Startseite ' Ressourcen ' Artikel ' DSGVO für Dummies

DSGVO für Dummies

von: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Aktualisiert am: November 15, 2024

Rezensiert von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Kostenlose DSGVO Compliance-Lösung
DSGVO-Für-Dummies-Einfach-DSGVO-Leitfaden-für-Anfänger-01

Die Allgemeine Datenschutzverordnung ist ein komplexes europäisches Datenschutzgesetz, das sich auf Unternehmen in der ganzen Welt auswirkt, und Unternehmen müssen die Anforderungen verstehen, um die Vorschriften einzuhalten.

Dieser Leitfaden DSGVO für Dummies erklärt alles, was Sie über DSGVO wissen müssen, in leicht verständlicher Sprache.

Im Folgenden erkläre ich Ihnen, was die DSGVO ist, für wen sie gilt und wen sie schützt, und welche Schritte Sie unternehmen müssen, um Ihr Unternehmen auf die Einhaltung der Vorschriften vorzubereiten.

Inhaltsübersicht
  1. Wichtigste Erkenntnisse: DSGVO Erklärt in weniger als 5 Minuten
  2. Die DSGVO erklärt für Einsteiger
  3. Wie wirkt sich die DSGVO auf Internetnutzer aus?
  4. Wie wirkt sich die DSGVO auf Unternehmen aus?
  5. Quick DSGVO Checkliste für Dummies: Die Do's und Don'ts
  6. Dummies Leitfaden für die DSGVO [Infografik]
  7. DSGVO für Dummies FAQ
  8. Wie kann Termly Ihnen helfen, die DSGVO zu erfüllen?
  9. Zusammenfassung

Wichtigste Erkenntnisse: DSGVO Erklärt in weniger als 5 Minuten

Ich bin der Meinung, dass Unternehmen nicht immer auf einen Anwalt angewiesen sein sollten, um die grundlegenden Anforderungen zur Einhaltung der Verordnung zu verstehen. DSGVODeshalb habe ich im Folgenden die wichtigsten Punkte der Verordnung in leicht verständlicher Sprache für Sie erläutert:

  • Was ist die DSGVO? - Die DSGVO ist eine europäische Datenschutzverordnung, die Einzelpersonen in der EU/im EWR Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten gewährt, unabhängig davon, ob die Verarbeitung online oder offline erfolgt. Sie ist technologieneutral und erläutert die Anforderungen, die natürliche Personen, Unternehmen, Behörden oder Organisationen erfüllen müssen, um diese Informationen rechtmäßig zu verarbeiten.
  • Wen schützt die DSGVO ? - Die Website DSGVO schützt jede Person, die sich physisch in der Europäischen Union (EU) oder im Europäischen Wirtschaftsraum (EWR) befindet, unabhängig von ihrer Nationalität, ihrem Staatsangehörigkeitsstatus oder davon, ob ihre Daten online oder offline verarbeitet werden.
  • Für wen gilt die DSGVO ? - Die DSGVO gilt für jedes Unternehmen in der EU/im EWR, das personenbezogene Daten im Rahmen der Tätigkeiten einer seiner Niederlassungen verarbeitet, unabhängig davon, wo die personenbezogenen Daten verarbeitet werden. Sie gilt auch für Unternehmen mit Sitz außerhalb der EU/des EWR, die personenbezogene Daten von Einzelpersonen verarbeiten (unabhängig davon, ob es sich um registrierte Nutzer einer bestimmten Website handelt oder nicht) und entweder Waren und Dienstleistungen anbieten, die in der EU/dem EWR zugänglich sind , oder das Verhalten von Einzelpersonen in der EU/dem EWR überwachen.
  • Welche Rechte gewährt die DSGVO dem Einzelnen? - Nach der Verordnung haben Personen (die so genannten betroffenen Personen) das Recht auf Zugang, Berichtigung, Änderung, Einschränkung und Löschung ihrer personenbezogenen Daten. Sie haben auch das Recht auf Datenübertragbarkeit, d. h. sie können ihre Daten kopieren, verschieben und so übertragen, dass sie in einem anderen Format leichter wiederverwendet werden können.
  • Was sind die Anforderungen von DSGVO an Unternehmen? - Unternehmen , die in den Geltungsbereich von DSGVO fallen, müssen ihre Datenerhebungsverfahren in einer transparenten und konformen Datenschutzerklärung erläutern, in der unter anderem die Rechtsgrundlage für die Verarbeitung jeder Kategorie personenbezogener Daten und die Zwecke dieser Verarbeitung klar angegeben sind. Außerdem müssen sie geeignete technische und organisatorische Maßnahmen ergreifen, um die von ihnen verarbeiteten personenbezogenen Daten sicher zu speichern, damit sie vor Datenschutzverletzungen oder Datenlecks geschützt sind.
  • Welche rechtlichen Richtlinien und Lösungen braucht meine Website, um die DSGVO einzuhalten? - Um mit der Einhaltung der DSGVO zu beginnen, benötigt Ihre Website eine Datenschutzrichtlinie, eine Cookie-Richtlinie, cookie banner, Datenverarbeitungsverträge(DPA) und Formulare für Auskunftsersuchen der betroffenen Personen(DSAR oder SAR).
  • Welche Strafen drohen bei Verstößen gegen die DSGVO? - Unternehmen, die sich nicht an die DSGVO halten, riskieren Geldstrafen von bis zu 20 Millionen Euro (23 Millionen Dollar) oder 4 % ihres Bruttojahreseinkommens aus dem Vorjahr, je nachdem, welcher Betrag höher ist.

Die obige Liste ist ein guter Ausgangspunkt, um die DSGVO zu verstehen.

Im weiteren Verlauf dieses vereinfachten Leitfadens DSGVO gehe ich jedoch ausführlicher auf wichtige Teile der Verordnung ein.

Die DSGVO erklärt für Einsteiger

Als Nächstes werde ich die Grundlagen der DSGVO erläutern, z. B. was sie ist, warum wir sie brauchen und wie sie bestimmte wichtige Sätze im Zusammenhang mit personenbezogenen Informationen und der Datenverarbeitung definiert.

Was ist die DSGVO?

Die Abkürzung DSGVO steht für die Allgemeine Datenschutzverordnung und ist eine europäische Rechtsvorschrift zum Schutz personenbezogener Daten. Sie enthält eine Reihe von Anforderungen, die Unternehmen erfüllen müssen, um diese Daten rechtmäßig zu verarbeiten.

Obwohl sie in der EU verabschiedet wurde, betrifft sie Unternehmen weltweit und führte das Konzept des "Privacy by Design" (PbD) ein.

Dieses Datenschutzkonzept sieht vor, die Datenerhebung auf ein Minimum zu beschränken und von Beginn der Verarbeitung an Sicherheitsmaßnahmen zu ergreifen, um Datenlecks und Verstöße in allen Phasen der Verarbeitung personenbezogener Informationen zu verhindern.

Die Website DSGVO folgt sieben Grundsätzen des Datenschutzes:

  1. Rechtmäßigkeit, Fairness und Transparenz
  2. Zweckbindung
  3. Minimierung der Datenmenge
  4. Genauigkeit
  5. Beschränkung der Speicherung
  6. Integrität und Vertraulichkeit (auch bekannt als Sicherheit)
  7. Rechenschaftspflicht

Sie trat am 25. Mai 2018 in Kraft und setzte neue Standards für den Datenschutz und die Datensicherheit. Damit löste sie eine Welle globaler Datenschutzgesetze aus, die die Art und Weise, wie Verbraucher und Unternehmen das Internet nutzen, für immer veränderten.

Warum brauchen wir die DSGVO?

Wir brauchen Gesetze wie das DSGVO , weil die Menschen das Recht haben, zu wissen und zu kontrollieren, welche Informationen über sie gesammelt werden und wie sie weiterverwendet oder an wen sie weitergegeben werden. Das gilt auch für Sie, mich und alle anderen Internetnutzer.

Persönliche Daten sind sehr wertvoll - sie sind die Grundlage einer Billionen-Dollar-Industrie.

Heutzutage erzielen zahlreiche Unternehmen einen Teil ihres Gewinns durch den Verkauf persönlicher Daten an Werbekunden. Verordnungen wie die DSGVO schaffen einen Datenschutzrahmen für Unternehmen aller Größenordnungen, indem sie Regeln darüber aufstellen, was sie mit Ihren persönlichen Daten tun dürfen und was nicht.

Wenn Sie wissen, wie diese wichtige Rechtsvorschrift funktioniert und welche Rechte Sie haben, können Sie Ihr Leben sowohl online als auch offline besser kontrollieren.

Wen schützt die DSGVO ?

Die Website DSGVO schützt die personenbezogenen Daten aller Personen innerhalb der EU oder des EWR und bezeichnet sie als betroffene Personen.

Die EU-Mitgliedstaaten sind:

  • Österreich
  • Belgien
  • Bulgarien
  • Kroatien
  • Republik Zypern
  • Tschechische Republik
  • Dänemark
  • Estland
  • Finnland
  • Frankreich
  • Deutschland
  • Griechenland
  • Ungarn
  • Irland
  • Italien
  • Lettland
  • Litauen
  • Luxemburg
  • Malta
  • Niederlande
  • Polen
  • Portugal
  • Rumänien
  • Slowakei
  • Slowenien
  • Spanien
  • Schweden

Die EFTA-Länder (Europäische Freihandelsassoziation), die dem EWR (Europäischer Wirtschaftsraum) angehören, sind:

  • Island
  • Liechtenstein
  • Norwegen

Der einzige Faktor, der in der Verordnung berücksichtigt wird, ist der physische Standort der Person - sie gilt unabhängig von der Staatsangehörigkeit oder dem Status der Staatsbürgerschaft.

Welche Unternehmen müssen die Anforderungen von DSGVO erfüllen?

Die DSGVO gilt für alle in der EU/im EWR ansässigen Unternehmen, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU/des EWR erfolgt.

Sie gilt auch für Unternehmen, die nicht in der EU/dem EWR ansässig sind und personenbezogene Daten verarbeiten, und zwar entweder:

  1. Waren oder Dienstleistungen anbietet, die für betroffene Personen innerhalb der EU oder des EWR verfügbar sind (unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist) oder
  2. Überwacht das Verhalten der betroffenen Personen innerhalb der EU oder des EWR

Unternehmen mit Sitz in jedem Teil der Welt können in den rechtlichen Geltungsbereich der DSGVO fallen.

Wenn Ihr Unternehmen jedoch nicht in der EU/im EWR ansässig ist und die von Ihnen angebotenen Waren oder Dienstleistungen nicht für Personen in der EU/im EWR erhältlich sind und Sie keine Daten von Personen in der EU/im EWR verarbeiten, müssen Sie die Bestimmungen von DSGVO nicht einhalten.

DSGVO Definitionen für Dummies

In der nachstehenden Tabelle habe ich vereinfachte Fassungen der spezifischen rechtlichen Definitionen wichtiger Begriffe aus dem Text der DSGVO aufgeführt, damit Sie feststellen können, ob Ihr Unternehmen die Verordnung befolgen muss.

Wort Definition für Dummies Rechtliche Definition, wie sie in der DSGVO erscheint (Kapitel 1, Artikel 4)
Persönliche Daten Informationen, die eine natürliche Person identifizieren können (aka Datensubjekt), entweder direkt oder indirekt, wie zum Beispiel:

 "...alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind ..."
Verarbeitung Verarbeitung umfasst eine der folgenden Maßnahmen in Bezug auf persönliche Daten in Bezug auf eine Datensubjekt:

  • Sammeln
  • Aufnahme
  • Organisieren
  • Strukturierung
  • Ablage
  • Anpassen
  • Ändern von
  • Abrufen von
  • Beratung
  • Verwendung von
  • Offenlegung durch Übermittlung
  • Verbreitung
  • Zur Verfügung stellen
  • Ausrichtung oder Kombination
  • Einschränkung
  • Löschung oder
  • Zerstörung.
 "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten ..."
Datenkontrolleur Jede Einrichtung (natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle), die den Zweck/die Zwecke und die Mittel der Verarbeitung von persönliche Daten.

Entscheidet Ihr Unternehmen, warum und wie die personenbezogenen Daten verarbeitet werden?

Ihr Unternehmen kann ein für die Datenverarbeitung Verantwortlicher im Sinne der DSGVO sein.

 "...die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Recht der Union oder der Mitgliedstaaten vorgesehen werden..."
Datenverarbeiter Jede dritte Einrichtung, die Prozesse die persönliche Daten von Datensubjekte im Namen der Datenverantwortlicher.

Erhält Ihr Unternehmen klare Anweisungen, warum und wie die personenbezogenen Daten verarbeitet werden sollen?

Ihr Unternehmen kann ein Datenverarbeiter im Sinne der DSGVO sein.

 "...eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet..."

Was sind die Strafen für Verstöße gegen die DSGVO?

Ich werde diesen Abschnitt kurz und bündig halten. Je nach Art des Verstoßes können Unternehmen, die gegen die DSGVO verstoßen, mit Geldbußen von bis zu:

  • 10 Mio. € (12 Mio. $) oder 2 % Ihres Bruttojahreseinkommens aus dem vorangegangenen Geschäftsjahr (je nachdem, welcher Betrag höher ist) für jeden Verstoß gemäß Artikel 83 Absatz 4.
  • 20 Mio. € (23 Mio. $) oder 4 % der jährlichen Bruttoeinnahmen aus dem vorangegangenen Geschäftsjahr (je nachdem, welcher Betrag höher ist) für jeden Verstoß gemäß Artikel 83 Absatz 5.

Die Verordnung wird von verschiedenen Datenschutzbehörden in den EU/EWR-Ländern durchgesetzt.

Wie ein Datenschutz-Sheriff setzen sie die Anwendung der DSGVO und der einschlägigen nationalen Gesetze in ihrem Land durch und überwachen sie, bieten fachkundige Beratung in Datenschutzfragen, bearbeiten Beschwerden über Gesetzesverstöße und können sogar hohe Geldstrafen verhängen.

Ernennung eines DSB (Datenschutzbeauftragter)

Einrichtungen (unabhängig davon, ob sie als für die Verarbeitung Verantwortliche oder als Auftragsverarbeiter tätig sind), die besondere Kategorien personenbezogener Daten verarbeiten oder das Verhalten von Personen in großem Umfang überwachen, müssen einen Datenschutzbeauftragten (DSB) benennen:

  • Erledigung aller Aktivitäten und des Papierkrams von DSGVO
  • Überwachung der Einhaltung der geltenden Datenschutzgesetze durch das Unternehmen
  • Bereitstellung interner Leitlinien in Bezug auf die geltenden Datenschutzvorschriften oder -praktiken oder
  • Kommunikation mit der zuständigen Datenschutzbehörde oder den betroffenen Personen, falls erforderlich.

Auch wenn ein Unternehmen nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen ( DSGVO), wird die Bestellung eines solchen Beauftragten dennoch als bewährte Praxis empfohlen.

Wie wirkt sich die DSGVO auf Internetnutzer aus?

Die Website DSGVO betrifft Internetnutzer mit Sitz in der EU/im EWR, indem sie ihnen besondere Rechte und die Kontrolle darüber einräumt, wann und wie ihre personenbezogenen Daten verarbeitet werden.

Betroffene Personen, die durch die Website DSGVO geschützt sind, haben das Recht auf:

  • zu erfahren, welche Informationen über sie gesammelt werden, an wen sie weitergegeben werden und wie sie verwendet werden
  • Berichtigung unzutreffender Informationen über die betroffene Person
  • Löschung der die betroffene Person betreffenden personenbezogenen Daten in bestimmten Situationen
  • die Verarbeitung personenbezogener Daten unter bestimmten Umständen einzuschränken
  • Sie erhalten eine tragbare Kopie ihrer Daten, die sie problemlos mit anderen Parteien teilen und in anderen Formaten verwenden können.
  • Widerspruch gegen die Datenverarbeitung in bestimmten Situationen
  • Widersprechen Sie der automatisierten Verarbeitung, z. B. dem Profiling
  • Widerruf einer bereits erteilten Zustimmung
  • Einreichung einer Beschwerde bei einer Datenschutzbehörde

Weitere Informationen über die Rechte der betroffenen Personen finden Sie in Kapitel 3 der Website DSGVO.

Wie wirkt sich die DSGVO auf Unternehmen aus?

In der Website DSGVO werden verschiedene geschäftliche Anforderungen genannt, die Sie (je nachdem, ob Sie als Verantwortlicher oder als Auftragsverarbeiter handeln) befolgen müssen, um personenbezogene Daten rechtmäßig zu verarbeiten, und auf die ich in den folgenden Abschnitten kurz eingehe.

Bestimmen Sie Ihre Rechtsgrundlage

Gemäß DSGVO muss Ihr Unternehmen über eine Rechtsgrundlage für die Verarbeitung jeder Kategorie personenbezogener Daten von betroffenen Personen verfügen; legen Sie also fest, wie diese für Ihr Unternehmen aussieht.

Die rechtlich fundierten Gründe für die Datenverarbeitung werden in Kapitel 2, Artikel 6 der Verordnung erläutert und umfassen:

  • Einholung der Zustimmung der betroffenen Person für einen oder mehrere bestimmte Zwecke
  • zur Erfüllung notwendiger vertraglicher Verpflichtungen, an denen die betroffene Person beteiligt ist
  • Für gesetzliche Verpflichtungen oder Anforderungen, denen der für die Verarbeitung Verantwortliche unterliegt
  • die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person (gilt in der Regel nur für Situationen, in denen es um Leben oder Tod geht)
  • die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
  • berechtigte Interessen, die von dem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgt werden und die nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person(en) überwiegen

Datenschutz-Folgenabschätzungen (DPIAs)

Wenn die Datenverarbeitungsaktivitäten eines Unternehmens wahrscheinlich ein hohes Risiko für die Grundrechte und -freiheiten von Personen darstellen, müssen sie eine Datenschutzfolgenabschätzung gemäß Kapitel 4, Artikel 35 ausfüllen.

Beispiele für risikoreiche Verarbeitungstätigkeiten sind:

  • Einsatz innovativer Technologie
  • Verfolgung des Standorts oder Verhaltens von Personen
  • Verarbeitung genetischer oder biometrischer Daten (z. B. 23andMe oder DNA-Tests, Gesichtserkennung, Fingerabdrücke oder Netzhautscans)
  • Vermarktung an Kinder oder andere schutzbedürftige Personen.

Die Zustimmung und die DSGVO

Viele Unternehmen sind unter DSGVO darauf angewiesen, die Zustimmung der Nutzer einzuholen, um personenbezogene Daten legal zu verarbeiten. Wenn Sie dies tun wollen, müssen Sie genaue Anforderungen erfüllen.

Die DSGVO definiert Zustimmung als:

"... frei gegebene, spezifische, in Kenntnis der Sachlage getätigte und unzweideutige Angabe der Wünsche der betroffenen Person mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihre der Verarbeitung der sie betreffenden personenbezogenen Daten zugestimmt hat..."

Einfach ausgedrückt: Die von Ihrer Datenverarbeitung betroffenen Personen müssen wissen, womit sie einverstanden sind, und sie müssen ihre Zustimmung freiwillig erteilen, indem sie eine bestätigende Handlung vornehmen, z. B. ein Kästchen ankreuzen oder auf eine deutlich gekennzeichnete Schaltfläche "Einverstanden" klicken.

Auf der Website DSGVO werden in Kapitel 2, Artikel 7 auch mehrere Bedingungen für die Zustimmung erläutert, so dass Sie sicherstellen sollten, dass Sie alle diese zusätzlichen Anforderungen erfüllen:

  • Sie müssen nachweisen, dass Sie tatsächlich die rechtmäßige Zustimmung der betroffenen Personen erhalten haben.
  • Wenn Sie um Zustimmung bitten, muss dies klar von der Bitte um Zustimmung zu anderen Dingen, wie Marketing-E-Mails, zu unterscheiden sein. Aus diesem Grund ist es wichtig, für jeden Zweck ein eigenes Feld einzurichten.
  • Sie müssen die betroffenen Personen darüber informieren, dass sie ihre Einwilligung jederzeit widerrufen können, und Sie müssen den betroffenen Personen eine einfache Möglichkeit bieten, dies zu tun.

Die meisten Unternehmen verwenden ein Zustimmungsbanner mit Links zu ihrer Cookie-Nutzung oder der Sammlung personenbezogener Daten, um eine angemessene Zustimmung unter DSGVO zu erhalten.

DSGVO Anforderungen an Datenschutz- und Cookie-Richtlinien für Unternehmen

Ihr Unternehmen benötigt eine genaue, DSGVO-konforme Datenschutzerklärung und Cookie-Richtlinie, damit die betroffenen Personen die von Ihrem Unternehmen durchgeführten Datenverarbeitungsaktivitäten unter DSGVO richtig verstehen können.

Gemäß Kapitel 3, Artikel 13 der DSGVO müssen Unternehmen den betroffenen Personen an den Stellen, an denen personenbezogene Daten erhoben werden, die folgenden Informationen geben:

  • Identität und Kontaktinformationen des für die Datenverarbeitung Verantwortlichen (d. h. Ihres Unternehmens, wenn Sie für die Mittel und Zwecke dieser Verarbeitung verantwortlich sind)
  • Die Kontaktdaten des Datenschutzbeauftragten oder des DSB, falls zutreffend
  • Der Zweck und die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, wie in Kapitel 2, Artikel 6 erläutert
  • die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen (oder des Drittverarbeiters), falls zutreffend
  • Wer die Daten erhält und ob die Absicht besteht, diese personenbezogenen Daten weiter zu verarbeiten
  • Informationen über die Absicht, die Daten in Länder außerhalb des EWR zu übertragen
  • die Dauer der Datenspeicherung oder die Kriterien für die Festlegung dieses Zeitraums
  • Die Rechte der betroffenen Personen nach dem DSGVO
  • das Recht, die Einwilligung zu widerrufen, wenn die Verarbeitung auf dieser Rechtsgrundlage beruht
  • Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
  • Das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling.

Die Verordnung räumt den betroffenen Personen auch das Recht ein, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht, und, falls dies der Fall ist, Zugang zu den über sie erhobenen personenbezogenen Daten zu erhalten.

Kapitel 3, Artikel 15 besagt, dass der für die Verarbeitung Verantwortliche die betroffenen Personen über alle folgenden Einzelheiten informieren muss:

  • Ihr Zweck für die Verarbeitung der Daten
  • Die Kategorien der von Ihnen verarbeiteten Daten
  • Wer die Daten erhält
  • Wie lange die Daten gespeichert werden
  • Eine Erläuterung der Rechte, die die betroffenen Personen in Bezug auf ihre Daten haben, und wie sie diese ausüben können
  • Eine Erläuterung des Rechts der betroffenen Personen, sich bei einer Aufsichtsbehörde über Ihr Unternehmen zu beschweren
  • die Quelle aller personenbezogenen Daten, die Sie über eine betroffene Person haben und die Sie nicht direkt bei ihr erhoben haben
  • Wenn Sie automatisierte Entscheidungsfindungsprozesse, wie Profiling, verwenden

DSGVO-konforme DSAR-Formulare

Um sicherzustellen, dass Ihre Nutzer, die durch DSGVO geschützt sind, ihre Rechte leicht wahrnehmen können, stellen Sie ihnen auf Ihrer Website ein Formular für die Beantragung des Zugangs zu den Daten zur Verfügung (DSAR).

Ein DSAR-Formular schafft einen unkomplizierten, einfachen Prozess für Ihre Nutzer, die ihre Informationen löschen, ändern oder abrufen möchten.

TermlyCMP stellt Ihnen ein kostenloses DSAR-Formular zur Verfügung, das Sie auf Ihrer Website einbetten können, um Anfragen von betroffenen Personen angemessen zu bearbeiten (siehe Abbildung unten).

Termly-DSAR-form-embeddable-form

Vereinbarungen über die Datenverarbeitung im Rahmen des DSGVO

Wenn ein anderes Unternehmen Sie bei der Verarbeitung der personenbezogenen Daten Ihrer Nutzer unterstützt, müssen Sie einen Vertrag abschließen, der bestimmten Anforderungen entspricht, wie in Kapitel 4, Artikel 28 der DSGVO erläutert.

Sie und der Dritte müssen den Vertrag unterzeichnen, der oft als Datenverarbeitungsvertrag (Data Processing Agreement,DPA) bezeichnet wird. Er muss alle folgenden Angaben über den Drittverarbeiter enthalten:

  • Verarbeiten Sie personenbezogene Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen.
  • Sie verpflichten sich zur Vertraulichkeit der personenbezogenen Daten.
  • Ergreifen Sie alle Sicherheitsmaßnahmen, die in Artikel 32 der DSGVO aufgeführt sind.
  • keinen Unterauftragsverarbeiter ohne vorherige schriftliche oder allgemeine Genehmigung zu beauftragen.
  • Im Falle der Auslagerung an einen anderen Unterauftragsverarbeiter werden dem Unterauftragsverarbeiter vertraglich oder durch einen anderen Rechtsakt dieselben Datenschutzverpflichtungen auferlegt, die im Vertrag oder einem anderen Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter festgelegt sind.
  • Er muss in der Lage sein, den für die Verarbeitung Verantwortlichen zu unterstützen, indem er geeignete technische Maßnahmen ergreift, um Ersuchen von betroffenen Personen zur Wahrnehmung ihrer Rechte zu erfüllen und zu beantworten.
  • Er muss den für die Verarbeitung Verantwortlichen bei der Einhaltung der Anforderungen an die Sicherheit und die vorherige Konsultation unterstützen (Artikel 32 und 36).
  • Löschung oder Rückgabe aller personenbezogenen Daten an den für die Verarbeitung Verantwortlichen nach Ablauf der Vertragslaufzeit.
  • dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Bestimmungen von DSGVO nachzuweisen, und den für die Verarbeitung Verantwortlichen unverzüglich zu informieren, wenn sie der Meinung sind, dass eine Anweisung gegen DSGVO oder andere Rechtsvorschriften der Mitgliedstaaten verstößt.
  • Audits, einschließlich Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer, zuzulassen und zu unterstützen.

DSGVO Anforderungen an Datensicherheit und -schutz

Die DSGVO verpflichtet Unternehmen, die von ihnen verarbeiteten personenbezogenen Daten sicher zu speichern und sie vor Cyberkriminalität wie Datenlecks oder Datenschutzverletzungen zu schützen.

Es bleibt Ihnen überlassen, welche Sicherheitsmaßnahmen Sie ergreifen, aber die Verordnung schlägt in Kapitel 4, Artikel 32 folgende Maßnahmen vor:

  • Pseudonymisierung und Verschlüsselung
  • Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität und Widerstandsfähigkeit Ihrer Verarbeitungssysteme
  • Bereitstellung einer Möglichkeit zur Wiederherstellung der Verfügbarkeit und des Zugriffs auf die Daten nach einem Zwischenfall
  • Erstellen Sie ein Verfahren zum Testen, Bewerten und Evaluieren der Wirksamkeit Ihrer technischen und organisatorischen Maßnahmen.

Es wird empfohlen, die technischen und organisatorischen Maßnahmen zum kontinuierlichen Schutz personenbezogener Daten zu bewerten (z. B. einmal jährlich oder im Falle eines bestimmten Vorfalls oder einer Verletzung). Besondere Aufmerksamkeit ist den folgenden Risiken zu widmen, die mit der Verarbeitung personenbezogener Daten verbunden sind:

  • Versehentliche oder unrechtmäßige Zerstörung
  • Verlust
  • Änderung
  • Unbefugte Weitergabe von oder Zugriff auf persönliche Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden

Wenn es zu einer Datenschutzverletzung kommt und sich eines der oben genannten Risiken verwirklicht, haben Sie 72 Stunden Zeit, um die zuständige Datenschutzbehörde zu informieren, sobald Sie von der Verletzung Kenntnis erhalten.

Wenn die Datenverletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, müssen diese so schnell wie möglich über die Cyberkriminalität informiert werden.

Quick DSGVO Checkliste für Dummies: Die Do's und Don'ts

Um DSGVO noch weiter zu vereinfachen, habe ich zwei Listen für Sie erstellt, eine mit den DSGVO Dos und eine mit den DSGVO Don'ts.

Die DSGVO Do's

Wenn Ihr Unternehmen unter anderem in den Geltungsbereich der DSGVO fällt, müssen Sie alle folgenden Schritte unternehmen:

  • Erstellen und veröffentlichen Sie eine konforme Datenschutzrichtlinie: Stellen Sie sicher, dass Ihre Datenschutzrichtlinien leicht zu lesen und zu verstehen sind, und präsentieren Sie sie Ihren Nutzern überall dort, wo Sie Daten sammeln.
  • Veröffentlichen Sie eine Cookie-Richtlinie und aktualisieren Sie diese regelmäßig: Cookies gelten unter DSGVOals personenbezogene Daten, und fast jede Website verwendet sie. Vergewissern Sie sich also, dass alle Cookies oder Tracker Ihren Nutzern in einer Cookie-Richtlinie mitgeteilt werden, und halten Sie diese auf dem neuesten Stand, damit sie immer korrekt ist.
  • Verwenden Sie ein richtig konfiguriertes Einwilligungsbanner: Wenn die Einwilligung die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist, verwenden Sie ein Einwilligungsbanner auf Ihrer Website, das die entsprechende Einwilligung der Nutzer einholt und nachverfolgt und ihnen Zugang zu einem Einstellungszentrum gibt, um ihre Meinung zu ändern.
  • Stellen Sie DSAR-Formulare auf Ihre Website: Ihre Nutzer haben das Recht, Zugang zu den von Ihnen gesammelten personenbezogenen Daten zu verlangen, sie zu löschen, zu ändern oder zu korrigieren. Stellen Sie daher ein DSAR-Formular auf Ihre Website, damit sie ihre Rechte wahrnehmen können.
  • Verwenden Sie DPAs für Ihre Verträge mit Dritten: Wenn Sie mit Dritten zusammenarbeiten, um die Daten Ihrer Nutzer zu verarbeiten, stellen Sie ihnen eine Datenschutzvereinbarung zur Verfügung, die alle vertraglichen Richtlinien erfüllt, die in Kapitel 4, Artikel 28 der DSGVO erläutert werden.
  • Fragen Sie sich, ob der Zweck, zu dem die personenbezogenen Daten erhoben werden dürfen, gerechtfertigt ist.
  • Achten Sie darauf, dass die personenbezogenen Daten ordnungsgemäß gesichert sind .
  • Achten Sie darauf, dass die personenbezogenen Daten korrekt und auf dem neuesten Stand sind.
  • Löschen Sie personenbezogene Daten, wenn sie nicht mehr erforderlich sind.

Die DSGVO Don'ts

Da Sie nun wissen, was zu tun ist, wenn Ihr Unternehmen unter die Website DSGVO fällt, finden Sie hier eine Liste der Dinge, die Sie nicht tun sollten:

  • Verwenden Sie keine heimtückischen Umgehungslösungen: Der Versuch, das System zu überlisten, ist es nicht wert. Wenn Ihre Nutzer beispielsweise mehrere unnötige Links anklicken müssen, um zum Zentrum für Einwilligungseinstellungen zu gelangen, oder wenn Sie es ihnen besonders schwer machen, die Opt-out-Schaltfläche auf Ihrem Einwilligungsbanner zu finden, riskieren Sie eine Geldstrafe wegen Nichteinhaltung.
  • Verwenden Sie KEINE angekreuzten Kästchen, um die Zustimmung der Nutzer einzuholen: Die DSGVO erlaubt keine vorgewählten Kästchen auf Einwilligungsbannern, da sie Ihre Nutzer daran hindern, eine bestätigende Handlung vorzunehmen, um zu zeigen, dass sie mit Ihrer Datenverarbeitung einverstanden sind.
  • Lügen Sie nicht darüber, wie Sie personenbezogene Daten verwenden: Es verstößt gegen DSGVO , wenn Sie darüber lügen, welche Daten Sie sammeln und wie Sie sie verwenden, und die Aufsichtsbehörden der verschiedenen EU-/EWR-Länder können Sie finanziell zur Rechenschaft ziehen.
  • Kopieren Sie KEINE Rechtsrichtlinien von anderen Unternehmen: Rechtsrichtlinien sind urheberrechtlich geschützte Dokumente; sie direkt von einem anderen Unternehmen zu kopieren ist ein Plagiat. Noch wichtiger ist, dass die Richtlinie eines anderen Unternehmens Ihre Datenpraktiken nicht genau widerspiegelt.
  • Bewahren Sie keine personenbezogenen Daten auf, die Sie nicht mehr benötigen: Die DSGVO besagt eindeutig, dass Sie Daten nur so lange speichern dürfen, wie es notwendig ist, um den Zweck zu erfüllen, den Sie Ihren Nutzern in Ihrer Datenschutzrichtlinie erklärt haben; stellen Sie also sicher, dass Sie diese Daten nicht länger als nötig speichern.
  • Glauben Sie nicht, dass Sie mit der Nichteinhaltung von Vorschriften davonkommen: Sie könnten davon ausgehen, dass Ihr Unternehmen zu klein oder zu unauffällig ist, um wegen Nichteinhaltung von Vorschriften bestraft zu werden, aber das ist nicht der Fall. Seit 2018 hat die Website DSGVO fast 3 Milliarden US-Dollar an Bußgeldern generiert. Es bedarf nur einer Beschwerde eines Nutzers oder eines einzigen Cyberverbrechens, bei dem die von Ihnen gesammelten personenbezogenen Daten durchsickern, damit die Datenschutzbehörden Ihr Unternehmen zur Rechenschaft ziehen - die finanziellen und rufschädigenden Folgen sind sehr real.

Dummies Leitfaden für die DSGVO [Infografik]

Eine gute Nachricht: Wir haben die wichtigsten Teile dieses DSGVO Leitfadens für Dummies in einer Infografik zusammengefasst, die sich leicht teilen lässt. Sehen Sie es sich unten an!

Laden Sie die Inforgrafik DSGVO für Dummies über den unten stehenden Link herunter:

PDF DSGVO Leitfaden für Dummies.

Wenn es um die Einhaltung von Datenschutzgesetzen und Nutzerrechten geht, sitzen wir alle im selben Boot - geben Sie diesen Leitfaden und die Infografik also gerne weiter, wenn Sie sie hilfreich finden.

DSGVO für Dummies FAQ

Ich liebe es, über die Einhaltung von Datenschutzbestimmungen und die DSGVO zu sprechen. Lesen Sie daher im Folgenden einige Antworten auf die am häufigsten gestellten Fragen, die wir über die DSGVO erhalten.

Was bedeutet DSGVO ?

DSGVO ist die Abkürzung für die Allgemeine Datenschutzverordnung.

Was ist die DSGVO in einfachen Worten?

Die DSGVO ist eine europäische Datenschutzverordnung, die die Rechte beschreibt, die Einzelpersonen mit Wohnsitz in der EU/im EWR in Bezug auf ihre persönlichen Daten haben, die von Unternehmen (oder natürlichen Personen außerhalb ihres persönlichen Gebrauchs) verarbeitet werden, und die erklärt, welche Richtlinien Unternehmen weltweit befolgen müssen, um ihre persönlichen Daten legal zu verarbeiten.

Was sind die sieben Grundsätze der DSGVO?

Die sieben Grundsätze der DSGVO, wie sie in Kapitel 2, Artikel 5 beschrieben sind, lauten:

  1. Rechtmäßigkeit, Fairness und Transparenz
  2. Zweckbindung
  3. Minimierung der Datenmenge
  4. Genauigkeit
  5. Beschränkung der Speicherung
  6. Integrität und Vertraulichkeit (auch bekannt als Sicherheit)
  7. Rechenschaftspflicht

Für wen gilt die Website DSGVO ?

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter mit Sitz in der EU/dem EWR, unabhängig davon, ob die Verarbeitung selbst außerhalb des EWR stattfindet.

Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter, der außerhalb der EU/des EWR ansässig ist, aber personenbezogene Daten natürlicher Personen in der EU/dem EWR verarbeitet und eine der folgenden Bedingungen erfüllt:

  • ihre Waren oder Dienstleistungen Verbrauchern in der EU/im EWR zur Verfügung stellt, auch wenn kein Geldaustausch stattfindet
  • Überwacht das Online-Verhalten von Nutzern in der EU/EWR

Wen schützt die Website DSGVO ?

Die Website DSGVO schützt natürliche Personen, die sich in der Europäischen Union (EU) oder im Europäischen Wirtschaftsraum (EWR) aufhalten.

Muss ich die Bestimmungen von DSGVO erfüllen, wenn mein Unternehmen in den USA ansässig ist?

Ja, Sie müssen die DSGVO einhalten, wenn Ihr Unternehmen in den USA ansässig ist, Sie personenbezogene Daten verarbeiten und eine der folgenden Voraussetzungen erfüllen:

  • Sie bieten Verbrauchern in der EU/im EWR Waren oder Dienstleistungen an, auch wenn kein Geldaustausch stattfindet
  • Sie überwachen das Online-Verhalten von Personen, die sich in der EU/EWR befinden

Wie kann Termly Ihnen helfen, die DSGVO zu erfüllen?

Termly bietet Lösungen zur Generierung von Richtlinien und zur Verwaltung von Einwilligungen an, die von unserem Team von Anwälten und Datenschutzexperten unterstützt werden und Ihrem Unternehmen helfen, die DSGVO und verschiedene andere Datenschutzgesetze weltweit einzuhalten.

Wir machen die Einhaltung von Gesetzen einfach und erschwinglich, damit Sie sich auf das Wesentliche konzentrieren können, nämlich Ihr Geschäft und Ihre Kunden.

Unser kostenloser Datenschutzerklärung Generator erfüllt alle Anforderungen der DSGVO - Sie müssen nur einfache Fragen zu Ihrem Unternehmen beantworten. Es erstellt eine ordnungsgemäß formatierte, konforme Richtlinie für Sie.

Wie das aussieht, sehen Sie auf dem folgenden Screenshot.

Termly-Privacy-Policy-Generator

Wir bieten auch eine Consent Management Platform mit regionalen Unterstützungseinstellungen an, damit Sie ein DSGVO Einwilligungsbanner konfigurieren können, das für alle Ihre EU-/EWR-Nutzer angezeigt wird und ihre Einwilligungsentscheidungen gemäß der Verordnung angemessen einholt und verfolgt.

Im folgenden Screenshot sehen Sie ein Beispiel für die Einstellungen unseres Einwilligungsbanners.

Termly-Consent-Management-Platform-CMP

Wir sind Ihre All-in-One-Lösung für die Einhaltung von Vorschriften, und unsere Tools helfen kleinen und mittleren Unternehmen auf der ganzen Welt, mit Gesetzen wie DSGVO und anderen auf dem Laufenden zu bleiben.

Zusammenfassung

Die Website DSGVO hat den Umfang des Datenschutzes für immer verändert und wirkt sich auf Unternehmen weltweit aus.

Aber mit diesem Leitfaden und Termly in Ihrem Werkzeugkasten sind Sie bereit, Ihre Website so einzurichten, dass sie die Vorschriften in vollem Umfang erfüllt, ohne Ärger, Verwirrung und teure Rechtskosten.

Denken Sie daran, dass Sie zur Einhaltung dieser Verordnung eine konforme Datenschutz- und Cookie-Richtlinie, ein ordnungsgemäß konfiguriertes Einwilligungsbanner und ein DSAR-Formular auf Ihrer Website benötigen.

Wenn Sie mehr über die DSGVO erfahren möchten, finden Sie hier wertvolle Informationen:

  • Was ist die DSGVO? - Unser umfassender Leitfaden mit allem, was Sie über die DSGVO wissen müssen.
  • EU DSGVO Homepage - Die offizielle Website DSGVO bietet hilfreiche Informationen, wenn Sie sich eingehender mit den rechtlichen Aspekten befassen möchten.
  • The ICO's DSGVO Guide - Der Leitfaden dieser britischen Behörde ist für alle Unternehmen hilfreich.
Teodor Stanciu, CIPP/E, CIPM
Mehr über die Autorin

Geschrieben von Teodor Stanciu, CIPP/E, CIPM

Teo ist ein Datenschutzspezialist und erfahrener Datenschutzbeauftragter (DSB), der Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen mit Leidenschaft unterstützt. Er verfügt über mehr als sieben Jahre Erfahrung als Datenschutzbeauftragter für eine internationale Organisation, die in 50 Ländern tätig ist und ihren Sitz in Brüssel, Belgien, hat. Teo ist ein Certified Information Privacy Professional/Europe (CIPP/E) und Certified Information Privacy Manager (CIPM) der International Association of Privacy Professionals (IAPP).

Mehr über die Autorin
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Erfüllen Sie die DSGVO kostenlos

Termly erstellt innerhalb von MINUTEN eine DSGVO-fertige Lösung für den Datenschutz und die Einwilligung!
Vereinbaren Sie jetzt mit DSGVO

Verwandte Artikel

  1. Termly
    Termly vs. Iubenda: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. Termly-vs-Usercentrics-01
    Termly vs. Usercentrics: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly-vs-Termsfeed-01
    Termly vs. TermsFeed: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. Termly-vs-Cookiebot-01
    Termly vs. Cookiebot: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  5. Termly
    Termly vs. OneTrust: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Termly
    Termly vs. CookieYes: Vergleich der Funktionen und Dienstleistungen
    Vergleiche

    28. März 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  7. Was-ist-Datenschutz-Compliance-01
    Was ist die Einhaltung des Datenschutzes und wie erreicht man sie?
    Artikel

    25. März 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. Datenschutzrichtlinie für Fitness-Websites-01
    Datenschutzrichtlinie für Fitness-Websites
    Artikel

    25. März 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Datenschutzrichtlinie für Fitnessstudio-Websites-01
    Datenschutzrichtlinie für Fitnessstudio-Websites
    Artikel

    25. März 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Weitere Artikel ansehen