DSGVO-Einhaltung: Was Unternehmen Wissen Müssen

Yulia Landbo

Yulia Landbo

Zuletzt aktualisiert: 27. Nov 2023 6 min gelesen

Dieser Leitfaden geht näher auf die Besonderheiten dieses Datenschutzgesetzes ein und erklärt, was die DSGVO ist, ihre Grundprinzipien, das Datum ihrer Durchsetzung, ihre wichtigsten Konzepte und die beteiligten Rollen. Außerdem bieten wir das Wichtigste: eine Schritt-für-Schritt-Anleitung, wie Unternehmen die Einhaltung der DSGVO sicherstellen können.

DSGVO-Grundlagen

Lassen Sie uns zunächst dieses Akronym entmystifizieren und einige Details des Konzepts untersuchen.

Was ist DSGVO?

Die Allgemeine Datenschutzverordnung (DSGVO) ist eine Datenschutz- und Sicherheitsverordnung in der Europäischen Union, die die Richtlinien für die Erhebung, Verarbeitung, Speicherung und Übermittlung personenbezogener Daten von Personen im Europäischen Wirtschaftsraum festlegt.

Dieses Datenschutzgesetz gilt als eines der strengsten weltweit. Auch wenn dieses Gesetz innerhalb der Europäischen Union durchgesetzt wird, sind Unternehmen weltweit verpflichtet, es einzuhalten. Die Durchsetzung der DSGVO wird ausgelöst, wenn ein Unternehmen beginnt, mit den personenbezogenen Daten von EU-Nutzern in einer Weise zu interagieren, die gegen eine der zahlreichen Klauseln verstößt.

Verstöße gegen die DSGVO und Geldbußen aufgrund von Nichteinhaltung 

Die Komplexität und der Umfang dieses hundertseitigen Dokuments, gepaart mit empfindlichen Strafen, machen die Einhaltung der Datenschutzgrundverordnung zu einer großen Herausforderung. Selbst mit Hilfe spezieller Software-Tools hat sich diese Verordnung als beträchtliche Einnahmequelle für die EU erwiesen und mindestens 4 Milliarden Dollar aus 1.653 Bußgeldvorfällen eingebracht.

Gemäß Art. 83 kann ein Verstoß gegen die in der DSGVO festgelegten Grundprinzipien des Schutzes personenbezogener Daten zu schweren Strafen von bis zu 20 Millionen US-Dollar oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens führen. Die letztgenannte Option kann in einigen Fällen wesentlich höher sein, wie die Geldbußen gegen Meta und Amazon zeigen.

Verstöße im Zusammenhang mit den Kontroll-, Verarbeitungs-, Zertifizierungs- und Überwachungstätigkeiten können zu Geldstrafen von bis zu 10 Millionen Dollar oder bis zu 2 % des Jahresumsatzes des Unternehmens führen. 

Wann gilt die DSGVO und wann nicht?

Sowohl Art. 2 und Art. 3 definieren den materiellen und territorialen Anwendungsbereich der DSGVO. 

Die Datenschutz-Grundverordnung gilt für alle Unternehmen oder andere Einrichtungen, die personenbezogene Daten (wir werden diesen Begriff weiter unten näher erläutern) von Bürgern oder Einwohnern der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten und ihnen Produkte oder Dienstleistungen anbieten. Dabei spielt es keine Rolle, wo Ihr Unternehmen ansässig ist, welcher Gerichtsbarkeit es angehört oder ob diese Produkte oder Dienstleistungen kostenpflichtig sind.

Es gibt mehrere Fälle, in denen die Datenschutz-Grundverordnung nicht anwendbar ist: 

●      für alle Datenverarbeitungstätigkeiten, die von Einzelpersonen zu persönlichen oder Haushaltszwecken durchgeführt werden;

●      Daten für die Zwecke der Strafverfolgung zu verarbeiten, die unter die Strafverfolgungsrichtlinie (LED) fallen;

●      für Datenverarbeitungstätigkeiten im Zusammenhang mit der nationalen Sicherheit;

●      an Nicht-EU-Organisationen, die personenbezogene Daten von Nicht-EU-Bürgern verarbeiten.

 

Personenbezogene Daten als Schlüsselbegriff der DSGVO

Ein wesentlicher Bestandteil der DSGVO-Gesetzgebung, den wir bereits oben erwähnt haben, sind personenbezogene Daten. Lassen Sie uns diesen Begriff definieren und die wichtigsten Arten personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung überprüfen. Diese und andere wichtige Definitionen finden Sie in Art. 4.

Definition personenbezogener Daten gemäß DSGVO

Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; eine bestimmbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung.

Mit anderen Worten: Personenbezogene Daten sind alle Informationen, die einer identifizierbaren Person zugeordnet werden können, einschließlich Adresse, Name, E-Mail, Telefonnummer, persönliche Steuernummer, Fotos usw. Wie Sie sehen können, kann dies eine breite Palette verschiedener Arten von Informationen umfassen. Lassen Sie uns diese im nächsten Block durchgehen.

Kategorien von personenbezogenen Daten

Generell können alle personenbezogenen Daten, die unter die DSGVO fallen, in zwei Kategorien unterteilt werden: normale Daten und besondere (oder sensible) Daten.

Regelmäßige persönliche Daten

Wenn ein Teil der personenbezogenen Daten direkt oder indirekt einer natürlichen Person zugeordnet werden kann, die identifiziert werden kann oder bereits identifiziert ist, werden diese personenbezogenen Daten als regelmäßig betrachtet. Diese Kategorie personenbezogener Daten besteht aus:

●      Namen und Nachnamen;

●      alle Identifikationsnummern wie Steuernummern, Führerschein-IDs usw;

●      Daten über einen Standort wie GPS-Koordinaten, Adresse oder IP-Adresse;

●      Kontaktinformationen, einschließlich Telefonnummern, E-Mails oder Messenger-Profile;

●      Online-Identifikatoren wie Anmeldedaten, Benutzernamen usw.;

●      Informationen über das äußere Erscheinungsbild wie Fotos oder Textbeschreibungen.

Besondere oder empfindliche persönliche Daten

Es gibt verschiedene Arten von sensibleren personenbezogenen Daten, die einen besseren Schutz erfordern. Als Faustregel gilt, dass Daten nur dann verarbeitet werden dürfen, wenn besondere Bedingungen vorliegen, z. B. eine besondere Einwilligung der betroffenen Person oder ein Ersuchen einer Justizbehörde. Nachstehend sind die wichtigsten Kategorien sensibler Daten aufgeführt:

●      Informationen über die rassische oder ethnische Herkunft;

●      persönliche politische Überzeugungen oder Zugehörigkeiten;

●      religiöse und philosophische Überzeugungen;

●      Mitgliedschaften in Gewerkschaften;

●      genetische und biometrische Daten;

●      alle Gesundheitsdaten;

●      Daten über sexuelle Aktivität und Orientierung.

Strafrechtliche Informationen über Verurteilungen und Straftaten gelten ebenfalls als personenbezogene Daten im Sinne der allgemeinen Datenschutzverordnung. Diese Informationen dürfen von den für die Verarbeitung Verantwortlichen nur dann verarbeitet werden, wenn sie für öffentliche oder behördliche Aufgaben unbedingt erforderlich sind. Die einzigen Gründe für die Weitergabe dieser Daten sind die ausdrückliche Zustimmung der betroffenen Person und die Wahrung privater oder öffentlicher Interessen, die gegenüber der Geheimhaltung und der Privatsphäre überwiegen.

Verstehen der wichtigsten DSGVO-Rollen

Wir haben bereits eine Entität namens "betroffene Person" erwähnt und sie ohne weitere Erläuterung gelassen. Jetzt ist es an der Zeit, diese und andere Schlüsselrollen innerhalb der DSGVO zu überprüfen, um sie zu verstehen und DSGVO-konform zu bleiben.

Daten Subjekte

Wie Sie vielleicht schon erraten haben, ist die betroffene Person einfach eine natürliche Person, die identifizierbar oder bereits identifiziert ist und deren personenbezogene Daten gesammelt und verarbeitet werden. Unter einer natürlichen Person ist hier eine lebende Person zu verstehen, nicht eine juristische Person (also ein Unternehmen oder eine andere Organisation).

Rechte der betroffenen Person

Als integraler Bestandteil der DSGVO hat die betroffene Person einige spezifische Rechte. Diese Rechte müssen von Organisationen, die ihre personenbezogenen Daten erfassen, speichern oder verarbeiten, gewahrt werden.

  1. Recht auf Zugang. Sobald personenbezogene Daten verarbeitet werden, hat die betroffene Person das Recht, sich über die Tatsache der Verarbeitung, den Ort und den Zweck der Verarbeitung zu informieren und kostenlos eine Kopie aller verarbeiteten Daten zu erhalten.

  2. Recht auf Berichtigung. Dieses Recht bedeutet, dass die betroffenen Personen die Berichtigung oder Vervollständigung ihrer personenbezogenen Daten verlangen können, wenn diese unrichtig oder unvollständig sind.

  3. Recht auf Vergessenwerden. Betroffene Personen haben das Recht, unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten zu verlangen.

  4. Recht auf Einschränkung der Verarbeitung. Ebenso haben die betroffenen Personen in einigen Fällen das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken.

  5. Recht auf Datenübertragbarkeit. Betroffene Personen haben jederzeit das Recht, ihre personenbezogenen Daten in einer maschinenlesbaren Form anzufordern sowie die Daten zu einem anderen Anbieter zu übertragen.

  6. Recht auf Widerspruch. Die Verarbeitung personenbezogener Daten ausschließlich zu Marketingzwecken bedarf zunächst einer besonderen Einwilligung der betroffenen Person. Umgekehrt hat die betroffene Person das Recht, der Verarbeitung ihrer personenbezogenen Daten zu Marketingzwecken jederzeit zu widersprechen.

  7. Recht auf automatisierte Entscheidungsfindung, einschließlich Profiling. Betroffene Personen können verhindern, dass andere Personen sie betreffende Entscheidungen treffen, die auf einer automatisierten Verarbeitung personenbezogener Daten einschließlich Profiling beruhen. Dieses Recht gilt jedoch nur, wenn solche Entscheidungen sie erheblich beeinträchtigen oder rechtliche Auswirkungen haben. 

Datenkontrolleur

Die nächste wesentliche Rolle ist der für die Verarbeitung Verantwortliche - eine natürliche oder juristische Person, einschließlich Behörden und Agenturen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen.

Die Hauptverantwortung dieser Rolle besteht darin, wirksame Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung mit der DSGVO übereinstimmt, und dies gegenüber den betroffenen Personen nachzuweisen. Die ausgewählten Maßnahmen müssen auf verschiedenen Verarbeitungsparametern beruhen, einschließlich ihres Umfangs, ihrer Art, ihrer Ziele, ihres Hintergrunds und ihrer Risiken.

Die für die Verarbeitung Verantwortlichen können ihre Anstrengungen bündeln und werden dann als gemeinsame für die Verarbeitung Verantwortliche bezeichnet. Solche Kontrolleure müssen ihre Zuständigkeiten transparent aufteilen und zu diesem Zweck eine besondere Vereinbarung treffen.

Datenverarbeiter

Für die Verarbeitung personenbezogener Daten sind die für die Datenverarbeitung Verantwortlichen häufig auf das Arsenal Dritter angewiesen, die die Daten verarbeiten. Im Rahmen der Allgemeinen Datenschutzverordnung werden diese Personen als Datenverarbeiter bezeichnet.

Das wichtigste Auswahlkriterium ist, dass der Datenverarbeiter in der Lage sein muss, alles so einzurichten, dass er die rechtlichen Anforderungen in vollem Umfang einhält. Der für die Datenverarbeitung Verantwortliche hat die Pflicht, dies sicherzustellen. Eine weitere wichtige Voraussetzung ist, dass der Auftragsverarbeiter keinen anderen Auftragsverarbeiter ohne schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf. Handelt es sich um eine allgemeine Erlaubnis, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen auch über alle beabsichtigten Änderungen in Bezug auf das Hinzufügen oder Ersetzen von Datenverarbeitern informieren.

Datenschutzbeauftragter (DSB)

Häufig erfordert die Verarbeitung personenbezogener Daten eine zusätzliche Rolle des Datenschutzbeauftragten (DSB). Dabei handelt es sich um eine Person, die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ernannt werden muss, um die Einhaltung der DSGVO zu gewährleisten. Es gibt drei Situationen, in denen ein DSB erforderlich ist:

  1. Wenn Behörden (außer Gerichte) die Rolle des für die Verarbeitung Verantwortlichen, des Auftragsverarbeiters oder beider spielen.

  2. Wenn die Verarbeitung mit einer groß angelegten Überwachung von betroffenen Personen innerhalb besonderer Kategorien oder strafrechtlichen Informationen verbunden ist.

  3. Wenn die Kerntätigkeiten eine regelmäßige Überwachung der betroffenen Personen in großem Umfang erfordern.

Es gibt einige wichtige Nuancen bei der Verwendung von DSB, die durch die DSGVO geregelt werden. Erstens können mehrere für die Verarbeitung Verantwortliche und Auftragsverarbeiter einen einzigen DSB bestellen, wenn der Spezialist aus der Ferne auf ihre Daten zugreifen kann. Zweitens sollte der Beauftragte auf der Grundlage seiner beruflichen Fähigkeiten bestellt werden. Drittens kann es sich um einen internen Mitarbeitenden oder einen externen Dienstleister handeln.

Weitere wichtige Details zu den Datenschutzbeauftragten finden Sie in Art. 37.

 

Andere wichtige DSGVO-Konzepte werden erklärt

Wie wir bereits sagten, ist die Datenschutz-Grundverordnung komplex und umfassend, so dass sie verschiedene Rechtsbegriffe enthält, die wir hier entschlüsseln sollten. Da die Hauptrollen definiert sind, lassen Sie uns mit den anderen Konzepten fortfahren, die nicht weniger wichtig sind.

Datenverarbeitung

Nach der Datenschutz-Grundverordnung bedeutet "Datenverarbeitung" einen bestimmten Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden. Die DSGVO definiert die Liste solcher Vorgänge, einschließlich

●      Datenerhebung;

●      Datenaufzeichnung;

●      Datenorganisation;

●      Strukturierung der Daten;

●      Datenspeicherung;

●      Anpassung oder Veränderung von Daten;

●      Datenabruf;

●      Datenabfrage;

●      Datenverwendung;

●      die Offenlegung von Daten durch Übermittlung, Verbreitung oder anderweitige Zugänglichmachung;

●      Datenabgleich oder Kombination;

●      Einschränkung, Löschung oder Vernichtung von Daten.

Datenschutz

Einfach ausgedrückt, bedeutet Datenschutz eine Reihe von Maßnahmen, um die Daten vor unberechtigtem Zugriff zu schützen. Die Idee ist, die sieben wichtigsten Grundsätze des Datenschutzes und der Rechenschaftspflicht zu befolgen, die im nächsten Block dargestellt sind.

Sieben DSGVO-Datenschutzprinzipien

Die oben genannten und in Artikel 5 dargelegten Datenschutzgrundsätze sind integraler Bestandteil der Philosophie der Verordnung. Diese Grundsätze müssen von denjenigen, die personenbezogene Daten verarbeiten, strikt befolgt werden.

  1. Rechtmäßigkeit, Fairness und Transparenz. Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer transparenten Weise gegenüber der betroffenen Person verarbeitet werden.

  2. Zweckbeschränkung. Personenbezogene Daten dürfen nur für vorher festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.

  3. Datenminimierung. Die Daten, auf die Sie sich beziehen, müssen nicht nur relevant und angemessen sein, sondern dürfen auch nicht mehr als nötig sein.

  4. Korrektheit. Sie müssen dafür sorgen, dass die personenbezogenen Daten richtig und aktuell sind, und alle veralteten Daten unverzüglich berichtigen oder löschen, wenn eine Berichtigung nicht möglich ist.

  5. Begrenzung der Speicherung. Speichern Sie gesammelte personenbezogene Daten nicht länger, als Sie für Ihren übergeordneten Zweck benötigen.

  6. Integrität und Vertraulichkeit. Sie müssen sicherstellen, dass die erhobenen Daten nicht von Dritten identifiziert, gestohlen, verloren, zerstört, beschädigt oder unrechtmäßig verarbeitet werden können.

  7. Rechenschaftspflicht. Die datenkontrollierende Person muss nachweisen können, dass sie alle oben genannten Grundsätze beachtet.

Biometrische Daten

Die Identifizierung einer natürlichen Person ist auch durch die Analyse einiger verhaltensbezogener, physischer oder physiologischer Merkmale dieser Person möglich. Das können zum Beispiel Fingerabdrücke, Gesichtsbilder oder Iris-Scans sein. In der Allgemeinen Datenschutzverordnung werden diese Merkmale als biometrische Daten bezeichnet. 

Wie die anderen Arten sensibler personenbezogener Daten erfordern auch biometrische Daten zusätzliche Schutzmaßnahmen. Im Allgemeinen bedeutet dies ein Verbot der Verarbeitung biometrischer Daten zu einem einzigen Zweck der Identifizierung der betroffenen Person. Es gibt jedoch eine Reihe von Ausnahmen, die von der ausdrücklichen Einwilligung der betroffenen Person bis hin zu einem erheblichen öffentlichen Interesse reichen. Eine vollständige Liste finden Sie in Art. 9.

Internationale Datenübertragungen

Unter internationalen Datenübermittlungen versteht die DSGVO alle Übermittlungen personenbezogener Daten in oder aus einem Land außerhalb des Europäischen Wirtschaftsraums (EWR). 

Die allgemeine Anforderung für alle internationalen Übermittlungen ist, dass sie nur in voller Übereinstimmung mit der DSGVO durchgeführt werden dürfen. Das bedeutet, dass das Schutzniveau auf dem erforderlichen Niveau gehalten werden muss und einige Bedingungen erfüllt sein müssen: 

●      Die EU-Vertreter müssen entscheiden, dass das Drittland, das Gebiet oder die internationale Organisation ein angemessenes Datenschutzniveau gewährleistet;

●      Liegt keine Entscheidung vor, kann ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter Daten im Wege der internationalen Übermittlung verarbeiten, nachdem er einige Schutzmaßnahmen getroffen und sichergestellt hat, dass wirksame Rechtsbehelfe und durchsetzbare Rechte der Betroffenen bestehen;

●      Liegen weder ein Angemessenheitsbeschluss noch Schutzmaßnahmen vor, sind die Anwendungsfälle für die internationale Übermittlung auf die ausdrückliche Einwilligung der betroffenen Person, die Erfüllung eines Vertrags, Gründe des öffentlichen Interesses, die Geltendmachung von Rechtsansprüchen, den Schutz lebenswichtiger Interessen oder die Verfügbarkeit aus einem öffentlichen Register beschränkt. 

Datenschutz durch Design

Die DSGVO ermutigt Organisationen, die mit personenbezogenen Daten arbeiten, bereits in der frühesten Phase des Produkt- oder Dienstleistungsentwicklungszyklus über angemessene Maßnahmen zum Schutz personenbezogener Daten nachzudenken.

Mit anderen Worten: Diese Maßnahmen zum Schutz der Privatsphäre sollten in die Entwurfsspezifikationen, die Geschäftsprozesse und die Arbeitsumgebung integriert werden. Diese Maßnahmen zum Schutz der Privatsphäre sollten die personenbezogenen Daten der Nutzer wirksam schützen, indem sie ihre Erfassung, Zugänglichkeit und Aufbewahrungszeit begrenzen und die Richtigkeit der Daten gewährleisten. 

Datenschutz-Folgenabschätzung

Da die Geldstrafen für Verstöße gegen die DSGVO-Vorschriften enorm sind, ist es von entscheidender Bedeutung, Datenschutzrisiken zu analysieren, zu erkennen und abzuschwächen. Der systematische Prozess des Risikomanagements bei Nichteinhaltung der DSGVO wird als Datenschutzfolgenabschätzung (DPIA) bezeichnet.

Art. 35 beschreibt drei Fälle, in denen eine DPIA erforderlich ist: 

●      Im Falle einer automatisierten und ständigen Verarbeitung der persönlichen Aspekte natürlicher Personen, deren Ergebnis eine natürliche Person rechtlich oder in ähnlicher Weise erheblich beeinträchtigt;

●      Im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten en masse;

●      Bei der Durchführung einer systematischen, öffentlich zugänglichen Datenüberwachung in großem Maßstab. 

Sie sollten bereits vor Beginn der Datenverarbeitung eine Datenschutzfolgenabschätzung durchführen und diese dann regelmäßig überprüfen und aktualisieren.

Führung von Aufzeichnungen über die Verarbeitungstätigkeiten

Eine der wichtigsten Pflichten der für die Datenverarbeitung Verantwortlichen ist die Führung eines Verzeichnisses über ihre Verarbeitungstätigkeiten. Jedes einzelne Verzeichnis muss die folgenden Daten enthalten:

●      Name des Kontrolleurs und Kontaktinformationen;

●      Zweck der Verarbeitung;

●      Beschreibungen der personenbezogenen Daten und der Kategorien der betroffenen Personen;

●      Die Beschreibungen der Kategorien der Datenempfänger;

●      Übermittlungen an Drittländer/internationale Organisationen, mit entsprechenden Schutzmaßnahmen (soweit möglich);

●      Zeitrahmen für die Speicherung verschiedener Kategorien personenbezogener Daten (soweit möglich).

Eine vollständige Liste der Anforderungen an die Aufbewahrung von Unterlagen finden Sie in Art. 30.

 

Wie Unternehmen DSGVO-konform bleiben können

Jetzt ist es an der Zeit, Ihre eigene erfolgreiche Checkliste für die Einhaltung der DSGVO in Ihrem Unternehmen zu erstellen. Sie können diese Checkliste als Grundlage verwenden und sie im Laufe des Prozesses an Ihre Bedürfnisse anpassen. 

●      Ernennung eines Datenschutzbeauftragten (DSB);

●      Sicherstellen, dass alle betroffenen Personen in Ihrem Unternehmen über die Bedeutung der DSGVO und die Anforderungen informiert sind;

●      Prüfen Sie alle Ihre Daten und ermitteln Sie, welche Daten DSGVO-geschützt sind;

●      Überprüfen Sie Ihre Datenschutzrichtlinien und machen Sie sie DSGVO-konform;

●      Festlegung der Verfahren zur Wahrung der Rechte von Einzelpersonen und der Anträge von betroffenen Personen;

●      Identifizieren Sie die Rechtsgrundlage, dokumentieren Sie sie und nehmen Sie sie in Ihre Richtlinie auf;

●      Überprüfen Sie, wie Sie die Zustimmung einholen, erhalten und aufzeichnen;

●      Überprüfen Sie, wie Sie mit den Daten von Kindern umgehen;

●      Festlegung von Protokollen für den "eingebauten Datenschutz" und die Datenschutz-Folgenabschätzung;

●      Erstellen oder aktualisieren Sie Ihre Protokolle zur Erkennung, Meldung und Untersuchung von Datenschutzverletzungen.

 ___________________________________________________________________________ 

Dieser Artikel wurde nur zur Information entworfen und beabsichtigt keine Rechtsberatung. Wenn Sie eine rechtliche Beratung wünschen, kontaktieren Sie den Berater Ihres Vertrauens. Alternativ kann „Whistleblower Software“ Sie mit einem Rechtsexperten bei Ihnen vor Ort in Kontakt bringen.

Demo buchen

5/5 Sterne auf G2