Entstehung und Ziele der DSGVO
Jeden Tag generieren wir Daten – beim Online-Shopping, beim Surfen, beim Nutzen von Apps. Wer verarbeitet diese Daten? Wofür? Und was passiert damit? Lange Zeit gab es in Europa keine einheitliche Antwort auf diese Fragen. Die Datenschutz-Grundverordnung (DSGVO) hat das geändert: Sie ist seit Mai 2018 das zentrale Datenschutzrecht der gesamten Europäischen Union – verbindlich, einheitlich und mit erheblichen Konsequenzen bei Verstößen.
1) Warum brauchte Europa die DSGVO?
Vor der DSGVO gab es in der EU 28 verschiedene nationale Datenschutzgesetze – alle unterschiedlich streng, unterschiedlich ausgelegt. Für Unternehmen, die in mehreren EU-Ländern tätig waren, bedeutete das: 28 Rechtslagen, 28 Aufsichtsbehörden, 28 Sätze an Anforderungen. Gleichzeitig wuchs mit dem Internet die Menge verarbeiteter personenbezogener Daten exponentiell. Facebook, Google und andere US-Konzerne sammelten Daten europäischer Nutzer nach amerikanischen Regeln – weit weniger streng als in Deutschland.
Die DSGVO wurde als direkt anwendbare EU-Verordnung (nicht nur als Richtlinie) entworfen, um diesen Flickenteppich zu beenden: ein Gesetz für alle 27 EU-Staaten, mit einheitlichen Pflichten und einheitlichen Sanktionen.
2) Die wichtigsten Meilensteine
3) Die drei Hauptziele der DSGVO
Die DSGVO verfolgt drei gleichrangige Ziele, die sich manchmal gegenseitig in Spannung befinden – und genau diese Spannung auszutarieren ist die Aufgabe des Datenschutzrechts.
| Ziel | Was es bedeutet | Beispiel in der IT |
|---|---|---|
| Schutz der Grundrechte | Recht auf Privatsphäre (Art. 7 und 8 EU-Grundrechtecharta) als Grundrecht schützen | Nutzer muss Kontrolle über seine Daten haben – Auskunft, Löschung, Berichtigung |
| Freier Datenverkehr | Daten sollen innerhalb der EU ohne Hindernisse fließen können – einheitliches Recht schafft Rechtsklarheit | Einheitliche Compliance für alle EU-Märkte – ein Vertrag statt 27 |
| Vertrauen in die digitale Wirtschaft | Nutzer sollen digitalen Diensten vertrauen – weil sie wissen, dass ihre Daten geschützt sind | Transparente Datenschutzerklärungen, Einwilligungsmechanismen |
4) Was ist ein „personenbezogenes Datum"?
Die DSGVO schützt personenbezogene Daten – das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition ist bewusst weit gefasst. Name, E-Mail, IP-Adresse, Standortdaten, Cookies, biometrische Daten, Gesundheitsdaten – all das kann ein personenbezogenes Datum sein. Entscheidend ist nicht, ob die Information harmlos klingt, sondern ob man damit eine Person identifizieren kann – direkt oder durch Kombination mit anderen Daten.
Besonders geschützte Kategorien (Art. 9 DSGVO) sind Gesundheitsdaten, genetische Daten, biometrische Daten zur eindeutigen Identifikation, religiöse oder weltanschauliche Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit und sexuelle Orientierung. Diese dürfen grundsätzlich nicht verarbeitet werden – mit eng gefassten Ausnahmen.
Zusammenfassung
Die DSGVO trat 2016 in Kraft und wurde 2018 verbindlich. Sie ersetzt den Datenschutz-Flickenteppich aus 28 nationalen Gesetzen durch eine einheitliche EU-Verordnung. Ziele sind der Schutz von Grundrechten, freier Datenverkehr im Binnenmarkt und Vertrauen in die Digitalwirtschaft. Das Marktortprinzip gilt auch für Nicht-EU-Unternehmen. Personenbezogene Daten sind alle Informationen, mit denen eine Person identifiziert werden kann. Die inhaltlichen Grundregeln stehen in Grundprinzipien der DSGVO (Art. 5).