Einführung zur Datenschutzgrundverordnung (DSGVO)

Moritz Lampkemeyer 21. August 2017 0
Einführung zur Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (kurz DSGVO) in Kraft. Sie wird dann geltendes Recht in allen EU-Mitgliedsstaaten und vereinheitlicht somit das europäische Datenschutzrecht. Bisher orientierten sich die Mitgliedsstaaten lediglich an EU-Datenschutzrichtlinien, was zu deutlichen Unterschieden zwischen den Gesetzen einzelner Länder führte. Als Verordnung ist die DSGVO jedoch für alle Mitglieder der EU bindend. Lediglich die im Gesetz enthaltenen "Öffnungsklauseln" ermöglichen es den Ländern, bestimmte Bereiche selbst zu regulieren.

Die DSGVO soll "die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten" (Art. 1 Abs. 2 DSGVO) schützen sowie den freien Verkehr personenbezogener Daten ermöglichen (vgl. Art. 1 Abs. 3 DSGVO). Diese Ziele sollen durch sechs Grundsätze erreicht werden, welche in Artikel 5 der Datenschutzgrundverordnung verankert sind.

Grundsätze der Datenschutzgrundverordnung

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten dürfen nur nach den Vorgaben des Gesetztes verarbeitet werden. Die Verarbeitung der personenbezogenen Daten muss für die Person, dessen Daten verarbeitet werden, nachvollziehbar sein. Der Betroffene wird über die Verarbeitung seiner Daten informiert.

2. Zweckbindung

Die personenbezogenen Daten dürfen nur für den bei der Erhebung vereinbarten Zweck verwendet werden. Lediglich eine "Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken" (Art. 5 Abs. 1b DSGVO).

3. Datenminimierung

Nur für den Zweck der Erhebung relevante personenbezogene Daten dürfen erhoben werden, getreu dem Motto so viel wie nötig, doch so wenig wie möglich.

4. Richtigkeit

Die personenbezogenen Daten müssen im Hinblick auf den Zweck der Verarbeitung korrekt sein. Sofern dies nicht als gegeben vorausgesetzt werden kann, müssen sofort entsprechende Maßnahmen zur Löschung oder Berichtigung der Daten greifen.

5. Speicherbegrenzung

Die Identifizierung der betroffenen Person darf nur so lange möglich sein, wie es für den Zweck der Erhebung notwendig ist. Ausnahmen sind nur nach Artikel 89 der DSGVO möglich (Art. 89: "Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken").

6. Integrität und Vertraulichkeit

Die Daten müssen jederzeit vor fremden Zugriff, unbefugter oder unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen geschützt werden.

datenschutzgrundverordnung grundsaetze compressed

Für wen gilt die DSGVO?

Sachlicher Anwendungsbereich

"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen." - Art. 2 Abs. 1 DSGVO

Die DSGVO gilt also laut Artikel 2 für dich, sofern du bei der Verarbeitung von personenbezogenen Daten ein System verwendest, welches die Daten vollständig oder zumindest teilweise automatisiert verarbeitet. Ein Beispiel dafür wäre eine Newsletter, für den sich Nutzer auf deiner Webseite anmelden können und natürlich jede Form von Onlineshop.

Außerdem gilt die DSGVO auch für dich, sofern du ein nichtautomatisiertes System benutzt, bei dem die Kundendaten jedoch dauerhaft gespeichert werden. Legst du beispielsweise manuell einen neuen Kunden in einer CRM Software oder in FastBill an, ist das der Fall.

Wo gilt die DSGVO?

Räumlicher Anwendungsbereich

"Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet." - Art. 3, Abs. 1 DSGVO

Die DSGVO gilt also für dich, sofern dein Business eine Niederlassung innerhalb der EU hat.

In Absatz 2 geht es jedoch noch weiter. Dort wird festgelegt, dass die DSGVO auch für Firmen ohne Vertretung in der EU gilt, wenn sich die von der Datenverarbeitung betroffenen Personen zum Zeitpunkt der Verarbeitung innerhalb der EU aufhalten und die

"Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt." - Art. 3, Abs. 2 DSGVO

Außerdem gibt es in Absatz 3 noch einen weiteren Anwendungsbereich. Dieser bezieht sich auf diplomatische und konsularische Vertretungen von EU-Mitgliedsstaaten in anderen Ländern. Auch für die Verarbeitung von Daten der hier anwesenden Personen muss die DSGVO berücksichtigt werden.

Banking und Buchhaltung endlich vereint

FastBill jetzt 30 Tage kostenlos testen!

Begriffsdefinitionen der DSGVO

Einige Begriffe bedürfen einer genaueren Definition, um Unklarheiten zu vermeiden. Nachfolgend findest du die Definitionen der wichtigsten Begriffe.

Personenbezogene Daten

Der Begriff wird in Artikel 4 Nr. 1 der DSGVO sehr weit gefasst. Unter die personenbezogenen Daten fallen beispielsweise Name, Adresse, Telefonnummer, E-Mail Adresse und auch die IP-Adresse einer Person.

Als genereller Grundsatz lässt sich festhalten, dass jede Information, welche einer Person zugeordnet werden kann und die somit eine Identifizierung der betroffenen Person zulässt, als personenbezogene Daten bewertet werden sollten.

Verarbeitung

Laut Artikel 4 Nr. 2 der DSGVO gilt im Prinzip jeder Schritt, in dem die eben erwähnten personenbezogenen Daten eingegeben, verändert, bewegt, gelöscht oder vernichtet werden als Verarbeitung.

Dateisystem

Als Dateisystem wird in Artikel 4 Nr. 6 jede Art von strukturierter Informationssammlung beschrieben. 

Automatisierte und nichtautomatisierte Verarbeitung

Die automatisierte Verarbeitung bezieht sich auf alle Arten von Fotogeräten, wie Kameras, Smartphones und Scanner sowie auf Computer, E-Mail und das Internet. Nutzt du diese Möglichkeiten der automatisierten Verarbeitung von personenbezogenen Daten, musst du zukünftig die DSGVO für dein Business anwenden.

Die nichtautomatisierte Verarbeitung umfasst handschriftliche Aufzeichnungen, wie Akten. Sofern diese zukünftig in ein Dateisystem aufgenommen werden sollen, musst du auch hier die DSGVO anwenden.

Änderungen für dein Business

Im nächsten Beitrag zur DSGVO gehen wir darauf ein, inwiefern die DSGVO dein Business beeinflusst. Dafür beleuchten wir die Vor- und Nachteile und gehen darauf ein, welchen Pflichten du als Unternehmer nachkommen musst.

Folge uns auf Facebook oder Twitter, um keinen Beitrag zu verpassen!

Buchhaltung automatisieren und Zeit sparen

Lerne in 4 einfachen Schritten, wie deine Finanzen automatisierst und nie mehr Kopfschmerzen wegen der Buchhaltung haben musst.

Noch keine Kommentare, sei jetzt der erste! ;)

Was denkst du?

Buchhaltung automatisieren
und Zeit sparen

Lerne in 4 einfachen Schritten, wie deine Finanzen automatisierst und nie mehr Kopfschmerzen wegen der Buchhaltung haben musst.

Überzeuge dich selbst

Automatischer Beleg-AssistentBankingBusiness Apps synchronisierenBelege erfassenRechnungen schreiben

Kostenlose Tools

Mehrwertsteuer RechnerKostenlose RechnungsvorlageFinanz-Lexikon

Beliebte Beiträge

So funktioniert die EÜRNebenberuflich Selbständig machenSo kommst du zum Gewerbeschein
Mehr als 40.000 Kunden nutzen schon FastBill
Jetzt 30 Tage kostenlos testen!