GDPR Datenschutz-Grundverordnung.

Die GDPR regelt personenbezogene Daten in der EU und überall dort, wo EU-Bürgerinnen und -Bürger als Nutzer adressiert werden. Rechtsgrundlage, Betroffenenrechte, Rechenschaftspflicht, Meldung von Datenschutzverletzungen, Aufsichtsdurchsetzung. Die Höchstbußgelder (20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes) sorgen für Schlagzeilen; der Großteil der Durchsetzungsmaßnahmen erfolgt jedoch über den Aufsichtsdialog, nicht über das Maximum.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Die Einschätzung der Cyber Academy

Die GDPR regelt personenbezogene Daten in der EU und überall dort, wo EU-Bürgerinnen und -Bürger als Nutzer adressiert werden. Rechtsgrundlage, Betroffenenrechte, Rechenschaftspflicht, Meldung von Datenschutzverletzungen, Aufsichtsdurchsetzung. Die Höchstbußgelder (20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes) sorgen für Schlagzeilen; der Großteil der Durchsetzungsmaßnahmen erfolgt jedoch über den Aufsichtsdialog, nicht über das Maximum.

Eine Verordnung über Rechenschaftspflicht, nicht nur über Einwilligung

Die DSGVO wird in Gesprächen oft auf Cookie-Banner und Einwilligungs-Pop-ups reduziert, doch dieses Bild verfehlt, wo ihr eigentliches Gewicht liegt. Die Einwilligung ist nur eine von mehreren Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, und für die meisten geschäftlichen Abläufe ist sie nicht einmal diejenige, auf die sich Organisationen stützen. Vertragserfüllung, rechtliche Verpflichtung und berechtigte Interessen tragen in der Praxis weitaus mehr Verarbeitungen.

Die tiefere Verschiebung, die die DSGVO eingeführt hat, ist die Rechenschaftspflicht (accountability): Es genügt nicht, konform zu sein, man muss die Konformität auch nachweisen können. Dieses eine Prinzip ist es, das den Datenschutz von einer Rechtsauffassung in eine operative Disziplin verwandelt, mit Verzeichnissen, Bewertungen und Nachweisen hinter jeder Aussage.

Weil es sich um eine Verordnung und nicht um eine Richtlinie handelt, gilt die DSGVO unmittelbar in der gesamten EU und im weiteren EWR, ohne dass jedes Land sie in nationales Recht umschreiben muss, weshalb ihre Kernpflichten in Frankreich, Deutschland und Irland gleich aussehen. Ihre Reichweite erstreckt sich auch über Europa hinaus. Eine außerhalb der EU niedergelassene Organisation fällt dennoch in ihren Anwendungsbereich, wenn sie Personen in der Union Waren oder Dienstleistungen anbietet oder deren Verhalten dort beobachtet. Diese territoriale Reichweite ist der Grund, warum ein Unternehmen ohne europäische Niederlassung dennoch einer europäischen Aufsichtsbehörde gegenüber Rede und Antwort stehen kann.

Rechtsgrundlage, Betroffenenrechte und die daraus folgenden Pflichten

Jede Verarbeitung personenbezogener Daten benötigt eine vor Beginn der Verarbeitung gewählte Rechtsgrundlage, und die gewählte Grundlage prägt die Rechte, die Personen ausüben können. Betroffene können verlangen, auf ihre Daten zuzugreifen, sie berichtigen oder löschen zu lassen, die Verarbeitung einzuschränken oder ihr zu widersprechen und sie in bestimmten Fällen in einem übertragbaren Format zu erhalten. Keines dieser Rechte ist absolut; jedes ist an Bedingungen und Ausnahmen geknüpft.

Um die Rechte herum stehen die Pflichten des Verantwortlichen und des Auftragsverarbeiters: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, das Absichern der Daten durch geeignete technische und organisatorische Maßnahmen sowie das Abschließen schriftlicher Verträge, wann immer ein Auftragsverarbeiter Daten im Auftrag eines Verantwortlichen verarbeitet.

Zwei Pflichten verdienen es, hervorgehoben zu werden, weil sie die tägliche Arbeit antreiben. Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat, führt der Verantwortliche vor dem Fortfahren eine Datenschutz-Folgenabschätzung durch und dokumentiert das Risiko sowie die Art seiner Minderung. Und wenn eine Verletzung des Schutzes personenbezogener Daten eintritt, trifft den Verantwortlichen eine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb einer kurzen, festgelegten Frist, wobei auch die betroffenen Personen informiert werden, wenn das Risiko für sie hoch ist. Das sind keine Papierkram-Rituale. Es sind die Punkte, an denen das Prinzip der Rechenschaftspflicht zu einer konkreten, fristgebundenen Verpflichtung wird.

Wo die DSGVO zwischen benachbarten Konzepten steht

Es hilft, die DSGVO von den Rollen und Werkzeugen zu trennen, die sie umkreisen. Ein DPO ist eine Person oder Funktion, die einige Organisationen benennen müssen, um die Konformität zu überwachen; eine DPIA ist der Bewertungsprozess für risikoreiche Verarbeitungen; ein ROPA ist das Verzeichnis der Verarbeitungstätigkeiten; Standardvertragsklauseln sind einer der Mechanismen, um Daten rechtmäßig aus der EU zu übermitteln. Die DSGVO ist die Verordnung, die jedes dieser Elemente vorschreibt oder ermöglicht. Nationale Aufsichtsbehörden wie die CNIL in Frankreich setzen sie durch und geben Leitlinien heraus, und der Europäische Datenschutzausschuss koordiniert sie, damit grenzüberschreitend eine einheitliche Auslegung gilt.

Wie die shortDefinition anmerkt, beherrschen die Schlagzeilenwerte von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes die Presseberichterstattung, doch der größte Teil der Durchsetzung verläuft über den aufsichtsbehördlichen Dialog statt über Höchstbußgelder. Behörden ermitteln, stellen Fragen, verlangen Abhilfe und lösen Angelegenheiten oft durch Korrekturmaßnahmen weit unterhalb der Obergrenze.

Für Praktiker lautet die praktische Lehre, dass nachweisbarer guter Glaube und eine durch Belege gestützte Konformitätshaltung verändern, wie dieser Dialog verläuft. Die Organisationen, die am schlechtesten abschneiden, sind in der Regel diejenigen, die nicht zeigen können, was sie mit den Daten getan haben, nicht diejenigen, die eine ehrliche, dokumentierte Abwägungsentscheidung getroffen haben.

Wie Praktiker es operationalisieren

Die Verordnung in Routinearbeit zu überführen, beginnt meist mit der Kartierung. Sie erstellen und pflegen ein Verzeichnis der Verarbeitungstätigkeiten, damit Sie wissen, welche Daten Sie halten, warum, auf welcher Rechtsgrundlage und wohin sie fließen. Von dort aus verankern Teams Datenschutz durch Technikgestaltung in neuen Projekten, führen DPIAs dort durch, wo das Risiko hoch ist, ziehen Auftragsverarbeitungsverträge straffer und üben den Pfad der Datenpannen-Meldung ein, damit die Frist sie nicht unvorbereitet trifft.

Viele verankern dies in einem Managementsystem statt in einem Ordner voller Richtlinien, und genau dort verdienen sich Standards wie ISO 27701 und die unterstützenden Leitlinien der Aufsichtsbehörden ihren Platz. Das Ziel ist ein Dauerzustand des Nachweises: Jederzeit können Sie für die personenbezogenen Daten, die Sie verarbeiten, eine Rechtsgrundlage, ein Verzeichnis und eine Kontrolle vorweisen.

Frequently asked questions

01Gilt die DSGVO für Unternehmen außerhalb der EU?

Ja, das kann sie. Die Verordnung erfasst außerhalb der EU niedergelassene Organisationen, wenn sie Personen in der Union Waren oder Dienstleistungen anbieten oder deren Verhalten dort beobachten. Keine europäische Niederlassung zu haben, stellt Sie nicht außerhalb des Anwendungsbereichs; der entscheidende Faktor ist, ob Sie Personen in der EU ansprechen oder verfolgen.

02Ist für die Verarbeitung personenbezogener Daten stets eine Einwilligung erforderlich?

Nein. Die Einwilligung ist nur eine von mehreren Rechtsgrundlagen. Viele Vorgänge stützen sich stattdessen auf Vertragserfüllung, eine rechtliche Verpflichtung oder berechtigte Interessen. Sie müssen vor der Verarbeitung eine geeignete Grundlage wählen und dokumentieren, doch häufig ist es nicht die Einwilligung.

03Worin besteht der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?

Ein Verantwortlicher entscheidet, warum und wie personenbezogene Daten verarbeitet werden, und trägt die primäre Rechenschaftspflicht. Ein Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen auf der Grundlage eines schriftlichen Vertrags und innerhalb der Weisungen des Verantwortlichen. Die beiden Rollen tragen unterschiedliche, aber sich überschneidende Pflichten nach der Verordnung.

04Wann muss eine Verletzung gemeldet werden?

Ein Verantwortlicher muss eine Verletzung des Schutzes personenbezogener Daten innerhalb der von der Verordnung festgelegten kurzen Frist der zuständigen Aufsichtsbehörde melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Ist das Risiko für die betroffenen Personen hoch, müssen auch diese Personen informiert werden.

05In welchem Verhältnis steht die DSGVO zu ISO 27701?

Die DSGVO setzt die rechtlichen Pflichten; ISO/IEC 27701 gibt Ihnen ein zertifizierbares Datenschutz-Managementsystem, um sie strukturiert und prüfbar zu erfüllen. Die Zertifizierung allein macht Sie nicht rechtlich konform, aber sie institutionalisiert die Verzeichnisse, Bewertungen und Kontrollen, die die Verordnung erwartet.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.