GDPR (General Data Protection Regulation)

Die General Data Protection Regulation (GDPR), zu Deutsch die Datenschutz-Grundverordnung (DSGVO), stellt einen grundlegenden Rahmen für den Datenschutz in der Europäischen Union (EU) dar. Sie trat am 25. Mai 2018 in Kraft und markierte einen signifikanten Wendepunkt im Datenschutzrecht, indem sie bestehende nationale Gesetze ersetzte und eine umfassende Harmonisierung der Datenschutzstandards in der gesamten EU einführte.

Die GDPR zielt darauf ab, die Datenschutzrechte von Einzelpersonen innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) zu stärken und gleichzeitig einen klaren Rechtsrahmen für Unternehmen zu schaffen, um den Schutz personenbezogener Daten zu gewährleisten. Dies umfasst nicht nur Organisationen mit Sitz in der EU, sondern auch solche, die personenbezogene Daten von EU-Bürgern verarbeiten oder anbieten, unabhängig davon, wo diese Unternehmen ansässig sind. Somit hat die GDPR eine globale Auswirkung auf die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen.

Kernpunkte der GDPR sind:

• Einwilligung: Die Verordnung fordert eine klare und deutliche Zustimmung der betroffenen Personen für die Verarbeitung ihrer Daten. Diese Einwilligung muss nachweisbar sein, und Personen können ihre Zustimmung jederzeit widerrufen.

• Recht auf Zugang: Individuen haben das Recht zu erfahren, welche Daten von ihnen verarbeitet werden, und können eine Kopie dieser Daten anfordern.

• Recht auf Berichtigung: Personen haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.

• Recht auf Vergessenwerden: In bestimmten Fällen haben Betroffene das Recht, die Löschung ihrer Daten zu fordern.

• Datenportabilität: Individuen haben das Recht, ihre Daten in einem gängigen Format zu erhalten und sie an einen anderen Dienstleister zu übertragen.

• Privacy by Design and by Default: Datenschutz sollte bereits in der Entwicklungsphase eines Produkts oder einer Dienstleistung berücksichtigt und standardmäßig umgesetzt werden.

• Datenübertragungen: Es müssen geeignete Schutzmaßnahmen vorhanden sein, wenn personenbezogene Daten außerhalb der EU und des EWR übertragen werden.

• Meldepflicht bei Datenschutzverletzungen: Organisationen sind verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden den zuständigen Behörden zu melden, sofern sie ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.

• Datenschutzbeauftragte: Viele Organisationen müssen einen Datenschutzbeauftragten benennen, der die Einhaltung der GDPR überwacht.

Unternehmen und Organisationen, die gegen die GDPR verstoßen, können mit empfindlichen Bußgeldern belegt werden, die bis zu 4 % des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können – je nachdem, welcher Betrag höher ist.

In der Softwareentwicklung hat die GDPR weitreichende Auswirkungen. Entwicklerteams müssen Datenschutzprinzipien von Anfang an in den Lebenszyklus der Softwareentwicklung integrieren und sicherstellen, dass persönliche Daten geschützt und nur für den spezifizierten und legitimierten Zweck verwendet werden. Außerdem wird die Anonymisierung und Pseudonymisierung von Daten gefördert, um die Privatsphäre der Nutzer zusätzlich zu sichern.

Die GDPR hat weltweit als Vorbild für Datenschutzstandards gedient und das Bewusstsein für Datenschutz und Datensicherheit sowohl bei Verbrauchern als auch bei Unternehmen maßgeblich erhöht. Für den Verbraucher bedeutet dies mehr Kontrolle über die eigenen Daten und für Unternehmen eine klarere, aber auch herausfordernde Richtlinie, wie mit personenbezogenen Daten umzugehen ist.