-
Gibt es einen offiziellen Weg zur Umsetzung der DSGVO?
Unter Berücksichtigung der großen Vielfalt an Faktoren die ins Spiel kommen, wenn ein Unternehmen oder eine Organisation personenbezogene Daten verarbeitet, ist die DSGVO keine einheitliche Checkliste für Umsetzungsmaßnahmen.
Grundsätzlich bietet die DSGVO der Einzelperson ("betroffenen Person") gewisse Rechte und Sie als Unternehmen oder Behörde müssen deren Aufrechterhaltung sicherstellen. Sie müssen auswendig wissen, wie sie welche Daten sammeln, wie sie verarbeitet werden und abwägen, welche Risiken dabei für die "betroffene Personen" entstehen. Generell gilt: je höher das Risiko, desto mehr müssen Sie für den Schutz der Daten tun. Wenn Sie sensible persönliche Daten (über Gesundheit, Sexualität etc.) oder Zahlungsdaten speichern, haben Sie eine größere Verantwortung diese zu schützen, als wenn Sie Daten über die Schuhgröße von Personen sammeln.
Um sicher zu gehen, dass Ihr Unternehmen DSGVO-konform ist, sollten Sie zunächst Ihre aktuellen Datenpraktiken und -verfahren bewerten (alle Ihre Datenflüsse kartographieren), diese dann auswerten und dann an die Anforderungen des DSGVO anpassen. Dokumentieren Sie Ihre Überlegungen und Maßnahmen und stellen Sie sicher, dass Sie Ihre Praktiken regelmäßig überprüfen. -
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist die neue europäische Verordnung zum Schutz personenbezogener Daten, welche am 25. Mai 2018 in Kraft tritt.
-
Wie funktioniert sie?
Sie regelt, wie personenbezogene Daten von privaten Unternehmen, staatlichen Behörden und anderen Organisationen verarbeitet werden dürfen. (“Verarbeitung” umfasst hierbei alles, was mit der Sammlung, Zusammenführung, Extraktion oder Weitergabe von Daten zu tun hat.)
Außerdem regelt die DSGVO, dass personenbezogene Daten sicher gespeichert und verarbeitet werden sollen.
-
Wer ist für die Umsetzung der Regeln verantwortlich?
Die europäische Union und ihre Mitgliedstaaten sind für die Durchsetzung der DSGVO verantwortlich.
Jedes Land muss eine unabhängige Datenschutzbehörde (DPA) einsetzten, welche sicherstellt, dass die DSGVO angewandt wird, dass Beschwerden von Einzelpersonen bearbeitet und im Bedarfsfall Strafen verhängt sowie Verhaltenskodizes bewilligt werden und letztednlich dass Bewusstsein geschafft wird (z.B. durch Aufklärungskampagnen).
Direkte Beschwerden von Individuen über Unternehmen werden von den Datenschutzbehörden und nationalen Gerichten abgewickelt, wenn nötig nach Rücksprache mit dem europäischen Gerichtshof.
-
Wer muss sie erfüllen?
Die Verordnung wird in allen 28 Staaten der Europäischen Union direkt und gleichermaßen angewendet und betrifft alle privaten Unternehmen, staatliche Behörden und andere Organisationen, die personenbezogene Daten speichern und verarbeiten. Sie hatten über zwei Jahre – seit dem 27. April 2016 – Zeit, um die neuen gesetzlichen Bestimmungen zu erfüllen – egal wo sich ihr Sitz befindet
Denn die Verordnung gilt auch für Unternehmen und Organisationen außerhalb der EU: Sollte ein Unternehmen oder eine Organisation personenbezogene Daten von Personen, die in der EU leben, verarbeiten, dann muss es die DSGVO einhalten – egal, an welchem Standort das Unternehmen oder die Organisation angesiedelt ist.
-
Wo kann ich mehr Informationen über die GDPR finden?
- Auf der Website der nationalen Datenschutzbehörde (Deutschland, Österreich) finden sich detaillierte Informationen, sowie Richtlinien und praktische Tipps.
- Das British Information Commissioner's Office stellt leichtverständliche Informationen in englischer Sprache zur Verfügung
- Die Informationsseite der Europäischen Union zur DSGVO
-
Wird es in Zukunft Erweiterungen oder Änderungen der DSGVO geben?
Es ist unwahrscheinlich, dass es in näherer Zukunft neue Gesetzgebungen geben wird.Es ist jedoch zu erwarten, dass die DSGVO in den kommenden Jahren durch Richtlinien, die von DPAs, Rechtsstreitigkeiten und Präzedenzfällen entwickelt wurden, geklärt wird.
Die EU arbeitet außerdem gerade an einem neuen Gesetz, der ePrivacy-Verordnung, welche die DSGVO in Bezug auf online verarbeitete Daten ergänzen wird.
-
Für wen ist Sie?Die DSGVO ist dazu angelegt, die personenbezogenen Daten aller in der Europäischen Union lebenden Menschen zu schützen. Es ist das Ziel der Verordnung, einen Standard für alle europäischen Länder zu schaffen, der geschäftliche Tätigkeiten auf dem gesamten Kontinent vereinfacht.
-
Gilt die DSGVO für US-amerikanische Unternehmen?
Ja. Sobald ein Unternehmen das Verhalten von Internetbenutzern auf europäischem Gebiet beobachtet oder verfolgt, tritt die Verordnung in Kraft – unabhängig davon, wo das Unternehmen seinen Sitz hat.
-
Gilt die DSGVO für die Daten, die mein Arbeitgeber über mich hat?
Ja. Ihr Arbeitgeber, wie auch jede andere Organisation, die Daten verarbeitet, muss sich an die DSGVO halten. Jedoch kann jeder EU-Mitgliedstaat spezifische Regeln aufstellen, was Angestelltenverhältnisse betrifft. Weitere Informationen können Sie auf der Seite Ihrer nationalen Datenschutzbehörde (Deutschland - Österreich) finden.
-
Wer muss sich nicht daran halten?
- Bestimmte staatliche Stellen, einschließlich der Nachrichtendienste, der Polizei und der Gerichte, werden durch gesonderte nationale Vorschriften geregelt.
- Einzelpersonen sind ausgeschlossen, falls sie Daten für den “persönlichen oder heimischen” Gebrauch sammeln – zum Beispiel, wenn sie Personenkontaktdaten auf ihrem Telefon speichern.
- Kirchen können ihre eigenen Regulierungen zum Schutz von personenbezogenen Daten und ihre eigenen Kontrollorgane beibehalten – aber ihre Regulierungen müssen trotzdem mit der DSGVO konform sein.
-
Was ist neu?
Obwohl die DSGVO mehr eine Weiterentwicklung, als einen Umsturz bestehender EU-Verordnungen darstellt, enthält sie nichtsdestotrotz einige wesentliche Änderungen. Unter anderem:
1. gewährt die neue Verordnung Individuen neue Rechte (z.B. das Recht seine Daten von einem Unternehmen oder Dienstleister zu einem anderen mitzunehmen und das Recht eine Kopie seiner vom Unternehmen verwalteten Daten anzufordern); und fordert von den Unternehmen/Organisationen mehr Transparenz ein (z.B. müssen sie darüber Auskunft geben, wie sie Ihre Daten erheben und für welche Zwecke sie sie verarbeiten; sie müssen außerdem bekannt geben, wenn sie ein Profil von Dir erstellen).
2. ist es durch die Verordnung um einiges einfacher, die Regeln durchzusetzen (z.B. durch die Verhängung von Bußgeldern oder die Möglichkeit, im Falle eines Verstoßes direkt vor Gericht zu gehen).
3. vereinfacht sie die Regeln, da das Gesetz in allen EU-Länder gleichermaßen angewendet wird - während sie jedoch Unternehmen bei der tatsächlichen Einhaltung des Gesetzes mehr Flexibilität bietet.
-
Was genau sind personenbezogene Daten?
Persönliche Daten sind das Herzstück der DSGVO – die Verordnung betrifft also nicht alle Daten, die Unternehmen oder Behörden speichern und verwenden.
Personenbezogene Daten sind Informationen, die mit einer identifizierbaren Person in Verbindung gebracht werden können. Da eine Person oft durch das Zusammenführen verschiedener Teilinformationen identifziert werden kann (sogar ohne Zuordnung von Namen), fällt die Definition von personenbezogenen Daten recht umfangreich aus. Eine Schuhgröße, ein Hobby oder ein Bild beispielsweise, können alle als persönliche Daten gewertet werden, sobald man hierduch eine Person identifizeren kann. Beachten Sie auch, dass es nicht unbedingt die für die Datenverarbeitung Verantwortlichen selbst sein müssen, die zur Identitifikation in der Lage sind. -
Warum stehen einige Unternehmen der DSGVO kritisch gegenüber?
Viele Unternehmen sind es gewohnt, Ihre Daten als „freie Ressource“ zu behandeln – also etwas, das sie ohne Erlaubnis verwenden und für finanzielle Gewinne ausbeuten könnten; etwas, das sie unbegrenzt sammeln können ohne es zu schützen. Die DSGVO ist ein mächtiges Werkzeug, um Unternehmen dazu zu zwingen, die Risiken neu zu bewerten – nicht nur für die Individuen, deren Daten verarbeitet werden, sondern auch für sie selbst, in Form von Strafen und Vertrauensverlust der Kunden – und Ihre Daten mit der Sorgfalt zu behandeln, die eigentlich schon von Anfang an angebracht gewesen wäre.
-
Was kann ich tun, falls ein Unternehmen meine persönlichen Daten gegen meinen Willen verwendet?
- Als erstes kann es nützlich sein, das Unternehmen selbst zu kontaktieren. Ob Sie das tun oder nicht - Sie können auch eine Beschwerde bei Ihrer nationalen Datenschutzbehörde einreichen– sogar, wenn das Unternehmen keine Niederlassung in Ihrem Land hat. Und falls Sie mit der Entscheidung der Behörde nicht zufrieden sind, können Sie gegen das Unternehmen vor Gericht ziehen.
- Sie können den ersten Schritt auch überspringen und gleich vor Gericht gehen, wenn Sie das Gefühl haben, dass Ihre Rechte verletzt wurden.
- Falls Sie in Folge des Verstoßes einen materiellen oder auch nicht-materiellen Schaden erlitten haben, können Sie eine finanzielle Entschädigung verlangen.
- Andere Organisationen, wie zum Beispiel Verbraucherschutzorganisationen, digitale Bürgerrechtsorganisationen oder andere Interessensgruppen können auch in Ihrem Namen einen Prozess führen.
-
Kann ich mit Unternehmen über die Verwendung meiner Daten sprechen?
Auf jeden Fall! Die DSGVO schreibt Unternehmen und Organisationen vor, Fragen über personenbezogenen Daten zu beantworten. Dazu gehört auch, ob und zu welchem Zweck Ihre personenbezogenen Daten überhaupt verarbeitet werden, wie lange sie gespeichert werden und an wen sie weitergegeben werden. Und wenn Sie Ihre Meinung über das was Sie akzeptiert haben ändern, müssen Unternehmen und Organisationen es Ihnen nicht nur leicht machen, diese Entscheidung zu mitzuteilen, sondern auch danach zu handeln.
-
Bedeutet das, dass ich mich „löschen“ kann?
Nicht ganz. Sie können nicht alle Ihre persönlichen Daten löschen wann immer Sie wollen. Aber Sie können die Löschung Ihrer Daten in ein paar spezifischen Situationen verlangen – z.B. wenn eine Firma/Organisation sie nicht mehr benötigt, um die von Ihnen genutzte Dienstleistung zu erbringen, oder wenn Sie Ihre Einwilligung widerrufen möchten. Sogar in diesen Fällen können Unternehmen immer noch triftige Gründe haben, Ihre Daten zu behalten, zum Beispiel für Steuerzwecke, oder um sich selbst gegen mögliche Forderungen in der Zukunft abzusichern.
-
Wie werden diese Rechte durchgesetzt?
In jedem Land stellt eine unabhängige öffentliche Datenschutzbehörde (Deutschland - Österreich) sicher, dass Unternehmen konform mit den Anforderungen der Verordnung verhalten. Sie haben das Recht eine Beschwerde bei Ihrer Behörde einzureichen oder vor Gericht zu ziehen, falls Sie das Gefühl haben, dass Ihre Rechte verletzt wurden.
-
Muss ich irgendetwas tun?
Nein. Unternehmen und Organisationen müssen sicherstellen, dass Ihre persönlichen Daten geschützt werden. Es gibt jedoch einige Entscheidungen, die Sie treffen müssen:
- Für neue Dienstleistungen, die Sie in Anspruch nehmen möchten: Wenn das Unternehmen Sie um die Angabe von Daten bittet, wollen Sie dem wirklich zustimmen? (Falls der Dienst nur notwendige Daten verwendet, muss es Sie zwar informieren, brauch aber nicht Ihre explizite Zustimmung, um es zu tun. Es muss jedoch eine ausdrückliche Einwilligung einholen, wenn es Daten benötigen, die nicht notwendig sind)
- Für Dienste, die Sie bereits benutzen: Sind Sie immer noch einverstanden mit der Art und Weise, wie das Unternehmen oder die Organisation Ihre persönlichen Daten sammelt, analysiert und weitergibt? Falls Sie nicht mehr länger einverstanden sind, können Sie einfach „Nein“ sagen.
- Schlussendlich: Falls Sie denken, dass Ihre Rechte nicht eingehalten werden, können Sie sich dazu entscheiden, dies Ihrer Behörde zu melden oder sogar gerichtlich gegen ein Unternehmen vorgehen.
-
Was sind meine Rechte unter der DSGVO?
1. Sie haben Anspruch auf Auskunftserteilung.
- Unternehmen und Organisationen sind nun dazu verpflichtet, Ihnen in einfacher und verständlicher Sprache mitzuteilen, welche personenbezogenen Daten sie verarbeiten und wie sie diese verwenden. („Verarbeitung“ umfasst alles , was mit der Sammlung, Zusammenführen, Data Mining oder der Weitergabe von Daten zu tun hat.)
- Wenn ein Unternehmen oder eine Organisation ein Profil von Ihnen erstellt (z.B. Daten über Sie aus verschiedenen Quellen zusammenführt), haben Sie das Recht zu erfahren, was in diesem Profil steht.
2. Sie haben das Recht auf eine sichere Handhabung Ihrer Daten.
Die DSGVO schreibt vor, dass personenbezogene Daten sicher gespeichert und verarbeitet werden müssen.
3. Sie haben jederzeit das Recht auf Zugang zu den persönlichen Daten, die ein(e) Unternehmen/Organisation über Sie besitzt.
- Falls die Daten fehlerhaft sind, können Sie sie ändern oder vervollständigen lassen.
- Falls die Daten nicht mehr benötigt werden, können Sie fordern, dass diese gelöscht werden.
- Falls Sie dem Unternehmen oder der Organisation anfangs mehr Daten gegeben haben als für den die Dienstleistung notwendig war, und Sie nun nicht mehr wollen, dass das Unternehmen/die Organisation sie speichern, können Sie diese Daten löschen lassen.
Falls ein(e) Unternehmen/Organisation personenbezogene Daten verarbeiten möchte, die für die Erbringung eines bestimmten Dienstes nicht unbedingt erforderlich sind (z.B. eine Transportanwendung, die auf die Kontaktliste Ihres Telefons zugreifen möchte), muss es Ihre ausdrückliche Zustimmung zur Verarbeitung dieser Daten einholen. (Beachten Sie, dass selbst wenn ein Unternehmen der Meinung ist, dass bestimmte Daten in seinem Interesse liegen, dies nicht immer bedeutet, dass diese notwendig sind). Falls Sie der Verarbeitung zusätzlicher Daten bereits zugestimmt haben, können Sie diese Einwilligung jederzeit widerrufen.
5. Bei automatisierten Entscheidungen haben Sie das Recht auf eine Auskunft und menschliches Einschreiten.
- Falls eine Entscheidung über Sie mittels automatisierter Verfahren getroffen wurde, haben Sie das Recht zu erfahren wie diese Entscheidung zu Stande kam (d.h. Sie haben ein Anrecht, sich die Logik hinter einer automatisierten Entscheidung erklären zu lassen).
- Bezüglich automatisierter Entscheidungen haben Sie das Recht auf menschliches Einschreiten und das Recht, jede getroffene Entscheidung anzufechten.
-
Wie sollen wir im Fall einer Datenschutzverletzung reagieren?
Nach der DSGVO müssen Sie jeden Verstoß innerhalb von 72 Stunden nach Bekanntwerden an die Datenschutzbehörde (Deutschland - Österreich) melden.Sie müssen auch die Personen, deren Daten Sie verarbeitet haben, informieren, wenn es wahrscheinlich ist, dass der Verstoß negative Auswirkungen auf sie haben könnte - zum Beispiel wenn finanzielle Daten durchsickern oder wenn Unbefugte Zugang zu medizinischen Informationen erlangt haben könnten.
-
Tun wir genug?
Als Unternehmen liegt es in Ihrer Verantwortung, dies zu evaluieren - besonders im Hinblick auf die Art Ihres Geschäftsmodells und die Risiken für die Privatsphäre, die damit verbunden sind. Ein guter Ausgangspunkt wäre es, sich zunächst mit der Website Ihrer nationalen Datenschutzautorität (Deutschland - Österreich) vertraut zu machen, welche hilfreiche Tipps und Anleitungen zur Verfügung stellt.
-
Wie können wir sicher gehen, dass die Daten, die wir verarbeiten korrekt geschützt werden?
Ihr interner Maßnahmenplan zur Sicherung von Daten hängt von einer Vielzahl von Faktoren ab: zum Beispiel von der Art der Daten, die Sie speichern, wie sensibel sie sind, wie viele Sie haben, wie komplex Ihre digitale Infrastruktur ist und ob Sie intern über Kenntnisse auf dem Gebiet der Informationssicherheit verfügen oder sich für eine Auslagerung entscheiden. Sie sollten jedoch mindestens die folgenden Schritte durchführen:
- Fertigen Sie eine Liste aller gespeicherten Daten an und kartographieren, wo diese abgespeichert sind.
- Führen Sie eine Risikoeinschätzung durch und ermitteln Sie die wahrscheinlichsten Quellen für unbefugten Zugriff oder "Datenleckstellen".
- Konzipieren Sie einen Aktionsplan zum Datenschutz welcher auf der Risikoabschätzung aufbaut und folgendes beinhaltet: Datenminimierung (Sammeln, verarbeiten und speichern Sie nur Daten die Sie unbedingt benötigen); Zugangskontrolle (Beschränkung des Zugangs auf personenbezogene Daten); Speichersicherheit (wo werden personenbezogene und/oder sensible Daten gespeichert? Werden Sie getrennt von unpersönlichen/nicht empfindlichen Daten gespeichert? Werden sie verschlüsselt gespeichert?); die digitale Hygiene des Personals; und eine Richtlinie zur Aufbewahrung, Archivierung und Löschung von Daten.
- Testen Sie die Sicherheit der Speichersysteme für persönliche Daten (Server, E-Mail, Archive etc.).
- Dokumentieren Sie alle Maßnahmen, die Sie zum Schutz der personenbezogenen Daten getroffen haben.
- Stellen Sie einen Plan für den Fall einer Datenschutzverletzung auf und testen Sie ihn. Er sollte die Definition von Zuständigkeiten und Verantwortlichkeiten, sowie die Berichterstattung an die Datenschutzbehörde enthalten.
- Erstellen Sie einen Plan für die regelmäßige Überprüfung dieser Schritte.
-
Welche Risiken gehen wir ein, sollten wir die DSGVO nicht richtig umsetzen?
Sie laufen Gefahr, von einer nationalen Datenschutzbehörde bestraft zu werden. Sie können auch direkt von einer Person verklagt werden, wenn Sie die Rechte dieser Person verletzt haben. Das vielleicht größte Risiko besteht jedoch darin, das Vertrauen Ihrer Kunden zu verlieren. Studien zeigen, dass die meisten Menschen sicher gehen wollen, dass ihre Daten nicht zweckentfremdet werden und sind in zunehmenden Maße um den Schutz ihrer Privatsphäre besorgt.
-
Gibt es einen Minimalansatz?
In der DSGVO geht es in erster Linie um eine Risikoabschätzung durch jedes Unternehmen, anstatt um eine "Einheitslösung". Der Ausgangspunkt sollte sein zu verstehen, wie wichtig das Recht ist, die Kontrolle über eigene Informationen zu haben, und dass Sie dafür sorgen müssen, dass dieses Recht gewahrt bleibt, sobald jemand Ihre Dienste nutzt. Die Leitlinien der Artikel-29-Arbeitsgruppe bieten Beispiele für gute und schlechte Praktiken. Nützliche Hinweise sollten Sie auch auf der Website Ihrer nationalen Datenschutzbehörde (Deutschland - Österreich) finden.
-
Kann ich eine Geldstrafe bekommen, und wie werden die Geldbußen verhängt?
Wenn Sie sich nicht an die DSGVO halten, kann die Datenschutzbehörde eine Geldstrafe verhängen. Dies kann das Resultat einer Beschwerde eines Einzelnen oder einer von der Behörde selbst initiierten Kontrolle sein.
Die Datenschutzbehörde muss in jedem Einzelfall gewährleisten, dass die Strafe effektiv, verhältnismäßig und abschreckend ist. Die Behörde wird hierbei unter anderem die Art und Schwere des Verstoßes, das Maß der zugrunde liegenden Fahrlässigkeit, die Frage ob Mittel zur Schadensminimierung getroffen wurden sowie das Budget Ihres Unternehmens berücksichtigen.
Die Geldbußen können bis zu 4% des Jahresumsatzes oder bis zu 20 Millionen EUR betragen – je nachdem, welcher Betrag höher ist.
-
Wie wissen wir, ob wir bereit sind?
Zur Erfüllung der Minimalanforderungen sollten Sie in der Lage sein, die folgenden Fragen mit JA zu beantworten:
- Haben wir analysiert, welche personenbezogenen Daten wir verarbeiten und zu welchem Zweck?
- Können wir die Verarbeitung jeder Datenkategorie rechtfertigen (d.h. die gesetzliche Grundlage benennen, die ihr zugrunde liegt)?
- Geben wir unseren Nutzern/KundInnen Auskunft darüber, wie wir personenbezogene Daten verarbeiten ?
- Gewährleisten wir eine sichere Speicherung der Daten, so dass unbefugte Personen nicht auf sie zugreifen können?
- Haben wir ein Verfahren eingeführt, um nicht mehr benötigte Daten zu löschen?
- Wissen wir was zu tun ist, wenn sich eine Einzelperson entscheidet, von ihren oder seinen Rechten unter der DSGVO Gebrauch zu machen, wie beispielsweise das Recht, eine Kopie der Daten anzufordern?
- Haben wir die Höhe und die Quelle eventueller Risikenin Bezug auf unsere Datenverarbeitung analysiert? Haben wir Schritte unternommen, um diese Risiken zu minimieren?
- Verfügen wir über Sofortmaßnahmen für den Fall, dass eine unautorisierte Person Zugang zu personenbezogenen Daten erhält?
- Kennt jede/jeder im/in Unternehmen/der Organisation die richtigen Verfahren zur Verarbeitung und Sicherung personenbezogener Daten?
- Haben wir einen Plan für die regelmäßige Überprüfung unserer Datenverarbeitungspraktiken?
-
Mussten wir uns irgendwo registrieren?
Nein. Im Gegensatz zur EU Datenschutzrichtlinie von 1995 erfordert die DSGVO keine Registrierung Ihrer Datenbanken bei der Datenschutzbehörde. Falls Sie jedoch einen Datenschutzbeauftragten in Ihrem Unternehmen bestellen, sollten sie der Behörde die Kontaktdaten der Person übermitteln.
Unter der DSGVO ist es notwendig, dass Sie einen Datenschutzbeauftragten ernennen, wenn Sie personenbezogene Daten verarbeiten und:
- Sie eine öffentliche Einrichtung sind (z.B. Ministerium, Schule, öffentliches . Krankenhaus);
- Ihre unternehmerische Tätigkeit regelmäßig und systematisch die Überwachung von personenbezogenen Daten im großen Maßstab erfordert (z.B. IT-Unternehmen oder Unternehmen, die Kreditwürdigkeit prüfen oder Videoüberwachung betreiben); oder
- Sie in großem Maßstab sensible Daten verarbeiten (z.B. Krankenhäuser).
Alles über die DSGVO. Was ist die
DSGVO? Was bedeutet die neue Verordnung für Dich? Was bedeutet sie für
Ihr Unternehmen oder Ihre Organisation? Hier sind unsere FAQs für
weitere Infos. Oder schicken Sie uns Ihre Fragen und wir werden
versuchen, sie hier zu beantworten!
Die DSGVO: Alles, was man wissen muss