In diesem Artikel rund um die DSGVO erfahren Sie alles Wichtige rund um die Datenschutz-Grundverordnung.
Unter anderem:
- Was ist die DSGVO und warum ist sie so wichtig?
- Was müssen Unternehmen in Bezug auf die DSGVO alles beachten und umsetzen?
- Was sind konkrete Anwendungsbeispiele im Unternehmensalltag?
- Was hilft Unternehmen, die DSGVO einfach einzuhalten?
Was ist die DSGVO?
Die DSGVO ist die EU-Datenschutzgrundverordnung. Sie ist eine Vorschrift, die einheitlich in der ganzen EU gilt. Weitere Bezeichnungen für sie sind: EU-DSGVO, General Data Protection Regulation (GDPR) oder Datenschutzgrundverordnung. Sie regelt, wie Unternehmen und Behörden mit den personenbezogenen Daten ihrer Besucher, Kunden oder Nutzer umgehen sollen. Sie gilt seit dem 25. Mai 2018.
Warum ist die DSGVO so wichtig?
Zum Thema Datenschutz gab es innerhalb der EU sehr unterschiedliche Regelungen und Standards. Mit der DSGVO wurde 2018 ein einheitliches Regelwerk geschaffen. Ziel ist es, den Datenschutz in der EU einheitlich zu regeln, um abweichende Regelungen in den verschiedenen EU-Ländern zu vermeiden.
Stattdessen gilt nun in der gesamten EU ein einheitliches Datenschutzniveau mit durchgängigen gesetzlichen Regelungen. Die DSGVO regelt den Schutz der personenbezogenen Daten auf der einen und den Schutz des freien Binnenmarktes und des freien Datenverkehrs in der EU auf der anderen Seite. In Deutschland gelten auch weitere Datenschutzgesetze: so das neue Bundesdatenschutzgesetz Deutschland (BDSG-neu), das TMG und das TKG. Diese dienen als Erweiterung und Konkretisierung der DSGVO.
Anwendungsbereiche der DSGVO
Die DSGVO hat zwei Anwendungsbereiche: den sachlichen und den räumlichen. Der sachliche Anwendungsbereich (merke: Geht es hier zur Sache? Also geht es hier um Daten?) bestimmt, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nicht automatisierten Verarbeitung Daten in einem Dateisystem gespeichert werden sollen.
Der räumliche Anwendungsbereich der DSGVO (merke: Sind die Daten räumlich, also in der EU betroffen?) ergibt sich bei der Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet.
Was ist jetzt neu?
Im Gegensatz zur alten EU-Datenschutzrichtlinie müssen die Vorschriften der DSGVO nicht separat in nationale Gesetze der Mitgliedsstaaten übertragen werden. Sie gilt für alle Länder gleichermaßen. Lediglich die nationalen Gesetze, wie in Deutschland das BDSG-neu, müssen geprüft und gegebenenfalls angepasst werden.
Darüber hinaus sind laut DSGVO auch Unternehmen aus Drittländern betroffen, sofern deren Datenverarbeitung die personenbezogenen Daten von EU-Bürgern betrifft. Die Auskunftsrechte der betroffenen Personen wurden ausgeweitet, und eine Einwilligungserklärung kann und darf jederzeit ohne Angabe von Gründen widerrufen werden.
Ein weiterer Unterschied: Unternehmen müssen sich bei falschen oder veralteten Daten darum kümmern, dass auch Dritte über die Löschung oder Korrektur in Kenntnis gesetzt werden. Im Falle eines Verstoßes gegen die DSGVO drohen erheblich höhere Geldbußen als bei der alten Richtlinie.
Neue Datenschutz-Prinzipien für Softwareentwickler und Webdesigner
Es gibt in der DSGVO zwei wichtige Prinzipien, die insbesondere für Softwaredesigner und Webdesigner relevant sind: Privacy by Design und Privacy by Default.
- Privacy by Design: Neue Technologien und Dienste müssen von Anfang an mit besonderer Rücksicht auf die Privatsphäre entwickelt werden.
- Privacy by Design umfasst technische Vorrichtungen, die Datenschutz von Anfang an im Entwicklungsprozess berücksichtigen.
- Beispiele für Privacy by Design sind automatische Pseudonymisierungen.
- Privacy by Default bedeutet, dass unter anderem die datenschutzfreundlichste Option in den Voreinstellungen neu eingerichteter Programme oder Accounts voreingestellt ist.
Die Grundsätze der DSGVO
Datenschutz ist kompliziert. Es gibt zahlreiche Punkte zu beachten. Das Konzept der DSGVO beachtet viele wichtige Gesichtspunkte. Daraus resultieren zahlreiche Aufgaben für Unternehmen, dieses Konzept auch umzusetzen. Die Grundsätze sind:
1. Transparenz
Für den Betroffenen muss immer ersichtlich sein, aus welchem Grund und für welchen Zweck seine personenbezogenen Daten verarbeitet werden. Eine heimliche Verarbeitung ist somit unzulässig.
2. Zweckbindung
Der Zweck der Verarbeitung muss bei der Verarbeitung personenbezogener Daten vor der Erhebung der Daten festgelegt werden. Eine nachträgliche Änderung des Zwecks ist nicht zulässig. Es muss gewährleistet werden, dass keine zweckentfremdete Verarbeitung der erhobenen Daten stattfindet.
3. Datensparsamkeit
Es dürfen bei der Datenverarbeitung nur so viele Daten gesammelt werden wie für den jeweiligen Verarbeitungszweck unbedingt notwendig. Es gilt der Grundsatz: So viele Daten wie nötig, so wenige Daten wie möglich. Dadurch soll der Betroffene vor einer übermäßigen Preisgabe personenbezogener Daten geschützt werden.
4. Richtigkeit
Personenbezogene Daten müssen nicht nur richtig und aktuell sein, sondern auch aus zuverlässigen Quellen stammen. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden.
5. Speicherbegrenzung
Personenbezogene Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Es sei denn, der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen. Solange die Aufbewahrungsfrist läuft, werden die Daten nicht gelöscht, aber für eine weitere Nutzung gesperrt. Es gilt: Gelöschte Daten sind die sichersten Daten. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt werden.
6. Integrität und Vertraulichkeit
Personenbezogene Daten müssen sicher und vertraulich behandelt werden. Unbefugte dürfen keinen Zugang zu ihnen haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
7. Rechenschaftspflicht
Ein Unternehmen muss gegenüber Aufsichtsbehörden nachweisen können, alle Vorgaben der DSGVO einzuhalten. Daher müssen die getroffenen rechtlichen, technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes genauestens dokumentiert werden.
Dies bedeutet, dass entsprechende Dokumente, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahrt und archiviert werden, damit diese im Ernstfall unverzüglich griffbereit sind.
Wer benötigt einen Datenschutzbeauftragten?
Grundsätzlich ist das Thema Datenschutzbeauftragter für alle Unternehmen relevant, die mit personenbezogenen Nutzer- und Kundendaten zu tun haben.
Die Datenschutzgrundverordnung (DSGVO) und das neue BDSG schreiben per Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen zutrifft:
- Es sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt.
- Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.
- Das Unternehmen ist nach DSGVO verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.
- Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Was sind die Aufgaben eines Datenschutzbeauftragten?
Nach der DSGVO hat der Datenschutzbeauftragte folgende Aufgaben: Er ist erster Ansprechpartner für die Anfragen von verantwortlichen Behörden. Zudem ist er verpflichtet, Unternehmen über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung der Datenschutzgesetze zu überwachen.
Auch führt er das Verarbeitungsverzeichnis und berät und unterstützt Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Der Datenschutzbeauftragte ist Ansprechpartner für Geschäftsführung, Mitarbeitende sowie Vertrieb und Marketing in allen Fragen im Umgang mit Nutzer- und Kundendaten.
Welche Qualifikationen braucht ein Datenschutzbeauftragter?
Grundsätzlich kann jeder Datenschutzbeauftragter werden. Er muss über die Qualifikation und das Fachwissen zur Wahrnehmung seiner gesetzlich vorgesehenen Aufgaben verfügen. Konkrete Kenntnisse und Ausbildungen sind jedoch nicht vorgesehen – weder in der DSGVO noch im BDSG-neu.
Es ist dennoch nützlich, wenn ein zertifizierter Datenschutzbeauftragter benannt wird, der seine Datenschutzkenntnisse mit einem Zertifikat (etwa vom TÜV) belegen kann. Es kann auch ein externer Datenschutzbeauftragter von SECJUR genutzt werden, der stets alle Grundsätze der DSGVO beachtet.
Warum ist die Verarbeitung personenbezogener Daten so komplex?
Schon die Anforderungen an eine Einwilligung, die oft einzuholen ist, sind anspruchsvoll: Die Einwilligung der betroffenen Personen ist die Möglichkeit, eine rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten. Sie muss in erster Linie freiwillig, bestimmt, in informierter Weise, ausdrücklich und unmissverständlich sein. Ein Einwilligungsbewusstsein sowie eine gewisse Einsichtsfähigkeit werden darüber hinaus ebenfalls vorausgesetzt.
Verarbeitung von besonderen Kategorien personenbezogener Daten
Zu den Daten besonderer Kategorien gehören: Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Aber auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Diese Daten benötigen einen besonderen Schutz. Sie dürfen grundsätzlich nicht verarbeitet werden. Eine der möglichen Ausnahmen: Die Person hat ausdrücklich ihre Einwilligung erteilt.
Auskunftsrecht
Unternehmen sind dazu verpflichtet, ihren Kunden auf Verlangen Informationen über die gespeicherten Daten zuzusenden. Dazu gehören: Zweck der Datenverarbeitung, Kategorien personenbezogener Daten, Empfänger oder Kategorien von Empfängern der Daten, Übermittlungen personenbezogener Daten in ein Drittland, geplante Speicherdauer oder Kriterien für die Festlegung und Beschwerde.
Recht auf Berichtigung
Nutzer können verlangen, dass unwahre Daten entsprechend berichtigt oder ergänzt werden.
Recht auf Löschung
Das Recht auf Löschung tritt dann ein, wenn der Zweck für die Verarbeitung der Daten weggefallen ist, der Nutzer seine Einwilligung widerrufen hat und ein Recht auf Datenverarbeitung nicht bestand.
Recht auf Einschränkung der Verarbeitung
EU-Bürger können von Suchmaschinenbetreibern wie Google unter bestimmten Voraussetzungen verlangen, dass ihre Suchergebnisse nicht mehr angezeigt werden. Die DSGVO verankert diesen Anspruch nicht nur gegenüber Google, Bing und Co., sondern gegen jede Stelle, die personenbezogene Daten verarbeitet.
Widerspruchsrecht
Betroffene haben zudem das Recht, der Datenverarbeitung für Direktwerbung zu widersprechen und unter bestimmten Voraussetzungen diese einzuschränken.
Recht auf Datenübertragbarkeit
Nutzer können ihre personenbezogenen Daten zu einem anderen Anbieter mitnehmen beziehungsweise von einem Anbieter verlangen, dass er seine personenbezogenen Daten an einen anderen weitergibt.
Normalerweise hat ein Unternehmen gemäß DSGVO all diese Punkte umzusetzen. Statt dies langwierig und einzeln anzugehen, können Sie auch einfach den Datenschutz-as-a-Service von SECJUR nutzen, der das automatisiert für Sie erledigt.
Was sind Datenschutzverletzungen?
Eine Datenschutzverletzung liegt in jeder Verletzung der Sicherheit vor. Diese führt unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Beispielsweise kann dies der Fall sein, wenn Hacker im Rahmen eines Cyber-Angriffs personenbezogene Daten abgreifen oder wenn Datenträger mit personenbezogenen Daten verloren gehen oder gestohlen werden.
Meldepflicht bei Datenschutzverletzungen
Verantwortliche sind grundsätzlich verpflichtet, eine Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde zu melden und auch betroffene Personen zu benachrichtigen. Es gibt dabei jedoch eine Ausnahme: Eine Meldung an die Datenschutzaufsichtsbehörde kann unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Wie geht man mit Datenschutzverletzungen um?
Die Meldung an die Datenschutzaufsichtsbehörde muss folgenden Inhalt haben: eine Beschreibung der Art der Verletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung.
Verantwortliche müssen die Verletzung binnen 72 Stunden, nachdem sie ihnen bekannt wurde, melden.
Auch hier ist SECJUR hilfreich, denn das Datenschutzmodul von SECJUR erkennt automatisiert Datenschutzvorfälle, die sie dann mit dem Experten- und Juristenteam von SECJUR besprechen und lösen können.
Was ist eine Datenschutzerklärung?
Eine Datenschutzerklärung thematisiert die Verarbeitung von Informationen und Daten durch eine Organisation. Dazu gehören personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, IP-Adresse. Die Datenschutzerklärung ist abzugrenzen von der Einwilligung im Datenschutz. Bei der Einwilligung geht es darum, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten zulässt, weil das Gesetz die Datenverarbeitung nicht erlaubt.
Was muss in einer Datenschutzerklärung enthalten sein?
Der Inhalt richtet sich danach, wie genau Unternehmen mit den personenbezogenen Daten der Nutzer umgehen. Im allgemeinen Teil der Erklärung sollten Nutzer darüber informiert werden, was die Datenschutzerklärung ist. Zudem muss angegeben werden, wer für die Erklärung verantwortlich ist und wer der Datenschutzbeauftragte ist.
Im besonderen Teil der Datenschutzerklärung muss deutlich gemacht werden, zu welchem Zweck und auf welcher Rechtsgrundlage die Verarbeitung der Daten erfolgt. Die Nutzer müssen außerdem über die Rechte informiert werden. Zudem gehören in die Erklärung: Informationen zur Datenverarbeitung, zur Datenübertragung an andere und zur Erforderlichkeit.
Wie erstellt man eine Datenschutzerklärung?
Es gibt diverse Muster oder Vorlagen für eine Datenschutzerklärung. Der Nachteil dabei ist jedoch, dass damit keine konkret auf eine Website ausgerichtete Erklärung erstellt werden kann. Stattdessen können Sie einfach den Datenschutz-as-a-Service von SECJUR nutzen, der das automatisiert für Sie erledigt.
So sieht die DSGVO im unternehmerischen Alltag aus
Unternehmen müssen, wenn sie personenbezogene Daten verarbeiten, sicherstellen, dass diese geschützt werden. Dies geschieht mit der Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um unterschiedliche Vorkehrungen, die von Verantwortlichen im Unternehmen getroffen werden müssen. Hierzu gehört unter anderem, die Verfügbarkeit der personenbezogenen Daten und deren Verschlüsselung zu gewährleisten.
Auch wichtig ist die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM.
Hierzu sollte ein Datenschutzbeauftragter im Unternehmen bestellt oder ein externer Datenschutzbeauftragter von SECJUR genutzt werden. Mit dem DCO (Digital Compliance Office) von SECJUR können alle Richtlinien und Vorgaben zur DSGVO ganz einfach automatisiert überwacht und eingehalten werden.
Sanktionen bei Verstößen gegen die DSGVO
Der Bußgeldkatalog der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor. Die Aufsichtsbehörde darf aber auch Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen. Maßgeblich ist hierbei der höhere der beiden Werte.
Praxisbeispiele von Bußgeldern und Sanktionen
Den Internetriesen Google erwischte es in der Vergangenheit bereits. Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld in Höhe von 50 Millionen Euro gegen Google und sanktionierte damit einen rechtswidrigen Einrichtungsprozess auf dem Betriebssystem Android.
Die CNIL bemängelte, dass Nutzer des Betriebssystems Android wichtige Datenschutzinformationen nicht oder nur schwer einsehen können. So könnten sie zum Beispiel nur schwer herausfinden, wie lange Google die Nutzerdaten speichert und wie es diese weiterverarbeitet.
4 DSGVO-Beispiele aus dem Unternehmensalltag
- Datenschutzerklärung: Datenschutzerklärung auf der Webseite eines Onlineshops, der externe Tools wie Google Analytics nutzt.
- Beantwortung und Durchführung einer Löschanfrage nach DSGVO: Handelsunternehmen schreddert sensibles Dokument wie zum Beispiel Bewerberunterlagen, nachdem ein abgelehnter Bewerber mitgeteilt hat, dass seine Daten vernichtet werden sollen (Zugriffskontrolle im Rahmen technisch organisatorischer Maßnahmen – TOM).
- Ein Konzern implementiert Zugangsbeschränkungen und eine strenge Datensicherheitsrichtlinie, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugang zu Personalakten haben.
- Die Marketingleitung prüft ganz genau, ob der Newsletter, der am nächsten Tag an tausende Kunden versendet werden soll, auch keine E-Mail-Adressen enthält, die sich vom Newsletter abgemeldet haben.
.svg)
.svg)
.svg)
.svg){kind=small}