Datenschutz

Was ist die DSGVO?

Die Allgemeine Datenschutzverordnung (GDPR/DSGVO) ist ein umfassendes Datenschutzgesetz, das am 25. Mai 2018 von der Europäischen Union (EU) erlassen wurde, um die Privatsphäre und persönlichen Daten von EU- und EWR-Bürgern zu schützen. Es schreibt Organisationen strenge Vorschriften vor, wie sie persönliche Daten sammeln, verarbeiten, speichern und übertragen, gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und verbessert Datenschutz und -sicherheit.

Übersicht DSGVO

• Recht: Datenschutz-Grundverordnung
• Region: Europäischer Wirtschaftsraum
• Unterzeichnet am: 14-04-2016
• Datum des Inkrafttretens: 25-05-2018
• Branche: Unternehmen bieten EU-Bürgern Produkte oder Dienstleistungen an

Personenbezogene Daten im Rahmen der DSGVO

Als personenbezogene Daten gelten nach der DSGVO alle Informationen, die eine Person direkt (Name, ID) oder indirekt (Standortdaten, Online-Kennungen) identifizieren. Auch scheinbar anonyme Daten können personenbezogen sein, wenn sie anhand anderer Informationen reidentifizierbar sind.

Direkte Kennungen: Name, Adresse, Telefonnummer, E-Mail-Adresse, Identifikationsnummer (z. B. Sozialversicherungsnummer, Passnummer).

Indirekte Kennungen: Standortdaten (IP-Adresse, GPS-Koordinaten), Online-Kennungen (Benutzernamen, Cookies), Gesundheitsdaten, genetische Daten, biometrische Daten (Fingerabdrücke, Gesichtserkennung), wirtschaftliche, kulturelle oder soziale Identitätsinformationen usw.

Die Allgemeine Datenschutzverordnung (GDPR/DSGVO) besteht aus mehreren Schlüsselkomponenten, die die Grundlage seines umfassenden Datenschutzrahmens bilden. Zu diesen Komponenten gehören:

• Rechtsgrundlage für die Bearbeitung
• Rechte der betroffenen Person
• Rechenschaftspflicht und Governance
• Datenschutzgrundsätze
• Datensicherheitsmaßnahmen
• Benachrichtigung über Datenschutzverletzungen
• Grenzüberschreitende Datenübertragung
• Datenschutz-Folgenabschätzungen (DPIAs)
• Aufsichtsbehörden und Durchsetzung

Datenschutzgrundsatz

Diese Grundsätze bilden die Grundlage der DSGVO und legen fest, wie mit personenbezogenen Daten umgegangen werden soll:

• Rechtmäßigkeit, Fairness und Transparenz: Bei der Datenverarbeitung müssen die Grundsätze der Rechtmäßigkeit, Fairness und Transparenz gegenüber dem Einzelnen eingehalten werden.
• Zweckbegrenzung: Die Informationen müssen für eindeutige, klare und rechtmäßige Zwecke gesammelt werden.
• Datenminimierung: Es dürfen nur die für den jeweiligen Zweck erforderlichen Mindestdaten erhoben werden.
• Genauigkeit: Die Genauigkeit der Daten hat höchste Priorität und regelmäßige Aktualisierungen sind, sofern erforderlich, unerlässlich.
• Speicherbeschränkung: Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist.
• Integrität und Vertraulichkeit: Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen.
• Rechenschaftspflicht: Die Organisation gewährleistet die Einhaltung aller DSGVO-Grundsätze.

Rechte nach der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gewährt Einzelpersonen mehrere Datenschutzrechte, die ihnen mehr Kontrolle über ihre Daten geben. Zu diesen Rechten gehören:

• Recht auf Zugang: Einzelpersonen können von Organisationen eine Bestätigung darüber erhalten, ob ihre Daten verarbeitet werden. Ist dies der Fall, haben sie Zugriff auf diese Daten sowie auf relevante Informationen zur Verarbeitung.
• Recht auf Berichtigung: Einzelpersonen können die Korrektur ungenauer oder unvollständiger personenbezogener Daten verlangen, die von Organisationen gespeichert werden, um sicherzustellen, dass ihre Informationen aktuell und genau bleiben.
• Recht auf Löschung (Recht auf Vergessenwerden): Einzelpersonen können unter bestimmten Umständen die Löschung von Daten verlangen, etwa wenn die Daten für ihren ursprünglichen Zweck nicht mehr erforderlich sind oder wenn sie ihre Einwilligung widerrufen.
• Recht auf Datenübertragbarkeit: Einzelpersonen können die Übertragung ihrer Daten von einer Organisation zu einer anderen in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format anfordern, was einen müheloseren Transfer zwischen Dienstanbietern ermöglicht.
• Recht auf Einschränkung der Verarbeitung: Einzelpersonen haben das Recht, die Verarbeitung ihrer Daten unter bestimmten Bedingungen einzuschränken, beispielsweise wenn sie die Richtigkeit der Daten bestreiten oder ihrer Verarbeitung widersprechen.
• Widerspruchsrecht: Einzelpersonen können der Datenverarbeitung zu bestimmten Zwecken, wie etwa Direktmarketing oder der Verarbeitung auf der Grundlage berechtigter Interessen widersprechen, es sei denn, die Organisation kann zwingende Gründe nachweisen, die ihre Interessen oder Rechte überwiegen.
• Rechte auf automatisierte Entscheidungsfindung und Profilerstellung: Einzelpersonen haben das Recht, Entscheidungen zu vermeiden, die ausschließlich auf automatisierter Verarbeitung oder Profilerstellung beruhen. Ausnahmen bestehen, wenn solche Entscheidungen für vertragliche Verpflichtungen oder mit ausdrücklicher Zustimmung erforderlich sind.

Wer muss die DSGVO einhalten?

Obwohl die Datenschutz-Grundverordnung (DSGVO) für eine Vielzahl von Organisationen gilt, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe, ihrem Standort oder ihrer Branche, gilt sie nicht für alle. Anwendungsfälle ihrer Umsetzung erstrecken sich über verschiedene Branchen und Sektoren, darunter Gesundheitswesen, Finanzen und Banken, Einzelhandel und E-Commerce, Technologie und ihre Dienste, Telekommunikation, Marketing und Werbung, Bildung, Regierung und öffentlicher Sektor, Fertigung und Industrie, Transport und Logistik usw. Sie gilt im Allgemeinen für:

• In der EU/im EWR ansässige Organisationen
• Nicht-EU-Organisationen, die EU-/EWR-Daten verarbeiten.

Ausnahmen

Es gibt einige Ausnahmen von der Anwendbarkeit der DSGVO, beispielsweise die Verarbeitung personenbezogener Daten für persönliche oder familiäre Aktivitäten. Diese Ausnahmen sind jedoch eng definiert und es ist am besten, in bestimmten Situationen einen Rechtsberater zu konsultieren.

Regulatorische Risiken

Die DSGVO sieht zwei Stufen von Bußgeldern vor, die sich nach der Schwere des Verstoßes richten:

Stufe 1: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) für Verstöße wie

• Keine ordnungsgemäße Aufzeichnung der Verarbeitungstätigkeiten.
• Fehlende Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit.
• Bei Bedarf wird kein Datenschutzbeauftragter ernannt.
• Unterlassene Durchführung von Datenschutz-Folgenabschätzungen (sofern erforderlich).
• Unterlassene Benachrichtigung der Aufsichtsbehörden oder der betroffenen Personen über eine Datenschutzverletzung.

Stufe 2: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) für schwerwiegendere Verstöße, einschließlich:

• Zu den Verstößen gegen die Grundprinzipien der Datenverarbeitung zählen beispielsweise das Fehlen einer Rechtsgrundlage für die Verarbeitung, das Unterlassen einer Einwilligung oder die Verarbeitung von Daten über den angegebenen Zweck hinaus.
• Verarbeitung sensibler personenbezogener Daten ohne entsprechende Schutzmaßnahmen oder Einwilligung.
• Nichterfüllung von Anfragen betroffener Personen hinsichtlich ihrer Rechte, wie etwa Zugriff, Berichtigung, Löschung oder Datenübertragbarkeit.
• Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ohne angemessene Garantien oder Rechtsgrundlage.
• Verstoß gegen die Voraussetzungen für die Einholung einer gültigen Einwilligung zur Datenverarbeitung.
• Missachtung von Anordnungen oder Sanktionen der Aufsichtsbehörden.

Compliance-Behörde für die DSGVO:

Die Verantwortung für die Einhaltung der Datenschutz-Grundverordnung (DSGVO) liegt in erster Linie bei den Aufsichtsbehörden der einzelnen Mitgliedstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR). Beispiele für Aufsichtsbehörden sind:

• Information Commissioner's Office (ICO) – Vereinigtes Königreich
• Französische Datenschutzbehörde (CNIL)
• Datenschutzkommission (DPC) in Irland
• Autoriteit Persoonsgegevens (AP) in den Niederlanden
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Darüber hinaus sorgt der Europäische Datenschutzausschuss (EDSA) für eine einheitliche Anwendung des Rechts in der gesamten EU/im EWR. Der EDSA bietet Orientierung, gibt Stellungnahmen und Empfehlungen ab und schlichtet Streitigkeiten zwischen Aufsichtsbehörden.

Wie vermeidet man Bußgelder gemäß DSGVO?

Unternehmen können das Risiko hoher Geldbußen minimieren, indem sie proaktive Schritte zur Einhaltung der DSGVO unternehmen, wie zum Beispiel

• Durchführen von Datenmapping und Gap-Analyse
• Implementierung geeigneter technischer und Sicherheitsmaßnahmen wie Datenmaskierung
• Einholung einer ausdrücklichen Einwilligung zur Datenverarbeitung
• Schnelle und effiziente Bearbeitung von Anfragen betroffener Personen
• Meldung von Datenschutzverletzungen innerhalb vorgeschriebener Fristen
• Rechtsberatung zu Datenschutzbestimmungen einholen

Zusammenfassend lässt sich sagen, dass die Compliance-Befugnis für die Datenschutz-Grundverordnung (DSGVO) bei den Aufsichtsbehörden jedes Mitgliedstaats der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) liegt. Diese Behörden spielen eine entscheidende Rolle bei der Überwachung und Durchsetzung der DSGVO-Konformität in ihren Zuständigkeitsbereichen und gewährleisten den Schutz der Daten von Einzelpersonen. Während die Aufsichtsbehörden die Hauptverantwortung für die Durchsetzung tragen, müssen Organisationen auch interne Compliance-Bemühungen priorisieren, um Datenschutzstandards einzuhalten, Geldbußen zu vermeiden und das Vertrauen der Stakeholder zu wahren.

FAQ