Feedback

General Data Protection Regulation (GDPR)

zur Glossar-Übersicht

 

Definition des Begriffs

Die GDPR, deutsch Datenschutz-Grundverordnung oder DSGVO, ist die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie trat 2016 in Kraft und gilt seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union. Ziel ist ein einheitlicher Datenschutzrahmen, der Grundrechte schützt, Datenflüsse ermöglicht und Verantwortliche zu überprüfbaren Schutzmaßnahmen verpflichtet. Der Rechtsakt harmonisiert materielle Datenschutzgrundsätze, legt Pflichten für Datenverarbeiter fest und enthält einheitliche Regeln für die Aufsicht sowie für Sanktionen. Er schützt personenbezogene Daten unabhängig davon, ob sie automatisiert oder in strukturierten Dateien verarbeitet werden.

 

Einordnung der Relevanz

Die GDPR bildet den zentralen Rechtsrahmen des europäischen Datenschutzrechts. Sie ersetzte die Datenschutzrichtlinie 95/46/EG und wird durch nationale Durchführungsgesetze, sektorspezifische Vorschriften und aufsichtsrechtliche Leitlinien ergänzt. Im Finanzmarkt betrifft sie Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister, Auskunfteien, FinTechs und Dienstleister, sofern personenbezogene Daten von Kunden, Beschäftigten oder Geschäftspartnern verarbeitet werden. Bezüge bestehen unter anderem zu Informationssicherheit, Outsourcing, Geldwäscheprävention, digitaler Resilienz und Datenübermittlungen in Drittstaaten.

 

Betroffene

Verpflichtet sind Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten im sachlichen und räumlichen Anwendungsbereich der Verordnung verarbeiten. Erfasst werden auch Anbieter außerhalb der EU, wenn sie Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Ausnahmen bestehen vor allem für rein persönliche oder familiäre Tätigkeiten sowie bestimmte staatliche Bereiche außerhalb des Unionsrechts.

 

Anforderungen und Pflichten

  1. Rechtmäßigkeit und Transparenz: Verarbeitung benötigt eine Rechtsgrundlage, etwa Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse. Betroffene erhalten klare Informationen.
  2. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sind organisatorisch abzusichern.
  3. Datenschutzmanagement: Erforderlich sind technische und organisatorische Maßnahmen, Datenschutz durch Technikgestaltung, Datenschutz-Folgenabschätzungen, Verzeichnisse von Verarbeitungstätigkeiten und Meldungen von Datenschutzverletzungen.
  4. Auftragsverarbeitung und Drittlandtransfer: Verträge, Kontrollrechte und geeignete Garantien sichern externe Verarbeitung und internationale Übermittlungen.

 

Weitere Informationen

Die Durchsetzung erfolgt durch unabhängige Datenschutzaufsichtsbehörden. Bei grenzüberschreitender Verarbeitung koordiniert der Europäische Datenschutzausschuss die Zusammenarbeit. Verstöße können Verwarnungen, Anordnungen, Verarbeitungsbeschränkungen und Geldbußen auslösen. Für Finanzunternehmen ist die GDPR zugleich Compliance-, Risiko- und Governance-Thema, weil Datenschutzanforderungen in Prozesse, IT-Systeme, Verträge und Kontrollfunktionen einzubinden sind. In der Praxis sind Rollenklärung, Löschkonzepte, Berechtigungssysteme, Protokollierung, Schulungen und Dienstleistersteuerung zentrale Kontrollpunkte.

 

 

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen