Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Sie soll den Schutz personenbezogener Daten von Verbrauchern und Bürgern stärken und den freien Datenverkehr innerhalb des Binnenmarktes fördern. Die DSGVO löst die bisherige Datenschutzrichtlinie 95/46/EG ab, die aus dem Jahr 1995 stammt und nicht mehr den Anforderungen der digitalen Welt entsprach. Aber welche Rechte und Pflichten ergeben sich aus der DSGVO? Darum soll es in diesem Artikel gehen.
Wer ist von der DSGVO betroffen?
Eines vorweg: Da das Thema äußerst umfassend ist, kann dieser Artikel nur einen ersten Überblick bieten. Hier findet man einen umfassenden Guide für die DSGVO. Die DSGVO gilt für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten in der EU verarbeiten oder die Daten von Personen in der EU verarbeiten, unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht. Verantwortlicher ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter ist die Person oder Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.
Welche Rechte haben die betroffenen Personen?
Die DSGVO stärkt die Rechte der betroffenen Personen, indem sie ihnen unter anderem Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Beschwerde einräumt. Die betroffene Person hat das Recht vom Verantwortlichen…
- …zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden, zu welchem Zweck, wie lange und an wen sie übermittelt werden.
- …die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.
- …die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese nicht mehr erforderlich sind, wenn sie ihre Einwilligung widerruft oder wenn sie der Verarbeitung widerspricht.
- …die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn sie die Richtigkeit bestreitet, wenn die Verarbeitung unrechtmäßig ist, wenn sie die Daten zur Geltendmachung von Rechtsansprüchen benötigt oder wenn sie der Verarbeitung widerspricht.
- …ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln oder übermitteln zu lassen.
Außerdem kann die betroffene Person jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung ihrer personenbezogenen Daten widersprechen. Ebenfalls kann sie der Verarbeitung ihrer personenbezogenen Daten für Direktwerbung widersprechen. Zudem kann sie sich bei einer Aufsichtsbehörde beschweren, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Welche Pflichten haben die Verantwortlichen und Auftragsverarbeiter?
Nicht nur die NIS2 Richtlinie bringt viele Pflichten für Unternehmen mit sich. Die DSGVO verpflichtet die Verantwortlichen und Auftragsverarbeiter zu einer Reihe von Maßnahmen, um den Schutz personenbezogener Daten zu gewährleisten, wie zum Beispiel zur:
- Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten: Die Verarbeitung muss rechtmäßig, fair und transparent sein, sich auf festgelegte, eindeutige und legitime Zwecke beschränken, dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein, sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, nicht länger als erforderlich gespeichert werden und die Sicherheit der Daten gewährleisten.
- Einholung einer wirksamen Einwilligung: Die Verarbeitung personenbezogener Daten muss auf einer freiwilligen, spezifischen, informierten und unmissverständlichen Einwilligung der betroffenen Person beruhen, die durch eine klare bestätigende Handlung erteilt wird. Die betroffene Person muss jederzeit die Möglichkeit haben, ihre Einwilligung zu widerrufen.
- Benennung eines Datenschutzbeauftragten: Die Verantwortlichen und Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn sie in der Regel eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vornehmen. Dies ist auch der Fall, wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern. Der Datenschutzbeauftragte ist eine unabhängige Stelle, die den Verantwortlichen oder Auftragsverarbeiter in allen Fragen des Datenschutzes berät und überwacht.
- Meldung von Datenschutzverletzungen: Die Verantwortlichen müssen jede Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten der natürlichen Personen führt, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Wenn die Verletzung ein hohes Risiko für die betroffenen Personen darstellt, müssen diese auch unverzüglich informiert werden.
Wie anfangs erwähnt, kann dieser Artikel nur als erste Übersicht dienen. Die DSGVO ist so komplex, dass auch 2023 noch ein Großteil der deutschen Unternehmen verunsichert ist.