der Auftragsverarbeiter haben bereits während der Planung von Datenverarbeitungsvorgängen sowie bei der Datenverarbeitung selbst geeignete technische und organisatorische Maßnahmen zu treffen, um einen angemessenen Schutz der Daten sicherzustellen.
• "Privacy by Default" ("Datenschutz durch datenschutzfreundliche Voreinstellungen"): Der Verantwortliche muss sicherstellen, dass durch Voreinstellung grundsätzlich nur solche Daten, deren Verarbeitung für den jeweiligen Zweck auch wirklich erforderlich ist, verarbeitet werden.
• Maßnahmen zum Schutz personenbezogener Daten: Datenverarbeitende Unternehmen haben bei Verletzungen des Schutzes personenbezogener Daten sowohl die nationalen Aufsichtsbehörden (in Österreich: Datenschutzbehörde) - möglichst binnen 72 Stunden - als auch die betroffene Person - unverzüglich - zu informieren.
• hohe Strafen bei Verstößen
  Bei besonders schwerwiegenden Verstößen kann die Datenschutzbehörde Geldbußen bis zu 20 Mio € oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu 10 Mio € oder im Fall eines Unternehmens bis zu 2 % des obigen Jahresumsatzes.
• Erweiterte Rechte der Betroffenen
  Schon nach dem alten Datenschutzgesetz haben Betroffene Rechte gehabt. Nun sind einige dazu gekommen. Welche Rechte Betroffene haben, finden Sie hier.

Stärkere Rolle der Datenschutzbehörde

Die Datenschutzbehörde wird als nationale Aufsichtsbehörde im Sinne der DSGVO eingerichtet und bekommt mehr Aufgaben und Befugnisse. Jede betroffene Person kann bei einer behaupteten Rechtsverletzung innerhalb eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einbringen. Das Bundesverwaltungsgericht entscheidet als zweite Instanz über Beschwerden gegen Bescheide der Datenschutzbehörde.