Zurück zum Glossar

DSGVO erklärt: Grundprinzipien, Rollen und Sanktionen im Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 das verbindliche Datenschutzrecht der Europäischen Union. Sie gilt unmittelbar in allen Mitgliedstaaten – ohne nationale Umsetzungsgesetze. Ihr Kern: der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Für Unternehmen, die Daten von EU-Bürgern verarbeiten, ist die Einhaltung der DSGVO keine Option, sondern Pflicht.

Was ist die DSGVO?

Die DSGVO ist eine Verordnung der EU-Kommission mit grundrechtlichem Anspruch. Im Mittelpunkt steht das Recht auf Schutz personenbezogener Daten. Gleichzeitig soll die Verordnung den freien Datenverkehr innerhalb des EU- und EWR-Raums ermöglichen. Sie ersetzt kein nationales Recht vollständig, schafft aber einen einheitlichen Rahmen, der direkt anwendbar ist.

Anwendungsbereich: Wer und was ist betroffen?

Sachlich erfasst die DSGVO jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Auch nichtautomatisierte Verarbeitung fällt darunter, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das schließt elektronische Vorgänge über Computer, Scanner, Digitalkameras oder Smartphones ein – ebenso analoge, aber sortierte Datensammlungen.

Ausgenommen sind nicht sortierte rein analoge Sammlungen (sogenannte „Haushaltsausnahme" im persönlich-familiären Bereich) sowie bestimmte Verarbeitungen im Kontext der Strafverfolgung. In Deutschland gelten für Arbeitnehmerdaten zusätzlich spezifische Regelungen zum Beschäftigtendatenschutz.

Räumlich greift die DSGVO über zwei Anknüpfungspunkte: den Sitz oder die Niederlassung innerhalb der EU sowie das Marktortprinzip. Letzteres bedeutet: Auch Unternehmen mit Sitz außerhalb der EU unterliegen der DSGVO, wenn sie Personen in der Union Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Grundprinzipien der Verarbeitung

Die DSGVO legt verbindliche Grundsätze fest, an denen sich jede Datenverarbeitung messen lassen muss:

  • Rechtmäßigkeit, Fairness und Transparenz
    •  
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige Zwecke erhoben werden.
    •  
  • Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den Zweck notwendig sind.
    •  
  • Datenrichtigkeit und Speicherbegrenzung
    •  
  • Vertraulichkeit und Integrität

Die Transparenzpflicht verpflichtet Verantwortliche, Betroffene bei jeder Datenerhebung über Verarbeitung und Zwecke zu informieren. Betroffene haben zudem ein Auskunftsrecht darüber, ob und in welchem Umfang ihre Daten verarbeitet werden.

Eng damit verknüpft ist die Rechenschaftspflicht (Accountability): Der Verantwortliche muss die Einhaltung der Grundsätze aktiv nachweisen können – etwa durch Verarbeitungsverzeichnisse und dokumentierte technische sowie organisatorische Maßnahmen.

Erlaubnistatbestände nach Artikel 6

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Artikel 6 DSGVO nennt mehrere Erlaubnistatbestände, darunter:

  • Verarbeitung zur Bereitstellung einer vom Betroffenen angeforderten Leistung
    •  
  • Erfüllung einer rechtlichen Verpflichtung
    •  
  • Schutz wesentlicher Interessen der betroffenen Person
    •  
  • Verarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
    •  
  • Verarbeitung auf Basis legitimer Interessen des Verantwortlichen – sofern diese nicht die Rechte und Freiheiten der betroffenen Person überwiegen

Rollen im DSGVO-Kontext

Die DSGVO definiert drei zentrale Rollen klar:

  • Betroffene Person: diejenige, deren Daten erhoben oder verarbeitet werden
    •  
  • Verantwortlicher: das Unternehmen, das über Zwecke und Mittel der Verarbeitung entscheidet
    •  
  • Auftragsverarbeiter: ein Unternehmen, das Daten im Auftrag des Verantwortlichen verarbeitet

Für Auftragsverarbeitungen schreibt die DSGVO einen Auftragsverarbeitungsvertrag vor.

Rechte der betroffenen Personen

Betroffene verfügen über einen klar definierten Rechtekatalog. Dazu gehören das Recht auf Löschung („Recht, vergessen zu werden") nach Artikel 17 – anwendbar, wenn keine triftigen Gründe für eine weitere Aufbewahrung bestehen –, sowie Berichtigung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Zusätzlich können Betroffene Beschwerde bei Datenschutzaufsichtsbehörden einlegen und Schadensersatzansprüche geltend machen.

Sanktionen und Durchsetzung

Verstöße gegen die DSGVO können empfindliche Konsequenzen haben. Datenschutzaufsichtsbehörden können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Die DSGVO gilt damit als Kernstück eines strengen europäischen Datenschutz- und Durchsetzungsrahmens.

Fazit

Die DSGVO regelt verbindlich, wie personenbezogene Daten verarbeitet werden dürfen. Entscheidend sind die Grundprinzipien der Verarbeitung, die korrekte Einordnung von Rollen, die Kenntnis des sachlichen und räumlichen Anwendungsbereichs sowie die Umsetzung der Erlaubnistatbestände und Rechenschaftsanforderungen. Wer Daten von EU-Bürgern verarbeitet, kommt an einer strukturierten DSGVO-Compliance nicht vorbei.