Was ist die DSGVO?Das neue europäische Datenschutz- und Sicherheitsgesetz enthält Hunderte Seiten voller neuer Anforderungen für Unternehmen auf der ganzen Welt.Diese DSGVO-Übersicht hilft Ihnen, das Gesetz zu verstehen und festzustellen, welche Teile davon für Sie gelten. Die Datenschutz-Grundverordnung (DSGVO) ist das strengste Datenschutz- und Sicherheitsgesetz der Welt.Obwohl es von der Europäischen Union (EU) entworfen und verabschiedet wurde, erlegt es Organisationen überall Verpflichtungen auf, solange sie auf Personen in der EU abzielen oder Daten über diese sammeln.Die Verordnung trat am 25. Mai 2018 in Kraft. Die DSGVO wird gegen diejenigen, die gegen ihre Datenschutz- und Sicherheitsstandards verstoßen, hohe Geldstrafen verhängen, die sich auf zweistellige Millionenbeträge belaufen.
Mit der DSGVO signalisiert Europa seine feste Haltung zum Datenschutz und zur Datensicherheit in einer Zeit, in der immer mehr Menschen ihre persönlichen Daten Cloud-Diensten anvertrauen und Verstöße an der Tagesordnung sind.Die Verordnung selbst ist umfangreich, weitreichend und enthält nur wenige Einzelheiten, was die Einhaltung der DSGVO insbesondere für kleine und mittlere Unternehmen (KMU) zu einer entmutigenden Angelegenheit macht.
Wir haben diese Website erstellt, um KMU-Eigentümern und -Managern als Ressource für die Bewältigung spezifischer Herausforderungen zu dienen.Obwohl es keinen Ersatz für eine Rechtsberatung darstellt, kann es Ihnen helfen zu verstehen, worauf Sie Ihre Bemühungen zur Einhaltung der DSGVO konzentrieren sollten.Wir bieten auch Tipps zu Datenschutztools und zur Risikominimierung.Da die DSGVO weiterhin interpretiert wird, halten wir Sie über die Entwicklung von Best Practices auf dem Laufenden.
Wenn Sie diese Seite gefunden haben – „Was ist die DSGVO?“ – sind Sie wahrscheinlich auf der Suche nach einem Crashkurs.Möglicherweise haben Sie das Dokument selbst noch nicht einmal gefunden (Tipp: Hier finden Sie die vollständige Verordnung).Vielleicht haben Sie keine Zeit, das Ganze zu lesen.Diese Seite ist für Sie.In diesem Artikel versuchen wir, die DSGVO zu entmystifizieren und sie hoffentlich weniger überwältigend für KMU zu machen, die sich Sorgen um die Einhaltung der DSGVO machen.
Geschichte der DSGVO Das Recht auf Privatsphäre ist Teil der Europäischen Menschenrechtskonvention von 1950, in der es heißt: „Jeder hat das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seiner Korrespondenz.“ Auf dieser Grundlage hat die Europäische Union versucht den Schutz dieses Rechts durch Gesetzgebung sicherzustellen.
Mit fortschreitender Technologie und der Erfindung des Internets erkannte die EU die Notwendigkeit moderner Schutzmaßnahmen.Deshalb verabschiedete sie 1995 die europäische Datenschutzrichtlinie, die Mindeststandards für Datenschutz und Sicherheit festlegte, auf deren Grundlage jeder Mitgliedsstaat sein eigenes Umsetzungsgesetz gründete.Aber bereits jetzt verwandelte sich das Internet in die Daten, die es heute ist.1994 erschien die erste Bannerwerbung online.Im Jahr 2000 bot die Mehrheit der Finanzinstitute Online-Banking an.Im Jahr 2006 wurde Facebook der Öffentlichkeit zugänglich gemacht.Im Jahr 2011 verklagte eine Google-Nutzerin das Unternehmen wegen des Scannens ihrer E-Mails.Zwei Monate später erklärte die europäische Datenschutzbehörde, dass die EU „einen umfassenden Ansatz zum Schutz personenbezogener Daten“ benötige, und begann mit der Aktualisierung der Richtlinie von 1995.
Die DSGVO trat 2016 nach der Verabschiedung durch das Europäische Parlament in Kraft und ab dem 25. Mai 2018 waren alle Organisationen zur Einhaltung verpflichtet.
Umfang, Strafen und Schlüsseldefinitionen Erstens: Wenn Sie personenbezogene Daten von EU-Bürgern oder Einwohnern verarbeiten oder diesen Personen Waren oder Dienstleistungen anbieten, gilt die DSGVO auch für Sie, wenn Sie sich nicht in der EU befinden.Wir sprechen mehr darüber in einem anderen Artikel.
Zweitens sind die Bußgelder bei Verstößen gegen die DSGVO sehr hoch.Es gibt zwei Strafstufen, die maximal 20 Millionen Euro oder 4 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) betragen. Darüber hinaus haben betroffene Personen das Recht, Schadensersatz zu verlangen.Wir sprechen auch mehr über DSGVO-Bußgelder.
Die DSGVO definiert eine Reihe von Rechtsbegriffen ausführlich.Im Folgenden sind einige der wichtigsten aufgeführt, auf die wir uns in diesem Artikel beziehen:
Personenbezogene Daten – Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen, die direkt oder indirekt identifiziert werden kann.Namen und E-Mail-Adressen sind selbstverständlich personenbezogene Daten.Auch Standortinformationen, ethnische Zugehörigkeit, Geschlecht, biometrische Daten, religiöse Überzeugungen, Web-Cookies und politische Meinungen können personenbezogene Daten sein.Auch pseudonyme Daten können unter die Definition fallen, wenn sich daraus relativ leicht jemand identifizieren lässt.
Datenverarbeitung – Jede Aktion, die an Daten durchgeführt wird, ob automatisiert oder manuell.Die im Text genannten Beispiele umfassen Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Verwenden, Löschen … also im Grunde alles.
Betroffene Person – Die Person, deren Daten verarbeitet werden.Dies sind Ihre Kunden oder Website-Besucher.
Datenverantwortlicher – Die Person, die entscheidet, warum und wie personenbezogene Daten verarbeitet werden.Wenn Sie der Eigentümer oder Mitarbeiter Ihrer Organisation sind, der mit Daten umgeht, dann sind Sie es.
Datenverarbeiter – Ein Dritter, der personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.Für diese Personen und Organisationen sieht die DSGVO besondere Regelungen vor.Dazu können Cloud-Server wie Tresorit oder E-Mail-Dienstanbieter wie Proton Mail gehören.
Was die DSGVO dazu sagt... Im weiteren Verlauf dieses Artikels erläutern wir kurz alle wichtigen Regelungspunkte der DSGVO.
Datenschutzgrundsätze Wenn Sie Daten verarbeiten, müssen Sie dies gemäß den sieben in Artikel 5.1-2 dargelegten Schutz- und Rechenschaftsgrundsätzen tun:
Rechtmäßigkeit, Fairness und Transparenz – Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.
Zweckbindung – Sie müssen Daten für die legitimen Zwecke verarbeiten, die der betroffenen Person bei der Erhebung ausdrücklich angegeben wurden.
Datenminimierung – Sie sollten nur so viele Daten erheben und verarbeiten, wie für die angegebenen Zwecke unbedingt erforderlich sind.
Genauigkeit – Sie müssen dafür sorgen, dass Ihre personenbezogenen Daten korrekt und aktuell sind.
Speicherbeschränkung – Sie dürfen personenbezogene Daten nur so lange speichern, wie es für den angegebenen Zweck erforderlich ist.
Integrität und Vertraulichkeit – Die Verarbeitung muss so erfolgen, dass angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet sind (z. B. durch Verwendung von Verschlüsselung).
Rechenschaftspflicht – Der Datenverantwortliche ist dafür verantwortlich, die DSGVO-Konformität mit allen diesen Grundsätzen nachweisen zu können.
Rechenschaftspflicht
Die DSGVO besagt, dass Datenverantwortliche nachweisen müssen, dass sie DSGVO-konform sind.Und das können Sie nicht im Nachhinein tun: Wenn Sie der Meinung sind, dass Sie die DSGVO einhalten, aber nicht nachweisen können, wie das geht, dann sind Sie nicht DSGVO-konform.Sie können dies unter anderem tun:
Weisen Sie Ihrem Team Datenschutzverantwortlichkeiten zu.
Führen Sie eine detaillierte Dokumentation der von Ihnen erfassten Daten, wie sie verwendet werden, wo sie gespeichert werden, welcher Mitarbeiter dafür verantwortlich ist usw.
Schulen Sie Ihr Personal und setzen Sie technische und organisatorische Sicherheitsmaßnahmen um.
Schließen Sie Verträge über Datenverarbeitungsvereinbarungen mit Dritten ab, die Sie mit der Datenverarbeitung für Sie beauftragen.
Ernennen Sie einen Datenschutzbeauftragten (obwohl nicht alle Organisationen einen benötigen – mehr dazu in diesem Artikel).
Datensicherheit
Sie sind verpflichtet, durch die Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ sicher mit Daten umzugehen.
Technische Maßnahmen reichen von der Verpflichtung Ihrer Mitarbeiter zur Verwendung der Zwei-Faktor-Authentifizierung für Konten, in denen personenbezogene Daten gespeichert sind, bis hin zum Abschluss von Verträgen mit Cloud-Anbietern, die Ende-zu-Ende-Verschlüsselung verwenden.
Zu den organisatorischen Maßnahmen gehören etwa Mitarbeiterschulungen, die Aufnahme einer Datenschutzrichtlinie in Ihr Mitarbeiterhandbuch oder die Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Mitarbeiter in Ihrer Organisation, die diese benötigen.
Wenn es zu einer Datenschutzverletzung kommt, haben Sie 72 Stunden Zeit, die betroffenen Personen zu informieren, andernfalls drohen Strafen.(Auf diese Meldepflicht kann verzichtet werden, wenn Sie technische Schutzmaßnahmen wie Verschlüsselung einsetzen, um Daten für einen Angreifer unbrauchbar zu machen.)
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Von nun an muss bei allem, was Sie in Ihrer Organisation tun, der Datenschutz berücksichtigt werden.Praktisch bedeutet dies, dass Sie die Datenschutzgrundsätze bei der Gestaltung jedes neuen Produkts oder jeder neuen Aktivität berücksichtigen müssen.Die DSGVO regelt diesen Grundsatz in Artikel 25.
Angenommen, Sie starten beispielsweise eine neue App für Ihr Unternehmen.Sie müssen darüber nachdenken, welche persönlichen Daten die App möglicherweise von Benutzern sammeln könnte, und dann überlegen, wie Sie die Datenmenge minimieren und wie Sie sie mit der neuesten Technologie schützen können.
Wenn Sie Daten verarbeiten dürfen
Artikel 6 listet die Fälle auf, in denen die Verarbeitung personenbezogener Daten zulässig ist.Denken Sie nicht einmal daran, die persönlichen Daten einer Person zu berühren – sammeln Sie sie nicht, speichern Sie sie nicht, verkaufen Sie sie nicht an Werbetreibende – es sei denn, Sie können dies mit einem der folgenden Gründe rechtfertigen:
Die betroffene Person hat Ihnen eine ausdrückliche und eindeutige Einwilligung zur Verarbeitung der Daten erteilt.(z. B. Sie haben sich für Ihre Marketing-E-Mail-Liste angemeldet.)
Die Verarbeitung ist zur Durchführung oder Vorbereitung eines Vertragsabschlusses, dessen Vertragspartei die betroffene Person ist, erforderlich.(Sie müssen beispielsweise eine Hintergrundüberprüfung durchführen, bevor Sie eine Immobilie an einen potenziellen Mieter vermieten.)
Sie müssen die Daten verarbeiten, um einer Ihrer rechtlichen Verpflichtungen nachzukommen.(Sie erhalten beispielsweise eine Anordnung vom Gericht in Ihrem Zuständigkeitsbereich.)
Sie müssen die Daten verarbeiten, um jemandem das Leben zu retten.(z. B. Nun, Sie werden wahrscheinlich wissen, wann dies zutrifft.)
Die Verarbeitung ist zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrnehmung einer behördlichen Funktion erforderlich.(z. B. Sie sind ein privates Müllabfuhrunternehmen.)
Sie haben ein berechtigtes Interesse daran, die personenbezogenen Daten einer Person zu verarbeiten.Dies ist die flexibelste Rechtsgrundlage, allerdings haben die „Grundrechte und Grundfreiheiten der betroffenen Person“ immer Vorrang vor Ihren Interessen, insbesondere wenn es sich um Daten eines Kindes handelt.(Es ist schwierig, hier ein Beispiel zu nennen, da Sie in Ihrem Fall eine Vielzahl von Faktoren berücksichtigen müssen. Das UK Information Commissioner's Office bietet hier hilfreiche Hinweise.)
Sobald Sie die Rechtsgrundlage für Ihre Datenverarbeitung ermittelt haben, müssen Sie diese dokumentieren und die betroffene Person darüber informieren (Transparenz!).Und wenn Sie sich später dazu entschließen, Ihre Begründung zu ändern, müssen Sie einen triftigen Grund haben, diesen dokumentieren und die betroffene Person benachrichtigen.
Zustimmung
Es gibt strenge neue Regeln darüber, was eine Einwilligung einer betroffenen Person zur Verarbeitung ihrer Daten darstellt.
Die Einwilligung muss „freiwillig, spezifisch, informiert und eindeutig“ erfolgen.
Einwilligungsanfragen müssen „klar von den anderen Angelegenheiten unterscheidbar“ sein und in „klarer und einfacher Sprache“ dargelegt werden.
Betroffene Personen können eine zuvor erteilte Einwilligung jederzeit widerrufen, und Sie müssen ihre Entscheidung respektieren.Sie können die Rechtsgrundlage der Verarbeitung nicht einfach in einen der anderen Rechtfertigungsgründe ändern.
Kinder unter 13 Jahren können ihre Einwilligung nur mit Zustimmung ihrer Eltern erteilen.
Sie müssen den Nachweis Ihrer Einwilligung aufbewahren.
Datenschutzbeauftragte
Entgegen der landläufigen Meinung muss nicht jeder Datenverantwortliche oder -verarbeiter einen Datenschutzbeauftragten (Data Protection Officer, DPO) ernennen.Es gibt drei Bedingungen, unter denen Sie einen DSB ernennen müssen:
Sie sind eine öffentliche Behörde und kein Gericht, das in richterlicher Funktion handelt.
Ihre Kerntätigkeit erfordert von Ihnen die systematische und regelmäßige Überwachung von Menschen in großem Umfang.(z. B. Du bist Google.)
Ihre Kerntätigkeit ist die groß angelegte Verarbeitung von besonderen Kategorien von Daten gemäß Artikel 9 DSGVO oder von Daten zu strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10. (z. B. Sie sind eine Arztpraxis.)
Sie können sich auch dafür entscheiden, einen Datenschutzbeauftragten zu benennen, auch wenn dies nicht erforderlich ist.Es hat Vorteile, jemanden in dieser Rolle zu haben.Zu ihren grundlegenden Aufgaben gehört es, die DSGVO und deren Anwendung auf die Organisation zu verstehen, die Mitarbeiter der Organisation über ihre Verantwortlichkeiten zu informieren, Datenschutzschulungen durchzuführen, Audits durchzuführen und die Einhaltung der DSGVO zu überwachen sowie als Verbindungsmann zu den Aufsichtsbehörden zu fungieren.
In einem anderen Artikel gehen wir ausführlich auf die Rolle des Datenschutzbeauftragten ein.
Datenschutzrechte der Menschen
Sie sind ein Datenverantwortlicher und/oder ein Datenverarbeiter.Aber als Person, die das Internet nutzt, sind Sie auch eine betroffene Person.Die DSGVO erkennt eine Vielzahl neuer Datenschutzrechte für betroffene Personen an, die darauf abzielen, Einzelpersonen mehr Kontrolle über die Daten zu geben, die sie an Organisationen weitergeben.Als Unternehmen ist es wichtig, diese Rechte zu verstehen, um sicherzustellen, dass Sie DSGVO-konform sind.
Nachfolgend finden Sie eine Übersicht über die Datenschutzrechte der betroffenen Personen:
Das Recht auf Information
Das Zugriffsrecht
Das Recht auf Berichtigung
Das Recht auf Löschung
Das Recht, die Verarbeitung einzuschränken
Das Recht auf Datenübertragbarkeit
Das Recht auf Widerspruch
Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling.
Abschluss
Wir haben gerade alle wichtigen Punkte der DSGVO in etwas mehr als 2.000 Wörtern abgedeckt.Die Verordnung selbst (ohne die begleitenden Richtlinien) umfasst 88 Seiten.Wenn Sie von der DSGVO betroffen sind, empfehlen wir dringend, dass jemand in Ihrer Organisation sie liest und einen Anwalt konsultiert, um sicherzustellen, dass Sie DSGVO-konform sind.
