5.1 DSGVO-Grundlagen — Anwendungsbereich & Grundsätze

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar geltendes Recht. Sie ist das weltweit einflussreichste Datenschutzgesetz und hat Regelungen in Kanada, Brasilien, Japan und vielen weiteren Ländern inspiriert. Doch wer muss sich eigentlich daran halten?

Wer fällt unter die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt und überrascht viele: Es kommt nicht darauf an, wo ein Unternehmen seinen Sitz hat, sondern wo sich die betroffenen Personen befinden. Verarbeitet ein US-amerikanischer Online-Shop personenbezogene Daten von Kundinnen und Kunden in Deutschland, gilt die DSGVO für diese Datenverarbeitung — unabhängig davon, ob das Unternehmen in Europa tätig ist. Dieses sogenannte Marktortprinzip macht die DSGVO zu einem globalen Maßstab.

Darüber hinaus gilt die DSGVO für alle Organisationen mit einer Niederlassung in der EU sowie für alle Stellen, die im Auftrag solcher Organisationen Daten verarbeiten.

Die sieben Grundsätze nach Art. 5 DSGVO

Art. 5 DSGVO legt die Grundprinzipien fest, die jede Datenverarbeitung erfüllen muss:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz — Daten dürfen nur auf einer gesetzlichen Grundlage, fair und für Betroffene nachvollziehbar verarbeitet werden.
2. Zweckbindung — Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer damit unvereinbaren Weise weiterverarbeitet werden.
3. Datensparsamkeit — Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind — nicht mehr.
4. Richtigkeit — Personenbezogene Daten müssen sachlich richtig sein; unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
5. Speicherbegrenzung — Daten dürfen nur so lange in identifizierbarer Form gespeichert werden, wie es für den Zweck erforderlich ist.
6. Integrität und Vertraulichkeit — Daten sind durch geeignete technische und organisatorische Maßnahmen gegen unbefugten Zugriff, Verlust oder Zerstörung zu schützen.
7. Rechenschaftspflicht — Verantwortliche müssen nachweisen können, dass sie alle genannten Grundsätze einhalten.

Warum sind diese Grundsätze wichtig?

Die Grundsätze sind keine abstrakte Bürokratie. Sie übersetzen ethische Werte — Fairness, Transparenz, Verhältnismäßigkeit — in konkrete rechtliche Pflichten. Unternehmen, die gegen diese Grundsätze verstoßen, riskieren erhebliche Bußgelder. Für Sie als Privatperson geben die Grundsätze einen Maßstab vor, an dem Sie die Datenpraxis von Unternehmen messen können.

Ihr Fazit

Die DSGVO gilt nicht nur für europäische Unternehmen — sie schützt Sie, wo immer Sie sich in der EU aufhalten. Ihre sieben Grundsätze bilden das Fundament für alle weiteren Regeln, die in den kommenden Lektionen behandelt werden.