Im ersten Artikel haben wir geklärt was die Grundverordnung ist und welchem Zweck sie dient. Wir werden uns nun eingehender mit den konkreten Inhalten der DSGVO befassen, einen Überblick über die grundlegenden Anwendungsbereiche geben und uns mit den allgemeinen Grundsätzen der Datenverarbeitung auseinandersetzen. Dazu gehört, was bei der Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten zu beachten ist. Wir wechseln nun auch die Perspektive und versuchen ein besseres Verständnis darüber zu bekommen, welche Maßnahmen wir als Datenerfasser ergreifen müssen, um den Anforderungen der DSGVO zu entsprechen.
Wie bereits gelernt regelt die DSGVO die Verarbeitung personenbezogener Daten in der Europäischen Union. Ziel der Verordnung ist es, den Datenschutz und die Rechte der Betroffenen zu stärken und einheitliche Standards für den Umgang mit personenbezogenen Daten festzulegen. Im Folgenden ein Überblick über die Anwendungsbereiche und die grundlegenden Grundsätze der DSGVO:
Anwendungsbereiche der DSGVO
Artikel 2 und 3
Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe oder Branche. Das bedeutet, dass sowohl große Unternehmen als auch kleine Betriebe, Vereine oder Einzelunternehmer von der DSGVO betroffen sind, wenn sie personenbezogene Daten verarbeiten.
Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, Geburtsdatum, E-Mail-Adresse, Telefonnummer, aber auch Daten wie IP-Adresse, Standortdaten oder Transaktionsdaten.
Grundsätze der Datenverarbeitung
Artikel 5
Die DSGVO stellt eine Reihe von Grundsätzen auf, die bei der Verarbeitung personenbezogener Daten zu beachten sind. Diese Grundsätze bilden das Fundament der DSGVO und müssen von allen Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, eingehalten werden.
Zu den wichtigsten Grundsätzen gehören:
Rechtmäßigkeit, Fairness und Transparenz: Die Verarbeitung personenbezogener Daten muss auf rechtmäßige Weise erfolgen und für die betroffene Person nachvollziehbar sein.
Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
Datensparsamkeit: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
Richtigkeit: Die Daten müssen richtig und gegebenenfalls auf dem aktuellen Stand gehalten werden.
Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für den Zweck erforderlich ist.
Integrität und Vertraulichkeit: Personenbezogene Daten müssen gegen unbefugte Verarbeitung und Verlust angemessen geschützt werden.
Diese Grundsätze sollen sicherstellen, dass personenbezogene Daten fair, sicher und zweckmäßig verarbeitet werden.
Die DSGVO basiert also auf einer Reihe von Grundsätzen, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. Zudem besteht eine Rechenschaftspflicht. Sie bedeutet, dass wir als Verantwortliche nachweisen müssen, dass wir die Grundsätze einhalten.
Die Rechte der betroffenen Personen
Artikel 12 bis 23
Die Rechte der betroffenen Personen, also der Personen, deren personenbezogene Daten verarbeitet werden, werden in der Datenschutzgrundverordnung in den Artikeln 12 bis 23 geregelt.
Artikel 12 regelt beispielsweise das Recht auf transparente Information, also die Pflicht der Verantwortlichen, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
Artikel 15 gibt betroffenen Personen das Recht auf Auskunft über ihre personenbezogenen Daten, die verarbeitet werden (auch Informationsrecht genannt). Konkret bedeutet das, dass betroffene Personen das Recht haben, von dem verantwortlichen Unternehmen oder der Organisation eine Bestätigung darüber zu verlangen, ob personenbezogene Daten von ihnen verarbeitet werden oder nicht. Wenn dies der Fall ist, müssen die betroffenen Personen auch über die Art der verarbeiteten personenbezogenen Daten, den Zweck der Verarbeitung, die Kategorien von Empfängern, an die die Daten möglicherweise weitergegeben wurden oder werden, sowie über die geplante Speicherdauer der Daten informiert werden. Die Möglichkeit für Nutzer, ihre personenbezogenen Daten zum Beispiel über einen Link auf einer Website herunterzuladen, entspricht Artikel 15. Wie wir das in unserem Praxisbeispiel umzusetzen haben, werden wir an entsprechender Stelle klären.
Artikel 16 regelt das Recht auf Berichtigung, also die Möglichkeit, unrichtige personenbezogene Daten korrigieren zu lassen.
Artikel 17 gibt betroffenen Personen das Recht auf Löschung, auch bekannt als “Recht auf Vergessenwerden”.
Artikel 18 regelt das Recht auf Einschränkung der Verarbeitung, das es betroffenen Personen ermöglicht, die Verarbeitung ihrer Daten vorübergehend zu beschränken.
Artikel 20 gibt betroffenen Personen das Recht auf Datenübertragbarkeit, also das Recht, ihre personenbezogenen Daten in einem gängigen Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.
Datenschutzerklärung
Artikel 12, 13, 30 und 32
Eine wichtige Anforderung der DSGVO ist auch die Notwendigkeit einer Datenschutzerklärung. Eine Datenschutzerklärung ist eine Erklärung, die angibt wie personenbezogene Daten verarbeitet werden. Die Pflicht zur Bereitstellung von Datenschutzerklärungen oder Datenschutzhinweisen ergibt sich aus den Rechten der betroffenen Personen gemäß den Artikeln 12, 13 und 14. Es ist wichtig, dass die Datenschutzerklärung transparent, präzise und leicht verständlich ist. Die Datenschutzerklärung muss unter anderem Informationen über den Verantwortlichen, den Zweck und die Rechtsgrundlage der Verarbeitung sowie die Rechte der betroffenen Person enthalten.
Ausnahmen und Besonderheiten
Art. 2 Abs. 2, Art. 6 Abs.1, Art. 9 Abs. 2, Art. 23, Art. 85, Art. 87
Es gibt auch einige Ausnahmen und Besonderheiten bei der Anwendung der DSGVO. Zum Beispiel gibt es Unterschiede zwischen der Verarbeitung von personenbezogenen Daten für private und für öffentliche Zwecke. Außerdem gibt es Besonderheiten bei der Verarbeitung von sensiblen personenbezogenen Daten wie Gesundheitsdaten oder religiösen Überzeugungen. Es ist wichtig, diese Ausnahmen und Besonderheiten zu berücksichtigen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten rechtmäßig und im Einklang mit der DSGVO erfolgt.
Damit sind die wichtigsten Anwendungsbereiche genannt und die Grundsätze der DSGVO zusammengefasst. In unserem nächsten Artikel werden wir uns eingehender mit den Verantwortlichkeiten und Pflichten speziell von Websitebetreibern befassen.
