DSGVO erklärt

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein rechtlicher Rahmen, der den Schutz der Privatsphäre von Personen in der Europäischen Union (EU) gewährleistet und ihnen eine größere Kontrolle darüber gibt, wie ihre personenbezogenen Daten erfasst, verarbeitet und verwendet werden.

Die DSGVO gilt für die Verarbeitung personenbezogener Daten weltweit durch Unternehmen, die in der EU ansässig sind. Sie gilt auch global für Unternehmen außerhalb der EU, die personenbezogene Daten von Personen verarbeiten, um Waren/Dienstleistungen innerhalb der EU anzubieten oder das Verhalten von Personen in der EU zu überwachen.

Die DSGVO wurde in nationales Recht in der gesamten EU und im Vereinigten Königreich umgesetzt.

Was sind die Hauptanforderungen der DSGVO?

Die DSGVO ist ein positiver Schritt in Richtung eines größeren Vertrauens und mehr Transparenz zwischen Organisationen und Einzelpersonen. Zu den Bereichen, die sie abdeckt, gehören unter anderem:

• Die personenbezogenen Daten von Personen innerhalb der EU: Dies umfasst alle Informationen, die sich auf eine Person oder „betroffene Person“ beziehen und dazu verwendet werden können, diese direkt oder indirekt zu identifizieren. Dazu gehören nicht nur Informationen wie Name, E-Mail-Adresse oder Foto, sondern auch Kreditkarten- oder Bankdaten, medizinische Informationen, politische, religiöse oder andere Zugehörigkeiten, Strafregister oder die IP-Adresse eines Computers. Unter der DSGVO wird nicht zwischen personenbezogenen Daten im Business-to-Consumer- oder Business-to-Business-Kontext unterschieden. Allerdings gibt es andere Gesetze, die die Nutzung elektronischer Kommunikation regeln und sich unterscheiden können, wenn direkt mit Verbrauchern kommuniziert wird.
• Wie personenbezogene Daten verarbeitet werden: Personenbezogene Daten dürfen nur dann erfasst und verarbeitet werden, wenn es eine rechtliche Grundlage dafür gibt. Die Einwilligung ist eine mögliche Grundlage, die für Direktmarketingzwecke verwendet werden kann, jedoch nicht die einzige. Andere rechtmäßige Gründe für die Verarbeitung personenbezogener Daten gemäß Artikel 6 der DSGVO umfassen die Erfüllung eines Vertrags, die Erfüllung gesetzlicher Verpflichtungen oder das Vorliegen eines „berechtigten Interesses“ des Unternehmens oder eines Dritten, das die Datenschutzrechte der betroffenen Person nicht unverhältnismäßig beeinträchtigt.
• Die Rechte der betroffenen Personen: Personen haben das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen, Fehler in ihren Daten zu korrigieren, die Löschung ihrer Daten zu fordern und/oder den Export ihrer Daten zu beantragen. Sie können auch der Verarbeitung ihrer personenbezogenen Daten widersprechen oder verlangen, dass die Verarbeitungsaktivitäten eingeschränkt werden.
• Datenschutzverstöße: Datenschutzverletzungen: Es bestehen Verpflichtungen, bestimmte Arten von Datenschutzverstößen der zuständigen Aufsichtsbehörde sowie den betroffenen Personen zu melden (für das Vereinigte Königreich ist die zuständige Behörde das Information Commissioner’s Office (ICO)).
• Daten- und Systemsicherheit: Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden, um ein angemessenes Sicherheitsniveau zu gewährleisten, das den mit den jeweiligen Daten verbundenen Datenschutzrisiken während ihres gesamten Lebenszyklus entspricht.
• Datenübermittlungen ins Ausland: Personenbezogene Daten dürfen nur unter bestimmten Bedingungen außerhalb Europas übermittelt werden, darunter: i) an Nicht-EU-Länder, die von der Europäischen Kommission als datenschutzrechtlich ausreichend eingestuft wurden; ii) wenn Standard-Datenschutzklauseln verwendet werden, die von der Europäischen Kommission genehmigt wurden; iii) wenn genehmigte Verhaltenskodizes oder Zertifizierungen vorliegen; oder iv) wenn Unternehmensgruppen „verbindliche interne Datenschutzvorschriften“ (Binding Corporate Rules) angenommen haben, die von der Europäischen Kommission genehmigt wurden.
• Transparenz: Datenschutzhinweise und Nutzerverträge müssen einfach, klar und leicht verständlich sein. Bei der Erhebung personenbezogener Daten muss unter anderem deutlich gemacht werden, wofür die Daten verwendet werden, wie und wie lange sie aufbewahrt werden, auf welcher rechtlichen Grundlage sie verarbeitet werden und welche Rechte der betroffenen Person zur Verfügung stehen. Einmal rechtmäßig erhoben, dürfen personenbezogene Daten nur für die Zwecke verwendet werden, für die sie erhoben wurden, und streng im Einklang mit den der betroffenen Person mitgeteilten Informationen.

Was bedeutet die DSGVO für Unternehmen?

Die DSGVO bedeutet, klar, ehrlich, transparent und ethisch mit personenbezogenen Daten umzugehen. Sie gilt für Unternehmen, die entweder Verantwortliche (die Person oder das Unternehmen, die/das bestimmt, wie personenbezogene Daten verarbeitet werden) oder Auftragsverarbeiter (die Person oder das Unternehmen, die/das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) sind. Wenn Sie zu einer solchen Organisation gehören, müssen Sie sicherstellen, dass Sie die Daten, die Sie verwenden, und die Privatsphäre der Personen, von denen Sie diese Daten gesammelt haben, genauso schützen, wie Sie jedes andere Gut schützen würden.

Hier sind fünf einfache Schritte, die Sie auf dem Weg zur DSGVO-Compliance unternehmen können:

1. Sichern Sie Ihre Systeme: Stellen Sie sicher, dass die Systeme, die personenbezogene Daten erfassen, verarbeiten und speichern, sicher sind. Dabei sollten Sie Dinge wie physische Sicherheit (z. B. Schlösser), Cybersicherheit (z. B. Virenschutz), Systemsicherheit (z. B. Firewalls), Datensicherheit (z. B. Verschlüsselung) und Gerätesicherheit (z. B. Authentifizierung) berücksichtigen.
2. Dokumentieren Sie Ihre Datenflüsse: Erstellen Sie eine Übersicht Ihrer Daten- und Informationsflüsse, um eine ordnungsgemäße Bewertung Ihrer Datenschutzrisiken vorzunehmen. Überprüfen Sie, welche Ihrer Produkte und Dienstleistungen personenbezogene Daten erfassen und verarbeiten. Identifizieren Sie, welche personenbezogenen Informationen erfasst werden, warum sie erfasst werden, wie sie verwendet, geteilt, gespeichert, geschützt, aufbewahrt und entsorgt werden. Bestimmen Sie, ob es sich um sensible personenbezogene Daten handelt und ob Sie als Verantwortlicher oder Auftragsverarbeiter fungieren.
3. Haben Sie eine rechtmäßige Grundlage für die Verarbeitung: Legen Sie die rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten fest und dokumentieren Sie diese. Es gibt sechs rechtmäßige Grundlagen, auf die man sich berufen kann:
   • Einwilligung: Wenn eine echte Wahlmöglichkeit und Kontrolle besteht. Die Einwilligung muss eindeutig, freiwillig, informiert und durch eine klare zustimmende Handlung erteilt werden.
   • Berechtigtes Interesse: Kann angewendet werden, wenn personenbezogene Informationen auf eine Weise verwendet werden, die die betroffene Person vernünftigerweise erwarten würde, die Auswirkungen minimal sind und ein berechtigtes Interesse besteht, das für die Verarbeitung erforderlich ist.
   • Vertrag: Zur Erfüllung vertraglicher Verpflichtungen oder wenn eine Anfrage vorliegt, etwas zu tun, z. B. ein Angebot vor Vertragsabschluss zu erstellen.
   • Gesetzliche Verpflichtung: Um ein Gesetz oder eine gesetzliche Verpflichtung zu erfüllen.
   • Lebenswichtige Interessen: Zum Schutz des Lebens einer Person.
   • Öffentliche Aufgabe: Für öffentliche Funktionen oder Aufgaben im öffentlichen Interesse.
     Das Information Commissioner’s Office bietet ein interaktives Leitfaden-Hilfsmittel zur rechtmäßigen Grundlage, das Ihnen helfen kann, die geeignetste Grundlage für die Verarbeitung personenbezogener Daten zu bestimmen.
4. Überprüfen Sie Ihre Hinweise und Offenlegungen: Überarbeiten und aktualisieren Sie Ihre Datenschutzhinweise, um sicherzustellen, dass sie Ihre Aktivitäten zur Verarbeitung personenbezogener Daten widerspiegeln. Sie sollten offenlegen, auf welche rechtmäßige Grundlage Sie sich bei der Verarbeitung personenbezogener Daten stützen und deutlich machen, mit welchen Dritten Sie personenbezogene Daten teilen. Wenn Sie sich auf die Einwilligung stützen, stellen Sie sicher, dass Ihre Einwilligungsanfragen klar sind und keine vorab angekreuzten Kästchen enthalten. Überprüfen und aktualisieren Sie oder bestimmen Sie, ob andere Erklärungen oder Offenlegungen zur Erfassung, Nutzung und Verarbeitung personenbezogener Informationen erforderlich sind.
5. Bundesgesetz zum Schutz personenbezogener Daten: Durch die Zustimmung zur Nutzung dieser Dienste erklären Sie sich ausdrücklich damit einverstanden, dass Ihre personenbezogenen Daten von Extu im Rahmen dieser Dienste gemäß dem Bundesgesetz zum Schutz personenbezogener Daten im Besitz von Privatpersonen (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) verarbeitet werden.
6. Interne Richtlinien und Verfahren einführen: Entwickeln Sie Richtlinien und formalisierte Prozesse, um Situationen wie Datenschutzbeschwerden, Datenschutzverstöße und Anfragen auf Zugang zu personenbezogenen Informationen zu bewältigen.

Sie sollten außerdem mit Ihren Rechtsberatern sprechen, um sicherzustellen, dass Sie die Anforderungen der DSGVO erfüllen.

Weitere DSGVO-Ressourcen

Weitere nützliche Informationen zur DSGVO finden Sie beim UK Information Commissioner’s Office (ICO) – Leitfaden zur DSGVO.