Was ist die DSGVO?
Die DSGVO ist ein Gesetz der Europäischen Union (EU), das am 25. Mai 2018 in Kraft getreten ist. Die DSGVO regelt die Art und Weise, wie man personenbezogene Daten (Informationen über natürliche Personen) nutzen, verarbeiten und speichern darf. Sie gilt für alle Organisationen und Unternehmen innerhalb der EU sowie für diejenigen, die Waren oder Dienstleistungen in die EU liefern oder EU-Bürger überwachen.
Daher ist es für Unternehmen und Organisationen wichtig, genau zu verstehen, was die DSGVO bedeutet. Es handelt sich um die gesetzgebende Gewalt, die zum Schutz der Grundrechte betroffener Personen geschaffen wurde, deren personenbezogene und sensible Daten in Organisationen gespeichert werden. Betroffene Personen haben nun das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen und von einer Organisation die Vernichtung ihrer personenbezogenen Daten zu fordern. Diese Vorschriften wirken sich auf die meisten Unternehmensbereiche aus, vom Marketing bis zum Gesundheitswesen. Um die punitiven Bußgelder der Datenschutzbehörden zu vermeiden, ist es daher unerlässlich, DSGVO-konform zu sein.
Die Grundprinzipien der DSGVO lauten dabei wie folgt:
• Rechtmäßigkeit, Transparenz und Fairness
• Daten nur für den spezifischen rechtmäßigen Zweck verwenden, für den sie erhoben wurden; der mildeste davon sind berechtigte Interessen
• Nur Daten erfassen, die unbedingt benötigt werden
• Sicherstellen, dass alle vorliegenden Daten korrekt sind
• Speicherbeschränkung
• Integrität und Vertraulichkeit
• Verantwortlichkeit
Warum ist die DSGVO wichtig?
Die DSGVO ist in erster Linie wichtig, da sie ein einziges Regelwerk bereitstellt, an das sich alle EU-Organisationen halten müssen, wodurch Unternehmen gleiche Wettbewerbsbedingungen erhalten und die Übermittlung von Daten zwischen EU-Ländern schneller und transparenter ist. Ebenfalls stärkt auch die Position der EU-Bürger, indem es ihnen mehr Kontrolle über die Art und Weise gibt, wie ihre personenbezogenen Daten verwendet werden.
Die sorgfältige Umsetzung der Datenschutzrichtlinien und die Schulung des Personals sind wichtig, da eine Nichteinhaltung zu einer Datenschutzverletzung führen könnte. Datenschutzaufsichtsbehörden können im Falle einer schwerwiegenden Datenschutzverletzung Bußgelder in Höhe von bis zu 4 % Ihres Jahresumsatzes oder 20 Millionen Euro verhängen, je nachdem, welcher Betrag höher ist. Datenschutzschulungen sind eine Notwendigkeit, um das Risiko von Datenschutzverletzungen zu mindern.
Für wen gilt die DSGVO?
Die DSGVO regelt die Art und Weise, wie personenbezogene Daten in der EU erhoben und verarbeitet werden. Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Die DSGVO gilt für jede Einzelperson oder Organisation, die personenbezogene Daten innerhalb der EU verarbeitet. Länder außerhalb der EU, die personenbezogene Daten verarbeiten, werden im Sinne der DSGVO als „Drittländer“ bezeichnet. Sie verfügen möglicherweise über eigene Datenschutzgesetze, sind jedoch unter folgenden Umständen zur Einhaltung der DSGVO verpflichtet:
· Bei der Lieferung von Waren/Dienstleistungen in die EU
· Bei der Verarbeitung von Daten von Bürgern mit Wohnsitz innerhalb der EU
Die wichtigsten Aspekte der DSGVO:
Die DSGVO hat die Datenschutzrichtlinie von 1995 ersetzt, die Mindestanforderungen für den Datenschutz in ganz Europa festlegte. Dieser gemäßigte Ansatz beim Datenschutz führte vor 2018 zu einer Reihe von Datenverstößen und Skandalen, die die Gefährdung der persönlichen Daten betroffener Personen ermöglichten. Die in der DSGVO festgelegten Änderungen sorgen nun für einen besseren Schutz der Grundrechte der betroffenen Personen.
• Erweiterter Zuständigkeitsbereich: Die DSGVO gilt für jede Organisation, die personenbezogene Daten von betroffenen Personen in der EU verarbeitet. Das bedeutet, dass die DSGVO für große und kleine Organisationen innerhalb und außerhalb der EU gilt.
• Einwilligung: Es liegt ein strikter Schwerpunkt auf der Einwilligung, sie muss spezifisch und klar sein.
• Recht auf Zugriff: Eine betroffene Person kann eine Zugriffsanfrage stellen, um ihre persönlichen Daten einzusehen, und eine Organisation muss dem nachkommen.
• Recht auf Vergessenwerden: Eine betroffene Person kann verlangen, dass ihre personenbezogenen Daten von einem für die Datenverarbeitung Verantwortlichen vernichtet werden.
• Datenschutzbeauftragter: Von Datenverantwortlichen wird erwartet, dass sie einen Datenschutzbeauftragten in ihrem Team haben, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden.
• Strafen: Die deutsche Datenschutzaufsichtsbehörde kann härtere Konsequenzen für einen Datenschutzverstoß verhängen. Dazu gehört die Geldstrafe einer Organisation bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes einer Organisation, je nachdem, welcher Betrag höher ist.
Warum wurde die DSGVO benötigt?
Die Gesellschaft ist heute datengesteuerter denn je, daher hat die große Menge an sensiblen Daten, die auf Computern gespeichert werden, zu einem Anstieg von Cyberangriffen und Datenschutzverletzungen geführt.
Phishing-E-Mails
Phishing ist eine der wichtigsten Möglichkeiten für Cyberkriminelle, über betrügerische E-Mails an persönliche Daten zu gelangen und sogar Bank- und Kontodaten zu manipulieren. Die allgemeine Natur dieser Art von Cyberangriffen hat nun dazu geführt, dass die DSGVO unerlässlich ist, um dies einzudämmen.
Um das IT-Netzwerk Ihres Unternehmens zu schützen, müssen Unternehmen auf E-Mails achten, die möglicherweise Viren enthalten. Wenn es einem Virus gelingt, die Festplatte eines Unternehmens zu penetrieren, werden die persönlichen Daten von Kunden und Mitarbeitern kompromittiert und es kommt zu einem Datenverstoß.
Unternehmen sollten E-Mail-Verschlüsselung implementieren, damit in den E-Mails enthaltene persönliche Daten nicht von Cyber-Hackern infiltriert werden können. Ein Datenverantwortlicher kann ein sicheres E-Mail-Gateway verwenden, um zu verhindern, dass E-Mails, die Malware, Phishing-Angriffe oder Spam enthalten, eine Organisation erreichen. Um DSGVO-konform zu sein, muss ein Unternehmen daher die Installation eines sicheren E-Mail-Gateways zur Überwachung seiner E-Mails organisieren.
Einwilligung des Endbenutzers
Die DSGVO hat eine strengere Kontrolle der Einwilligung des Endnutzers bei der Verarbeitung personenbezogener Daten eingeführt. Die DSGVO geht davon aus, dass eine betroffene Person über die Prozesse, mit denen ihre personenbezogenen Daten gespeichert werden, informiert werden muss. Anschließend liegt es in der Verantwortung des Verantwortlichen, der betroffenen Person die Verarbeitung personenbezogener Daten zur Verfügung zu stellen. Der Benutzer kann dann seine Einwilligung widerrufen, wenn er der Meinung ist, dass ein Datenverantwortlicher seine personenbezogenen Daten nicht mehr benötigt oder die personenbezogenen Daten möglicherweise beschädigt werden.
Zwei-Faktor-Authentifizierung
Artikel 32 der DSGVO schreibt vor, dass eine Organisation technische Maßnahmen zum Schutz personenbezogener Daten ergreifen sollte, beispielsweise durch eine Zwei-Faktor-Nachrichtenauthentifizierung. Diese Zwei-Faktor-Nachrichtenauthentifizierung sollte auf Systeme angewendet werden, die persönliche Informationen verarbeiten, wie z. B. mobile Geräte, die verschlüsselt werden sollen.
Die DSGVO sollte Organisationen nicht einschüchtern, denn wenn die Vorschriften und Schutzmaßnahmen klar umgesetzt werden, sollte es keine Probleme und keinen Grund für das ICO geben, sich einzumischen.
So werden Sie DSGVO-konform
Um DSGVO-konform zu werden, müssen Sie zunächst die durch die Gesetzgebung gewährten Rechte des Einzelnen verstehen. Sie sind wie folgt:
o Recht auf Auskunft darüber, wie Ihre Daten verarbeitet werden
o Recht auf Zugriff auf diese Daten
o Recht auf Berichtigung falscher Daten
o Recht auf Datenlöschung
o Recht auf Einschränkung der Verarbeitung personenbezogener Daten
o Recht auf Datenübertragbarkeit – das bedeutet, dass Sie als Unternehmen ein System einrichten müssen, mit dem Sie alle personenbezogenen Daten, die Sie über eine Person haben, schnell und einfach zusammenstellen und dieser sicher zugänglich machen können
o Recht auf Widerspruch gegen die Verarbeitung Ihrer Daten
o Rechte im Zusammenhang mit der automatisierten Entscheidungsfindung, einschließlich der Verarbeitung
Organisationen müssen dann ihre Rolle im Datenfluss identifizieren, z. Sind sie ein Datenverantwortlicher oder ein Datenverarbeiter? Datenverantwortliche legen fest, warum und wofür personenbezogene Daten verwendet werden. Datenverarbeiter sind Einzelpersonen oder Unternehmen, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten.
Während die Verantwortung für den Schutz Ihrer Daten weiterhin bei den Verantwortlichen liegt, sind auch Datenverarbeiter verpflichtet, bei der Verarbeitung und Speicherung personenbezogener Daten die DSGVO einzuhalten. Datenverantwortliche sollten einen schriftlichen Vertrag ausarbeiten, in dem sie vereinbaren, dass ihre Auftragsverarbeiter ihre Datenrichtlinien einhalten und sicherstellen, dass dieser von allen Dritten unterzeichnet wird.
Im Rahmen der DSGVO ist es wichtig, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu ermitteln. Die akzeptablen Gründe sind:
o Einwilligung
o Vertrag
o Gesetzliche Verpflichtung
o Lebenswichtige Interessen
o Öffentliche Aufgabe
o Berechtigte Interessen
Bei der Verarbeitung von Daten besonderer Kategorie, sensiblen personenbezogenen Daten, gibt es unterschiedliche Gründe für deren rechtmäßige Nutzung. Die Verarbeitung erfordert sowohl eine Rechtsgrundlage als auch eine besondere Kategorienbedingung.
Die DSGVO verlangt von einigen Organisationen die Ernennung eines Datenschutzbeauftragten (Data Protection Officer, DPO). Ein Datenschutzbeauftragter ist aus den täglichen Verarbeitungsaktivitäten Ihres Unternehmens herausgenommen, ist jedoch für die Einhaltung der DSGVO verantwortlich. Sie müssen einen solchen ernennen, wenn: Sie eine Behörde sind; eine regelmäßige großangelegte Überwachung von Einzelpersonen als Kernaktivität durchführen; die großangelegte Verarbeitung von Daten besonderer Kategorien oder von Informationen über strafrechtliche Verurteilungen/Straftaten ist eine Kerntätigkeit.
Unternehmen müssen eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für Einzelpersonen mit sich bringt. Dadurch sollen Risiken für die personenbezogenen Daten von Einzelpersonen erkannt und minimiert werden. Bei der Risikobewertung werden sowohl die Wahrscheinlichkeit als auch die Schwere der Auswirkungen des Risikos berücksichtigt. Wenn Sie bei der Durchführung einer DPIA ein hohes Risiko feststellen, das Sie nicht mindern können, müssen Sie Ihre Datenschutzaufsichtsbehörde verständigen.
Auch die Einwilligung ist in der DSGVO strenger geregelt, was bedeutet, dass sich Unternehmen mit diesen neuen Anforderungen vertraut machen müssen. Die Einwilligung muss freiwillig, klar, spezifisch und eindeutig erfolgen und durch eine positive Handlung zum Ausdruck gebracht werden. Eine etwaige Einwilligung, die Sie in der Vergangenheit eingeholt haben, muss ebenfalls diese Anforderungen erfüllen und muss andernfalls erneut eingeholt werden.
Die Angabe der DSGVO-Konformität reicht nicht mehr aus, sie muss nun nachgewiesen werden. Sie sind verpflichtet, eine Datenschutzerklärung herauszugeben, um Ihre betroffenen Personen darüber zu informieren, wie ihre personenbezogenen Daten verwendet werden. Sie sollten auch einen Plan für den Fall einer Datenschutzverletzung erstellen.
Compliance: Neu Erfunden
VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen