Sicher, transparent, konform

Sicher, transparent, konform

Zehn wichtige Dinge, die Sie über die DSGVO wissen müssen

Die 10 am häufigsten gestellten Fragen zu der DSGVO 

Was ist die DSGVO?

Die DSGVO (oder Datenschutz-Grundverordnung) ist die neue Verordnung der Europäischen Union, die sowohl die Datenschutzrichtlinie (95/46/EG) als auch das britische Datenschutzgesetz (UK Data Protection Act 1998) ersetzen wird.

Durch diese Verordnung soll der Datenschutz für alle Personen innerhalb der Europäischen Union (EU) gestärkt und vereinheitlicht sowie der Export von personenbezogenen Daten außerhalb der EU geregelt werden.

Wann tritt die DSGVO in Kraft?

Die DSGVO tritt am 25. Mai 2018 in Kraft. Da es sich hierbei um eine EU-Verordnung, und nicht um eine Richtlinie (wie die Gesetzgebung, die durch sie ersetzt wird) handelt, tritt sie an diesem Datum automatisch in der gesamten EU in Kraft; die Verabschiedung eines eigenen Gesetzes durch die Mitgliedstaaten ist nicht erforderlich.

Wen betrifft die DSGVO?

Die DSGVO gilt für Unternehmen und Organisationen, die in der EU angesiedelt sind, sie betrifft jedoch auch Organisationen, die außerhalb der EU angesiedelt sind, wenn diese Waren oder Dienstleistungen anbieten, die personenbezogene Daten von betroffenen Personen der EU speichern.

Sie gilt für alle Unternehmen, die personenbezogene Daten von betroffenen Personen, die ihren Wohnsitz in der Europäischen Union haben, verarbeiten und führen, ungeachtet des Standorts des Unternehmens.

Für welche Art von Informationen gilt die DSGVO?

Ähnlich wie die Datenschutzrichtlinie (95/46/EG) und das britische Datenschutzgesetz (UK Data Protection Act 1998) gilt die DSGVO für personenbezogene Daten. Die aktuelle Datenschutzrichtlinie definiert personenbezogene Daten als alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person"). Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Diese Definition bleibt größtenteils unverändert, sie ist jetzt jedoch insofern detaillierter, als dass sie auch Online-Kennungen, wie IP-Adressen und E-Mail-Adressen, die ebenfalls als personenbezogene Daten kategorisiert werden, beinhaltet.

Weitere Informationen, auf die sich die DSGVO ebenfalls bezieht, sind sensible personenbezogene Daten. Diese sind als besondere Kategorien von personenbezogenen Daten, durch die eine Person eindeutig identifiziert wird, definiert. Hierunter fallen genetische und biometrische Daten.

Welche Verantwortungen haben Organisationen unter der DSGVO?

Wenn eine Organisation mit personenbezogenen Daten umgeht, hat die britische Datenschutzaufsichtsbehörde (Information Commissioner’s Office; ICO) Folgendes festgesetzt:

„Es wird von Ihnen erwartet, dass Sie umfangreiche, jedoch angemessene Kontrollmaßnahmen umsetzen. Hilfsmittel zur Sicherstellung von bewährten Praktiken, für die sich das ICO bereits seit langem einsetzt, wie beispielsweise Bewertungen der Auswirkungen auf den Datenschutz sowie durch Designmaßnahmen sichergestellter Datenschutz, sind jetzt unter bestimmten Umständen gesetzlich vorgeschrieben. Letztlich sollten diese Maßnahmen das Risiko von Verstößen auf ein Mindestmaß beschränken und den Schutz von personenbezogenen Daten aufrechterhalten. In der Praxis führt dies wahrscheinlich für Organisationen zu mehr Richtlinien und Verfahren, allerdings haben viele Organisationen vermutlich bereits Kontrollmaßnahmen eingerichtet.“

Was sind die wichtigsten Datenschutzgrundsätze der DSGVO?

Unter der DSGVO regeln die Datenschutzgrundsätze die wichtigsten Verantwortungen für Organisationen. Artikel 5 der DSGVO bestimmt, dass personenbezogene Daten:

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden müssen;
  • nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen;
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen;
  • sachlich richtig und auf dem neuesten Stand sein müssen;
  • in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist;
  • in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Welche Rechte haben Personen unter der DSGVO?

Personen haben 8 Grundrechte unter der DSGVO. Diese sind:

Informationsrecht Organisationen müssen eine nach Treu und Glauben erfolgende Verarbeitung bereitstellen, wobei nachvollziehbar sein muss, wie personenbezogene Daten verwendet werden.

Auskunftsrecht Personen haben das Recht, eine Bestätigung darüber zu verlangen, ob ihre Daten verarbeitet werden, und haben Recht auf Auskunft über ihre personenbezogenen Daten.

Recht auf Berichtigung Personen haben das Recht, die Berichtigung sie betreffender unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung Dieses wird auch als „Recht auf Vergessenwerden“ bezeichnet. Dieses Recht befähigt eine Person dazu, ohne Angabe eines bestimmten Grundes die Löschung oder Entfernung ihrer personenbezogenen Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung Dies bezieht sich auf das Recht einer Person, eine Sperrung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.

Recht auf Datenübertragbarkeit Dies gestattet Personen das Recht, Daten anzufragen, für ihre eigenen Zwecke zu erhalten oder in eine alternative IT-Umgebung zu übertragen.

Widerspruchsrecht Personen haben das Recht, gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Dies beinhaltet den Gebrauch von personenbezogenen Daten zur Betreibung von Direktwerbung, für wissenschaftliche oder historische Forschungszwecke oder zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe.

Rechte im Hinblick auf automatisierte Entscheidungen und Profiling Die DSGVO führt Schutzmechanismen ein, um Personen vor dem Risiko einer potenziell nachteiligen Entscheidung, die ohne menschliches Eingreifen getroffen wird, zu schützen.

Welche Sanktionen sind im Falle einer Nichterfüllung der DSGVO möglich?

Die DSGVO sieht gestaffelte Geldbußen vor, d. h. die auferlegte Geldbuße richtet sich nach der Schwere des Verstoßes.

Die maximale Geldbuße, die einem Unternehmen auferlegt werden kann, entspricht 4 % seines gesamten weltweit erzielten Jahresumsatzes oder € 20 Millionen, je nachdem, welcher der Beträge höher ist.

Weniger schwere Verstöße, wie beispielsweise unzureichende Aufzeichnungen oder das Versäumnis der Meldung von Verstößen, können mit einer Geldbuße in Höhe von 2 % des gesamten weltweit erzielten Jahresumsatzes oder € 10 Millionen, je nachdem, welcher der Beträge höher ist, bestraft werden.

Welche Auswirkung hat der Brexit auf die DSGVO?

Keine. Erstens tritt die DSGVO vor dem auf zwei Jahre festgesetzten Ausstiegstermin für den Brexit (April 2019) in Kraft; entsprechend ist die Verordnung auch für britische Firmen gültig. Zweitens müssen britische Firmen, die Waren oder Dienstleistungen an EU-Bürger liefern, die Verordnung auch nach Abschluss des Brexit-Prozesses einhalten.

Müssen alle Organisationen jetzt einen Datenschutzbeauftragten (DSB) ernennen?

Die Ernennung eines DSB ist nicht notwendigerweise für alle Organisationen verpflichtend. Dies hängt von einer Reihe von Faktoren ab. Laut dem ICO muss ein Unternehmen einen DSB ernennen, wenn es:

  • eine Behörde ist (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln)
  • umfangreiche systematische Überwachung von Personen durchführt, wie beispielsweise Verfolgung des Online-Verhaltens
  • umfangreiche Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten durchführt.

Jede Organisation kann einen DSB ernennen, wenn sie es möchte. Allerdings muss ein Unternehmen, selbst wenn es keinen DSB ernennt, weil die obigen Anforderungen nicht auf es zutreffen, trotzdem sicherstellen, dass es über ausreichendes Personal und ausreichende Fähigkeiten verfügt, um seinen Verpflichtungen unter der DSGVO nachzukommen.

Drucken E-Mail