GDPR – General Data Protection Regulation

Definition von GDPR – General Data Protection Regulation Daniel Schweitzer
26. Februar 2018 |  1227  0
Daniel Schweitzer

GDPR, EU-DSGVO oder EU Datenschutz-Grundverordnung ist die Allgemeine Datenschutzverordnung (engl.: General Data Protection Regulation), welche festlegt, wie personenbezogene Daten von EU-Bürgern gesammelt und verarbeitet werden dürfen. Die Richtlinie tritt ab dem 25. Mai 2018 in Kraft und ist für alle Unternehmen und Institutionen bindend, die mit Daten von EU-Bürgern arbeiten. Die Regelung ist nicht ausschließlich für innerhalb der EU ansässige Unternehmen/ Institutionen geltend, sie gilt vielmehr international, sobald Daten von EU-Bürgern erhoben werden.

Ziel der Verordnung ist es, den Schutz personenbezogener Daten zu garantieren und einen einheitlichen und freien Datenverkehr innerhalb der EU zu gewährleisten.

Die EU-DSGVO folgt dabei den Grundsätzen für die Verarbeitung personenbezogener Daten, welche im Artikel 5 DSGVO festgeschrieben sind.

Die 7 allgemeinen Grundsätze zur Verarbeitung personenbezogener Daten nach EU-DSGVO (GDPR)

  1. Treue und Glauben, Rechtmäßigkeit, Transparenz

Personenbezogene Daten werden in Art und Umfang nur so verarbeitet, wie es bei der ursprünglichen Erhebung kommuniziert wurde. Derjenige, der die Daten erhebt, muss hierbei vollständig transparent agieren und seine Identität offenlegen. Der Dateneigner hat jederzeit das Recht auf Offenlegung seiner Daten.

  1. Zweckbindung

Der Zweck der Datenverarbeitung muss vor Verarbeitung der Daten festgelegt werden und eindeutig und rechtmäßig sein. Die Verwendung zu einem anderen Zweck als dem vorab definierten, ist nur auf Basis eines Rechtfertigungsgrundes zulässig. Eine Weitergabe der Daten bedarf entweder der expliziten Zustimmung des Inhabers oder eines Rechtfertigungsgrundes seitens des Datenerhebers.

  1. Datenminimierung

Mit der Erhebung der Daten muss „sparsam umgegangen“ werden. Dies bedeutet, dass ausschließlich Daten erhoben werden dürfen, welche dem Zweck angemessen, erheblich und relevant sind.

  1. Richtigkeit

Die Daten müssen korrekt sein, bevor sie verwendet werden dürfen. Der Datenerheber muss darüber hinaus sicherstellen, dass die Daten vollständig sind. Fehlerhafte Daten müssen entweder korrigiert oder gelöscht werden.

  1. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie es der Zweck verlangt. Ist das Ziel einer Datenerhebung erreicht, müssen die Daten unmittelbar gelöscht werden.

  1. Integrität und Vertraulichkeit

Alle gespeicherten Daten müssen vertraulich behandelt und vor unrechtmäßiger Verarbeitung von unbefugter Personen/ Parteien geschützt werden. Für Unternehmen und Institutionen stellt dies einen elementaren Punkt dar, da hierfür sowohl technische als auch organisatorische Maßnahmen ergriffen werden müssen.

  1. Rechenschaftspflicht

Der Datenerheber muss der Öffentlichkeit und den zuständigen Behörden nachweisen können, dass er alle Vorschriften zur Datenerhebung vollständig eingehalten hat.

Die Einwilligung zur Datenverarbeitung

Neben den sieben allgemeinen Grundsätzen zur Verarbeitung personenbezogener Daten gelten weitere Grundsätze, die insbesondere die Einwilligung zur Datenverarbeitung und „Sonderfälle“ regeln.

Die Einwilligung zur Datenverarbeitung ist hierbei ein zentrales Element der neuen EU-DSGVO (GDPR). Hier gilt das Verbotsprinzip: Ohne vorherige Einwilligung oder Erlaubnis des Datenbesitzers ist eine Speicherung und Verarbeitung nicht zulässig.

Strafe bei Nichteinhaltung

Eine Nichteinhaltung der neuen EU-DSGVO kann Strafen bis zu 4% des Jahresumsatzes (maximal 20. Mio. Euro) nach sich ziehen. Hierzu sind in jedem EU-Mitgliedsstaat entsprechende Behörden eingerichtet, welche neben der Aufklärung und Sensibilisierung insbesondere mit der Überwachung und Durchsetzung der Richtlinie beauftragt sind.