Die DSGVO ist eine europäische Verordnung, die am 27. April 2016 verabschiedet wurde und am 25. Mai 2018 in Kraft getreten ist. Sie wird durch Auslegungsleitlinien und Entscheidungen des Gerichtshofs der Europäischen Union präzisiert.
Es verfolgt drei Hauptziele: Stärkung der Rechte der Menschen in Bezug auf ihre personenbezogenen Daten, Stärkung der Verantwortung der für die Verarbeitung Verantwortlichen und ihrer Auftragsverarbeiter sowie Harmonisierung der Vorschriften zur Förderung eines digitalen Binnenmarktes für Daten.
Die DSGVO gilt für die Verarbeitung personenbezogener Daten, d. h. für alle Vorgänge im Zusammenhang mit Informationen über eine identifizierte oder identifizierbare natürliche Person.
Sie gilt für in der Europäischen Union ansässige Akteure, unabhängig vom Ort der Verarbeitung, sowie für nicht in der EU ansässige Akteure, wenn sie Personen im Hoheitsgebiet der Europäischen Union ansprechen.
| WIE MAN DIE VORSCHRIFTEN EINHÄLT | |
|---|---|
| Rechtmäßigkeit, Fairness, Transparenz | Jede Verarbeitung muss durch eine klare Rechtsgrundlage gerechtfertigt sein (z. B. Einwilligung, Vertrag, gesetzliche Verpflichtung, berechtigtes Interesse). Die betroffenen Personen müssen klar, vollständig und verständlich informiert werden. |
| Verstärkte Verantwortlichkeit der Akteure | Die für die Verarbeitung Verantwortlichen und ihre Auftragsverarbeiter müssen einen proaktiven Ansatz zur Einhaltung der Vorschriften («Accountability») verfolgen, z. B.: ein Verarbeitungsregister führen, in Risikofällen Datenschutz-Folgenabschätzungen (DSFA) durchführen, in bestimmten Fällen einen Datenschutzbeauftragten benennen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten umsetzen. |
| Verstärkte Rechte für Personen | Recht auf Zugang, Berichtigung, Löschung, Widerspruch, Übertragbarkeit, Einschränkung der Verarbeitung und Recht, keiner automatisierten Entscheidung unterworfen zu werden. |
| Datenschutzbehörde (APD) | In Frankreich ist dies die Commission nationale de l’informatique et des libertés (CNIL, Nationale Kommission für Informatik und Freiheiten). Sie hat die Aufgabe, die Einhaltung der Vorschriften zu kontrollieren, zu informieren, zu sensibilisieren, Organisationen bei der Einhaltung der Vorschriften zu unterstützen, Beschwerden entgegenzunehmen und zu bearbeiten, Verstöße gegen die DSGVO zu ahnden und an der europäischen Zusammenarbeit mitzuwirken. |
| Meldung von Verstößen | Verpflichtung, die CNIL innerhalb von 72 Stunden im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen und die betroffenen Personen zu informieren, wenn ein hohes Risiko besteht. |
Die DSGVO stellte einen wichtigen Wendepunkt für den Datenschutz dar, indem sie den Grundsatz der Rechenschaftspflicht einführte. Von nun an muss jede Verarbeitung gerechtfertigt, dokumentiert und kontrolliert werden. Diese strenge Anforderung hat die Verordnung zu einem internationalen Referenzstandard gemacht.
Der Vorschlag von “Digital Omnibus”-Verordnung” könnte zu Anpassungen der DSGVO führen, insbesondere durch die Klarstellung bestimmter Definitionen, die Verringerung der Verpflichtungen für kleine Akteure und die Erleichterung der Nutzung von Daten für künstliche Intelligenz und wissenschaftliche Forschung. Es handelt sich jedoch nur um mögliche Ansätze, die noch von den EU-Institutionen formell verabschiedet werden müssen.