Fragen zur Datenschutz-Grundverordnung

Hier haben wir die Antworten auf häufige Fragen zur Datenschutz-Grundverordnung und den durch sie bedingten Änderungen zusammengestellt:

Was ist die Datenschutz-Grundverordnung?

Es handelt sich um die neue Grundlage des Datenschutzes in der EU, die nationale Regelungen zu großen Teilen ersetzt.

Die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Datenschutz-Grundverordnung“) ist eine Verordnung der Europäischen Union im Sinne des Art. 288 Abs. 2 AEUV. Sie löst die Datenschutzrichtlinie 95/46/EG („Datenschutzrichtlinie“) von 1995 ab.

Als Verordnung hat sie im Gegensatz zur Datenschutzrichtlinie allgemeine Geltung; sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Was ist das Ziel der Datenschutz-Grundverordnung?

Ziel der Datenschutz-Grundverordnung ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Es soll ein gemeinsamer Standard in der gesamten Europäischen Union geschaffen werden.

Dies war im Wesentlichen bereits Ziel der Datenschutzrichtlinie. Allerdings bestehen derzeit noch – trotz der bereits langjährigen Geltung der Datenschutzrichtlinie – erhebliche Unterschiede im Datenschutzrecht der verschiedenen Mitgliedstaaten; das Schutzniveau variiert erheblich. Denn Umsetzung und Anwendung der Datenschutzrichtlinie erfolgten in den einzelnen Mitgliedstaaten nicht homogen.

Durch das Instrument einer unmittelbar geltenden Verordnung soll das Datenschutzrecht nunmehr innerhalb Europas stärker vereinheitlicht werden.

Ab wann gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung wurde am 27. April 2016 verabschiedet. Am 25. Mai 2016 ist sie in Kraft getreten. Unmittelbare Geltung wird sie ab dem 25. Mai 2018 entfalten.

Für welche Stellen gilt die Datenschutz-Grundverordnung?

Grundsätzlich gilt die Datenschutz-Grundverordnung für öffentliche sowie nicht-öffentliche Stellen.

Ausgenommen vom Anwendungsbereich der Datenschutz-Grundverordnung ist zum einen - wie bislang - die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Ferner ist die Anwendung ausgeschlossen, soweit es sich um Datenverarbeitungen im Rahmen einer Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt oder um Datenverarbeitungen durch die Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik auf Unionsebene.

Zudem wird der Anwendungsbereich der RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 („Richtlinie für Polizei und Justiz“) von dem Anwendungsbereich der Datenschutz-Grundverordnung ausgenommen, weshalb die Datenschutz-Grundverordnung auf die Datenverarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit keine Anwendung findet.

Der räumliche Anwendungsbereich des Europäischen Datenschutzrechts wird durch die Datenschutz-Grundverordnung erheblich erweitert. Aufgrund des Marktortprinzips findet die Datenschutz-Grundverordnung nicht lediglich auf in der Europäischen Union niedergelassene Unternehmen Anwendung - unabhängig davon, wo die Datenverarbeitung stattfindet -, sondern auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. Voraussetzung ist insoweit lediglich, dass eine Verarbeitung personenbezogener Daten von in der Union befindlichen betroffenen Personen stattfindet im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen auf einem Markt in der Europäischen Union oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der Europäischen Union dient. Dies wird auch bei einer Reihe von Anbietern sozialer Medien mit Sitz in den USA der Fall sein.

Welche Neuerungen erfährt der Datenschutz durch die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung führt nicht zu einem inhaltlich-materiell völlig neuen Datenschutzrecht in Deutschland, sondern erhält seit langem bewährte Prinzipien, wie z.B. das Verbot mit Erlaubnisvorbehalt, den Grundsatz der Zweckbindung bei der Datenverarbeitung sowie den Grundsatz der Datensparsamkeit und schreibt sie fort.

Jedoch enthält die Datenschutz-Grundverordnung auch einige Neuerungen. Für jedes Unternehmen ist eine Datenschutzbehörde federführend zuständig (One stop shop) und jede Bürgerin oder jeder Bürger kann sich mit Eingaben an seine Datenschutzbehörde wenden, die dann das Verfahren wenn nötig europäisch fortführt. Unter anderem gilt das Europäische Datenschutzrecht zukünftig nicht lediglich für in der Europäischen Union niedergelassene Unternehmen, sondern auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind (Marktortprinzip).

Zudem gibt es nunmehr komplexe Regelungen für die Zusammenarbeit von Aufsichtsbehörden im Falle von grenzüberschreitenden Datenverarbeitungen (v.a. Kohärenzverfahren). Die Aufsichtsbehörden bekommen zugleich eine große Anzahl neuer Aufgaben zugewiesen und können sehr viel höhere Bußgelder gegen Wirtschaftsunternehmen verhängen als bisher sowie einschneidendere Sanktionen gegen Behörden. Unternehmen sind zu umfangreicher Information der Betroffenen und größerer Transparenz verpflichtet. Auch setzt die Datenschutz-Grundverordnung verstärkt auf die datenschutzrechtliche Selbstregulierung durch die Verantwortlichen und enthält in diesem Zusammenhang detaillierte Regelungen zum technischen und organisatorischen Datenschutz. Daneben gibt es eine Vielzahl weiterer Neuerungen.

Was geschieht mit den nationalen Datenschutzregelungen, z.B. im Bundesdatenschutzgesetz bzw. in den Landesdatenschutzgesetzen?

Da die Datenschutz-Grundverordnung unmittelbar in den einzelnen Mitgliedstaaten gilt, ist entgegenstehendes und auch gleichlautendes nationales Recht grundsätzlich aufzuheben. Nationale Gesetzgebung wird zukünftig grundsätzlich im Bereich des Datenschutzrechts nur dort möglich sein, wo die Datenschutz-Grundverordnung keine Anwendung findet oder sie explizit nationale Regelungen zulässt (sog. Öffnungsklauseln) bzw. den Mitgliedstaaten konkrete Regelungsaufträge erteilt. Die Datenschutz-Grundverordnung enthält – für eine Verordnung untypisch – eine Reihe von Öffnungsklauseln und erteilt eine Vielzahl von Regelungsaufträgen.

Die nationalen Datenschutzregelungen werden daher bis zum 25. Mai 2018 an die Datenschutz-Grundverordnung anzupassen sein. Dazu müssen die Datenschutzgesetze des Bundes und der Länder geändert werden. Eine Vielzahl anderer Gesetze mit Datenschutzbestimmungen muss geprüft werden, ob Änderungen erforderlich sind.

Weitere Informationen

Broschüre "EU-Datenschutz-Grundverordnung" der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Broschüre "FAQ zur Datenschutzgrundverordnung" des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) zur Umsetzung der DSGVO