Allgemein / Datenschutz

DSGVO einfach erklärt: Was ist die Datenschutzgrundverordnung?

- by Marion
Datenschutzgrundverordnung

Seit 2018 gilt in Deutschland und Europa die DSGVO. Dadurch werden die Bürgerinnen und Bürger Europas in ihrer informationellen Selbstbestimmung gestärkt und erhalten – theoretisch – mehr Kontrolle über ihre personenbezogenen Daten. Doch was sind die Grundsätze der DSGVO und was hat sie zum Ziel? Erfahre hier alle wesentlichen Aspekte zur Datenschutzgrundverordnung!

Was ist die DSGVO?

Einfach erklärt ist die DSGVO die erste europaweite gesetzliche Verordnung zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogener Daten. In ihr wird geregelt, wie Unternehmen, Organisationen, Behörden, aber auch Privatpersonen mit personenbezogenen Daten umgehen dürfen. Zugleich regelt sie den „freien Verkehr personenbezogener Daten innerhalb der Union“.

Beide Ziele waren mit der früher geltenden Datenschutz-Richtlinie (Richtlinie 95/46/EG) nicht erreicht worden, da diese den einzelnen Mitgliedstaaten erheblichen Spielraum ließen. Auch ihr Charakter als „Verordnung“ ist neu und spielt eine besondere Rolle, denn Verordnung müssen innerhalb der EU, anders als Richtlinien, in allen Mitgliedsstaaten unmittelbar umgesetzt werden.

Die Datenschutzgrundverordnung ist somit der Versuch, den Umgang mit personenbezogenen Daten europaweit einheitlich zu regeln und zwar zum Schutz natürlicher Personen und ihrer Daten. Um dieses Ziel zu erreichen, führt sie neue Mechanismen ein und sieht vor allem auch sehr viel höhere Strafen beim Missbrauch und der unerlaubten Verarbeitung personenbezogener Daten vor.

Wann ist die DSGVO in Kraft getreten?

Entgegen der öffentlichen Meinung ist die DSGVO nicht erst 2018 in Kraft getreten, sondern bereits am 25. Mai 2016. Doch erst ab 2018 ist sie auch geltendes Recht. Die zwei Jahre zuvor waren also eine Art Schonfrist für Unternehmen, Organisationen und Behörden, um ihre Prozesse dahin gehend umzustellen¹.

Gegenstand und Ziele der DSGVO

Gegenstand und Ziele sind in Art. 1 Absatz 2 und 3 DSGVO festgegelt. Hier heißt es:

Absatz 2: Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

 

Absatz 3: Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Doch was bedeutet das genau?
Zu Absatz 2:

  • Es geht nicht um den Schutz von Daten, sondern um den Schutz der Grundrechte und Grundfreiheiten der natürlichen Person, auf die sich diese Daten sich beziehen.
  • Was der genauen Schutzbereich ist, darüber streiten sich Fachleute jedoch immer noch
  • Fest steht aber, dass Rechteinhaber im Sinne der DSGVO nur natürliche Personen, sein können. Unternehmen bzw. sogenannte juristische Personen sind als Rechteinhaber ausgeschlossen und werden nicht von der DSGVO geschützt.

zu Absatz 3:

„Der freie Verkehr personenbezogener Daten in der Union darf (…) weder eingeschränkt noch verboten werden.“ Das klingt erstmal nicht nach Datenschutz. Hier hat sozusagen das Unionsrecht den größeren Hebel. Denn im Unionsrecht heißt es: „Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.²

Damit die europäische Union als Gemeinschaft funktionieren kann – und dieses Funktionieren setzt den Austausch personenbezogener Daten voraus – gilt das Recht auf Schutz der personenbezogenen Daten deswegen nicht uneingeschränkt³; sondern es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Genau dies passiert in Absatz 3 Artikel 1 DSGVO. Es wird abgewogen und festgehalten, das, obwohl personenbezogene Daten einem besonderen Schutz unterliegen, ihr freier Verkehr innerhalb der Union nicht eingeschränkt oder unterbunden werden darf.

Alte und neue Grundsätze der DSGVO

Zweckbindung und Datenminimierung

Diese beiden Grundsätze gab es auch schon in der zuvor geltenden Datenschutzrichtlinie der Europäischen Union und wurden auch in die neue DSGVO übernommen. Einfach erklärt besagen sie:

  • Zweckbindung bedeutet, dass Unternehmen und Behörden deine Daten nur für den zuvor festgelegten Zweck verarbeiten dürfen.
  • Datenminimierung bedeutet, dass nur solche personenbezogenen Daten erhoben werden dürfen, die für den Zweck erforderlich sind.

Ein Beispiel soll dies verdeutlichen:

Wenn ich bei einem Online-Shop ein T-Shirt bestellt, darf die von mir angegebene Adresse in der Regel nur für den Versand des T-Shirts verwendet werden. Sie darf jedoch nicht an andere Unternehmen weitergegeben werden, um mir unberechtigt Werbung zuzusenden (Zweckbindung). (Viele Unternehmen umgehen natürlich diese Regelungen, indem sie sich die Einwilligung dazu erschleichen, aber das ist ein anderes Thema. Ohne Einwilligung darf dies jedoch nicht passieren und kann hohe Strafen zur Folge haben, wenn es zur Anzeige gebracht wird). Die Telefonnummer ist für den Versand des T-Shirts unerheblich und darf daher auch nicht verpflichtend abgefragt werden, sondern nur optional als freiwillige Angabe (Datenminimierung).

Neue Mechanismen: Privacy by Design und Privcay by Default

Privacy by Design und Privacy by Defaut sind neue zwei neue Prinzipien, die datenschutzfreundliche Voreinstellungen vorschreiben und diese zur Pflicht machen für die Anbieter von Apps oder Internetbrowsern. Sie besagen, dass neue Technologien und Dienste von Anfang an mit besonderer Rücksicht auf die Privatsphäre ihrer Nutzer hin entwickelt und eingestellt werden müssen, zum Beispiel durch eine automatische Pseudonymisierung (Privacy by Design).

  • „Privacy by Default“ heißt so viel wie „Privacy als Standard“. Dieses Prinzip schreibt vor, dass in Programmen oder Accounts grundsätzlich die datenschutzfreundlichste Option voreingestellt werden muss, bei der zum Beispiel möglichst wenige Daten verarbeitet werden.
  • Privacy by Design“ lässt sich schon etwas sperriger übersetzen mit „Technikbasierter Datenschutz“ oder auch „Datenschutz durch Technikgestaltung“. Dieser Aspekt ist nicht ganz neu, sondern taucht bereits in der vorher geltenden Datenschutzrichtlinie der EU (Richtlinie 95/46/EG) auf. Das Prinzip schreibt vor, dass bereits zum Zeitpunkt der Planung eines Systems zur Datenverarbeitung technische und organisatorische Maßnahmen getroffen werden müssen, um insbesondere die Sicherheit der Daten zu gewährleisten. Datenschutz soll also bereits technisch integriert sein. Ein Beispiel dafür ist die Pseudonymisierung.

Welche Rechte haben Bürger*innen nach der DSGVO?

Die Datenschutzgrundverordnung ist ein sogenanntes Verbotsgesetz. Es verbietet die Nutzung von personenbezogenen Daten, außer es gibt dafür eine  ausreichende rechtliche Grundlage wie beispielsweise deine Einwilligung oder eine gesetzliche Erfordernis oder es liegt ein sogenanntes berechtigtes Interesse vor. Denn niemand hat das Recht, deine personenbezogenen Daten ohne deine Einwilligung zu erheben, zu sammeln, zu speichern, zu verarbeiten oder weiterzugeben.

Die DSGVO räumt den Bürgerinnen und Bürgern Europas folgende Rechte ein:

  • Recht auf Information (Artikel 13f DSGVO)
  • Das Recht auf Auskunft nach Artikel 15 DSGVO
  • Recht auf Berichtigung (Artikel 16 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • Recht auf Widerspruch (Artikel 21 DSGVO)
  • Recht auf Löschung (Artikel 17 DSGVO)
  • Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
  • Recht darauf, keiner automatisierten Entscheidung (bspw. durch Profiling) unterworfen zu werden (Artikel 22 DSGVO)
  • Recht auf Beschwerde  oder Klage vor Gericht (Artikel 77 DSGVO)
  • Recht auf Geheimhaltung (§1 Abs. 1 DSG)

Die wichtigstens Rechte im Überblick

Dein Recht auf Auskunft

Du kannst bei sämtlichen Unternehmen und Organisationen, sei es beim Mailanbieter, bei deiner Versicherung oder bei Facebook, Auskunft darüber verlangen, ob und wie deine Daten verarbeitet werden. Diese müssen dir dann unter anderem offen legen:

  • Welche deiner Daten sie verarbeiten und zu welchem Zweck
  • Mit wem sie deine Daten teilen
  • Für welchen Zeitraum sie deine Daten speichern
  • und woher sie diese haben

Diese Auskünfte müssen Datenverarbeiter dir kostenlos bereitstellen und zwar innerhalb eines Monats, nachdem du Auskunft verlangt hast. Nur wenn du mehr als eine Kopie deiner Daten benötigst, können Unternehmen dafür eine Bezahlung verlangen.

Quellen:

1: https://www.dr-datenschutz.de/dsgvo-einfach-erklaert-antworten-auf-die-wichtigsten-fragen/

2: https://dsgvo-gesetz.de/erwaegungsgruende/nr-5/

3: https://dsgvo-gesetz.de/erwaegungsgruende/nr-4/

4.  https://www.bmj.de/DE/Themen/FokusThemen/DSGVO/DSVGO_node.html

5. https://www.bmj.de/DE/Themen/FokusThemen/DSGVO/DSVGO_node.html

6. https://fokus.genba.org/das-datenschutzgesetz-einfach-erklaert

 

Verwandte Beiträge

Beispiel einer Assoziationsanalyse - Schritt für Schritt

Assoziationsanalyse nach dem Apriori-Algorithmus

KI Entwicklungsstand

Schwache KI, starke KI und Superintelligenz – wo stehen wir in der Entwicklung von KI?

Data Mining: Definition

Was ist Data Mining?

Über Marion

Online Redakteurin, Schwerpunkt Datenjournalismus

Zeige alle Beiträge von Marion →