Datenschutz-Grundverordnung – das Wichtigste kurz zusammengefasst

Mit der Datenschutzgrund-Verordnung (DSGVO), die mit 25. Mai 2018 in Kraft getreten ist, wurde ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen. Die EU-Verordnung ist in allen MItgliedstaaten der EU unmittelbar anwendbar. 

Erweiterter Anwendungsbereich durch das Marktortprinzip

Seit In-Kraft-Treten der EU-Datenschutzrichtlinie im Jahr 1995 haben sich die Anforderungen an den Datenschutz stark verändert. Viele Geschäfte werden über das Internet abgewickelt und erfordern keine physischen Betriebs- und Organisationsstrukturen in Europa. Mit den bisherigen Datenschutzbestimmungen konnten Datenschutzverletzungen aus Drittländern nicht verfolgt werden.
Das hat sich mit der DSGVO geändert: Auch Unternehmen, die keine Niederlassung in der EU haben, aber auf dem europäischen Markt tätig werden, müssen die DSGVO voll anwenden.

Verstärkte Verantwortung der Unternehmen, die Daten verarbeiten oder anwenden

Die DSGVO überträgt Verantwortlichen und Auftragsverarbeitern (siehe: Wichtige Begriffe) mehr Verantwortung als bisher. Insbesondere beinhaltet sie verschiedene Pflichten für datenverarbeitende Unternehmen:

• "Privacy by Design" (übersetzt "Datenschutz durch Technikgestaltung"): Verantwortliche und der Auftragsverarbeiter haben bereits während der Planung von Datenverarbeitungsvorgängen sowie bei der Datenverarbeitung selbst geeignete technische und organisatorische Maßnahmen zu treffen, um einen angemessenen Schutz der Daten sicherzustellen.
• "Privacy by Default" ("Datenschutz durch datenschutzfreundliche Voreinstellungen"): Der Verantwortliche muss sicherstellen, dass durch Voreinstellung grundsätzlich nur solche Daten, deren Verarbeitung für den jeweiligen Zweck auch wirklich erforderlich ist, verarbeitet werden.
• Maßnahmen zum Schutz personenbezogener Daten: Datenverarbeitende Unternehmen sind bei einer Verletzung des Schutzes personenbezogener Daten verpflichtet, unverzüglich – möglichst aber binnen 72 Stunden – sowohl die nationale Aufsichtsbehörde (in Österreich: die Datenschutzbehörde) als auch die betroffene Person zu informieren. 
• Hohe Strafen bei Verstößen
  Bei besonders schwerwiegenden Verstößen kann die Datenschutzbehörde Geldbußen bis zu 20 Mio € oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu 10 Mio € oder im Fall eines Unternehmens bis zu 2 % des obigen Jahresumsatzes.
• Rechte der Betroffenen
  Welche Rechte Betroffene haben, finden Sie hier.

Rolle der Datenschutzbehörde

Die Datenschutzbehörde ist als nationale Aufsichtsbehörde im Sinne der DSGVO eingerichtet und hat zahlreiche Aufgaben und Befugnisse. Jede betroffene Person kann bei einer behaupteten Rechtsverletzung innerhalb eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einbringen. Das Bundesverwaltungsgericht entscheidet als zweite Instanz über Beschwerden gegen Bescheide der Datenschutzbehörde.