Die DSGVO im Überblick

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Rechtsrahmen, der die Privatsphäre der natürlichen Personen in der Europäischen Union (EU) schützen und ihnen eine größere Kontrolle über die Erfassung, Verarbeitung und Verwendung ihrer personenbezogenen Daten einräumen möchte.

Die DSGVO gilt für die Verarbeitung personenbezogener Daten auf der ganzen Welt durch Unternehmen, die ihren Sitz in der EU haben. Sie gilt auch weltweit für Unternehmen außerhalb der EU, die personenbezogene Daten natürlicher Personen im Rahmen ihres Angebots von Waren/Dienstleistungen innerhalb der EU oder ihrer Überwachung des Verhaltens von Personen in der EU verarbeiten.

Die DSGVO wurde in der gesamten EU und in Großbritannien in nationalen Gesetzen umgesetzt.

Was sind die wichtigsten Anforderungen der DSGVO?

Die DSGVO ist ein positiver Schritt in Richtung Vertrauensaufbau und Transparenz zwischen juristischen und natürlichen Personen. Unter anderem deckt sie folgende Bereiche ab:

  • Die personenbezogenen Daten der Verbraucher in der EU: dies beinhaltet alle Informationen in Bezug auf eine natürliche Person oder „betroffen Person“, die direkt oder indirekt zur Identifizierung dieser Person verwendet werden können. Dazu gehören nicht nur Informationen wie Name, E-Mail-Adresse oder Foto, sondern auch Kreditkarten- oder Bankdaten, medizinische Informationen, politische, religiöse oder andere Zugehörigkeiten, Strafregister oder die IP-Adresse eines Computers. In der DSGVO wird nicht unterschieden, ob personenbezogene Daten in einem Unternehmen in Bezug auf Verbraucher oder im Business-to-Business-Kontext erfasst werden. Es gibt jedoch andere Gesetze zur Nutzung elektronischer Kommunikation, die für den direkten Umgang mit Verbrauchern möglicherweise andere Regelungen festlegen.
  • Art der Verarbeitung personenbezogener Daten: Personenbezogene Daten dürfen nur erfasst und verarbeitet werden, wenn eine Rechtsgrundlage dafür gegeben ist. Einwilligung ist eine Rechtsgrundlage, die für direkte Marketingzwecke herangezogen werden kann, es ist jedoch nicht die einzige Rechtsgrundlage. Andere Gründe für eine rechtmäßige Verarbeitung personenbezogener Daten gemäß Artikel 6 der DSGVO sind die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung oder die Wahrung des berechtigten Interesses des Unternehmens oder eines Dritten, sofern die Datenschutzrechte der betroffenen Person nicht berührt werden.
  • Rechte der betroffenen Personen: Betroffene Personen haben das Recht, Auskunft über ihre personenbezogenen Daten, die Berichtigung von Fehlern sowie die Löschung ihrer personenbezogenen Daten und/oder einen Export ihrer personenbezogenen Daten zu verlangen. Sie können auch der Verarbeitung ihrer personenbezogenen Daten widersprechen oder die Einschränkung der Verarbeitungsaktivitäten verlangen.
  • Datenschutzverletzungen: Es gibt Verpflichtungen zur Meldung bestimmter Arten von Datenschutzverletzungen an die zuständige Aufsichtsbehörde und die betroffenen Personen (in Großbritannien ist die zuständige Behörde das Information Commissioner’s Office (ICO)).
  • Daten- und Systemsicherheit: Personenbezogene Daten müssen mithilfe geeigneter technischer und organisatorischer Maßnahmen geschützt werden, um einen Maß an Sicherheit zu gewährleisten, das den möglichen Datenschutzrisiken für bestimmte personenbezogene Daten während ihres Lebenszyklus entspricht.
  • Übermittlungen ins Ausland: Personenbezogene Daten dürfen nur unter bestimmten Umständen in Länder außerhalb Europas übermittelt werden, wie zum Beispiel: i) in Länder außerhalb Europas, die gemäß der Feststellung der Europäischen Kommission über ein angemessenes Datenschutzniveau verfügen;
    (ii) wenn von den an der Übermittlung beteiligten Parteien von der Europäischen Kommission genehmigte Standarddatenschutzklauseln verwendet werden; (iii) wenn genehmigte Verhaltensregeln oder Zertifizierungen vorhanden sind; oder (iv) wenn innerhalb von Unternehmensgruppen „Verbindliche Unternehmensregeln“ festgelegt wurden, die von der Europäischen Kommission genehmigt wurden.
  • Transparenz: Datenschutzhinweise und Benutzerverträge müssen einfach, klar und leicht verständlich sein. Bei der Erfassung personenbezogener Daten muss unter anderem deutlich gemacht werden, wofür die Daten verwendet und wie lange sie aufbewahrt werden, unter welcher Rechtsgrundlage sie verarbeitet werden und welche Rechte der betroffenen Person zustehen. Nach ihrer rechtmäßigen Erfassung dürfen personenbezogene Daten nur für die Zwecke verwendet werden, für die sie erfasst wurden, und streng nach Maßgabe der Informationen, die der betroffenen Person erteilt wurden.

Was bedeutet die DSGVO für Unternehmen?

Ziel der DSGVO ist ein klarer, ehrlicher, transparenter und ethischer Umgang mit personenbezogenen Daten. Sie gilt für Unternehmen, die Datenverantwortliche sind (die Person/das Unternehmen, die bzw. das die Art der Verarbeitung personenbezogener Daten festlegt) oder Auftragsverarbeiter (die Person/das Unternehmen, die bzw. das die personenbezogenen Daten gemäß den Anweisungen des Datenverantwortlichen verarbeitet). Wenn Sie eine solche Organisation sind, müssen Sie sicherstellen, dass Sie die von Ihnen verwendeten Daten und die Privatsphäre der Personen, von denen Sie diese Daten erhalten haben, ebenso schützen wie andere Vermögenswerte auch.

Hier sind fünf einfache Schritte, wie Sie zur Einhaltung der DSGVO ergreifen können:

  1. Schützen Sie Ihre Systeme: Stellen Sie sicher, dass die Systeme, die Sie für die Erfassung, Verarbeitung und Speicherung personenbezogener Daten verwenden, sicher sind. Sie sollten Faktoren berücksichtigen wie physische Sicherheit (z. B. Schlösser), Cybersicherheit (z. B. Virenschutzsysteme), Systemsicherheit (z. B. Firewalls), Datenschutz (z. B. Verschlüsselung) und Gerätesicherheit (z. B. Authentifizierung).
  2. Dokumentieren Sie Ihre Datenströme: Erfassen Sie Ihre Daten- und Informationsströme, um Ihre Datenschutzrisiken angemessen beurteilen zu können. Prüfen Sie, bei welchen Ihrer Produkte und Dienstleistungen Sie personenbezogene Daten erfassen und verarbeiten. Stellen Sie fest, welche personenbezogenen Daten erfasst werden und aus welchem Grund sowie wie sie verwendet, freigegeben, gespeichert, geschützt, aufbewahrt und entfernt werden. Stellen Sie fest, ob die Daten sensible personenbezogene Daten sind und ob Sie der Datenverantwortliche oder Auftragsverarbeiter dieser Daten sind.
  3. Stellen Sie sicher, dass Sie eine Rechtsgrundlage für die Verarbeitung haben: Stellen Sie fest, welche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt und dokumentieren Sie sie. Es gibt sechs Rechtsgrundlagen, auf die Sie sich beziehen können:
    • Einwilligung: wenn es eine echte Wahl und Kontrolle gibt. Die Einwilligung muss als unmissverständliche, freiwillig abgegebene und informierte Willenserklärung durch eine eindeutige Zustimmung erteilt werden.
    • Berechtigtes Interesse: kann gelten, wenn personenbezogene Daten auf eine Art und Weise verwendet werden, wie sie eine natürliche Person vernünftigerweise erwarten würde, wenn die Verarbeitung nur geringe Auswirkungen hat und ein berechtigtes Interesse vorliegt, das für die Durchführung der Verarbeitung erforderlich ist.
    • Vertrag: zur Erfüllung vertraglicher Verpflichtungen oder bei Vorliegen einer entsprechenden Anfrage, beispielsweise die Abgabe eines Angebots vor dem Abschluss eines Vertrags.
    • Rechtliche Verpflichtung: zur Einhaltung eines Gesetzes oder einer gesetzlichen Verpflichtung.
    • Lebenswichtige Interessen: um das Leben einer Person zu schützen.
    • Öffentliche Aufgabe:  zur Wahrnehmung öffentlicher Funktionen oder Aufgaben im öffentlichen Interesse.

    Das Information Commissioner’s Office stellt einen interaktiven Leitfaden bereit, der Ihnen hilft, die am besten geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten festzustellen.

  4. Prüfen Sie Ihre Hinweise und Bekanntmachungen: prüfen und aktualisieren Sie Ihre Datenschutzhinweise, um sicherzustellen, dass sie Ihrer Verarbeitung personenbezogener Daten entsprechen. Sie sollten darlegen, auf welche Rechtsgrundlage Sie sich bei der Verarbeitung personenbezogener Daten stützen und deutlich die Dritten nennen, an die Sie personenbezogene Daten weitergeben.Wenn Ihre Verarbeitung auf Einwilligung beruht, müssen Sie sicherstellen, dass Ihre Anforderung einer Einwilligung deutlich ist und keine bereits angeklickten Kästchen enthält. Prüfen, aktualisieren oder ermitteln Sie, ob andere Hinweise oder Bekanntmachungen in Bezug auf die Verarbeitung personenbezogener Daten erforderlich sind.
  5. Legen Sie interne Richtlinien und Verfahren fest: Legen Sie Richtlinien und formalisierte Verfahren für den Umgang mit Problemen fest, wie beispielsweise Datenschutzbeschwerden, Datenmissbrauch und Ersuchen auf Auskunft zu personenbezogenen Daten.

Sie sollten auch mit Ihren Rechtsberatern darüber sprechen, welche Schritte Sie zur Einhaltung der DSGVO ergreifen müssen.

Andere DSGVO-Ressourcen

Sie erhalten weitere hilfreiche Informationen zur DSGVO im ICO-Leitfaden zur DSGVO ( UK Information Commissioner’s Office (ICO) – Guide to GDPR).

Diese Materialien dienen Ihrer allgemeinen Information und sind nicht als Rechtsberatung zu verstehen. Um die kompletten Auswirkungen der DSGVO auf Ihre Datenverarbeitungsaktivitäten zu verstehen, wenden Sie sich bitte an einen unabhängigen Rechts- und/oder Datenschutzexperten.