Was ist die DSGVO und wofür steht die? DSGVO steht für „Datenschutz-Grundverordnung“ (Verordnung (EU) 2016/679) und legt in ihrer grundlegendsten Form fest, wie personenbezogene Daten rechtmäßig verarbeitet werden sollten (einschließlich der Art und Weise, wie sie im Allgemeinen erfasst, verwendet und geschützt werden, oder wie mit ihnen umgegangen wird).
Damit soll der Datenschutz für alle Personen gestärkt werden, deren personenbezogene Daten in den Geltungsbereich der DSGVO fallen. Die Kontrolle über diese Daten soll wieder in ihre Hände gelegt werden.
Personenbezogene Daten im Sinne der DSGVO sind alle Daten, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Dazu gehören auch Informationen, die, wenn diese erfasst werden, zur Identifizierung einer Person führen können.
Dies gilt auch für Daten, die pseudonymisiert oder verschlüsselt wurden, solange die Verschlüsselung/Anonymisierung umkehrbar ist. Dies bedeutet, bezüglich der Erfüllung der datenschutzrechtlichen Verpflichtungen, dass die Entschlüsselungscodes getrennt von den pseudonymisierten Daten aufbewahrt werden müssen.
Beispiele für personenbezogene Daten sind unter anderem grundlegende Identitätsdaten wie Namen; medizinische, genetische und biometrische Daten; sowie Webdaten wie IP-Adressen, persönliche E-Mail-Adressen, politische Meinungen und Daten zur sexuellen Orientierung.
Beispiele für nicht-personenbezogene Daten sind Firmenregistrierungsnummern, universelle E-Mail-Adressen von Unternehmen, wie z.B. info@company.com, und anonymisierte Daten.
Beispielsweise kann eine Internetfirma Nutzerinformationen über Ihre Website erfassen und über einen Cloud-Service eines Drittanbieters speichern. In diesem Szenario ist die Internetfirma der Verantwortliche und die Organisation, die den Cloud-Service betreibt, ist der Auftragsverarbeiter.
Die DSGVO gilt dort, wo:
Dieser Anwendungsbereich erstreckt sich effektiv auf fast alle Unternehmen und bedeutet daher, dass das die DSGVO auf Sie anwendbar ist, unabhängig davon, ob Ihre Organisation ihren Sitz in der EU hat oder nicht. Tatsächlich hat diese PwC-Umfrage (auf Englisch) gezeigt, dass die DSGVO für bis zu 92 Prozent der befragten US-Unternehmen höchste Priorität beim Datenschutz hat.
Ein weit verbreiteter Irrglaube ist, dass nur Nutzer aus der EU unter dem Schutz der DSGVO fallen. Die DSGVO gilt jedoch auch für Nutzer außerhalb der EU, wenn der Verantwortliche in der EU ansässig ist. Wenn Sie also ein Verantwortlicher in der EU sind, müssen Sie die Anforderungen der DSGVO grundsätzlich auf ALLE Ihre Nutzer anwenden.
Die DSGVO wurde am 25. Mai 2018 vollständig in Kraft gesetzt.
Die Bedingungen für die Anwendbarkeit der DSGVO sind in den DSGVO-Artikeln 2 & 3 aus materieller und geographischer Sicht festgelegt. Um festzustellen, ob eine bestimmte Datenverarbeitungstätigkeit von dem Geltungsbereich der DSGVO ausgenommen ist, müssen wir beide Aspekte berücksichtigen.
Der materielle Geltungsbereich der DSGVO gilt für die Verarbeitung personenbezogener Daten. Sie gilt daher nicht für Firmendaten, wie z.B. Firmenname und Adresse. Seien Sie hier jedoch vorsichtig, da normalerweise „natürliche Personen“ in einem Unternehmen arbeiten, würden alle Daten, die sich auf diese beziehen, als „personenbezogen“ gelten, unabhängig davon, ob sie in einem Business-to-Customer (B2C)- oder Business-to-Business (B2B)-Kontext erfasst werden.
Darüber hinaus würden personenbezogene Daten nicht in den Geltungsbereich der DSGVO fallen, sofern:
Praktisch gesehen ist die einzige bedeutende Ausnahme die letztere: Wenn Sie beispielsweise die personenbezogenen Daten Ihrer Freunde für Ihr eigenes persönliches Telefonbuch erfassen, sind Sie nicht an die DSGVO gebunden.
Zusätzlich und unabhängig von den oben genannten Punkten haben wir bereits erwähnt, unter welchen Bedingungen die DSGVO aus geografischer Sicht Gültigkeit hat, oder mit anderen Worten der territoriale Geltungsbereich der DSGVO.
Damit eine Datenverarbeitungsaktivität nicht der DSGVO unterliegt, muss Folgendes kumulativ gelten:
Sehen wir uns einige praktische Beispiele an:
Nach der DSGVO kann eine Datenverarbeitung nur dann erfolgen, wenn es dafür mindestens eine rechtliche Grundlage gibt.
Die rechtlichen Grundlagen sind:
Organisationen müssen eine überprüfbare Einwilligung von Nutzern einholen.
In Bezug auf die Einwilligung für Kinder (auf Englisch) müssen Unternehmen die nachprüfbare Einwilligung eines Elternteils oder Erziehungsberechtigten einholen, es sei denn, es handelt sich bei dem angebotenen Dienst um einen Präventiv- oder Beratungsdienst. Unternehmen müssen sich angemessen bemühen zu prüfen (unter Verwendung der verfügbaren Technologie), ob die Person, die die Einwilligung erteilt, tatsächlich die elterliche Verantwortung für das Kind trägt.
Im Allgemeinen dürfen Unternehmen bei der Einholung der Einwilligung zur Datenverarbeitung keine übermäßig komplizierten oder nicht entzifferbaren Begriffe verwenden. Dazu gehören Rechtssprache und unnötiger Jargon. Dies deutet darauf hin, dass Begriffe und Datenschutzerklärungen leserlich dargelegt werden sollten (siehe hier unser Exemplar), wobei eine verständliche Sprache und Klauseln verwendet werden sollten, so dass sich die Nutzer voll und ganz darüber im Klaren sind, wozu sie ihre Einwilligung geben und was die Konsequenzen ihrer Einwilligung sind.
Die Verordnung verbietet ausdrücklich vorab angekreuzte Kästchen
Unternehmen müssen über den Zweck der Datenerfassung transparent sein, und die Einwilligung sollte „explizit und freiwillig erteilt“ werden. Dies bedeutet, dass der Mechanismus zur Einholung der Einwilligung eindeutig sein und eine klare „Opt-In“-Aktion beinhalten muss (die Verordnung verbietet ausdrücklich vor angekreuzte Kästchen und ähnliche „Opt-Out“-Mechanismen). Die Verordnung gibt auch ein spezifisches Recht an, die Einwilligung zu widerrufen; es muss daher genauso einfach sein, die Einwilligung zu widerrufen, wie sie zu erteilen.
Da die Einwilligung gemäß der DSGVO eine sehr wichtige Angelegenheit ist, ist es zwingend erforderlich, dass Sie ein klares Verzeichnis führen und nachweisen können, dass der Nutzer seine Einwilligung gegeben hat; sollten Probleme auftreten, liegt die Beweislast beim Verantwortlichen, so dass es von entscheidender Bedeutung ist, genaue Verzeichnisse zu führen.
Die Dokumente sollten Folgendes enthalten:
Nachstehend finden Sie ein Beispiel für eine vorschriftsmäßiges Verzeichnis im Vergleich zu einem nicht vorschriftsmäßigen Verzeichnis:
| Nicht-konforme Verzeichnisse | Konforme Verzeichnisse |
|---|---|
| Einfach eine Tabelle zu führen, auf der die Namen der Kunden aufgeführt sind und ob eine Einwilligung erteilt wurde oder nicht | Stellen Sie sicher, dass Sie eine Kopie des vom Nutzer unterzeichneten und datierten Formulars aufbewahren, aus dem hervorgeht, welche Maßnahmen der Nutzer ergriffen hat, um der spezifischen Datenverarbeitung seine Einwilligung zu erteilen. |
| Einfach die Zeit und das Datum der Einwilligung mit einer IP-Adresse verknüpfen, mit einem Web-Link zu Ihrem aktuellen Datenerfassungsformular und Ihrer Datenschutzerklärung. | Führen umfassender Verzeichnisse, die eine Nutzer-ID und die erfassten Daten, einschließlich eines Zeitstempels, enthalten. Sie bewahren auch eine Kopie der Version des Datenerfassungsformulars und aller anderen relevanten Dokumente auf, die an diesem Datum benutzt wurden. |
Gültige Verzeichnisse zu führen ist zwar obligatorisch, kann aber eine technische Herausforderung darstellen. Unsere Consent Solution vereinfacht diesen Prozess und macht es Ihnen leicht, Ihre aufgezeichneten Einwilligungen einzusehen, zu verwalten und zu exportieren. Sie können hier mehr darüber lesen.
Hinweis zur Einwilligung: Dies ist nicht die einzige rechtliche Grundlage, die ein Unternehmen für die Verarbeitung von Nutzerdaten wählen kann; es ist nur eine der „Rechtsgrundlagen“, daher können Unternehmen in einigen Fällen andere rechtliche Grundlagen (im Rahmen der DSGVO) für eine Datenverarbeitungstätigkeit anwenden. Die Entscheidung, ob eine andere rechtliche Grundlage für Ihre Datenverarbeitung gilt oder nicht, sollte jedoch am besten mit einem Anwalt getroffen werden. Abgesehen davon wird es immer Datenverarbeitungsaktivitäten geben, bei denen die Einwilligung die einzige, beste oder sicherste Option ist.
Ein weiteres EU-Gesetz, das hier erwähnt werden sollte, ist die ePrivacy-Richtlinie (auch bekannt als die EU-Cookie-Richtlinie). Dieses Gesetz gilt nach wie vor, da es durch die DSGVO nicht aufgehoben wurde. In Zukunft wird die ePrivacy-Richtlinie durch die ePrivacy-Verordnung ersetzt werden und als solche neben der DSGVO funktionieren. Man geht davon aus, dass die kommende Verordnung weiterhin die gleichen Werte wie die Richtlinie aufrechterhalten wird.
Das Cookie-Gesetz erfordert die sachkundige Einwilligung des Nutzers, bevor Cookies auf dem Gerät des Nutzers gespeichert und verfolgt werden können. Mehr über das Cookie-Gesetz können Sie hier lesen.
Das Cookie-Gesetz erfordert die sachkundige Einwilligung des Nutzers, bevor Cookies auf seinem Gerät gespeichert und verfolgt werden können.
Unternehmen müssen den Nutzern Informationen (auf Englisch) über die von ihnen ausgeführten Datenverarbeitungsaktivitäten zur Verfügung stellen. Solche Informationen sollten zu dem Zeitpunkt bereitgestellt werden, zu dem personenbezogene Daten erhoben werden, in der Regel über einen Datenschutzhinweis/ eine Datenschutzerklärung. Die Informationen müssen prägnant, transparent, verständlich, leicht zugänglich, in klarer und verständlicher Sprache geschrieben (insbesondere, wenn sie an ein Kind gerichtet sind) und kostenlos sein.
Werden die Daten von dem tatsächlichen Nutzer, auf den sie sich beziehen, erfasst, dann müssen ihm zum Zeitpunkt der Datenerfassung Datenschutzinformationen zur Verfügung gestellt werden. Werden die personenbezogenen Daten jedoch von einer anderen Quelle als dem individuellen Nutzer, auf den sie sich beziehen, bezogen, dann müssen dem Nutzer innerhalb einer „angemessenen Frist“ nach der Datenerfassung Datenschutzinformationen zur Verfügung gestellt werden. Diese Frist kann in der Regel nicht länger als einen Monat betragen; wenn Sie die Daten zur Kommunikation mit dem Nutzer verwenden, muss die Bekanntgabe spätestens dann erfolgen, wenn die erste Kommunikation stattfindet.
Die Nutzer haben das Recht auf Zugriff auf ihre personenbezogenen Daten und Informationen (auf Englisch) darüber, wie ihre personenbezogenen Daten verarbeitet werden. Wenn der Nutzer dies verlangt, müssen der Verantwortliche eine Übersicht über die Kategorien der zu verarbeitenden Daten, eine Kopie der tatsächlichen Daten und Details über die Datenverarbeitung zur Verfügung stellen. Die Einzelheiten sollten den Zweck enthalten, wie die Daten beschafft wurden und mit wem sie geteilt wurden.
Zudem muss das Unternehmen der Person, die den Antrag stellt, kostenlos eine Kopie ihrer personenbezogenen Daten zur Verfügung stellen (für weitere Kopien kann eine angemessene Gebühr erhoben werden). Die angeforderten Daten müssen der Person ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach Erhalt des Antrags zur Verfügung gestellt werden. Die genaue Anzahl der Tage, die die Organisation einem Antrag nachkommen muss, hängt von dem Monat ab, in dem der Antrag gestellt wurde.
Das Recht auf Datenzugriff ist eng mit dem Recht auf Datenübertragbarkeit verbunden, aber diese beiden Rechte sind nicht identisch. Es ist daher wichtig, dass in Ihrer Datenschutzerklärung eine klare Unterscheidung zwischen den beiden Rechten getroffen wird.
Nutzer haben das Recht, ihre personenbezogenen Daten berichtigen zu lassen, wenn sie ungenau oder unvollständig sind. Dieses Recht setzt auch voraus, dass die Berichtigung allen Dritten, die an der Verarbeitung der fraglichen Daten beteiligt sind, mitgeteilt werden muss – es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Verlangen des Nutzers muss das Unternehmen den Nutzer auch über diese Drittanbieter informieren.
Anträge können um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. Die Anträge müssen ohne unnötige Verzögerung, spätestens jedoch innerhalb eines Monats nach Erhalt bearbeitet werden.
In den meisten Fällen müssen Unternehmen einem Antrag auf Berichtigung ohne Berechnung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ verlangt werden, um dem Antrag nachzukommen oder die Bearbeitung des Antrags abzulehnen. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert (auf Englisch) werden.
Gemäß der DSGVO, haben die Nutzer das Recht, gegen bestimmte vom Verantwortlichen durchgeführte Verarbeitungsaktivitäten in Bezug auf ihre persönlichen Daten Einspruch zu erheben. Kurz gesagt, der Nutzer kann der Verarbeitung seiner Daten widersprechen, wenn die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen oder auf der Erfüllung einer Aufgabe im öffentlichen Interesse/der Ausübung öffentlicher Gewalt oder für Zwecke der wissenschaftlichen/historischen Forschung und Statistik basiert. Der Nutzer muss seinen Widerspruch begründen, es sei denn, die Verarbeitung erfolgt zu Zwecken der Direktwerbung; in diesem Fall ist keine Begründung für die Ausübung dieses Rechts erforderlich.
Wenn ein Einspruch gegen die Verarbeitung personenbezogener Daten eingeht und es keinen Grund zur Ablehnung gibt, muss die Verarbeitung eingestellt werden. Während die Datenverarbeitung (einschließlich der Speicherung) für die speziellen Verarbeitungsaktivitäten, gegen die Einspruch erhoben wurde, eingestellt werden muss, ist eine Löschung möglicherweise nicht angebracht. Dies ist dann der Fall, wenn die Daten für andere Zwecke (einschließlich der Erfüllung gesetzlicher oder vertraglicher Verpflichtungen) verarbeitet werden und für diese Zwecke aufbewahrt werden müssen.
Anträge müssen ohne unnötige Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Sie können um weitere zwei Monate verlängert werden, wenn es sich um ein komplexes Anliegen handelt oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.
In den meisten Fällen müssen Unternehmen einem Einspruch (bei dem es keine Gründe für eine Ablehnung gibt) nachkommen, ohne eine Gebühr zu erheben. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.
Nutzer haben das Recht, ihre personenbezogenen Daten (in ein maschinenlesbares Format) zu erhalten, um sie von einem Verantwortlichen an einen anderen übertragen werden, ohne dass der Auftragsverarbeiter sie daran hindert. Sowohl „bereitgestellte“ als auch „überwachte“ Daten fallen unter diese Regel. Dieses Recht gilt nur für personenbezogene Daten und gilt daher nicht für wirklich anonyme Daten (Daten, die nicht auf die Person zurückgeführt werden können).
Anträge müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.
In den meisten Fällen müssen Unternehmen einem Antrag ohne Berechnung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.
Wenn Daten für ihren ursprünglichen Zweck nicht mehr relevant sind, oder wenn Nutzer ihre Einwilligung zurückgezogen haben oder personenbezogene Daten unrechtmäßig verarbeitet wurden, haben die Nutzer das Recht zu verlangen, dass ihre Daten gelöscht und jegliche Weitergabe eingestellt wird. Diesen Anträgen ist unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags nachzukommen.
Anträge können um weitere zwei Monate verlängert werden, wenn sie komplex sind oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Eingang des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.
Das Recht auf Löschung kann verweigert werden:
Nutzer haben das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, wenn:
Die Einschränkung muss allen an der Verarbeitung der fraglichen Daten beteiligten Drittempfängern mitgeteilt werden – es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Wunsch des Nutzers muss das Unternehmen den Nutzer auch über diese Drittempfänger informieren.
Anträge müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Sie können um weitere zwei Monate verlängert werden, wenn es sich um ein komplexes Anliegen handelt oder wenn von der betreffenden Person zahlreiche Anfragen eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.
In den meisten Fällen müssen Unternehmen einem Antrag ohne Erhebung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „eindeutig unbegründet oder übertrieben“ herausstellt, kann eine „angemessene Gebühr“ verlangt werden, um dem Antrag nachzukommen, oder der Antrag kann abgelehnt werden. In beiden Fällen muss die Entscheidung legitim begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person unverzüglich und innerhalb eines Monats nach Erhalt des Antrags mit einer Begründung informiert werden.
Nutzer haben das Recht, nicht einer Entscheidung unterworfen zu werden, wenn diese auf einer automatisierten Verarbeitung oder Profilerstellung beruht und eine rechtliche oder ähnlich bedeutende Auswirkung auf den Nutzer hat.
Unternehmen können automatisierte Entscheidungsprozesse nur dann durchführen, wenn sie für die Erfüllung eines Vertrags erforderlich sind, wenn sie durch das auf den Verantwortlichen anwendbare Recht der EU-Staaten autorisiert sind, wenn sie keine rechtlichen oder ähnlich bedeutsamen Auswirkungen auf den Nutzer haben oder wenn sie auf der ausdrücklichen Einwilligung des Einzelnen beruhen. Sie können automatisierte Entscheidungen auf der Grundlage von Daten einer besonderen Kategorie (auf Englisch) nur mit ausdrücklicher Einwilligung des Nutzers oder aus Gründen eines erheblichen öffentlichen Interesses treffen.
Die DSGVO erlaubt Datentransfers von in der EU ansässigen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann, wenn die festgelegten Bedingungen eingehalten werden. Unter diesen Bedingungen muss das Land oder die Region, in das die Daten übermittelt werden, über ein „angemessenes“ Niveau des Schutzes personenbezogener Daten nach EU-Standards verfügen, oder, wenn dies nicht als angemessen erachtet wird, können Datenübertragungen unter Verwendung von Standardvertragsklauseln (SCCs) oder verbindlichen Unternehmensregeln (BCRs) dennoch erlaubt werden.
Laut der DSGVO sind Datentransfers von in der EU ansässigen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann zulässig, wenn die festgelegten Bedingungen eingehalten werden.
In Bezug auf die Datenübertragung in die USA, erfordern alle Transfers, dass eine fundierte Einwilligung des Nutzers vorliegt (in diesem Fall muss die Einwilligung auf der Grundlage ausreichend präziser Informationen erteilt werden, einschließlich Informationen über den mangelnden Schutz im Drittland).
Der Datenschutz sollte von Anfang an in die Gestaltung und Entwicklung der Geschäftsprozesse und der Infrastruktur einbezogen werden. Dies bedeutet, dass die Datenschutzeinstellungen standardmäßig auf „hoch“ gesetzt und Maßnahmen ergriffen werden sollten, um sicherzustellen, dass der Verarbeitungszyklus der Daten den Anforderungen der DSGVO entspricht.
Der Verantwortliche muss die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er von der Verletzung Kenntnis erlangt hat, benachrichtigen. Wenn die Verarbeitung von einem Auftragsverarbeiter im Auftrag des Verantwortlichen durchgeführt wird, muss dieser den Verantwortlichen sofort nach Kenntnisnahme davon benachrichtigen. Nach dieser Regel müssen auch die Nutzer (innerhalb desselben Zeitrahmens) über die Verletzung informiert werden, es sei denn, die verletzten Daten wurden durch Verschlüsselung geschützt (Daten, die für den Eindringling unlesbar gemacht wurden). Alternativ dazu ist es generell unwahrscheinlich, dass die Verletzung zu einer Gefährdung der Rechte und Freiheiten des Einzelnen führt. In jedem Fall sollte der Verantwortliche Verzeichnisse über die aufgetretenen Verstöße führen, um die Erfüllung der Anforderungen nachweisen zu können.
Der Datenschutzbeauftragte (DSB) ist eine Person mit Fachkenntnissen im Datenschutzrecht, zu dessen Aufgaben es gehört, den Verantwortlichen oder den Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Anforderungen der DSGVO zu unterstützen und die Datenschutzstrategie und -umsetzung zu überwachen. Der Datenschutzbeauftragte sollte sich auch mit der Verwaltung von IT-Prozessen, der Datensicherheit und anderen kritischen Fragen im Zusammenhang mit der Verarbeitung personenbezogener und sensibler Daten auskennen.
Die DSGVO verlangt die Ernennung eines Datenschutzbeauftragten insbesondere in den folgenden Fällen:
Die Ernennung eines Datenschutzbeauftragten richtet sich daher nicht nur nach der tatsächlichen Zahl der Mitarbeiter, sondern nach dem Wesen der Datenverarbeitungstätigkeit. Falls Ihr Unternehmen nicht in diese Kategorien fällt, ist es nicht zwingend erforderlich, einen Datenschutzbeauftragten zu ernennen.
Die DSGVO verlangt, dass sowohl die Verantwortlichen als auch die Auftragsverarbeiter „vollständige und umfassende“ aktuelle Verzeichnisse (auf Englisch) über die von ihnen ausgeführten besonderen Datenverarbeitungsaktivitäten führen und aufbewahren.
Vollständige und umfangreiche Verzeichnisse über die Datenverarbeitung werden ausdrücklich in den Fällen verlangt, in denen die Datenverarbeitungsaktivitäten:
Dies betrifft effektiv fast alle Verantwortlichen und Auftragsverarbeiter.
Das Verzeichnis der Datenverarbeitungsaktivitäten muss in schriftlicher Form erfolgen. Zwar sind sowohl Papier- als auch elektronische Formulare akzeptabel, doch empfiehlt es sich, die Verzeichnisse auf elektronischem Wege zu führen, um einfache Änderungen zu ermöglichen.
Die Verzeichnisse des Verantwortlichen sollten Folgendes beinhalten:
Verzeichnisse des Auftragsverarbeiters sollten enthalten:
Auch wenn Ihre Datenverarbeitungsaktivitäten in irgendeiner Weise über die oben genannten Situationen hinausgehen, müssen sie aufgrund Ihrer Informationspflichten gegenüber den Nutzern (Artikel 13 & 14 ) grundlegende Verzeichnisse darüber führen, welche Daten Sie sammeln, welchen Zweck sie verfolgen, welche Parteien an der Verarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden müssen – dies ist für alle obligatorisch.
Sie werden vielleicht feststellen, dass es in der Tat recht nützlich ist, regelmäßige Informationsprüfungen darüber durchzuführen, welche Daten in Ihrem Unternehmen gespeichert sind, da diese Praxis Ihnen nicht nur hilft, Ihren Dokumentationspflichten problemlos nachzukommen, sondern es Ihnen auch erleichtert, Ihre Datenverarbeitungsprozesse zu überprüfen und zu optimieren.
Auch unser Verzeichnis von Datenverarbeitungstätigkeiten ist hier sehr nützlich, da sie den technischen Prozess der Erstellung und Verwaltung Ihrer Verzeichnisse über Datenverarbeitungsaktivitäten ERHEBLICH vereinfacht. Lesen Sie hier mehr darüber, wie sie helfen kann, oder gehen Sie hier direkt zum Einrichtungsleitfaden und -video.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, der Unternehmen dabei hilft, die DSGVO wirksam einzuhalten und sicherzustellen, dass die Grundsätze der Rechenschaftspflicht, des „privacy by design“ und des „privacy by default“ von den Unternehmen in die Praxis umgesetzt werden. Der DSFA-Prozess sollte schriftlich festgehalten werden. Die Veröffentlichung der DSFA ist zwar keine rechtliche Anforderung der DSGVO, aber es wird empfohlen, dass die Verantwortlichen die Veröffentlichung der gesamten oder eines Teils ihrer DSFA als Geste der Transparenz und Rechenschaftspflicht in Betracht ziehen. Dies gilt insbesondere für Fälle, in denen die Öffentlichkeit betroffen ist (zum Beispiel, wenn eine Behörde die DSFA durchführt).
Eine wirksame DSFA ist nützlich, um den Anforderungen des „eingebauten Datenschutzes“ zu entsprechen, da sie es Unternehmen ermöglicht, Probleme in einem frühen Stadium zu finden und zu beheben, wodurch sowohl Datensicherheitsrisiken für die Nutzer als auch das Risiko von Bußgeldern, Sanktionen und Rufschädigung, die andernfalls für das Unternehmen entstehen könnten, gemindert werden. Die DSFA ist nur in Fällen obligatorisch, in denen die Datenverarbeitungstätigkeit möglicherweise zu einem hohen Risiko für die Nutzer führt (dies gilt insbesondere bei der Einführung neuer Verarbeitungstechnologien).
Wenn Sie sich jedoch nicht sicher sind, ob Ihre Datenverarbeitungstätigkeit als „hohes Risiko“ einzustufen ist, wird empfohlen, dennoch eine DSFA durchzuführen, da sie ein nützliches Mittel ist, um sicherzustellen, dass das Gesetz eingehalten wird.
Datenverarbeitungsaktivitäten mit „hohem Risiko“ sind:
DSFAs können auch unter anderen Umständen (auf der Grundlage einer Einzelfallprüfung) erforderlich sein, u. a. bei der Verarbeitung von Daten über besonders schutzbedürftige Personen (z. B. Kinder und ältere Menschen), bei der grenzüberschreitenden Übermittlung von Daten in Länder außerhalb der EU und bei Daten, die für die Erstellung von Profilen verwendet werden (z. B. bei Bonitätsbewertungen). Mehr über die entsprechenden Kriterien können Sie hier lesen [PDF].
Die DSFA sollte Folgendes beinhalten:
Die rechtlichen Konsequenzen bei Verstößen können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bedeuten, aber vielleicht genauso wichtig sind die anderen möglichen Sanktionen, die gegen Unternehmen verhängt werden können, die gegen die Vorschriften verstoßen. Zu diesen Sanktionen gehören offizielle Verwarnungen (bei erstmaligen Verstößen), regelmäßige Datenschutzaudits und Schadensersatzforderungen.
Die rechtlichen Konsequenzen bei Verstößen können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes einschließen.
Das DSGVO gibt den Nutzern das ausdrückliche Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn sie der Meinung sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen das DSGVO verstoßen hat. Wenn beispielsweise eine Meldung über eine Regelverletzung an die Behörde gemacht wird, kann sich die Behörde dafür entscheiden, eine Prüfung der Datenverarbeitungsvorgänge des Unternehmens durchzuführen. Wenn festgestellt wird, dass eine bestimmte Datenverarbeitungsaktivität unrechtmäßig durchgeführt wurde, wird nicht nur eine Geldbuße verhängt, sondern es kann dem Unternehmen auch verboten werden, sowohl die Daten der Untersuchung als auch die Daten, die durch ähnliche Mechanismen erworben wurden, weiter zu verwenden. Das bedeutet, dass das Unternehmen Gefahr läuft, von der Nutzung der gesamten zugehörigen E-Mail-Liste ausgeschlossen zu werden, wenn die unrechtmäßige Nutzung im Hinblick auf die Sammlung von E-Mail-Adressen erfolgte.
Die DSGVO gibt Nutzern auch das Recht auf Entschädigung für alle Schäden, die aus dem Verstoß eines Unternehmens gegen die Anforderungen entstehen, und stellt damit Verletzer vor potenzielle Rechtsstreitigkeiten.
Einer der ersten logischen Schritte im Hinblick auf die Erfüllung der Anforderungen ist es, sicherzustellen, dass Ihre Dokumente den Anforderungen entsprechen. Bei iubenda verfolgen wir einen umfassenden Ansatz zur Einhaltung des Datenrechts. Wir entwickeln Lösungen unter Berücksichtigung der strengsten Anforderungen und geben Ihnen die Möglichkeit, diese nach Bedarf anzupassen. Auf diese Weise unterstützen wir Sie bei der Erfüllung Ihrer rechtlichen Verpflichtungen, verringern das Risiko von Rechtsstreitigkeiten und schützen Ihre Kunden – das fördert Vertrauen und Glaubwürdigkeit.
Hier finden Sie, was Sie brauchen, um mit der umfassenden Compliance zu beginnen:
Dieses Rechtsdokument sollte darlegen, auf welche Weise Ihre Website oder App Nutzerdaten sammelt, verarbeitet, speichert, weitergibt und schützt, welche Zwecke damit verfolgt werden und welche Rechte die Nutzer diesbezüglich haben.
Mit unserem Generator für Datenschutzerklärungen und Cookie Richtlinien können Sie eine von Juristen entworfene, schöne und präzise Datenschutzerklärung erstellen und diese nahtlos in Ihre Website oder App integrieren. Sie können einfach eine von mehreren vorgefertigten Klauseln mit einem Klick hinzufügen oder mit Hilfe des integrierten Formulars ganz einfach Ihre eigenen benutzerdefinierten Klauseln schreiben.
Die Datenschutzerklärung bietet auch die Möglichkeit, eine Cookie-Richtlinie hinzuzufügen (dies ist notwendig, wenn Ihre Website oder App Cookies einsetzt). Sie ist an Ihre Bedürfnisse anpassbar und wird von einem internationalen Rechtsteam ferngewartet.
Weitere Informationen über Datenschutzerklärungen finden Sie hier.
Da die Verwendung von Cookies sowohl die Verarbeitung von Nutzerdaten als auch die Installation von Dateien auf den Geräten der Nutzer bedeuten kann, stellen sie einen wichtigen Faktor in Bezug auf die Datenschutzrechte der Nutzer dar. Aus diesem Grund ist es von entscheidender Bedeutung, dass Ihre Website oder App die ePrivacy-Richtlinie der EU (die EU-Cookie-Richtlinie) einhält. Als Antwort auf dieses Bedürfnis haben wir unsere umfassende Privacy Controls and Cookie Solution geschaffen, die die Erfüllung der Anforderung des europäischen Cookie-Gesetzes vereinfacht. Es handelt sich um eine einfach zu handhabende und schnell einsetzbare Cookie-Richtlinien- und Cookie-Einwilligungslösung (einschließlich Banner-Verwaltung), die keine großen Investitionen erfordert.
Weitere Informationen zu unserer Privacy Controls and Cookie Solution finden Sie hier.
Viele Datenschutzbehörden in der EU haben ihre Anforderungen verschärft und ihre Vorschriften für Cookies und Tracker an die Anforderungen der DSGVO angepasst. Insbesondere ist es vorgeschrieben, dass Sie Nachweise über die Präferenzen Ihrer Nutzer aufzeichnen und speichern.
Das Cookie- und Einwilligungs-Präferenz-Register ist jetzt in unserer Privacy Controls and Cookie Solution verfügbar. Klicken Sie hier, um mehr darüber zu erfahren, wie Sie das Cookie- und Einwilligungs-Präferenz-Register in Ihrer Privacy Controls and Cookie Solution aktivieren können.
Die Erfüllung der Anforderungen der DSGVO kann eine technische Herausforderung sein, die praktisch umzusetzen ist. Dies gilt insbesondere für die interne Datenschutz-Verwaltung. Um diese gesetzeskonform umzusetzen, müssen Sie Verarbeitungstätigkeiten erfassen und diese beschreiben:
Unsere Software hilft Ihnen, alle Datenverarbeitungsaktivitäten innerhalb Ihrer Organisation für alle Situationen im Geltungsbereich der DSGVO einfach zu dokumentieren und zu verwalten, so dass Sie den Anforderungen der DSGVO und Ihren gesetzlichen Verpflichtungen problemlos nachkommen können. Sie ermöglicht es Ihnen, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen: Sie können Verarbeitungstätigkeiten aus mehr als 1700 vorgefertigten Optionen hinzufügen, sie nach Bereichen unterteilen ( Unterbereiche, innerhalb derer die Datenverarbeitungstätigkeiten gleich sind), Auftragsverarbeiter und andere Mitgliederrollen zuweisen sowie Rechtsgrundlagen und andere DSGVO-pflichtige Angaben dokumentieren.
Achtung: Selbst wenn Ihre Datenverarbeitungsaktivitäten nicht in die zuvor genannten Situationen fallen, müssen Sie aufgrund Ihrer Informationspfspflicht gegenüber den Nutzern (Artikel 13 und 14) grundlegende Verzeichnisse darüber führen, welche Daten Sie sammeln, welchen Zweck sie verfolgen, welche Parteien an der Datenverarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden – dies ist Pflicht für alle.
Auch wenn die DSGVO ein üblicher Grund dafür ist, mehr Aufwand in die interne Datenschutzverwaltung zu stecken, ist unsere Software nicht ausschließlich für die Anwendung im Rahmen der DSGVO gedacht. Es kann auch für die interne Datenschutz-Verwaltung im Allgemeinen verwendet werden, sogar von Organisationen, die keine Nutzer/Kunden innerhalb der EU haben.
Für eine Liste aller Funktionen des Verzeichnis von Datenverarbeitungstätigkeiten klicken Sie hier oder lesen Sie die Anleitung hier.
Um den Datenschutz-Gesetzen, insbesondere der DSGVO, gerecht zu werden, müssen Unternehmen Beweise für Einwilligungen aufbewahren, damit sie nachweisen können, dass diese Einwilligungen erfasst wurden. Diese Verzeichnisse müssen Folgendes beinhalten:
Unsere Consent Solution vereinfacht diesen Prozess, indem sie Ihnen hilft, den Einwilligungsnachweis einfach zu speichern und die Einwilligung und Datenschutzeinstellungen für jeden Ihrer Nutzer zu verwalten. Sie ermöglicht es Ihnen, jeden Aspekt der Einwilligung zu verfolgen (einschließlich des rechtlichen Hinweises oder der Datenschutzerklärung und des Einwilligungsformulars, das dem Nutzer zum Zeitpunkt der Erfassung der Einwilligung vorgelegt wurde) und die damit verbundenen Einstellungen des Nutzers.
Um sie zu verwenden, aktivieren Sie einfach die Consent Solution und holen Sie sich den API-Schlüssel, installieren Sie sie dann über die HTTP-API oder das JS-Widget und fertig. Sie können die Einwilligungen jederzeit abrufen und auf dem neuesten Stand halten.
Für eine Liste der vollständigen Funktionen der Consent Solution klicken Sie hier oder lesen Sie diese Anleitung hier.
Bitte beachten Sie, dass Gesetze von Zeit zu Zeit geändert und aktualisiert werden. Es ist daher wichtig, sicherzustellen, dass Ihre Richtlinien den neuesten Anforderungen entsprechen. Aus diesem Grund verwenden wir die Einbettungs-Methode und NICHT Copy & Paste. Mit dieser Methode können Sie sicher sein, dass Ihre Richtlinie auf dem neuesten Stand ist und von unserem Rechtsteam aus der Ferne gewartet wird.
