Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Allgemeine Datenschutz-Grundverordnung, allgemein bekannt als DSGVO (auch GDPR genannt), ist ein rechtlicher Rahmen, der Richtlinien für die Erhebung und Verarbeitung personenbezogener Daten von Personen, die in der Europäischen Union (EU) leben, festlegt. Sie wurde im April 2016 vom Europäischen Parlament und vom Rat verabschiedet und ersetzte die Datenschutzrichtlinie 95/46/EG als primäres Gesetz, das regelt, wie Unternehmen die personenbezogenen Daten von EU-Bürgern schützen. Die GDPR ist am 25. Mai 2018 in Kraft getreten.

Die Datenschutz-Grundverordnung (DSGVO) ist ein wichtiger Rechtsakt, der weitreichende Auswirkungen darauf hat, wie Unternehmen mit Daten umgehen und sie verwalten. Sie zielt darauf ab, die Datenschutzgesetze in der EU zu harmonisieren und die Rechte der EU-Bürger in Bezug auf ihre persönlichen Daten zu schützen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten, unabhängig vom Standort des Unternehmens.

Die wichtigsten Grundsätze der DSGVO

Die DSGVO basiert auf sieben Grundprinzipien, die die Grundlage für die Regeln und Vorschriften bilden. Diese Grundsätze sind Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Verantwortlichkeit. Diese Grundsätze sind keine Regeln im eigentlichen Sinne, sondern geben den Rahmen vor, in dem Datenschutzgesetze angewendet und verstanden werden sollten.

Jeder Grundsatz enthält eine Reihe von Regeln und Richtlinien, die sicherstellen sollen, dass Unternehmen und Organisationen mit personenbezogenen Daten so umgehen, dass die Rechte und Freiheiten des Einzelnen gewahrt bleiben. Verstöße gegen diese Grundsätze können zu erheblichen Geldstrafen und Bußgeldern führen.

Rechtmäßigkeit, Fairness und Transparenz

Der Grundsatz der Rechtmäßigkeit, Fairness und Transparenz unterstreicht, dass personenbezogene Daten rechtmäßig, fair und auf transparente Weise gegenüber der betroffenen Person verarbeitet werden sollten. Das bedeutet, dass Unternehmen offen über ihre Datenverarbeitungsaktivitäten sprechen müssen und Daten nicht in einer Weise verwenden dürfen, die ungerechte oder nachteilige Auswirkungen auf die betroffenen Personen hat.

Transparenz setzt voraus, dass alle Informationen und Mitteilungen im Zusammenhang mit der Verarbeitung personenbezogener Daten leicht zugänglich und verständlich sind und dass eine klare und einfache Sprache verwendet wird. Dies ist besonders wichtig in Situationen, in denen die Zustimmung der betroffenen Person eingeholt wird oder in denen Daten direkt bei der betroffenen Person erhoben werden.

Zweck Einschränkung

Der Grundsatz der Zweckbindung besagt, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden sollten, die mit diesen Zwecken unvereinbar ist. Das bedeutet, dass Unternehmen sich darüber im Klaren sein müssen, warum sie personenbezogene Daten erheben und was sie damit zu tun gedenken. Sie müssen auch sicherstellen, dass, wenn sie die Daten für andere Zwecke verwenden wollen, diese mit dem ursprünglichen Zweck vereinbar sind oder sie die ausdrückliche Zustimmung der betroffenen Person haben.

Dieser Grundsatz steht in engem Zusammenhang mit den Grundsätzen der Datenminimierung und der Speicherbegrenzung, die verlangen, dass Unternehmen nur die Daten erheben, die sie für den angegebenen Zweck benötigen, und dass sie diese nur so lange wie nötig aufbewahren.

Individuelle Rechte unter DSGVO

Einer der wichtigsten Aspekte der Datenschutz-Grundverordnung sind die erweiterten Rechte, die sie Einzelpersonen oder "betroffenen Personen" in Bezug auf ihre personenbezogenen Daten einräumt. Diese Rechte sollen dem Einzelnen mehr Kontrolle über seine persönlichen Daten geben und sicherstellen, dass Unternehmen transparent darüber sind, wie sie diese Daten verwenden.

Zu diesen Rechten gehören das Recht auf Information, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung (auch bekannt als "Recht auf Vergessenwerden"), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht sowie Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling.

Das Recht, informiert zu werden

Das Recht auf Information umfasst das Recht des Einzelnen, über die Erhebung und Verwendung seiner personenbezogenen Daten informiert zu werden. Dies ist eine der wichtigsten Transparenzanforderungen der Datenschutz-Grundverordnung. Wenn personenbezogene Daten erhoben werden, entweder direkt von der Person oder von einem Dritten, hat die Person das Recht, darüber informiert zu werden, wie die Daten verwendet werden, an wen sie weitergegeben werden, wie lange sie aufbewahrt werden und ob sie an ein Drittland oder eine internationale Organisation übermittelt werden.

In der Praxis bedeutet dies, dass Unternehmen Einzelpersonen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten einen Datenschutzhinweis zur Verfügung stellen müssen. Der Datenschutzhinweis muss prägnant, transparent, verständlich und leicht zugänglich sein, in einer klaren und einfachen Sprache verfasst und kostenlos sein.

Das Recht auf Zugang

Das Auskunftsrecht, auch bekannt als das Recht auf Zugang zu personenbezogenen Daten, ermöglicht es Einzelpersonen, eine Kopie ihrer personenbezogenen Daten sowie weitere zusätzliche Informationen zu erhalten. Es hilft Einzelpersonen zu verstehen, wie und warum ihre Daten verwendet werden, und zu überprüfen, ob die Verwendung ihrer Daten rechtmäßig ist.

Einzelpersonen können einen Antrag auf Zugang zum Thema mündlich oder schriftlich stellen, und das Unternehmen muss innerhalb eines Monats antworten. Wenn die Anfrage komplex oder zahlreich ist, kann das Unternehmen die Antwortfrist um weitere zwei Monate verlängern. Lehnt das Unternehmen eine Anfrage ab, muss es der betroffenen Person die Gründe dafür mitteilen und sie über ihr Recht auf Beschwerde bei der Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf informieren.

DSGVO-Konformität

Bei der Einhaltung der DSGVO geht es nicht nur darum, ein paar Kästchen anzukreuzen. Die Verordnung verlangt, dass Sie in der Lage sind, die Einhaltung der Datenschutzgrundsätze und -rechte, die in der DSGVO festgelegt sind, nachzuweisen. Dazu gehört auch, dass Sie nachweisen, wie Sie den Datenschutz in Ihre Abläufe integriert haben, z.B. durch Datenschutzrichtlinien, Datenschutz-Folgenabschätzungen, die Zustimmung der Betroffenen, Verfahren zur Meldung von Datenschutzverletzungen und mehr.

Die Nichteinhaltung der Datenschutzgrundverordnung kann zu hohen Geldstrafen und Bußgeldern führen. Gemäß der DSGVO können Unternehmen bei Verstößen gegen die DSGVO mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) belegt werden. Dies ist die maximale Geldstrafe, die für die schwersten Verstöße verhängt werden kann.

Datenschutz-Folgenabschätzungen (DPIAs)

Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist ein Prozess, der Organisationen helfen soll, die Datenschutzrisiken eines Projekts oder Plans systematisch zu analysieren, zu identifizieren und zu minimieren. Sie ist ein wichtiger Bestandteil der GDPR, die sich auf die Rechenschaftspflicht konzentriert, und ist in bestimmten Situationen erforderlich, in denen die Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Interessen von Personen führt.

Datenschutzfolgenabschätzungen sind besonders wichtig, wenn eine neue Datenverarbeitungstechnologie eingeführt wird oder wenn ein Profiling-Vorgang wahrscheinlich erhebliche Auswirkungen auf Einzelpersonen haben wird. Wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Datenverarbeitung mit einem hohen Risiko verbunden ist und Sie diese Risiken nicht hinreichend berücksichtigen können, müssen Sie die Aufsichtsbehörde konsultieren, bevor Sie mit der Verarbeitung beginnen.

Einwilligung der betroffenen Person

Die Einwilligung ist eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung. Eine Einwilligung bedeutet, dass Sie dem Einzelnen eine echte Wahl und Kontrolle bieten. Eine echte Einwilligung sollte den Einzelnen in die Verantwortung nehmen, Vertrauen und Engagement schaffen und Ihren Ruf verbessern.

Gemäß der Datenschutz-Grundverordnung muss die Einwilligung frei, spezifisch, informiert und eindeutig gegeben werden. Es muss ein positives Opt-in geben - die Zustimmung kann nicht aus Schweigen, angekreuzten Kästchen oder Inaktivität abgeleitet werden. Sie muss außerdem von anderen Bedingungen und Konditionen getrennt sein, und Sie müssen über einfache Möglichkeiten verfügen, um die Zustimmung zu widerrufen. Die Zustimmung muss überprüfbar sein, und Einzelpersonen haben in der Regel mehr Rechte, wenn Sie sich auf die Zustimmung zur Verarbeitung ihrer Daten verlassen.

DSGVO und Cybersicherheit

Die GDPR hat erhebliche Auswirkungen auf die Cybersicherheitspraktiken. Die Verordnung verlangt von Organisationen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten, die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Darüber hinaus führt die DSGVO für alle Organisationen die Pflicht ein, bestimmte Arten von Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden. Sie müssen dies, wenn möglich, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung tun. Wenn die Verletzung wahrscheinlich zu einem hohen Risiko einer Beeinträchtigung der Rechte und Freiheiten von Personen führt, müssen die Unternehmen diese Personen ebenfalls unverzüglich informieren.

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen sind die Sicherheitsmaßnahmen, die eine Organisation ergreift, um die in ihrem Besitz befindlichen personenbezogenen Daten vor einer versehentlichen oder absichtlichen Kompromittierung zu schützen. Sie sind im Wesentlichen die Maßnahmen, die einer Organisation helfen, das Sicherheitsniveau zu erreichen, das dem Risiko der Verarbeitung angemessen ist.

Zu diesen Maßnahmen könnten beispielsweise die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten, die Fähigkeit zur rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen gehören.

Benachrichtigung über Datenschutzverletzungen

Gemäß der DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt. Dies schließt sowohl versehentliche als auch vorsätzliche Verstöße ein. Es bedeutet auch, dass eine Sicherheitsverletzung mehr ist als nur der Verlust von persönlichen Daten.

Wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, müssen Sie die Wahrscheinlichkeit und den Schweregrad des daraus resultierenden Risikos für die Rechte und Freiheiten der Betroffenen ermitteln. Wenn es wahrscheinlich ist, dass ein Risiko besteht, müssen Sie die zuständige Aufsichtsbehörde benachrichtigen; wenn es wahrscheinlich ist, dass ein hohes Risiko besteht, müssen Sie auch die betroffenen Personen informieren.

Fazit

Die GDPR ist ein umfassendes Datenschutzgesetz, das die Art und Weise, wie Unternehmen in der Region an den Datenschutz herangehen, neu gestaltet hat. Sie hat einen neuen Standard für die Rechte der Verbraucher in Bezug auf ihre Daten gesetzt, aber die Unternehmen werden bei der Einrichtung von Systemen und Prozessen zur Einhaltung der Vorschriften vor Herausforderungen gestellt.

Das Verständnis der Datenschutzgrundverordnung und ihrer Auswirkungen ist für jedes Unternehmen, das mit den Daten von EU-Bürgern zu tun hat, von entscheidender Bedeutung, unabhängig davon, wo das Unternehmen seinen Sitz hat. Die Nichteinhaltung der Vorschriften kann zu hohen Geldstrafen führen und den Ruf des Unternehmens schädigen. Daher ist es für Unternehmen wichtig, die notwendigen Verfahren und Kontrollen zu verstehen und umzusetzen, um die Einhaltung der DSGVO zu gewährleisten.