Die DSGVO steht für Datenschutz-Grundverordnung und ist seit dem 25.mai 2018 europaweit gültig. Die DSGVO ist eine Verordnung der europäischen Union! Eine Verordnung wiederum ist ein Rechtsakt der Europäischen Union und gilt unmittelbar in allen Mitgliedsstaaten der EU.
Auf diese Weise schafft die EU einen einheitlichen Rechtsrahmen, der letztlich den freien Wirtschaftsraum in ganz Europa ermöglicht. Eine solche Verordnung bedarf nicht der Zustimmung des nationalen Gesetzgebers und ist für alle EU-Bürgerinnen und -Bürger uneingeschränkt und universell gültig. Damit wurden die bis dato geltenden nationalen Datenschutzgesetze der einzelnen Mitgliedstaaten abgelöst.
Mit der DSGVO regelt die EU die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen europaweit einheitlich. Das heißt dort ist geregelt, was erlaubt ist und was nicht. Zusammenfassend wird damit die Beziehung zwischen der datenverarbeitenden Organisation und der betroffenen Person geregelt.
Ziel der DSGVO ist es, EU-Bürger vor Schäden und Verletzungen ihrer Rechte zu schützen. Vereinfacht ausgedrückt, werden Menschen durch die DSGVO davor geschützt, dass mit ihren Daten etwas geschieht, was nicht im Interesse der betroffenen Person liegt.
Zum Beispiel können unterschiedliche Dienste durch die Zusammenführung von Internet-Spuren die Identität einer Person auswendig machen. Die Auswertung der digitalen Identität macht Personen transparent, vorhersehbar und manipulierbar. Außerdem soll die DSGVO betroffene Menschen vor Diskriminierung, finanzieller Verlust und Rufschädigungen schützen.
Die DSGVO unterscheidet zwischen sachlicher und räumlicher Anwendungsbereich. Denn auch hier müssen wir klare Grenzen ziehen, um Verwirrung und Unsicherheiten zu vermeiden. Betrachten wir zunächst den sachlichen Anwendungsbereich:
Die Im sogenannten sachlichen Anwendungsbereich werden grundsätzlich sowohl automatisierte als auch nichtautomatisierte Verarbeitung personenbezogener Daten betrachtet. Werden Daten digital erfasst, zum Beispiel durch einen Computer, so tritt die DSGVO in Kraft. Liegen uns Daten in organisierter Form im Archiv vor, so gilt ebenfalls die DSGVO. Da heutzutage nahezu jedes Unternehmen mit Computern und Dateien arbeitet, wird es fast keine Firma in der EU geben, die die neue Richtlinie nicht anwenden muss.
Dann gibt es noch den räumlichen Anwendungsbereich: Unternehmen mit Sitz in der EU müssen die DSGVO einhalten, unabhängig davon, ob die Verarbeitung in der Union erfolgt. Wenn ein Unternehmen beispielsweise ein Call-Center aus Indien einsetzt, gilt weiterhin die DSGVO. Dies liegt daran, dass er das Call-Center die Daten von EU-Bürgern im Namen des Unternehmens verarbeitet.
Die DSGVO gilt auch, wenn ein Unternehmen mit Sitz in einem Drittland personenbezogene Daten von EU-Bürgern verarbeitet. Wenn ein Unternehmen beispielsweise in den USA ein neues Tochter-Unternehmen gründet, das auf den Versand von Newslettern spezialisiert ist, und von dort aus die Personendaten von EU-Bürgern verarbeitet, so muss auch das Tochter-Unternehmen die DSGVO beachten.
Bleibt zu klären wann die DSGVO nicht gilt? Sie gilt nicht, wenn die Verarbeitung für persönliche und familiäre Zwecke erfolgt. Ein Beispiel könnten die Kontaktdaten von Freunden in unseren Smartphones oder Fotos vom letzten Familientreffen sein.
Die verschärften Strafen bei Nichteinhaltung der Datenschutzvorgaben haben diesem Thema in der Öffentlichkeit besondere Aufmerksamkeit geschenkt. So hat der europäische Gesetzgeber die Datenschutzaufsichtsbehörden ermächtigt, bei Verstößen gegen die DSGVO Geldstrafen von bis zu 20 Millionen oder alternativ Geldstrafen von bis zu 4% des weltweiten Jahresumsatzes zu verhängen. Neu ist auch der erhöhte Dokumentationsaufwand und die erhöhten Auskunfts- und Informationspflichten.