Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 in allen Mitgliedstaaten gilt und den Schutz personenbezogener Daten regelt. Sie wurde eingeführt, um die Privatsphäre der Bürger in der Europäischen Union zu stärken und einen einheitlichen Rechtsrahmen für den Datenschutz zu schaffen. Personenbezogene Daten umfassen Informationen, die eine Person identifizieren können, wie Namen, Adressen, Geburtsdaten, IP-Adressen oder Gesundheitsdaten.
Unternehmen, Behörden und andere Organisationen dürfen personenbezogene Daten nur unter bestimmten Bedingungen erheben und verarbeiten. Das kann der Fall sein, wenn die betroffene Person ihre Einwilligung gegeben hat, die Daten zur Erfüllung eines Vertrags notwendig sind oder rechtliche Pflichten erfüllt werden müssen. Alle erhobenen Daten dürfen gemäß der DSGVO nur für den festgelegten Zweck verwendet und so lange gespeichert werden, wie es erforderlich ist.
Unternehmen, Behörden und andere Organisationen dürfen personenbezogene Daten nur unter bestimmten Bedingungen erheben und verarbeiten. Das kann der Fall sein, wenn die betroffene Person ihre Einwilligung gegeben hat, die Daten zur Erfüllung eines Vertrags notwendig sind oder rechtliche Pflichten erfüllt werden müssen. Alle erhobenen Daten dürfen gemäß der DSGVO nur für den festgelegten Zweck verwendet und so lange gespeichert werden, wie es erforderlich ist.
Unternehmen müssen lt. DSGVO sicherstellen, dass personenbezogene Daten sicher aufbewahrt und verarbeitet werden. Sie sind verpflichtet, Datenpannen innerhalb von 72 Stunden zu melden, wenn personenbezogene Daten betroffen sind. Außerdem müssen sie den Grundsatz der Datensicherheit und Datenminimierung beachten – Daten sollen also nur in dem Umfang erhoben werden, wie es notwendig ist.
Unternehmen, die viele oder besonders sensible Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Dieser überwacht die Einhaltung der DSGVO und dient als Ansprechpartner für Datenschutzfragen.
Die Nichteinhaltung der DSGVO kann hohe Strafen nach sich ziehen. Unternehmen müssen mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes rechnen, wenn sie gegen die Vorschriften verstoßen.
Ein besonderer Aspekt der DSGVO ist die Datenverarbeitung in Drittländern, also außerhalb der EU. Personenbezogene Daten dürfen nur in Länder außerhalb der EU übermittelt werden, wenn diese Länder ein angemessenes Datenschutzniveau bieten. Dies wird durch die EU-Kommission festgelegt. Länder wie die Schweiz und Kanada erfüllen diese Kriterien, während andere, wie die USA, aufgrund der mangelnden Kontrolle über Geheimdienste und unzureichender Betroffenenrechte als problematisch gelten. Im „Schrems II“-Urteil hat der Europäische Gerichtshof das Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt, was die Übertragung von Daten in die USA erschwert. Unternehmen müssen nun alternative rechtliche Grundlagen wie Standardvertragsklauseln nutzen, um Daten in unsichere Drittstaaten zu übertragen.