Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Geltend seit 25. Mai 2018. Anwendbar auf Verarbeitungen in der EU sowie extraterritorial. Bußgelder bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Die DSGVO ist eine regulatorische Schicht. Die Compliance liegt bei den Rechts- und Datenschutzberatern des Mandanten. Die kommerzielle Schicht trägt mehrere Berührungspunkte: Cookie-Banner und Consent-Management-Plattformen, Datenschutzerklärungen, Auftragsverarbeitungsverträge mit Marketing-Dienstleistern, Newsletter-Anmeldungen mit Doppel-Opt-In, Tracking- und Analytics-Konfigurationen.
Für US-Anbieter, die EU-Kunden beliefern, ist die DSGVO Teil der Markteintrittsarchitektur in die EU. Datenübermittlungen erfolgen über das EU-US Data Privacy Framework, Standardvertragsklauseln oder BCR. Für EU-Anbieter, die US-Kunden beliefern, ist die DSGVO Teil der Hausarchitektur, die mit US-bundesstaatlichen Datenschutzgesetzen (CCPA, CPRA, weitere) abzugleichen ist.
Laut CMS GDPR Enforcement Tracker wurden seit 2018 mehr als 5 Milliarden Euro in Strafen wegen DSGVO-Verstößen verhängt. Die Aufsichtspraxis ist in den Mitgliedstaaten unterschiedlich aktiv, mit Irland, Spanien und Italien unter den prominenten Aufsichtsbehörden.
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, allgemein als Datenschutz-Grundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) bezeichnet, ist die EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie gilt seit dem 25. Mai 2018.
Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die in der EU personenbezogene Daten verarbeitet, einschließlich Verantwortlicher und Auftragsverarbeiter mit Sitz außerhalb der EU, soweit ihre Verarbeitung Personen in der EU Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet.
Rechtsgrundlage für jede Verarbeitung. Information und Transparenz gegenüber der betroffenen Person. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Verzeichnis der Verarbeitungstätigkeiten. Auftragsverarbeitungsverträge mit Dienstleistern. Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko. Benennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen.
Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Aufsichtsbehörden haben weitreichende Befugnisse, einschließlich Anordnung der Verarbeitungsbeschränkung oder des Verbots.
Die DSGVO ist horizontal (gilt sektorübergreifend). US-Datenschutz ist überwiegend sektoral (HIPAA für Gesundheit, GLBA für Finanzen, COPPA für Kinder, FERPA für Bildung) oder bundesstaatlich (CCPA, CPRA, VCDPA, CPA, CTDPA, UCPA, weitere). Übermittlungen personenbezogener Daten in die USA erfolgen meist über das EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR).
Auskunftsrecht (Artikel 15). Recht auf Berichtigung (16). Recht auf Löschung (17). Recht auf Einschränkung der Verarbeitung (18). Recht auf Datenübertragbarkeit (20). Widerspruchsrecht (21). Recht auf Nicht-Unterworfenheit unter eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung (22). Aufsichtsbehörden-Beschwerderecht (77).
Dieser Glossareintrag ist eine sachliche Definition. Keine Rechtsberatung. Keine Steuerberatung. Keine regulatorische Beratung. Für verbindliche Auslegung von Anwendungsbereich, Schwellenwerten und Pflichten sind die zuständigen Aufsichtsbehörden und die eigenen Rechts- und Compliance-Berater des Mandanten verantwortlich. Global Marketing Agency unterstützt die kommerzielle Umsetzung innerhalb des regulatorischen Rahmens, der durch diese Berater gesetzt wird.