DSGVO-Anforderungen: Vollständiger Überblick

Die DSGVO im Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist die zentrale europäische Datenschutzverordnung (EU-Verordnung 2016/679). Sie gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und regelt den Schutz personenbezogener Daten natürlicher Personen. Mit 99 Artikeln und 173 Erwägungsgründen ist sie das umfassendste Datenschutzgesetz weltweit.

Die 7 Grundsätze der Datenverarbeitung (Art. 5)

Jede Verarbeitung personenbezogener Daten muss den sieben Grundsätzen des Artikels 5 entsprechen. Diese Grundsätze bilden das Fundament der DSGVO und sind bei jeder Compliance-Bewertung der Ausgangspunkt.

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz — Daten dürfen nur auf einer Rechtsgrundlage und transparent verarbeitet werden.
• Zweckbindung — Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
• Datenminimierung — Nur die für den Zweck erforderlichen Daten dürfen erhoben werden.
• Richtigkeit — Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
• Speicherbegrenzung — Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
• Integrität und Vertraulichkeit — Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten.
• Rechenschaftspflicht — Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.

Die 6 Rechtsgrundlagen (Art. 6)

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Artikel 6 DSGVO. Ohne gültige Rechtsgrundlage ist die Verarbeitung rechtswidrig.

• Einwilligung (Art. 6 Abs. 1 lit. a) — Freiwillige, informierte, unmissverständliche Zustimmung der betroffenen Person.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b) — Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Verarbeitung zur Erfüllung einer gesetzlichen Pflicht.
• Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) — Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person.
• Öffentliches Interesse (Art. 6 Abs. 1 lit. e) — Wahrnehmung einer Aufgabe im öffentlichen Interesse.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Wahrung berechtigter Interessen, sofern nicht die Interessen der betroffenen Person überwiegen.

Kapitelstruktur der DSGVO

Die DSGVO ist in elf Kapitel gegliedert, die den gesamten Regelungsrahmen abdecken:

• Kapitel I (Art. 1–4) — Allgemeine Bestimmungen, Anwendungsbereich und Begriffsbestimmungen.
• Kapitel II (Art. 5–11) — Grundsätze der Verarbeitung und Rechtsgrundlagen.
• Kapitel III (Art. 12–23) — Rechte der betroffenen Personen.
• Kapitel IV (Art. 24–43) — Pflichten des Verantwortlichen und Auftragsverarbeiters.
• Kapitel V (Art. 44–49) — Übermittlung in Drittländer und internationale Organisationen.
• Kapitel VI (Art. 51–59) — Unabhängige Aufsichtsbehörden.
• Kapitel VII (Art. 60–76) — Zusammenarbeit und Kohärenz.
• Kapitel VIII (Art. 77–84) — Rechtsbehelfe, Haftung und Sanktionen.
• Kapitel IX (Art. 85–91) — Vorschriften für besondere Verarbeitungssituationen.
• Kapitel X (Art. 92–93) — Delegierte Rechtsakte und Durchführungsrechtsakte.
• Kapitel XI (Art. 94–99) — Schlussbestimmungen.

Kernbereiche der DSGVO

Die DSGVO gliedert sich in mehrere Kernbereiche, die jedes Unternehmen umsetzen muss:

Betroffenenrechte (Art. 15–22)

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierten Entscheidungen. Unternehmen müssen Prozesse einrichten, um diese Rechte fristgerecht zu erfüllen.

Alle Betroffenenrechte im Detail

Verarbeitungsverzeichnis (Art. 30)

Jeder Verantwortliche und Auftragsverarbeiter muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Es dokumentiert Zweck, Rechtsgrundlage, Datenkategorien, Empfänger und Löschfristen.

Verarbeitungsverzeichnis erstellen

Technische und organisatorische Maßnahmen (Art. 32)

Angemessene TOMs zum Schutz personenbezogener Daten: Verschlüsselung, Pseudonymisierung, Zugangskontrollen, Backup und regelmäßige Überprüfung.

TOMs im Detail

Auftragsverarbeitung (Art. 28)

Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Dieser regelt Zweck, Umfang, Weisungsbindung und technische Maßnahmen.

Auftragsverarbeitung im Detail

Datenschutzbeauftragter (Art. 37–39)

Unter bestimmten Voraussetzungen ist die Benennung eines Datenschutzbeauftragten Pflicht. In Deutschland gilt: ab 20 Personen, die regelmäßig mit automatisierter Verarbeitung beschäftigt sind.

DSB-Pflicht prüfen

Weitere Kernbereiche

• Datenschutz-Folgenabschätzung (DSFA, Art. 35)
• Meldepflicht bei Datenpannen (Art. 33–34)
• Bußgelder und Strafen (Art. 83–84)
• Internationaler Datentransfer (Art. 44–49)

Pflichten für Unternehmen

Unternehmen, die personenbezogene Daten verarbeiten, müssen zahlreiche Pflichten erfüllen. Die wichtigsten Handlungsfelder umfassen:

• Informationspflichten — Betroffene müssen bei der Datenerhebung umfassend informiert werden (Art. 13–14).
• Datenschutz durch Technikgestaltung — Privacy by Design und Privacy by Default (Art. 25).
• Meldepflicht — Datenpannen müssen innerhalb von 72 Stunden gemeldet werden (Art. 33).
• Datenschutz-Folgenabschätzung — Pflicht bei hohem Risiko für Betroffene (Art. 35).
• Dokumentation — Umfassende Nachweispflichten gemäß dem Accountability-Grundsatz.

DSGVO und BDSG im Zusammenspiel

In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Das BDSG enthält nationale Konkretisierungen, etwa zur Beschäftigtendatenverarbeitung (§ 26 BDSG), zur Videoüberwachung (§ 4 BDSG) und zur Bestellpflicht eines Datenschutzbeauftragten (§ 38 BDSG). Unternehmen in Deutschland müssen daher immer beide Regelwerke berücksichtigen.