Was ist DSGVO? Zusammenfassung der Allgemeinen Datenschutzverordnung

Abgedeckt durch Termly

von: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Aktualisiert am: 1. November 2024

Rezensiert von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Kostenlos mit der DSGVO in Kontakt treten
Was-ist-DSGVO-Die-Grundlagen-der-EU-Datenschutz-Grundverordnung-01

Die Allgemeine Datenschutzverordnung (DSGVO) gilt seit 2018 in Europa und hat fast sofort die Art und Weise verändert, wie Unternehmen weltweit personenbezogene Daten erfassen und verarbeiten - höchstwahrscheinlich hat sie auch Auswirkungen auf Ihr Unternehmen.

Ihr Ziel ist es, die Datenschutzrechte von Einzelpersonen in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) zu schützen, indem sie ihnen die Kontrolle darüber geben, wie ihre persönlichen Daten online verwendet werden.

Sie enthält eine Reihe von Regeln und Grundsätzen, die Unternehmen befolgen müssen, wenn sie nicht mit hohen Geldstrafen belegt werden wollen.

Um Unternehmen das Verständnis der Verordnung zu erleichtern, habe ich diese DSGVO Zusammenfassung erstellt, in der ich den rechtlichen Geltungsbereich, den Schutz der Betroffenen, die erforderlichen Maßnahmen zur Einhaltung der Vorschriften und die potenziellen Kosten eines Verstoßes gegen das weltweit strengste Datenschutzgesetz erläutere.

Inhaltsübersicht
  1. Was ist die DSGVO?
  2. Wer muss sich an die DSGVO halten?
  3. Schlüsseldefinitionen In der DSGVO
  4. Sanktionen bei Nichteinhaltung der Vorschriften
  5. Die DSGVO's Take On...
  6. DSGVO Anforderungen für Unternehmen
  7. Wie wirken sich die Regeln von DSGVO auf Nutzer und Verbraucher aus?
  8. Die weltweite Wirkung des DSGVO
  9. Wie sind US-Unternehmen von der EU DSGVO betroffen?
  10. Was bedeutet DSGVO für die Zukunft?
  11. DSGVO FAQs
  12. Zusammenfassung

Was ist die DSGVO?

Ich beschreibe gerne die DSGVO auf zwei Arten.

Es handelt sich um eine europäische Datenschutzverordnung, die Einzelpersonen in der EU/im EWR Rechte und Kontrolle über ihre persönlichen Daten gewährt. Sie legt aber auch bestimmte Regeln und Grundsätze fest, die Unternehmen weltweit befolgen müssen, um diese wertvollen Daten legal zu verarbeiten.

Mit DSGVO wurde ein konsolidierter Rechtsrahmen für den Datenschutz in allen EU-Mitgliedstaaten sowie in Island, Liechtenstein und Norwegen geschaffen, die Teil des EWR-Binnenmarktes sind.

Sie stellt die individuellen Rechte der betroffenen Personen über alles und macht Unternehmen für Datenlecks und Datenschutzverletzungen verantwortlich.

Die interessante Geschichte des DSGVO

Die Website DSGVO hat eine interessante, vielleicht sogar turbulente Geschichte, auf die ich kurz eingehen möchte, bevor ich auf ihre spezifischen rechtlichen Anforderungen eingehe.

Die Umsetzung von DSGVO bedeutete einen Wendepunkt für den Schutz der Privatsphäre in unserem aktuellen, gewissermaßen neuen digitalen Zeitalter der Big Data.

Während die europäischen Staats- und Regierungschefs die DSGVO ursprünglich im Jahr 2016 verabschiedeten, trat sie am 25. Mai 2018 in Kraft, so dass die EU-Mitgliedstaaten und Unternehmen weltweit zwei Jahre Zeit hatten, sich darauf vorzubereiten.

Zwei Jahre klingen nach viel Zeit für die Vorbereitung. Viele Organisationen waren sich jedoch nicht im Klaren über die Anforderungen von DSGVO und darüber, ob und wann sie diese erfüllen müssen.

Diese Ungewissheit - und die mangelnde Vorbereitung - bringen sie in die Gefahr erheblicher Geldstrafen bei Nichteinhaltung der Vorschriften (auf die finanziellen Risiken eines Verstoßes gegen die DSGVO werde ich später in diesem Leitfaden eingehen).

Die Verordnung ersetzt die EU-Datenschutzrichtlinie (DPD) von 1995.

Natürlich sah das Datenumfeld Mitte der 90er Jahre ganz anders aus als im Jahr 2016. Das World Wide Web war noch jung, und Smartphones gab es noch nicht in den Taschen der Verbraucher.

Die Datenschutzrichtlinie wurde von den EU- und EWR-Mitgliedstaaten getrennt umgesetzt und wies erhebliche Unterschiede zwischen den Rechtsordnungen auf. Im Gegensatz dazu war der Text von DSGVO direkt anwendbar und betraf alle EU-Mitgliedstaaten, und seine Sprache spiegelt die moderne Datenverarbeitung besser wider.

Die Website DSGVO wurde sogar in Ländern wie Italien zur Regulierung der Technologie für künstliche Intelligenz (KI) herangezogen. Im Jahr 2022 verhängte die italienische Aufsichtsbehörde gegen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro, weil das Unternehmen biometrische Daten und Geolokalisierungsdaten gespeichert hatte, ohne über eine angemessene Rechtsgrundlage dafür zu verfügen ( DSGVO (IAPP)).

Die Verordnung inspiriert weiterhin andere Regionen weltweit, Gesetze mit ähnlichen Datenschutzgrundsätzen zu verabschieden, was beweist, dass sie zweifelsohne einen nachhaltigen Einfluss auf unser aller Leben haben wird.

Wer muss sich an die DSGVO halten?

Ich stelle fest, dass die meisten Unternehmer überrascht sind, wenn sie erfahren, wie breit das Spektrum der DSGVO ist.

Die DSGVO gilt für Einrichtungen und Unternehmen auf der ganzen Welt, die personenbezogene Daten verarbeiten und sich direkt oder indirekt an betroffene Personen in der EU/im EWR wenden:

  • Waren oder Dienstleistungen anbieten, die für Personen in der EU/im EWR verfügbar sind, auch wenn keine finanzielle Transaktion stattfindet
  • Überwacht das Online-Verhalten von Menschen in der EU/EWR

Diese Anwendung bedeutet, dass Unternehmen, die außerhalb Europas tätig sind, entweder als für die Datenverarbeitung Verantwortliche oder als Datenverarbeiter unter die rechtliche Schwelle fallen können - eine Unterscheidung, auf die ich in Kürze eingehen werde.

Interessant finde ich auch die Tatsache, dass der Geltungsbereich der Verordnung sehr weit gefasst ist. Die Website DSGVO schützt Personen in der EU oder im EWR, unabhängig von ihrer Staatsangehörigkeit oder ihrem Status, und bezeichnet sie als betroffene Personen, wie in Kapitel 1, Artikel 3 der Verordnung erläutert.

Schlüsseldefinitionen In der DSGVO

Nachdem Sie nun die Grundlagen von DSGVO kennen, schlage ich vor, dass Sie sich mit den juristischen Definitionen einiger in der Verordnung verwendeter Schlüsselbegriffe vertraut machen, um die Einhaltung der Vorschriften zu vereinfachen.

In der nachstehenden Tabelle finden Sie die Definitionen dieser wichtigen Wörter, wie sie auf der Website DSGVO zu finden sind, sowie eine vereinfachte Version der Bedeutungen.

Begriff Genaue rechtliche Definition Vereinfachte Definition
Persönliche Daten "... alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;"

(Kapitel 1, Artikel 4, Teil 1)

Informationen über eine Person, die sie direkt oder indirekt identifizieren können, z. B:

Verarbeitung "... jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten;"

(Kapitel 1, Artikel 4, Teil 2)

Durchführung einer der folgenden Aktionen an einem Stück oder einer Reihe von persönliche Daten:

  • Sammeln
  • Aufnahme
  • Organisieren
  • Strukturierung
  • Ablage
  • Anpassen
  • Ändern von
  • Abrufen von
  • Beratung
  • Verwendung von
  • Offenlegung von
  • Verbreitung von
  • Zur Verfügung stellen
  • Abgleich mit
  • Kombinieren
  • einschränken.
  • Löschen
  • Zerstörung von
Zustimmung "...jede Willensbekundung der betroffenen Person, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck bringt;"

(Kapitel 1, Artikel 4, Teil 11)

Wenn ein Datensubjekt frei in die Datenverarbeitung einwilligt, indem er eine eindeutige Handlung vornimmt (z. B. ein Kästchen ankreuzt, auf eine Schaltfläche mit der Aufschrift "Ich stimme zu" klickt, es auf ein Blatt Papier schreibt oder ein entsprechendes Dokument unterzeichnet) und Zugang zu einer konformen Datenschutzerklärung hat und diese gelesen hat, die ihn über die Datenverarbeitungsaktivitäten der Einrichtung informiert.

*Dies ist eine wichtige Definition, die Sie beachten sollten, wenn sich Ihr Unternehmen auf die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten stützt.

Verantwortlicher für die Datenverarbeitung "...die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgesehen werden;"

(Kapitel 1, Artikel 4, Teil 7)

Jede natürliche Person oder Einrichtung, die den Grund und die Mittel für die Verarbeitung personenbezogener Daten der betroffenen Personen (z. B. Kunden, Nutzer, Website-Besucher usw.) bestimmt.
Datenverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;(Kapitel 1, Artikel 4, Teil 8) Jeder Dritte, der von einem für die Verarbeitung Verantwortlichen beauftragt wird, personenbezogene Daten auf der Grundlage der von dem für die Verarbeitung Verantwortlichen erteilten Anweisungen und in seinem Namen zu verarbeiten.

Ich werde diese Begriffe in diesem Leitfaden DSGVO immer wieder verwenden, so dass Sie bei Bedarf auf die Definitionen zurückgreifen können.

Sanktionen bei Nichteinhaltung der Vorschriften

Ein Verstoß gegen DSGVO führt zu hohen Geldstrafen und öffentlicher Kritik. Und glauben Sie mir, Sie wollen nicht auf unserer Liste der höchsten DSGVO Bußgelder aller Zeiten landen.

Darüber hinaus können die Behörden eine öffentliche Rüge erteilen oder die Datenerhebung einschränken, indem sie beispielsweise einem Unternehmen die Verarbeitung der Daten von DSGVO verbieten. Solche Beschränkungen können vorübergehend oder dauerhaft verhängt werden.

Die erste beträchtliche DSGVO Strafe (ca. 50 Mio. EUR) wurde im Januar 2019 verhängt, und dabei blieb es nicht - die Verordnung hat derzeit insgesamt 4 Mrd. EUR (4,5 Mrd. USD) an Geldbußen angehäuft. Igitt.

Die DSGVO's Take On...

In den folgenden Abschnitten werde ich die Meinung von DSGVOzu verschiedenen wichtigen Themen darlegen, die sich auf Unternehmen und Verbraucher auswirken.

Sieben grundlegende DSGVO Prinzipien

Der Text der DSGVO (Kapitel 2, Artikel 5) beschreibt sieben Grundprinzipien, die Einrichtungen befolgen müssen, um personenbezogene Daten rechtmäßig zu verarbeiten.

Diese Grundsätze sind:

  1. Rechtmäßigkeit, Fairness und Transparenz
  2. Zweckbindung
  3. Minimierung der Datenmenge
  4. Genauigkeit
  5. Beschränkung der Speicherung
  6. Integrität und Vertraulichkeit (auch bekannt als Sicherheit)
  7. Rechenschaftspflicht

Ich stelle jedoch fest, dass die meisten Unternehmen nicht immer verstehen, was der Zweck von DSGVO ist und was diese Grundprinzipien bedeuten oder worauf sie sich in Bezug auf die Einhaltung der Datenschutzbestimmungen beziehen. Deshalb werde ich mir die Zeit nehmen, Ihnen jeden einzelnen zu erklären.

Rechtmäßigkeit, Fairness und Transparenz

Laut DSGVO muss jede Datenverarbeitung, die von einer Einrichtung durchgeführt wird, legal sein. Sie müssen die Informationen nach Treu und Glauben und im besten Interesse der betroffenen Personen verarbeiten.

Unternehmen dürfen die Nutzer nicht über die Zwecke oder Aktivitäten ihrer Datenverarbeitung täuschen.

Sie müssen Ihre Nutzer auf transparente Weise darüber informieren, welche Daten Sie von ihnen erheben, auf welcher Rechtsgrundlage dies geschieht und wie die Daten verwendet werden - auch darüber, ob Sie sie an Dritte weitergeben und welche Rechte diese haben.

Zweck Einschränkung

Gemäß DSGVO dürfen Unternehmen personenbezogene Daten nur für die Zwecke erheben und verarbeiten, die sie den betroffenen Personen ausdrücklich mitgeteilt haben.

Das bedeutet, dass Sie die personenbezogenen Daten nicht über diese Zwecke hinaus verarbeiten dürfen, es sei denn, die weitere Verarbeitung wird als mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar angesehen. Dies wird als Zweckbindung bezeichnet.

Sie müssen den Zweck der Verarbeitung von Anfang an deutlich machen und in irgendeiner Form festhalten, und er kann nur geändert werden, wenn Sie die Zustimmung Ihrer Nutzer erneut einholen.

Die Archivierung von Daten im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken ist jedoch nicht von Zweckbeschränkungen abhängig, solange Sie alle in Kapitel 9, Artikel 89 der DSGVO aufgeführten Bestimmungen einhalten.

Minimierung von Daten

Unternehmen, die unter die Rechtsprechung von DSGVO fallen, dürfen nur personenbezogene Daten erheben, die angemessen und relevant sind und sich auf das beschränken, was für die Zwecke erforderlich ist, die den betroffenen Personen für die Datenverarbeitung mitgeteilt wurden.

Mit anderen Worten: Sie sollten nur die Daten erheben, die für den angegebenen Verarbeitungszweck erforderlich sind - Sie können sich nicht einfach irgendeinen Grund ausdenken, um so viele Daten wie möglich zu sammeln.

Die praktische Umsetzung dieses Grundsatzes erfordert die Anwendung von zwei Konzepten: Notwendigkeit (d. h. ist die Datenverarbeitung notwendig?) und Verhältnismäßigkeit (d. h. ist sie verhältnismäßig?) bei der Verarbeitung personenbezogener Daten.

Genauigkeit

Laut DSGVO müssen Sie angemessene Maßnahmen ergreifen, um sicherzustellen, dass die von Ihnen erfassten personenbezogenen Daten richtig und auf dem neuesten Stand sind, sofern dies erforderlich ist. Diese Maßnahme ist erforderlich, weil es offensichtliche Risiken für die betroffenen Personen gibt, wenn ungenaue Informationen verarbeitet werden.

Daher müssen die Unternehmen auch alle möglichen Schritte unternehmen, um unrichtige Daten unverzüglich zu korrigieren oder zu berichtigen (natürlich in angemessenem Rahmen).

Begrenzung der Speicherung

Die Website DSGVO besagt eindeutig, dass Unternehmen personenbezogene Daten nicht länger aufbewahren sollten, als es für den Zweck, für den die Daten ursprünglich verarbeitet wurden, erforderlich ist.

Die einzige Ausnahme sind Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschung oder statistische Zwecke; in diesem Fall können Sie die Daten für längere Zeiträume speichern, wie in Kapitel 9, Artikel 89 der DSGVO dargelegt.

Integrität und Vertraulichkeit (auch: Sicherheit)

Gemäß DSGVO muss Ihr Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung und Beschädigung zu schützen. Einfach ausgedrückt: Sie müssen das Risiko von Datenlecks oder Datenschutzverletzungen vermeiden.

Ein unverantwortlicher Umgang mit den personenbezogenen Daten der Betroffenen kann Sie in Schwierigkeiten bringen!

Die DSGVO kann Unternehmen finanziell zur Verantwortung ziehen, wenn sie aufgrund unzureichender Sicherheitsmaßnahmen Opfer einer solchen Cyberkriminalität werden.

Darüber hinaus müssen Sie die zuständige Datenschutzbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden einer solchen Datenverletzung, über undichte Stellen oder Datenschutzverletzungen informieren.

Wenn die Datenverletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, müssen Sie diese ebenfalls informieren.

Aufgrund dieses Grundprinzips muss Ihr Unternehmen geeignete Sicherheitsmaßnahmen ergreifen, um sicherzustellen, dass die von Ihnen verarbeiteten Daten anonymisiert, verschlüsselt oder zumindest pseudonymisiert werden, um die Wahrscheinlichkeit einer schwerwiegenden Datenverletzung zu verringern.

Rechenschaftspflicht

Die Rechenschaftspflicht ist einer der wichtigsten Grundsätze im Rahmen der DSGVO.

Laut DSGVO müssen Organisationen nachweisen, dass sie die sechs zuvor behandelten Grundsätze, die als Grundsatz der Rechenschaftspflicht bekannt sind, einhalten. Die Idee ist, dass Organisationen für die Sammlung und Verarbeitung von Informationen über Personen verantwortlich sein müssen.

Sie müssen die Verantwortung für die Daten übernehmen und sie über den gesamten Lebenszyklus hinweg pflegen. Auf diese Weise kann das Unternehmen für seine Handlungen und Unterlassungen zur Rechenschaft gezogen werden.

Wenn Sie davon ausgehen, dass Sie DSGVO-konform sind, dies aber nicht nachweisen können, sind Sie technisch gesehen nicht konform.

Sie können u. a. nachweisen, dass Ihr Unternehmen mit der Website DSGVO vereinbar ist:

  • Veröffentlichung einer aktuellen und genauen Datenschutzerklärung, die allen betroffenen Personen in der EU/im EWR zur Verfügung steht.
  • Verwendung vonDSAR-Formularen (Data Subject Access Request) auf Ihrer Plattform, damit die betroffenen Personen in der EU/im EWR ihre Datenschutzrechte problemlos wahrnehmen können.
  • Sicherstellung, dass Sie angemesseneDatenverarbeitungsverträge mit Dritten, die Zugang zu Ihren Nutzerdaten haben, gemäß den in Kapitel 4, Artikel 28 der Verordnung dargelegten vertraglichen Verpflichtungen verwenden.
  • Erforderlichenfalls Ernennung eines Datenschutzbeauftragten (DSB).
  • Schulung Ihrer Mitarbeiter in Bezug auf den Datenschutz und bewährte Praktiken im Bereich der Cybersicherheit.
  • Dokumentieren Sie detailliert die Sicherheitsmaßnahmen, die zum angemessenen Schutz der Daten Ihrer Nutzer eingesetzt werden.
  • Sie müssen die Rechte der betroffenen Personen kennen und bereit sein, diese unverzüglich zu unterstützen.

Datenschutz durch Technik und durch Voreinstellungen (PbD)

Auf DSGVO wird etwas beschrieben, das als "Privacy by Design and by Default" oder PbD bezeichnet wird, was im Grunde nur bedeutet, dass Sie sich darauf konzentrieren sollten, den Datenschutz vom Entwurfsstadium an über den gesamten Lebenszyklus der Verarbeitungstätigkeit hinweg in den Kern Ihres Unternehmens einzubauen.

Indem Sie den Datenschutz zu einem wesentlichen Bestandteil Ihres Unternehmens machen, können Sie Risiken und Datenschutzverletzungen besser vorhersehen, bevor sie auftreten können. So können Sie den Menschen ein sichereres Umfeld bieten und das Vertrauen in Ihr Unternehmen stärken.

Ich sage den Unternehmen oft, dass dies eine Art Garantie für Ihre Kunden ist, dass Sie bei der Planung Ihrer Datenerfassungs- und -verarbeitungsprotokolle die Sicherheit ihrer persönlichen Daten im Auge behalten.

Der persönliche Datenschutz ist kein neues Konzept im Bereich des Datenschutzes. Die Website DSGVO macht ihn jedoch zu einer offiziellen rechtlichen Anforderung für betroffene Personen in der EU/im EWR.

Sie müssen die Datenintegrität in jeder Phase des Produktdesigns berücksichtigen und sie proaktiv in allen Bereichen der Entwicklung im Auge behalten.

Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten

Um personenbezogene Daten gemäß DSGVO rechtmäßig zu verarbeiten, müssen Sie für jede Kategorie von Informationen, die Sie verwenden, Ihre Rechtsgrundlage angeben.

Die DSGVO nennt die folgenden Rechtsgrundlagen als zulässige Gründe für die Datenverarbeitung:

Zustimmung

Sie können sich nur dann auf die Einwilligung berufen, wenn Sie den betroffenen Personen die Kontrolle und eine echte Wahlmöglichkeit bieten, um die angebotenen Bedingungen zu akzeptieren oder abzulehnen, ohne dass Ihre Verarbeitungstätigkeiten dadurch beeinträchtigt werden.

Sie müssen außerdem bestimmte Bedingungen erfüllen, die in der DSGVO aufgeführt sind, um eine gültige Rechtsgrundlage für die Erhebung personenbezogener Daten zu haben. Da es sich hierbei um eine gängige Rechtsgrundlage für Unternehmen handelt, wird sie im nächsten Abschnitt ausführlicher behandelt.

Vertragliche Leistung

Ist die Verarbeitung für die Erfüllung eines Vertrags erforderlich, an dem die betroffene Person beteiligt ist, so ist dies ein legitimer Grund für die Verarbeitung von Nutzerdaten.

Legitimes Interesse

Ist die Verarbeitung der Daten für Ihre berechtigten Interessen erforderlich, so gilt diese Rechtsgrundlage, es sei denn, diese berechtigten Interessen überwiegen die Rechte und Freiheiten der betroffenen Personen.

Lebenswichtiges Interesse

Dies gilt für Situationen, in denen es um Leben und Tod geht, und bezieht sich auf die Verarbeitung von Daten, die zum Schutz der lebenswichtigen Interessen einer betroffenen Person erforderlich sind.

Rechtliche Anforderung

Diese Rechtsgrundlage gilt, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

Öffentliches Interesse

Dies gilt, wenn die Verarbeitung von Daten für die Wahrnehmung einer Aufgabe im Interesse der Allgemeinheit erforderlich ist, und gilt in der Regel für öffentliche oder private Stellen, die Aufgaben im öffentlichen Interesse wahrnehmen.

Stellen Sie sicher, dass Sie Ihre Rechtsgrundlage für jede Art von personenbezogenen Daten, die Sie erheben, in einer DSGVO-konformen Datenschutzrichtlinie klar erläutern und belegen.

Es ist wichtig zu betonen, dass es keine Hierarchie zwischen den Rechtsgrundlagen gibt, mit Ausnahme des "berechtigten Interesses", das nur als letztes Mittel verwendet werden darf, wenn keine andere Rechtsgrundlage herangezogen werden kann.

Außerdem müssen Sie die Rechtsgrundlage festlegen, bevor Sie personenbezogene Daten verarbeiten. Es ist wichtig, dies gleich beim ersten Mal richtig zu machen. Ein Wechsel der Rechtsgrundlage ist für die betroffenen Personen wahrscheinlich von Natur aus unfair und kann zu Verstößen gegen die Rechenschaftspflicht und die Transparenzanforderungen führen.

Zustimmung im Rahmen der DSGVO

Die Einwilligung ist eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO, aber Ihr Unternehmen muss in der Lage sein, mehrere spezifische Bedingungen nachzuweisen, die in der Verordnung aufgeführt sind.

Die DSGVO definiert die gültige Zustimmung in Kapitel 1, Artikel 4, und um Ihnen zu helfen, diese Definition besser zu verstehen, habe ich sie in ihre wesentlichen Teile zerlegt:

  • Freigegeben: Ihre Nutzer müssen eine echte Wahl und Kontrolle haben, um Ihren Datenerfassungspraktiken zuzustimmen, und dürfen nicht gezwungen oder genötigt werden.
  • Spezifisch: Wenn ein Nutzer in Ihre Verarbeitungstätigkeiten einwilligt, dürfen Sie diese positive Entscheidung nicht mit anderen Dingen kombinieren oder sie auf eine Art und Weise umwandeln, die die betroffene Person verwirren könnte.
  • Informiert: Ihre Nutzer müssen wissen, womit sie einverstanden sind, d. h. sie müssen eine leicht verständliche Erklärung darüber erhalten, welche Daten Sie erheben, wozu Sie sie benötigen, wie Sie sie verwenden und mit wem Sie sie teilen werden. Dies steht in engem Zusammenhang mit den oben erläuterten Grundsätzen der Fairness und Rechtmäßigkeit.
  • Unzweideutige Angabe: Die Nutzer müssen ihr Einverständnis mit Ihren Datenverarbeitungspraktiken durch eine aktive Bewegung oder Erklärung signalisieren, z. B. durch Ankreuzen eines Kontrollkästchens oder einer entsprechend beschrifteten Schaltfläche "Einverstanden". Diese Zustimmung darf nicht mit der Zustimmung zu anderen Dingen, wie Marketing-E-Mails oder Newslettern, vermengt werden. Es muss daher eindeutig sein, dass die betroffene Person einer bestimmten Verarbeitung zustimmt.
  • Bestätigende Maßnahmen: Die Nutzer müssen durch offensichtliche Handlungen zum Ausdruck bringen, dass sie mit Ihrer Datenverarbeitung einverstanden sind. Lassen Sie sie eine deutlich gekennzeichnete Schaltfläche "Einverstanden" auswählen, ein Formular aktiv ausfüllen oder ein nicht markiertes Kontrollkästchen anklicken, um ihr Einverständnis zu erklären.

Die DSGVO nennt in Kapitel 4, Artikel 7 die folgenden Bedingungen für die Einwilligung, die Sie erfüllen müssen, um die Einwilligung als gültige Rechtsgrundlage für die Verarbeitung von Daten zu verwenden:

  • Sie müssen nachweisen können, dass Sie die Zustimmung Ihrer Nutzer zur Verarbeitung ihrer Daten erhalten haben.
  • Wenn sie ihre Zustimmung in einer schriftlichen Erklärung geben und diese auch andere Angelegenheiten betrifft, müssen Sie sie in einer leicht erkennbaren, verständlichen und barrierefrei formatierten Form vorlegen.
  • Ihre Nutzer haben das Recht, ihre Zustimmung jederzeit zu widerrufen, und dieser Vorgang muss so einfach sein wie die Zustimmung zu erteilen.
  • Es wird davon ausgegangen, dass die Einwilligung nicht freiwillig erteilt wurde, wenn sie keine getrennte Einwilligung für verschiedene Verarbeitungen personenbezogener Daten zulässt, obwohl dies im Einzelfall angemessen wäre, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängt, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Die Informationen müssen zugänglich sein und in einer Sprache verfasst werden, die der Durchschnittsbürger versteht. Die Nutzer sollten wissen, womit sie einverstanden sind, und die Verwendung ihrer Daten darf nicht über das hinausgehen, was angegeben wurde.

Um die Einwilligung unter DSGVO kurz zu beschreiben: Endlose Seiten mit juristischen Formulierungen und angekreuzten Kästchen reichen nicht mehr aus.

Richtlinien zur Datenspeicherung und -sicherheit

Laut DSGVO sind die Unternehmen dafür verantwortlich, personenbezogene Daten vor Verletzungen der Cybersicherheit oder Lecks zu schützen, die insbesondere zu unberechtigtem Zugriff, Nichtverfügbarkeit personenbezogener Daten oder Verlust der Integrität führen würden.

Sie besagt auch, dass die Einrichtungen die Informationen nur so lange speichern sollten, wie es für die Erfüllung des ursprünglichen Zwecks, der den betroffenen Personen vorgestellt wurde, erforderlich ist.

Es liegt an Ihnen, das Risikoniveau der von Ihnen gesammelten Daten zu berücksichtigen und die entsprechenden Schutzmaßnahmen anzuwenden, wobei Sie die Implementierungskosten sowie die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung berücksichtigen müssen.

In Kapitel 4, Artikel 32 der Website DSGVO werden jedoch die folgenden Maßnahmen empfohlen:

  • Pseudonymisierung und Verschlüsselung der Daten.
  • Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme.
  • Wiederherstellung der Verfügbarkeit und des Zugriffs auf Daten im Falle eines Zwischenfalls.
  • Ein Verfahren zur Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Datenschutzbeauftragte (DSB)

Gemäß Kapitel 4, Artikel 37 müssen Sie einen DSB bestellen, wenn:

  • Eine öffentliche Behörde führt die Datenverarbeitung durch.
  • Die Tätigkeiten und Zwecke des für die Datenverarbeitung Verantwortlichen oder des Auftragsverarbeiters erfordern eine systematische Überwachung der betroffenen Personen in großem Umfang (z. B. Profiling).
  • Sie verarbeiten in großem Umfang sensible Datenkategorien (wie strafrechtliche Verurteilungen, Gesundheitsdaten, politische Meinungen, Angaben zum Geschlecht usw.).

Einige Fragen können sich aus den oben genannten Bedingungen ergeben.

  • Was ist eine öffentliche Behörde? Dies muss nach dem nationalen Recht eines jeden Mitgliedstaates bestimmt werden.
  • Was sind Kerntätigkeiten? Darunter sind die wichtigsten Tätigkeiten zu verstehen, die zur Erreichung Ihrer Ziele erforderlich sind, unabhängig davon, ob Sie als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter tätig sind.
  • Was ist ein großer Maßstab? Bei der Analyse, ob die Verarbeitung in großem Maßstab erfolgt, sollten die folgenden Elemente berücksichtigt werden:

    • Die Anzahl der betroffenen Personen - entweder als spezifische Zahl oder als Anteil an der relevanten Bevölkerung.
    • Das Datenvolumen und/oder das Spektrum der verschiedenen zu verarbeitenden Datenelemente.
    • Die Dauer oder Beständigkeit der Datenverarbeitungstätigkeit.
    • Die geografische Ausdehnung der Verarbeitungstätigkeit.

Die Ernennung einer Person, die alle datenschutzrelevanten Verfahren beaufsichtigt, ist der Schlüssel zur Einhaltung der Bestimmungen von DSGVO .

Die behördlichen Datenschutzbeauftragten sind im Falle von Verstößen nicht persönlich verantwortlich und müssen bei der Ausübung ihrer Tätigkeit unabhängig sein. Die DSB müssen auch einen direkten Draht zur höheren Führungsebene haben, z. B. zum CEO des Unternehmens.

Datenschutz-Folgenabschätzungen (DPIAs)

Sie müssen möglicherweise bestimmte Risiken im Voraus bewerten, wenn Ihre Datenverarbeitung - unabhängig davon, ob Sie neue Technologien verwenden oder aufgrund der Art, des Umfangs und des Kontexts der Verarbeitungstätigkeit - ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Daher sollten Sie diesem Aspekt der Website DSGVO besondere Aufmerksamkeit widmen.

Ihr Unternehmen muss eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) gemäß Kapitel 4, Artikel 35 der Verordnung durchführen und sich bei der Verarbeitung hochsensibler Daten von einem ernannten Datenschutzbeauftragten (DSB) beraten lassen.

Wenn die Datenschutzfolgenabschätzung ergibt, dass die Verarbeitung der Daten ein zu hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, müssen Sie eine Aufsichtsbehörde konsultieren, wie in Kapitel 4, Artikel 36 beschrieben.

DSGVO Anforderungen für Unternehmen

Unternehmen müssen mehrere Anforderungen erfüllen, um die DSGVO angemessen einzuhalten. Ich habe sie in Schritte unterteilt, um den Prozess für Sie zu vereinfachen.

Schritt 1: Führen Sie ein Datenschutz-Audit durch und ermitteln Sie Ihre Rechtsgrundlage

Ich schlage vor, dass Sie sich zu Beginn die Zeit nehmen, Ihre Website oder Ihr Unternehmen im Allgemeinen einem Datenschutz-Audit zu unterziehen, damit Sie alle personenbezogenen Daten kennen, die von den Nutzern erfasst werden.

Außerdem sollten Sie die Kategorien und Arten von Daten, die Sie sammeln, und die rechtlichen Gründe dafür festlegen.

Bereiten Sie sich darauf vor, dies alles aufzuschreiben; es muss in eine Datenschutzerklärung aufgenommen werden, die Sie Ihren betroffenen Personen überall dort vorlegen, wo Daten auf Ihrer Website verarbeitet werden. Ebenso wichtig ist, dass diese Informationen es Ihnen ermöglichen, alle Ihre Daten zuzuordnen, die Sie später benötigen, um Ihre Aufzeichnungen über Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO zu erstellen.

Schritt 2: Einholung einer ordnungsgemäßen Zustimmung der betroffenen Personen

Dieser Schritt ist erforderlich, wenn die Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Einwilligung ist.

Um rechtlich sicherzustellen, dass Sie alle Anforderungen an die Zustimmung von DSGVO erfüllen, müssen Sie dies tun:

  • Präsentieren Sie Ihren Nutzern ein Banner, das ihnen die Möglichkeit gibt, sich für oder gegen die Datenverarbeitung zu entscheiden.
  • Stellen Sie sicher, dass eine genaue Datenschutz- und Cookie-Richtlinie mit Ihrem Zustimmungsbanner verknüpft ist, da die betroffenen Personen in der EU/EWR das Recht haben, auf diese Informationen zuzugreifen (wir werden die Datenschutzrichtlinien von DSGVO als nächstes behandeln).
  • Geben Sie ihnen die Möglichkeit, ihre Meinung zu ändern oder ihre Einwilligung jederzeit zu widerrufen, z. B. über ein Präferenzzentrum.
  • Führen Sie ein Protokoll über die von ihnen getroffenen Entscheidungen, um zu beweisen, dass Sie ihre Zustimmung erhalten haben.

Schritt 3: Erstellung und Weitergabe einer konformen Datenschutzrichtlinie

Sie müssen Ihren betroffenen Personen eine Datenschutzerklärung vorlegen, wenn Sie personenbezogene Daten von ihnen erhalten, die die folgenden Angaben enthält, wie in Kapitel 3, Artikel 13 beschrieben:

  • Identität Ihres Unternehmens, Kontaktinformationen und ggf. Vertreter
  • Die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend
  • den beabsichtigten Zweck der Datenverarbeitung und Ihre Rechtsgrundlage dafür
  • Eine Erläuterung aller berechtigten Interessen, die Sie oder Dritte, mit denen Sie zusammenarbeiten, für die Verarbeitung der Daten haben könnten, wenn Sie sich auf diese Rechtsgrundlage stützen (d. h. Artikel 6 Absatz 1 Buchstabe f der DSGVO)
  • die Empfänger der personenbezogenen Daten oder die Kategorien von Empfängern, falls es sie gibt
  • Wenn Sie beabsichtigen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und welche Sicherheitsmaßnahmen zum Schutz der Daten getroffen wurden
  • den Zeitraum, für den Sie die Daten speichern wollen, oder die Kriterien, nach denen Sie diesen Zeitraum bestimmen
  • die Rechte der betroffenen Personen, einschließlich des Rechts, eine Beschwerde einzureichen
  • Das Vorliegen einer automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 der DSGVO

Schritt 4: Verwendung von Datenverarbeitungsverträgen zur Erfüllung der vertraglichen Verpflichtungen DSGVO

Wenn Sie Dritte mit der Verarbeitung von Daten in Ihrem Namen beauftragen, werden diese zum Datenverarbeiter und Ihr Unternehmen bleibt der für die Datenverarbeitung Verantwortliche, und Sie müssen beide einen von DSGVO genehmigten Vertrag unterzeichnen.

Sie müssen sich auch vergewissern, dass der Datenverarbeiter, den Sie beauftragen wollen, ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der ihm anvertrauten personenbezogenen Daten bietet.

Unternehmen verwenden in der Regel eine Datenverarbeitungsvereinbarung oder DPA, um diese Richtlinien zu erfüllen, die in Kapitel 4, Artikel 28 beschrieben sind. Sie müssen den externen Datenverarbeiter dazu verpflichten:

  • Persönliche Daten nur auf Anweisung des für die Datenverarbeitung Verantwortlichen verarbeiten
  • Sie verpflichten sich zur Vertraulichkeit personenbezogener Daten.
  • Ergreifen Sie alle Sicherheitsmaßnahmen, die auf der Website DSGVO beschrieben sind.
  • ohne die schriftliche Genehmigung des für die Verarbeitung Verantwortlichen keinen anderen Auftragsverarbeiter beauftragen.
  • Unterstützung des für die Datenverarbeitung Verantwortlichen durch technische und organisatorische Maßnahmen, um Anfragen von betroffenen Personen, die ihre Datenschutzrechte wahrnehmen wollen, zu erfüllen.
  • Unterstützung des für die Datenverarbeitung Verantwortlichen bei der Einhaltung aller Sicherheitsverarbeitungsrichtlinien und der Anforderungen an die vorherige Konsultation, die auf der Website DSGVO aufgeführt sind.
  • Löschung aller personenbezogenen Daten oder Rückgabe aller Daten an den für die Verarbeitung Verantwortlichen nach Ablauf der Vertragslaufzeit.
  • Sie stellen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Bestimmungen von DSGVO nachzuweisen, und unterrichten den für die Verarbeitung Verantwortlichen unverzüglich, wenn sie der Ansicht sind, dass eine Anweisung gegen die Verordnung oder andere Rechtsvorschriften der Mitgliedstaaten verstößt.

Schritt 5: Befolgen Sie alle DSGVO Sicherheitsanforderungen

Alle Unternehmen, die unter DSGVO aufgeführt sind, müssen personenbezogene Daten sicher speichern und schützen. Unternehmen, die in großem Umfang Daten sammeln oder risikoreiche Datenkategorien verarbeiten, müssen jedoch auch einen Datenschutzbeauftragten einsetzen und die in diesem Leitfaden behandelten Datenschutzprüfungen durchführen.

Nichtsdestotrotz möchte ich Sie daran erinnern, dass die Bestellung eines DSB und die Durchführung von Datenschutzfolgenabschätzungen als bewährte Verfahren für Ihre Rechenschaftspflicht im Rahmen der DSGVO gelten, selbst wenn Sie keine personenbezogenen Daten in großem Umfang oder mit hohem Risiko verarbeiten.

DSGVO Die Einhaltung der Vorschriften ist für jedes Unternehmen anders, da jeder seine eigenen Datenverarbeitungspraktiken anwendet.

Wie wirken sich die Regeln von DSGVO auf Nutzer und Verbraucher aus?

Die Website DSGVO gibt den Nutzern mehr Rechte und mehr Kontrolle über die Verwendung ihrer Daten und garantiert, dass die Unternehmen sie unverzüglich informieren, wenn ihre Daten gefährdet sind.

Zusammenfassung der neuen DSGVO Verbraucherrechte

Die Website DSGVO räumt den betroffenen Personen in Kapitel 3, Artikel 12 bis 23, folgende Rechte ein:

  • Das Recht, informiert zu werden(Artikel 13/14): Die DSGVO betont die Transparenz bei der Datenerhebung, d.h. der Einzelne hat das Recht, umfassend über die Erhebung und Verwendung seiner Daten informiert zu werden.
  • Das Recht auf Zugang(Artikel 15): Einzelpersonen können beantragen, alle von ihnen erhobenen personenbezogenen Daten einzusehen. Sie müssen ihnen erklären, warum Sie die Daten erhoben haben und an wen Sie sie weitergegeben haben. Sie müssen diese Angaben so schnell wie möglich, spätestens aber innerhalb eines Monats, kostenlos zur Verfügung stellen.
  • Das Recht auf Berichtigung(Artikel 16): Wenn über eine Person gesammelte Daten unrichtig sind, kann die Person eine Korrektur (Berichtigung) verlangen. Die Organisation, die die Daten verarbeitet, muss so schnell wie möglich antworten und innerhalb eines Monats die Informationen entsprechend korrigieren. Eine betroffene Person kann auch die Vervollständigung unvollständiger Informationen verlangen. Möglicherweise müssen Sie auch andere Dritte, mit denen Sie personenbezogene Daten ausgetauscht haben, über diesen Antrag informieren.
  • Das Recht auf Löschung(Artikel 17): Einzelpersonen können verlangen, dass Sie ihre Daten dauerhaft löschen, wenn die Daten nicht mehr relevant sind oder weil der Nutzer seine Einwilligung widerruft. Möglicherweise müssen Sie auch andere Dritte, mit denen Sie personenbezogene Daten ausgetauscht haben, über diesen Antrag informieren.
  • Das Recht auf Einschränkung der Datenverarbeitung(Artikel 18): Eine Person kann die Einschränkung der Verarbeitung ihrer Daten beantragen, wenn bestimmte Voraussetzungen erfüllt sind, z. B. wenn die Verarbeitung unrechtmäßig ist oder die Person Widerspruch eingelegt hat. Möglicherweise müssen Sie auch andere Dritte, mit denen Sie personenbezogene Daten ausgetauscht haben, über diesen Antrag informieren.
  • Das Recht auf Datenübertragbarkeit (Artikel 20): Wenn Nutzer um Einsicht in ihre Daten bitten, müssen sie diese in einem klaren Format erhalten. Der für die Verarbeitung Verantwortliche, der diese Informationen bereitstellt, darf die Möglichkeit der betroffenen Person, die Daten an einen anderen für die Verarbeitung Verantwortlichen weiterzugeben, nicht verhindern oder behindern. Im Wesentlichen müssen personenbezogene Daten problemlos an eine andere Organisation übermittelt werden können.
  • Das Widerspruchsrecht(Artikel 21): Einzelpersonen können der Verarbeitung ihrer Daten in bestimmten Situationen widersprechen, z. B. bei Direktmarketing.
  • Automatisierte Einzelfallentscheidungen (Artikel 22): Der Einzelne hat das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden, die erhebliche rechtliche Auswirkungen hat.

Diese Vorschrift ist auch einer der Hauptgründe dafür, dass Banner mit Links zu detaillierten Cookie-Richtlinien und Datenschutzhinweisen auftauchen.

Eine interessante Tatsache: Nach dem Inkrafttreten der Richtlinie stieg die Verwendung von Pop-up-Bannern in ganz Europa um 16 %.

Die Leute beschweren sich gerne über die Fülle dieser Pop-up-Banner, aber mich persönlich stören sie nicht.

Ich mag es, selbst zu entscheiden, wie meine persönlichen Daten verwendet werden, und wenn ich im Internet wiederholt auf eine Schaltfläche klicke, ist das kein großes Ärgernis, wenn Sie mich fragen.

Zusammenfassung von DSGVO Benachrichtigungen über Datenschutzverletzungen

Die DSGVO verpflichtet Unternehmen, die zuständige Aufsichtsbehörde und unter bestimmten Umständen auch die betroffenen Personen zu benachrichtigen, wenn ihre personenbezogenen Daten durch technische Fehler oder andere Datenschutzverletzungen gefährdet werden.

Meiner Meinung nach ist dies eine der wichtigsten Auswirkungen, die die DSGVO mit sich bringt, da sie die Unternehmen für ihre Sicherheitspraktiken - oder deren Fehlen - zur Verantwortung zieht und den Nutzern mehr Sicherheit bietet.

Gemäß Artikel 33 des Textes haben die Unternehmen 72 Stunden Zeit, um die zuständige Aufsichtsbehörde zu informieren, nachdem sie einen Verstoß festgestellt haben.

Die Meldung an die Aufsichtsbehörde muss Einzelheiten über die Art des Verstoßes, die wahrscheinlichen Folgen und die Maßnahmen enthalten, die der für die Verarbeitung Verantwortliche zu ergreifen gedenkt, um die schädlichen Auswirkungen abzumildern.

Die betroffenen Personen selbst müssen dann "ohne unangemessene Verzögerung" benachrichtigt werden, wenn die Datenverletzung wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Dies wird in Artikel 34 der Website DSGVO näher beschrieben.

Die weltweite Wirkung des DSGVO

Die DSGVO lieferte eine Vorlage dafür, wie Datenschutzgesetze territoriale Grenzen in einer digitalen Welt berücksichtigen, und veränderte damit die Datenschutzlandschaft in der ganzen Welt.

Die Website DSGVO hat einen extraterritorialen Anwendungsbereich, d. h. ihre Vorschriften gelten über die traditionellen territorialen Grenzen hinaus. Aus diesem Grund müssen Unternehmen in anderen Ländern die Anforderungen von DSGVO einhalten, obwohl sie sich außerhalb der EU oder des EWR befinden, wenn sie Dienstleistungen für betroffene Personen in der EU/im EWR erbringen, selbst wenn dies kostenlos ist oder sie deren Verhalten überwachen, z. B. durch Profiling.

In nur fünf Jahren haben über 100 Länder neue Datenschutzgesetze eingeführt, um den Fluss personenbezogener Daten zu regeln, und es werden noch weitere Gesetze folgen, von denen viele direkt mit dieser europäischen Verordnung übereinstimmen.

Wie sind US-Unternehmen von der EU DSGVO betroffen?

Viele US-amerikanische Unternehmen sind von der DSGVO betroffen, da sie trotz ihres Sitzes in den USA unter die rechtliche Schwelle der Verordnung fallen und alle ihre Richtlinien einhalten müssen.

Ich erinnere mich, dass in den Anfängen von DSGVO einige US-Firmen zaghaft damit begannen, Werbung für europäische Nutzer zu schalten. Andere hingegen entschieden sich dafür, ihren EU/EWR-Kundenstamm ganz auszuschließen.

Doch Jahre später stellt sich heraus, dass diejenigen, die versucht haben, die Vorschriften einzuhalten, stärker geblieben sind, insbesondere als 2020 der California Consumer Privacy Act(CCPA) in Kraft trat - ein staatliches Gesetz mit Maßnahmen zum Schutz der Privatsphäre, das vom DSGVO inspiriert wurde, gefolgt von Colorado, Connecticut, Indiana, Iowa, Montana, Tennessee, Texas, Utah oder Virginia.

In den USA sind inzwischen mehrere Datenschutzgesetze in verschiedenen Bundesstaaten verabschiedet worden, und weitere Gesetze sind in Vorbereitung.

Jetzt ist der ideale Zeitpunkt für Unternehmen, sich mit den Auswirkungen von DSGVO auf die USA vertraut zu machen und eine globale Datensicherheitsstrategie umzusetzen.

Was bedeutet DSGVO für die Zukunft?

Mit der DSGVO als Vorreiterin bei der Regulierung des Datenflusses glaube ich, dass die Zukunft des Datenschutzes von denjenigen gestaltet werden wird, die dem Datenschutz heute Priorität einräumen.

Daten sind für Unternehmen von unschätzbarem Wert, aber sowohl Verbraucher als auch staatliche Stellen fordern von Unternehmen zunehmend, dass sie die Quelle dieser Daten schützen und den Datenschutz ernst nehmen - oder die Konsequenzen tragen.

Sehen Sie sich nur einige der alarmierenden Datenschutzstatistiken an, die deutlich machen, dass die Verbraucher in Zukunft von den Unternehmen transparentere Datenschutzpraktiken erwarten:

  • 76 % der Nutzer glauben, dass Unternehmen mehr für den Schutz ihrer Daten im Internet tun müssen(Global Consumer State of Mind Report 2021)
  • 92 % der Amerikaner sind besorgt über ihre Privatsphäre bei der Nutzung des Internets.(TrustArc)
  • Nur 25 % der Nutzer glauben, dass die Unternehmen verantwortungsvoll mit ihren Daten umgehen.(Pew Research Center)

Nach Jahren der mangelnden Transparenz in Bezug auf den Datenschutz ist es offensichtlich, dass die Kunden einen gründlicheren Schutz ihrer persönlichen Daten fordern, selbst in Gebieten wie den USA, die nicht in den Geltungsbereich von DSGVO fallen.

DSGVO FAQs

Im Folgenden beantworte ich einige der am häufigsten gestellten Fragen, die Termly zu dieser Verordnung erhält.

Was sind die sieben Grundsätze der DSGVO?

Die sieben Grundsätze der DSGVO sind:

  1. Rechtmäßigkeit, Fairness und Transparenz
  2. Zweckgebundene Einschränkungen
  3. Minimierung der Datenmenge
  4. Genauigkeit
  5. Einschränkungen bei der Lagerung
  6. Integrität und Vertraulichkeit (auch bekannt als Sicherheit)
  7. Rechenschaftspflicht

Was ist das US-amerikanische Äquivalent der DSGVO?

In den USA gibt es kein Bundesgesetz, das dem DSGVO entspricht. Aber die politischen Entscheidungsträger debattieren derzeit über den American Data Privacy and Protection Act (ADPPA), der der erste wäre.

Einige einzelstaatliche Gesetze weisen Ähnlichkeiten mit dem DSGVO auf, darunter der California Consumer Privacy Act (CCPA) und der Virginia Consumer Data Protection Act (CDPA).

Was ist der Schwerpunkt der Website DSGVO?

Das Hauptaugenmerk der DSGVO liegt auf dem einheitlichen Schutz des Datenschutzes von Einzelpersonen innerhalb der EU/EWR, so dass nicht jeder Mitgliedsstaat seine eigenen Datenschutzmaßnahmen schaffen muss, sondern die Gesetze in der gesamten Union einheitlich sind.

Was sind die wichtigsten Punkte der Website DSGVO?

Zu den wichtigsten Punkten der DSGVO gehören die Gewährung von Rechten für die betroffenen Personen in der EU/im EWR auf Zugang, Änderung, Korrektur, Berichtigung, Widerspruch oder Löschung ihrer personenbezogenen Daten und die Verpflichtung der Unternehmen, personenbezogene Daten nur so zu verarbeiten, wie es für bestimmte rechtliche Zwecke erforderlich ist, wobei der Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Privacy by Design and by Default - PbD) in jeden Teil des Prozesses eingebaut wird.

Was sind personenbezogene Daten im Sinne von DSGVO?

Die DSGVO definiert personenbezogene Daten in Kapitel 1, Artikel 4 als Informationen, die sich direkt oder indirekt auf die Identität einer natürlichen Person beziehen, und beinhaltet Details wie:

  • Name
  • E-Mail-Adresse
  • ID-Nummern
  • Standortdaten
  • Online-Kennungen
  • Genetische Daten
  • Geistige Daten
  • Wirtschaftliche Daten
  • Kulturelle oder soziale Identität

Was gilt unter DSGVO als Verarbeitung personenbezogener Daten?

Nach der Legaldefinition in Kapitel 1, Artikel 4 der DSGVO gelten alle folgenden Handlungen als Verarbeitung personenbezogener Daten:

  • Sammeln
  • Aufnahme
  • Organisieren
  • Strukturierung
  • Ablage
  • Anpassen
  • Ändern von
  • Abrufen von
  • Beratung
  • Verwendung von
  • Offenlegung durch Übermittlung
  • Verbreitung von
  • Ansonsten zur Verfügung stellen
  • Ausrichten oder Kombinieren
  • einschränken.
  • Löschen oder Zerstören

Zusammenfassung

Die DSGVO ist ein strenges Datenschutzgesetz, aber es ist für Unternehmen leicht möglich, die Vorschriften einzuhalten.

Sie benötigen eine aktualisierte Datenschutz- und Cookie-Richtlinie, eine ordnungsgemäß konfigurierte consent management platform und ein DSAR-Formular, mit dem Benutzer Datenschutzanfragen stellen können.

Termly kann helfen! Starten Sie mit unserem DSGVO-konformen Datenschutzerklärung Generator und consent management platform kostenlos.

Teodor Stanciu, CIPP/E, CIPM
Mehr über die Autorin

Geschrieben von Teodor Stanciu, CIPP/E, CIPM

Teo ist ein Datenschutzspezialist und erfahrener Datenschutzbeauftragter (DSB), der Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen mit Leidenschaft unterstützt. Er verfügt über mehr als sieben Jahre Erfahrung als Datenschutzbeauftragter für eine internationale Organisation, die in 50 Ländern tätig ist und ihren Sitz in Brüssel, Belgien, hat. Teo ist ein Certified Information Privacy Professional/Europe (CIPP/E) und Certified Information Privacy Manager (CIPM) der International Association of Privacy Professionals (IAPP).

Mehr über die Autorin
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz

Verwandte Artikel

Weitere Artikel ansehen