Das europäische Datenschutz- und Sicherheitsgesetz oder kurz DSGVO

Das europäische Datenschutz- und Sicherheitsgesetz oder kurz DSGVO

Das europäische Datenschutz- und Sicherheitsgesetz

Was ist die DSGVO? Das neue europäische Datenschutz- und Sicherheitsgesetz umfasst Hunderte von Seiten mit neuen Anforderungen für Webseiten Betreiber auf der ganzen Welt.

Dieser Überblick über die DSGVO hilft, das Gesetz zu verstehen und festzustellen, welche Teile davon für dich wichtig sind.

Das europäische Datenschutz- und Sicherheitsgesetz, die DSGVO oder Datenschutz Grundverordnung der EU ist das strengste Datenschutz- und Sicherheitsgesetz der Welt. Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt. Wenn dir Datenschutz Verordnungen der DSGVO verletzt werden, drohen strenge Strafen, die in extremen Fällen bis in den zweistelligen Millionenbereich gehen könne.

europäische Datenschutz und Sicherheitsgesetz

Mit der DSGVO signalisiert Europa seine entschlossene Haltung zum Datenschutz und zur Datensicherheit in einer Zeit, in der immer mehr Menschen ihre persönlichen Daten Cloud Diensten anvertrauen und Datenschutzverletzungen an der Tagesordnung sind. Die Verordnung selbst ist umfangreich, weitreichend und relativ wenig spezifisch, was die Einhaltung der DSGVO vor allem für kleine und mittlere Unternehmen (KMU) relativ schwierig macht.

Hier findest Du den kompletten Gesetzestext

Dieser Post soll daher kein Ersatz für eine Rechtsberatung sein, aber er kann helfen zu verstehen, worauf man sich bei der Einhaltung der DSGVO konzentrieren muss.

Das Dokument ist sehr umfangreich. Hier ist die vollständige Verordnung. In diesem Artikel versuchen wir, das europäische Datenschutz- und Sicherheitsgesetz zu entmystifizieren und, so hoffen wir, KMUs, die sich um die Einhaltung derDSGVO sorgen, einige Tipps zu geben.

Die Geschichte der DSGVO

Das Recht auf Privatsphäre ist Teil der Europäischen Menschenrechtskonvention von 1950, in der es heißt: “Jeder hat das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.”

Auf dieser Grundlage hat die Europäische Union versucht, den Schutz dieses Rechts durch die Gesetzgebung zu gewährleisten.

Mit der rasanten Entwicklung des Internet erkannte die EU die Notwendigkeit eines zeitgemässen Schutzes. So verabschiedete sie 1995 die Europäische Datenschutzrichtlinie, die Mindeststandards für den Datenschutz und die Datensicherheit festlegte.

europäische Datenschutz und Sicherheitsgesetz

Das europäische Datenschutz- und Sicherheitsgesetz ist die Grundlag des Datenschutz Gesetze jedes Mitgliedsstaates. Doch schon damals entwickelte sich das Internet zu dem Datenkraken, der es heute ist.

  • Im Jahr 1994 sah man die ersten Werbebanner im Internet.
  • Im Jahr 2000 bot ein Großteil der Finanzinstitute Online Banking an.
  • Im Jahr 2006 eroberte Facebook das Netz.
  • Im Jahr 2011 verklagte eine Google Nutzerin das Unternehmen, weil es ihre E-Mails durchsuchte.
  • Zwei Monate danach erklärte die europäische Datenschutzbehörde, dass die EU einen “umfassenden Ansatz zum Schutz personenbezogener Daten” benötige, und die Arbeit an der Aktualisierung der Richtlinie von 1995 begann.
  • Die DSGVO trat 2016 in Kraft, nachdem sie vom Europäischen Parlament verabschiedet worden war.
  • Seit dem 25. Mai 2018 gilt es für alle Aktivitäten im Web..

Geltungsbereich und Sanktionen

  1. Erstens: Wenn man personenbezogene Daten von EU-Bürgern oder Einwohnern verarbeitet oder diesen Personen Waren oder Dienstleistungen anbietet, dann gilt die DSGVO, auch wenn sich der Anbieter nicht in der EU befindet.
  2. Zweitens sind die Bußgelder für Verstöße gegen das europäische Datenschutz- und Sicherheitsgesetz sehr hoch. Es gibt zwei Stufen von Strafen, die maximal 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen (je nachdem, welcher Betrag höher ist), und die Betroffenen haben das Recht, Schadensersatz zu verlangen.
europäische Datenschutz und Sicherheitsgesetz

Definition von Rechtsbegriffen

Die GSGVO definiert eine Reihe von Rechtsbegriffen ausführlich.

  • Personenbezogene Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen, die direkt oder indirekt identifiziert werden kann. Namen und E-Mail-Adressen sind offensichtlich personenbezogene Daten. Standortinformationen, ethnische Zugehörigkeit, Geschlecht, biometrische Daten, religiöse Überzeugungen, Web-Cookies und politische Meinungen können ebenfalls personenbezogene Daten sein. Pseudonyme Daten können ebenfalls unter die Definition fallen, wenn es relativ einfach ist, jemanden anhand dieser Daten zu identifizieren.
  • Datenverarbeitung
    Jede Aktion, die mit Daten durchgeführt wird, egal ob automatisiert oder manuell. Die im Text genannten Beispiele umfassen das Sammeln, Erfassen, Organisieren, Strukturieren, Speichern, Verwenden, Löschen… also im Grunde alles.
  • Datensubjekt
    Die Person, deren Daten verarbeitet werden. Dies sind Kunden oder Website-Besucher.
  • Datenverantwortlicher
    Die Person, die entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Das ist der Eigentümer oder ein Angestellter in einem Unternehmen, der Daten verarbeitet.
  • Datenverarbeiter
    Eine dritte Partei, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. Die DSGVO hat spezielle Regeln für diese Personen und Organisationen. Dazu können Cloud-Server oder E-Mail-Dienstleister gehören.
  • Grundsätze des Datenschutzes
    Wer Daten verarbeitet, muss dies nach sieben Schutz- und Rechenschaftsprinzipien tun, die in Artikel 5.1-2 beschrieben sind:
  • Rechtmäßigkeit, Fairness und Transparenz
    Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.
  • Zweckbindung
    Daten müssen für die legitimen Zwecke verarbeitet werden, die der betroffenen Person bei der Erhebung ausdrücklich mitgeteilt wurde.
  • Datenminimierung
    Man darf nur so viele Daten erheben und verarbeiten, wie für die angegebenen Zwecke unbedingt erforderlich sind.
  • Richtigkeit
    Personenbezogene Daten müssen richtig und auf dem neuesten Stand gehalten werden.
  • Speicherbegrenzung
    Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck erforderlich ist.
  • Integrität und Vertraulichkeit
    Die Verarbeitung muss so erfolgen, dass eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet ist (z. B. durch Verwendung von Verschlüsselung).
  • Rechenschaftspflicht
    Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die Einhaltung aller dieser Grundsätze der GDPR nachzuweisen.

Die GSGVO besagt, dass die für die Datenverarbeitung Verantwortlichen in der Lage sein müssen, die Einhaltung der GSGVO nachzuweisen.

Erforderliche Massnahmen

Deshalb sollte man eine detaillierte Dokumentation der Daten, die man sammelt, führen. Dazu gehören die Verwendung und die Speicherung, welcher Mitarbeiter dafür verantwortlich ist, usw.

Man ist verpflichtet, Daten sicher zu behandeln, indem man “angemessene technische und organisatorische Maßnahmen” ergreift.

  • Technische Maßnahmen reichen von der Forderung an Ihre Mitarbeiter, bei Konten, in denen personenbezogene Daten gespeichert sind, eine Zwei-Faktor-Authentifizierung zu verwenden, bis hin zum Abschluss von Verträgen mit Cloud-Anbietern, die eine geeignete Verschlüsselung verwenden.
  • Organisatorische Maßnahmen sind Dinge wie Mitarbeiterschulungen, Datenschutzrichtlinien oder die Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Mitarbeiter, die sie benötigen.

Im Falle einer Datenschutzverletzung hat man 72 Stunden Zeit, um die betroffenen Personen zu benachrichtigen, sonst drohen Strafen. Diese Benachrichtigungspflicht kann entfallen, wenn man technische Sicherheitsvorkehrungen, wie z. B. Verschlüsselung, verwendet, um Daten für einen Angreifer unbrauchbar zu machen.

Datenschutz durch Design und Standard

Von nun an muss alles, was in einer Organisation getan wird “by design and by default”, den Datenschutz berücksichtigt. Praktisch bedeutet dies, dass man die Datenschutzprinzipien bei der Gestaltung jedes neuen Produkts oder jeder neuen Aktivität berücksichtigen muss. Die Datenschutz-Grundverordnung behandelt dieses Prinzip in Artikel 25.

Wer zum Beispiel eine neue App entwickelt, muss darüber nachdenken, welche personenbezogenen Daten die App möglicherweise von den Nutzern erheben könnte, und dann überlegen, wie man die Datenmenge minimieren kann und wie man diese mit der neuesten Technologie sichern kann.

Wann man Daten verarbeiten darf

Artikel 6 listet die Fälle auf, in denen es legal ist, personenbezogene Daten zu verarbeiten.

Denke nicht einmal daran, die personenbezogenen Daten einer Person anzufassen

Sammele sie nicht, speichere sie nicht, verkaufe sie nicht an Werbetreibende.

Es sei denn, man kann es mit einem der folgenden Punkte rechtfertigen:

  • Die betroffene Person hat eine spezifische, eindeutige Einwilligung zur Verarbeitung der Daten gegeben. Dies ist etwa ein Doppel OptIn Eintrag in eine Mail-Liste.
  • Die Verarbeitung ist notwendig, um einen Vertrag, an dem die betroffene Person beteiligt ist, zu erfüllen oder dessen Abschluss vorzubereiten. (z. B. eine notwendige Hintergrundprüfung, bevor man eine Immobilie an einen Interessenten vermieten.)
  • Wenn Daten verarbeitet werden müssen, um einer Ihrer gesetzlichen Verpflichtungen nachzukommen.
  • Wenn an Daten verarbeiten muss, um das Leben von jemandem zu retten.
  • Die Verarbeitung ist notwendig, um eine Aufgabe im öffentlichen Interesse zu erfüllen oder um eine amtliche Funktion auszuüben.
  • Wenn man ein berechtigtes Interesse daran hat, die personenbezogenen Daten von jemandem zu verarbeiten. Dies ist die flexibelste Rechtsgrundlage, obwohl die “Grundrechte und -freiheiten der betroffenen Person” immer Vorrang vor Ihren Interessen haben, insbesondere wenn es sich um die Daten eines Kindes handelt.

Sobald man eine rechtmäßige Grundlage für Ihre Datenverarbeitung bestimmt hat, muss man diese Grundlage dokumentieren und die betroffene Person darüber informieren (Transparenz!). Wenn man sich später entscheidet, die Rechtfertigung zu ändern, ist ein guter Grund erforderlich. Diese Grund muss dokumentiert werden und die betroffene Person ist zu benachrichtigen.

Einwilligung

Es gibt strenge neue Regeln darüber, was eine Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten darstellt.

  • Die Einwilligung muss “frei gegeben, spezifisch, informiert und unzweideutig” sein.
  • Anfragen zur Einwilligung müssen “klar von den anderen Angelegenheiten unterscheidbar” sein und in “klarer und einfacher Sprache” präsentiert werden.
  • Betroffene können eine bereits erteilte Einwilligung jederzeit widerrufen, und Sie müssen ihre Entscheidung respektieren. Man kann die Rechtsgrundlage der Verarbeitung nicht einfach auf einen der anderen Rechtfertigungsgründe ändern.
  • Kinder unter 13 Jahren können ihre Einwilligung nur mit der Erlaubnis ihrer Eltern geben.
  • Man muss einen Nachweis über die Einwilligung aufbewahren.

Datenschutzbeauftragte

Entgegen der landläufigen Meinung muss nicht jeder Datenverantwortliche oder -verarbeiter einen Datenschutzbeauftragten (DSB) bestellen. Es gibt drei Bedingungen, unter denen man verpflichtet ist, einen DSB zu bestellen:

  1. Eine öffentliche Behörde mit Ausnahme eines Gerichts, das in richterlicher Funktion handelt.
  2. Wenn Kernaktivitäten es erfordern, dass man Personen systematisch und regelmäßig in großem Umfang überwacht wie etwa Google.
  3. Die Kerntätigkeiten ist die groß angelegte Verarbeitung von besonderen Datenkategorien, die in Artikel 9 der DSGVO aufgeführt sind, oder von Daten über strafrechtliche Verurteilungen und Straftaten, die in Artikel 10 genannt sind wie etwa bei einer Arztpraxis.

Man kann aber einen DSB benennen, auch wenn man nicht dazu verpflichtet ist.

Es hat Vorteile, jemanden in dieser Rolle zu haben. Zu den grundlegenden Aufgaben des DSB gehört es, die DSGVO zu verstehen und zu wissen, wie sie sich auf die Organisation auswirkt, die Mitarbeiter in der Organisation über ihre Verantwortlichkeiten zu beraten, Datenschutzschulungen durchzuführen, Audits durchzuführen und die Einhaltung der DSGVO zu überwachen sowie als Verbindungsperson zu den Aufsichtsbehörden zu dienen.

Die Rechte der Menschen auf Datenschutz

Sie sind ein Datenverantwortlicher und/oder ein Datenverarbeiter. Aber als eine Person, die das Internet nutzt, sind Sie auch eine betroffene Person. Die GDPR sieht eine Reihe neuer Datenschutzrechte für Datensubjekte vor, die darauf abzielen, Einzelpersonen mehr Kontrolle über die Daten zu geben, die sie an Organisationen verleihen. Als Organisation ist es wichtig, diese Rechte zu verstehen, um sicherzustellen, dass Sie DSGVO sind.

Eine Übersicht über die Datenschutzrechte der betroffenen Personen:

  • Das Recht, informiert zu werden
  • Das Recht auf Zugang
  • Das Recht auf Berichtigung
  • Das Recht auf Löschung
  • Das Recht auf Einschränkung der Verarbeitung
  • Das Recht auf Datenübertragbarkeit
  • Das Recht auf Widerspruch
  • Rechte in Bezug auf die automatisierte Entscheidungsfindung und das Profiling.

Schreibe einen Kommentar