Skip to main content

Ab 25.05.2018 gilt in allen Mitgliedsstaaten der Europäischen Union die neue europäische Datenschutz-Grundverordnung (DSGVO). Damit kommt es zu einer einschneidenden Veränderung des Datenschutzrechts in der EU.

Nebeneinander von Datenschutz-Grundverordnung und Bundesdatenschutzgesetz

Im Zuge dessen wurde auch das deutsche Bundesdatenschutzgesetz (BDSG) zum 25. Mai 2018 angepasst, welches weiterhin Gültigkeit besitzt und ergänzend zur DSGVO gilt. Viele nationale Datenschutzvorschriften werden allerdings durch das neue europäische Datenschutzgesetz verdrängt, was die Umsetzung des neuen Datenschutzrechts nicht einfacher macht.

Zweck des neuen Datenschutzrechts

Neue Datenschutz-Grundverordnung DSGVO

© Alexander Limbach

Im Ergebnis soll die DSGVO das Datenschutzrecht in der EU vereinheitlichen. Bislang wird dem Datenschutz in vielen Bereichen, in denen mit personenbezogenen Daten umgegangen wird, nicht die dem wichtigen Thema geschuldete Beachtung geschenkt. Dem soll mit der DSGVO Einhalt geboten werden. Zukünftig können bei Verstößen gegen das Datenschutzrecht hohe Bußgelder verhängt werden. Die mögliche Spanne eines Bußgelds kann je nach Verstoß bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes des betroffenen Unternehmens betragen.

NEU: DSGVO – Datenschutzpaket

JETZT unser Datenschutzpaket für gewerbliche Händler buchen – Leistungsumfang:

  • Überprüfung und Anpassung Ihres aktuellen Impressums
  • Hinweise zu Streitschlichtungsplattformen
  • Entfernung unzulässiger Disclaimer
  • Rechtskonformes Kontaktformular
  • Rechtskonforme Newsletter-Anmeldung
  • Muster für ein Verarbeitungsverzeichnis
  • Informationen zum Abschluss von Verträgen zur Auftragsdatenverarbeitung

Schützen Sie sich sofort vor Beanstandungen und Bußgeldern – Für Websites, Onlineshops, Amazon, eBay u.a.

ab* 450,- € einmalig zzgl. MwSt.

Jetzt Angebot einholen »

* Unsere Vergütung ist abhängig vom konkreten Aufwand, den wir erst abschätzen können, wenn wir Ihr Projekt kennen. Unsere Angebote richten sich ausschließlich an Unternehmer.

Räumlicher und sachlicher Anwendungsbereich

Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die in der EU ansässig sind und zwar unabhängig davon, ob die Daten in der EU verarbeitet werden oder nicht. Die DSGVO gilt auch für Unternehmen außerhalb Europas, wenn sie personenbezogene Daten von betroffenen Personen, die sich in der EU befinden, verarbeiten oder eine Niederlassung in der EU haben.

Gemäß Art 2 DSGVO gilt der sachliche Anwendungsbereich für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Auskunftspflichten des Verantwortlichen

Gemäß Art 13 DSGVO müssen der betroffenen Person zum Zeitpunkt der Erhebung personenbezogener Daten von dem Verantwortlichen folgendes mitgeteilt werden:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Alle Webseitenbetreiber und Onlinehändler müssen ihre Datenschutzerklärungen daher zum 25.05.2018 um die vorhergehenden Punkte anpassen, sofern und soweit dies für sie relevant ist.

In Datenschutzerklärungen häufig verwendete Begriffe

Gemäß Art. 4 DSGVO bedeutet der Ausdruck:

  • „personenbezogene Daten“ – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
  • „betroffene Person“ – jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
  • „Verarbeitung“ – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  • „Einschränkung der Verarbeitung“ – die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
  • „Profiling“ – jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  • „Verantwortlicher“ – die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
  • „Empfänger“ – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
  • „Dritter“ – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
  • „Einwilligung“ – der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.