Navigation
Seiteninhalt

Die Eckpunkte der EU-Datenschutz-Grundverordnung

Die europäische Datenschutz-Grundverordnung tritt am 24. 5. 2016 in Kraft und gilt ab dem 25. 5. 2018 unmittelbar in jedem Mitgliedstaat. Eine Zusammenfassung der zentralen Bestimmungen und Sanktionen.
Von Redaktion
10. Mai 2016

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) hat in erster Linie den Schutz personenbezogener Daten von natürlichen Personen zum Ziel. Andererseits soll sie aber auch sicherstellten, dass der freie Verkehr personenbezogener Daten in der Union weder eingeschränkt noch verboten werden darf.

Die Verordnung gilt „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Die EU-DSGVO enthält Rechte und Pflichten natürlicher Personen sowie der derjenigen, die die Daten verarbeiten bzw. für die Verarbeitung der Daten verantwortlich sind, fest. Daneben legt die Verordnung fest, wie die Einhaltung der Vorschriften gewährleistet werden soll und welche Sanktionen bei Verstößen dagegen zu verhängen sind.

Kontrolle Betroffener über ihre Daten

Betroffenen Person sollen mehr Kontrolle über ihre personenbezogenen Daten erhalten, u.a. durch das Erfordernis der Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten, den einfacheren Zugang der betroffenen Person zu ihren personenbezogenen Daten, die Rechte auf Berichtigung und auf Löschung („Recht auf Vergessenwerden“), das Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der „Profilerstellung“, und das Recht auf Übertragbarkeit der Daten von einem Dienstleister an einen anderen.

Die für die Verarbeitung Verantwortlichen sind verpflichtet, den betroffenen Personen transparente und leicht zugängliche Informationen über die Verarbeitung ihrer Daten bereitzustellen.

Schutz- und Meldepflichten von Daten-Verarbeitern

Die Verordnung regelt die allgemeinen Pflichten derjenigen, die personenbezogene Daten (auch im Auftrag Dritter) verarbeiten. Dazu gehört die Pflicht, dem jeweiligen Risiko entsprechende Sicherheitsmaßnahmen bei Datenverarbeitungsvorgängen zu treffen. Die Verantwortlichen müssen in bestimmten Fällen Verletzungen des Schutzes personenbezogener Daten melden.

Datenschutzbeauftragter

Alle Behörden und Unternehmen, die bestimmte riskante Datenverarbeitungen vornehmen, müssen zudem einen Datenschutzbeauftragten benennen. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Überwachung & Aufsichtsorgane

Alle Mitgliedstaaten haben eine unabhängige Datenschutz-Aufsichtsbehörde auf nationaler Ebene einzurichten. Die Datenschutzvorschriften sollen in der EU künftig einheitlich angewendet werden. In bedeutenden grenzüberschreitenden Fällen wird eine einheitliche Aufsichtsentscheidung getroffen. Dieses Prinzip der sogenannten zentralen Kontaktstelle bedeutet, dass ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten nur mit den Datenschutzbehörden in dem Mitgliedstaat verkehren muss, in dem es seinen Hauptsitz hat.

Die Verordnung sieht auch die Einrichtung eines Europäischen Datenschutzausschusses vor und räumt betroffenen Personen das Recht ein, bei einer Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Sanktionen

Verantwortlichen oder Auftragsverarbeitern, die die Datenschutzvorschriften verletzen, drohen äußerst strenge Strafen. Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können verhängt werden, je nachdem, welcher der Beträge höher ist. Diese verwaltungsrechtlichen Sanktionen werden von den nationalen Datenschutzbehörden verhängt.

Übermittlungen an ein Drittland

Die Verordnung erfasst auch die Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen. Hierzu wird die Kommission beauftragt, das Schutzniveau zu beurteilen, das ein Gebiet oder ein Sektor in einem Drittland bietet. Hat die Kommission keinen Angemessenheitsbeschluss bezüglich eines Gebiets oder eines Sektors getroffen, so kann die Übermittlung der personenbezogenen Daten trotzdem stattfinden, sofern es sich um besondere Fälle handelt oder geeignete Garantien für den Schutz bestehen (Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften oder Vertragsklauseln).

(Quelle: LexisNexis Rechtsredaktion)

Autoren

782_632_LN_Logo_RGB_Primary_Full-Color_Positive.jpg

Redaktion

Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...