Die DSGVO ist die Hauptquelle für Datenschutzbestimmungen in der Europäischen Union. Seitdem gelten einheitliche Regeln in allen EU-Mitgliedsstaaten für Datenschutz und Datensicherheit.
Dies bedeutet mehr Einheitlichkeit und Klarheit in Bezug auf den globalen Handel, bringt aber auch einige Herausforderungen für Unternehmen mit sich. Unternehmen haben aufgrund der DSGVO mehr Verpflichtungen zu erfüllen, und Verbraucher haben mehr Rechte. Die Strafen wurden ebenfalls erhöht, wodurch es für Unternehmen noch dringlicher ist, Datenschutzbestimmungen ordnungsgemäß umzusetzen.
Aber was genau beinhaltet die DSGVO? Welche Verpflichtungen betreffen Ihr Unternehmen? Wie setzen Sie sie richtig um? Und welche Rechte haben die betroffenen Personen? Wir beantworten die wichtigsten Fragen zur DSGVO in diesem Artikel.
Die Datenschutz-Grundverordnung, die im Mai 2018 in Kraft getreten ist, betrifft alle Länder in der EU. Sie gilt für alle Unternehmen, deren Produkte an Verbraucher in der EU verkauft werden und deren personenbezogene Daten zu diesem Zweck gespeichert, verarbeitet oder übertragen werden.
Wissenswert: Die DSGVO gilt auch für Unternehmen, die außerhalb der EU oder des EWR ansässig sind, aber Waren in der Europäischen Union anbieten und verkaufen. Die EU-Verordnung gewährleistet somit den umfassenden Schutz personenbezogener Daten von EU-Bürgern.
Es wird keine Unterscheidung zwischen persönlichen Daten im öffentlichen, beruflichen oder privaten Sektor gemacht. Beispielsweise unterliegen die Daten von Mitarbeitern in einem Unternehmen der DSGVO, genauso wie Daten im B2B-Bereich, wenn Geschäftspartner persönliche Daten austauschen. Das bedeutet, dass praktisch alle Unternehmen, die in der EU tätig sind, grundsätzlich die Bestimmungen der Datenschutz-Grundverordnung einhalten müssen.
Die DSGVO zielt darauf ab, natürliche Personen beim Umgang mit personenbezogenen Daten zu schützen. Gleichzeitig soll ein sicherer, verantwortungsbewusster Datenaustausch sichergestellt werden. Die zuvor geltende EU-Datenschutzrichtlinie hatte dieses Ziel nicht erreicht, weshalb der europäische Gesetzgeber sich gezwungen sah, eine Verordnung zu erlassen.
Exkurs: Die DSGVO ist ein Rechtsakt in Form einer Verordnung. Im Gegensatz zu Richtlinien gelten Verordnungen direkt für alle EU-Mitgliedsstaaten. Bei Richtlinien müssen die einzelnen Mitgliedsstaaten diese jedoch in ihrem eigenen Recht umsetzen. Dennoch können Mitglieder im Fall von Verordnungen ihre eigenen Regeln beibehalten oder ergänzen.
Personenbezogene Daten beziehen sich auf alle Informationen, die Rückschlüsse auf eine natürliche Person zulassen. Dazu gehören insbesondere
Daten, die aus Sicht des Gesetzgebers als sensibel gelten, unterliegen einem besonderen Schutz. Hierzu gehören Religion, Gesundheit, Gewerkschaftszugehörigkeit, Sexualität, ethnische Herkunft oder politische Überzeugungen.
Verarbeitung bedeutet in diesem Zusammenhang jede Art der Datenverarbeitung, sei es mit Computern, Scannern, Digitalkameras oder Smartphones, ebenso wie analoge Datensammlungen wie Akten. Dies betrifft jedoch die meisten Bereiche und Datensammlungen in Unternehmen und Behörden, daher ist die DSGVO allgegenwärtig.
Der Umgang mit personenbezogenen Daten ist immer von Verantwortung gegenüber natürlichen Personen geprägt. Jeder, der mit diesen Daten arbeiten möchte, muss akzeptieren, dass damit bestimmte Verpflichtungen bei der Datenverarbeitung einhergehen.
In diesem Zusammenhang können die Verpflichtungen sehr vielfältig sein. Sie alle im Detail zu erläutern, würde den Rahmen dieses Artikels sprengen. In unserem Wissenszentrum finden Sie ausführliche Artikel und Informationen zu allen Verpflichtungen, die Unternehmen durch die DSGVO auferlegt werden.
Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um die Daten der betroffenen Personen bestmöglich zu schützen. Diese variieren je nach Branche, Datenkategorien, Risikofaktoren und Arten der Verarbeitung.
Es geht darum abzuwägen, welche Maßnahmen notwendig und sinnvoll sind, um die gesammelten Daten bestmöglich zu schützen. Hierzu ist es erforderlich, eine Aufzeichnung der Verarbeitungstätigkeiten zu führen und gegebenenfalls Datenschutz-Folgenabschätzungen durchzuführen.
Viele Unternehmen sind verpflichtet, einen internen Datenschutzbeauftragten einzustellen oder einen externen Datenschutzbeauftragten zu bestellen.
Ein Datenschutzbeauftragter muss bestellt werden, unabhängig von der Anzahl der Mitarbeiter, wenn das Unternehmen oder der Verarbeiter Daten verarbeitet, die eine Datenschutz-Folgenabschätzung erfordern, oder Daten für Übermittlungszwecke verarbeitet (z.B. zu Forschungszwecken).
Die Grundlage für alle organisatorischen Maßnahmen und ein funktionierendes Datenschutzkonzept im Allgemeinen ist das Inventar. Die DSGVO stellt hierfür eine Aufzeichnung der Verarbeitungstätigkeiten (ROPA) zur Verfügung.
Unternehmen überprüfen ihre Aktivitäten und Prozesse mit einer solchen Aufzeichnung, um festzustellen, ob personenbezogene Daten erfasst, gespeichert oder verarbeitet werden. Alle Prozesse, in denen dies der Fall ist, werden in der ROPA aufgelistet und dokumentiert.
Folgende Informationen müssen erfasst werden:
Das ROPA ist keine öffentliche Aufzeichnung; niemand kann auf ihre Informationen zugreifen. Schließlich enthalten die internen Aufzeichnungen auch Geschäftsgeheimnisse und vertrauliche Prozesse, die geschützt werden müssen. Die Aufzeichnung muss jedoch auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden.
Angenommen, eine Verarbeitungstätigkeit birgt aufgrund ihrer Technologie, Form oder Art ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Personen. In diesem Fall muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Eine Auswirkungsabschätzung analysiert, ob eine umfangreiche Verarbeitung erforderlich ist, die Risiken für die betroffenen Personen und ob der Zweck und das Risiko ausgeglichen sind. Nur wenn eine solche Risikobewertung für die Verarbeitung spricht, darf sie durchgeführt werden.
Wenn Unternehmen die Datenverarbeitung nicht selbst durchführen, sondern von externen Parteien durchführen lassen, muss immer ein Verarbeitungsvertrag mit der Drittpartei abgeschlossen werden. In diesem Vertrag muss festgelegt werden, wie die Daten verarbeitet werden, welche Schutzmechanismen gelten und wie die Daten gespeichert werden dürfen.
Die Regeln der DSGVO müssen in diesem Vertrag enthalten und eingehalten werden.
Wenn ein Datenleck oder ein Datenbruch auftritt, sollten Unternehmen Notfallpläne haben, die den Mitarbeitern vertraut sind. Dies stellt sicher, dass die Anforderungen der Datenschutz-Grundverordnung im Notfall so schnell wie möglich wieder erfüllt werden können.
Die zuständigen Aufsichtsbehörden müssen innerhalb von 72 Stunden informiert werden, wenn ein hohes Risiko für die betroffenen Personen besteht.
Nicht nur sind die Verpflichtungen für Unternehmen vielfältiger geworden, sondern auch die Rechte der betroffenen Personen haben zugenommen. Dies ist hauptsächlich auf das Prinzip der informationellen Selbstbestimmung zurückzuführen. Es besagt, dass jede Person frei ist zu entscheiden, welche Informationen sie über sich preisgibt und welche nicht.
Die DSGVO gibt Verbrauchern, Kunden, Lieferanten und Mitarbeitern somit mehr Kontrolle über ihre eigenen persönlichen Informationen. Die Undurchsichtigkeit der Unternehmen, die diese Daten nutzen oder sammeln, wird dadurch reduziert, und die Verfahren werden transparenter. Unternehmen, die mit persönlichen Informationen arbeiten möchten, müssen sich dann ebenfalls daran halten.
Die wichtigsten Rechte der betroffenen Personen umfassen Folgendes:
Die DSGVO gilt in den EU-Mitgliedstaaten und darüber hinaus. In den betroffenen Ländern hat die DSGVO Vorrang. Dies bedeutet jedoch nicht zwangsläufig, dass die DSGVO nationale Gesetze außer Kraft setzt.
Wie in vielen Vorschriften gibt es auch in der DSGVO Klauseln, die es den Staaten ermöglichen, ihre eigenen Vorschriften zu erlassen oder bestehende Vorschriften zu konkretisieren. So können sie trotz der einheitlichen rechtlichen Grundlage bestimmte Bereiche weiter regeln und die DSGVO eigenständig spezifizieren.
Es ist auch wichtig zu beachten, dass die DSGVO nicht nur für in der EU ansässige Unternehmen relevant ist. Das sogenannte Marktplatzprinzip gibt Aufschluss über den Anwendungsbereich der DSGVO: Alle personenbezogenen Daten im Zusammenhang mit Verkäufen und Dienstleistungen innerhalb der Europäischen Union dürfen nur gemäß den Bestimmungen der DSGVO durch die verarbeitende Stelle verarbeitet werden.
Plattformen wie Google, Facebook oder andere soziale Medien müssen sich ebenfalls an die DSGVO halten, wenn sie das Verhalten von EU-Bürgern überwachen möchten, beispielsweise um diese Daten für Werbezwecke zu verwenden.
Grundsätzlich müssen alle Unternehmen, die personenbezogene Daten innerhalb der EU speichern, verarbeiten oder übertragen, die Regeln der DSGVO einhalten. Dies bedeutet, dass im Grunde jede öffentliche Behörde und jedes Unternehmen von den Vorschriften der DSGVO betroffen ist.
Die DSGVO betrifft nicht persönliche oder familiäre Aktivitäten (sogenannte Haushaltsausnahme). Private Gespräche, E-Mail-Kontakte oder Chats unterliegen nicht den Verpflichtungen der DSGVO. Andererseits sollten Sie vorsichtig sein, wenn Sie private Fotos auf öffentlichen Plattformen teilen. Hier gilt die DSGVO wieder, mit der Konsequenz, dass alle betroffenen Personen der Veröffentlichung zustimmen müssen.
Aktivitäten, die grundsätzlich nicht von EU-Recht erfasst sind, können ebenfalls ausgenommen sein. Dies gilt beispielsweise für Aktivitäten, die im Bereich der Gemeinsamen Außen- und Sicherheitspolitik, wie beispielsweise der Strafverfolgung, entstehen. Für EU-Institutionen gelten auch separate Regelungen.
Die DSGVO bietet viele Maßnahmen und Regeln zum bestmöglichen Schutz personenbezogener Daten. Für Unternehmen bedeutet dies viel Arbeit, die am besten mit einem System wie der Priverion Data Protection Platform bewältigt wird. Die DSGVO erfordert, dass zu Beginn ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird, d.h., es wird zunächst eine Art Bestandsaufnahme der vorhandenen Prozesse vorgenommen.
Neben den vielen damit verbundenen Anstrengungen bietet die DSGVO auch die Möglichkeit, bestehende Strukturen im Unternehmen zu überprüfen und effizienter und datenfreundlicher zu gestalten. Dies reduziert nicht nur das Risiko eines Datenlecks und somit des Imageschadens und der Geldstrafen für das Unternehmen, sondern gewährleistet auch bessere und einfachere Arbeitsabläufe, die sogar den Umsatz steigern können. Unternehmen sollten die DSGVO daher auch als Chance sehen, ihr Geschäft zu reformieren und zu verbessern.