Wir verwenden Cookies, damit Sie die Funktionen unserer Website optimal nutzen können. Weitere Informationen finden Sie hier: Wie wir Cookies verwenden und wie Sie Ihre Voreinstellungen ändern können.

Die Datenschutz-Grundverordnung

Infografik – Datenschutzverordnung

Die Datenschutzverordnung regelt die Rechte natürlicher Personen sowie die Pflichten derjenigen, die die Daten verarbeiten bzw. für die Verarbeitung der Daten verantwortlich sind.

Kernstück des von der Kommission vorgeschlagenen Pakets ist eine Datenschutz-Grundverordnung. Mit dieser Verordnung sollen die Grundsätze der Datenschutzrichtlinie von 1995 aktualisiert und modernisiert werden. Sie regelt die Rechte natürlicher Personen sowie die Pflichten derjenigen, die die Daten verarbeiten bzw. für die Verarbeitung der Daten verantwortlich sind. Ferner ist darin festgelegt, wie die Einhaltung der Vorschriften gewährleistet werden soll und welche Sanktionen bei Verstößen gegen die Vorschriften zu verhängen sind.

Im Dezember 2015 erzielten der Rat und das Europäische Parlament eine Einigung über die geplante Verordnung.

Am 8. April 2016 nahm der Rat seinen Standpunkt in erster Lesung an. Der Verordnungsentwurf wurde daraufhin am 14. April 2016 vom Europäischen Parlament angenommen.

Im Einzelnen

In der Verordnung geht es um verschiedene grundlegende Themen.

Rechte der betroffenen Person

Die Verordnung listet die Rechte der betroffenen Person auf, d.h. der Person, deren Daten verarbeitet werden. Die betroffenen Personen erhalten durch die Stärkung der Datenschutzrechte mehr Kontrolle über ihre personenbezogenen Daten, unter anderem durch

  • das Erfordernis der klaren Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten
  • den einfacheren Zugang der betroffenen Person zu ihren personenbezogenen Daten
  • die Rechte auf Berichtigung, auf Löschung und auf Vergessenwerden
  • das Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der "Profilerstellung"
  • das Recht auf Übertragbarkeit der Daten von einem Dienstleister an einen anderen.

Ferner wird durch die Verordnung festgelegt, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, den betroffenen Personen transparente und leicht zugängliche Informationen über die Verarbeitung ihrer Daten bereitzustellen.

Einhaltung

Die Verordnung regelt im Einzelnen die allgemeinen Pflichten der Verantwortlichen und der Auftragsverarbeiter, d.h. derjenigen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Dazu gehört die Pflicht, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist (risikobasierter Ansatz). Die Verantwortlichen müssen ferner in bestimmten Fällen Verletzungen des Schutzes personenbezogener Daten melden. Alle Behörden und Unternehmen, die bestimmte riskante Datenverarbeitungen vornehmen, müssen zudem einen Datenschutzbeauftragten benennen.

Überwachung und Schadenersatz

Die Verordnung bestätigt die bereits bestehende Pflicht der Mitgliedstaaten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Ferner sollen Mechanismen geschaffen werden, die eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Insbesondere wird in bedeutenden grenzüberschreitenden Fällen, die mehrere einzelstaatliche Aufsichtsbehörden betreffen, eine einheitliche Aufsichtsentscheidung getroffen. Dieses Prinzip der sogenannten zentralen Kontaktstelle bedeutet, dass ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten nur mit den Datenschutzbehörden in dem Mitgliedstaat verkehren muss, in dem es seinen Hauptsitz hat.

Die Verordnung sieht auch die Einrichtung eines Europäischen Datenschutzausschusses vor. Dieser Ausschuss würde aus Vertretern aller 28 unabhängigen Aufsichtsbehörden bestehen und den derzeitigen Ausschuss "Artikel 29" ersetzen.

Durch die Verordnung erhalten die betroffenen Personen ferner das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten; sie regelt zudem die Haftung und das Recht auf Schadenersatz. Um Nähe zwischen den natürlichen Personen und den sie betreffenden Entscheidungen zu schaffen, haben die betroffenen Personen künftig ein Recht darauf, dass die Entscheidung der für sie zuständigen Datenschutzbehörde von ihrem jeweiligen nationalen Gericht überprüft wird. Dies gilt unabhängig von dem Mitgliedstaat, in dem der jeweilige Verantwortliche seinen Sitz hat.

Gegen Verantwortliche oder Auftragsverarbeiter, die die Datenschutzvorschriften verletzen, sollen äußerst strenge Sanktionen verhängt werden. Verantwortliche können mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % ihres gesamten Jahresumsatzes belegt werden. Diese verwaltungsrechtlichen Sanktionen werden von den nationalen Datenschutzbehörden verhängt.

Übermittlungen an ein Drittland

Die Verordnung erfasst auch die Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen. Hierzu wird die Kommission beauftragt, das Schutzniveau zu beurteilen, das ein Gebiet oder ein Sektor in einem Drittland bietet. Hat die Kommission keinen Angemessenheitsbeschluss bezüglich eines Gebiets oder eines Sektors getroffen, so kann die Übermittlung der personenbezogenen Daten trotzdem stattfinden, sofern es sich um besondere Fälle handelt oder geeignete Garantien für den Schutz bestehen (Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften oder Vertragsklauseln).