In diesem Beitrag:
Die Datenschutz-Grundverordnung (DSGVO), im Englischen bekannt als General Data Protection Regulation (GDPR), ist ein rechtlicher Rahmen für die Erhebung und Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union (EU).
Ziel ist es, die Datenschutzrechte der EU-Bürger zu schützen und die Datenschutzgesetze in Europa in Einklang zu bringen. Einzelpersonen sollen im Rahmen der DSGVO mehr Kontrolle über ihre persönlichen Daten bekommen und Informationen darüber erhalten, wie sie verwendet werden.
Die DSGVO gilt für alle Unternehmen, Organisationen, Behörden und öffentlichen Einrichtungen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Standort der Organisation. Dieser extraterritoriale Anwendungsbereich stellt sicher, dass die Daten von EU-Bürgern auch geschützt sind, wenn sie außerhalb der EU verarbeitet werden.
Das Ziel der DSGVO ist es, die Daten und Privatsphäre von Einzelpersonen zu schützen. Doch um welche Art von Daten handelt es sich dabei? Lassen Sie es uns herausfinden.
Zu den personenbezogenen Daten, wie sie durch die DSGVO definiert sind, zählen alle Informationen, über die eine Person direkt oder indirekt identifiziert werden kann, wie Name, Adresse oder Identifikationsnummern. Darüber hinaus können sie auch sensible Informationen wie die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder biometrische Daten umfassen.
Bei biometrischen Daten handelt es sich um Fingerabdrücke, Iris-Scans und Gesichtserkennungsdaten, die zunehmend für Identifikations- und Authentifizierungszwecke verwendet werden. Es kann aber auch die Sozialversicherungsnummer einer Person oder sogar ihre Browser-Historie unter die Kategorie personenbezogener Daten fallen.
Gesundheitsdaten fallen unter die besondere Kategorie personenbezogener Informationen, die durch die DSGVO geschützt sind. Die Verarbeitung von Gesundheitsdaten erfordert eine strikte Einhaltung der Datenschutzprinzipien und kann die Bestellung von Auftragsverarbeitern für bestimmte Verarbeitungsaufgaben umfassen.
Organisationen, die Gesundheitsdaten verarbeiten, müssen erweiterte Sicherheitsmaßnahmen implementieren, um diese sensiblen Informationen vor unbefugtem Zugriff oder Datenschutzverstößen zu schützen. Es ist notwendig, dass Einzelpersonen ihre ausdrückliche Einwilligung für die Verarbeitung ihrer Gesundheitsdaten geben und dabei klar die Zwecke angeben sind, für die ihre Informationen verwendet werden.
Eine weitere Gruppen von Daten, die durch die DSGVO geschützt werden sollen, sind Finanzdaten wie Bankdaten, Transaktionsaufzeichnungen und Anlageinformationen. Unbefugter Zugriff oder Missbrauch von Finanzinformationen kann zu schwerwiegenden Konsequenzen wie Identitätsdiebstahl, Finanzbetrug oder unbefugten Transaktionen führen.
Organisationen müssen deshalb strenge Sicherheitsmaßnahmen implementieren, um Finanzdaten zu schützen. Zu den Praktiken, die dazu eingesetzt werden, zählen Verschlüsselung, Zugriffskontrollen, regelmäßige Überwachung und Datenminimierung.
Kennen Sie die Rechte, die betroffene Personen nach der DSGVO haben? Hier erhalten Sie eine Übersicht.
Betroffene Personen haben das Recht, Details darüber anzufordern, wie Organisationen ihre personenbezogenen Daten sammeln, verarbeiten und nutzen. Es befähigt Einzelpersonen, informierte Entscheidungen über den Datenaustausch und die Datenschutzpraktiken innerhalb der EU zu treffen.
Gemäß der DSGVO ist Transparenz ein grundlegendes Prinzip, dem Datenverarbeiter und -verantwortliche gerecht werden müssen. Sie sind verpflichtet, den betroffenen Personen klare und leicht zugängliche Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitzustellen. Dazu gehören Angaben zum Zweck der Datensammlung, zur rechtlichen Grundlage der Verarbeitung, zu den Speicherfristen und zu allen an der Verarbeitung beteiligten Dritten.
Das Recht auf Berichtigung ermöglicht es den betroffenen Personen, Ungenauigkeiten oder unvollständige Informationen in ihren persönlichen Daten, die von Organisationen gespeichert werden, zu korrigieren. Es gewährleistet, dass Einzelpersonen die Kontrolle über die Richtigkeit und Vollständigkeit ihrer persönlichen Informationen gemäß den Bestimmungen der DSGVO haben.
Wenn zum Beispiel ein Kunde feststellt, dass seine Adresse bei einem Unternehmen falsch ist, kann er eine Berichtigungsanfrage stellen, um sie ändern zu lassen. Ebenso haben Personen das Recht, ein falsch erfasstes Geburtsdatum zu korrigieren, um sicherzustellen, dass die Daten korrekt sind. Organisationen müssen Verfahren zur Bearbeitung solcher Anfragen schnell und effizient bearbeiten, um den Datenschutzgesetzen zu entsprechen.
Auch bekannt als das „Recht auf Vergessenwerden" ermöglicht das Recht auf Löschung es den betroffenen Personen, die Löschung ihrer persönlichen Daten zu verlangen, wenn sie nicht mehr notwendig sind, unrechtmäßig verarbeitet werden oder ihre Einwilligungen widerrufen. Dies könnte beispielsweise auf einen Social-Media-Benutzer zutreffen, der alle seine Beiträge und persönlichen Informationen von einer Plattform entfernen möchte.
Organisationen müssen fristgerecht auf diese Anfragen reagieren und sicherstellen, dass die Daten dauerhaft aus ihren Systemen entfernt werden. Es gibt jedoch auch Ausnahmen von diesem Recht, beispielsweise wenn die Daten für die Einhaltung gesetzlicher Vorschriften oder das öffentliche Interesse erforderlich sind.
Personen, deren personenbezogene Daten von einer Organisation verarbeitet werden, können diese Verarbeitung unter bestimmten Bedingungen beschränken. Dies ist beispielsweise möglich, wenn sie Bedenken hinsichtlich der Richtigkeit ihrer Daten haben, nicht mit den durchgeführten Verarbeitungstätigkeiten einverstanden sind oder auf eine Entscheidung über einen Antrag auf Datenlöschung warten.
In diesen Fällen ist der Auftragsverarbeiter dafür verantwortlich, sicherzustellen, dass die Verarbeitung der Daten der betroffenen Person wie gewünscht gestoppt oder eingeschränkt wird. Ein Nichtbefolgen dieser Einschränkungen könnte zu potenziellen Verstößen gegen die DSGVO-Vorschriften und daraus resultierenden Strafen führen.
Das Recht auf Datenübertragbarkeit ermöglicht es den Betroffenen, ihre personenbezogenen Daten zu erhalten und für ihre Zwecke über verschiedene Dienste oder Plattformen hinweg zu nutzen. Dieses Recht ist insbesondere für Informationen wie Finanzdaten relevant, da es einen nahtlosen Transfer zwischen Finanzinstituten oder Dienstleistern ermöglicht.
Wenn Personen ihr Recht auf Datenübertragbarkeit ausüben, können sie ihre Daten in einem strukturierten, allgemein üblichen und maschinenlesbaren Format anfordern. Dies umfasst persönliche Informationen, die sie einem Unternehmen zur Verfügung gestellt haben, sowie Daten, die aus ihren Aktivitäten generiert wurden. Zu diesen Daten können Benutzerprofile, Präferenzen und sogar der Nutzungsverlauf gehören.
Organisationen müssen sicherstellen, dass die Datenübertragungsmechanismen sicher und effizient sind, um reibungslose Übergänge zu ermöglichen. Durch die Festlegung klarer Prozesse für die Datenübertragbarkeit verbessern Unternehmen die Transparenz und Rechenschaftspflicht im Umgang mit den Informationen der Betroffenen.
Betroffene Personen können der Verarbeitung ihrer personenbezogenen Daten in bestimmten Fällen widersprechen, etwa im Zusammenhang mit Direktmarketing oder Forschungszwecken. Dieses Recht gibt den betroffenen Personen mehr Kontrolle darüber, wie ihre Informationen von Organisationen genutzt und geteilt werden. Die zuständige Datenschutzbehörde überwacht die Einhaltung der Widersprüchen, die von Einzelpersonen erhoben werden.
Als Organisation, die personenbezogene Daten von EU-Bürgern erhebt oder verarbeitet, müssen Sie eine Reihe von Anforderungen erfüllen. Erfahren Sie, welche grundlegenden Maßnahmen Sie dazu umsetzen müssen.
Die DSGVO verlangt von Organisationen, einen Datenschutzbeauftragten zu ernennen, der für die Überwachung von Datenschutzstrategien verantwortlich ist, die Einhaltung der DSGVO sicherstellt und als Ansprechpartner für Aufsichtsbehörden und betroffene Personen in Datenschutzfragen dient.
Zu den Aufgaben des Datenschutzbeauftragten (DSB) zählt es, Risikobewertungen durchzuführen, erforderliche Maßnahmen zur Sicherung sensibler Informationen umzusetzen und prompt auf Datenschutzverletzungen zu reagieren. Er ist darüber hinaus auch damit beauftragt, das Bewusstsein für Datenschutzgesetze und -vorschriften innerhalb der Organisation zu fördern und Schulungen für Mitarbeitende anzubieten.
Das könnte Sie auch interessieren: Ab wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragtern?
Zum Schutz personenbezogener Daten müssen Organisationen Datenschutz-Folgenabschätzungen durchführen. Es handelt sich dabei um einen strukturierten Prozess, um Datenschutzrisiken zu identifizieren und zu mindern, die aus bestimmten Verarbeitungstätigkeiten entstehen. Sie hilft Organisationen, die Auswirkungen der Datenverarbeitung auf die Datenschutzrechte von Personen und die Einhaltung der EU-Datenschutzbestimmungen zu bewerten.
Die DSGVO nennt spezifische Kriterien, wann eine DPIA notwendig ist, beispielsweise bei Verarbeitungsvorgängen, die sensible Daten betreffen oder die systematische Überwachung von Personen in großem Umfang beinhalten.
Der DPIA-Prozess umfasst die Identifizierung der Zwecke der Datenverarbeitung, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten und die Bewertung der Risiken für die Rechte und Freiheiten von Personen. Diese umfassende Bewertung ermöglicht es Organisationen, geeignete Maßnahmen umzusetzen, um die Privatsphäre der betroffenen Personen zu schützen und die Einhaltung der DSGVO sicherzustellen.
Technische und organisatorische Maßnahmen sind ein zentraler Bestandteil der DSGVO-
Compliance und umfassen vielfältige Vorkehrungen, um personenbezogene Daten zu schützen. Bei der Verschlüsselung werden beispielsweise Informationen in ein unlesbares Format umgewandelt, um sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.
Zugriffskontrollen sind erforderlich, um den Zugriff auf sensible Daten auf relevantes Personal zu beschränken. Richtlinien zur Datenlöschung geben des Weiteren vor, wie lange Daten gespeichert werden können und unter welchen Bedingungen sie sicher entsorgt werden sollten, um den gesetzlichen Anforderungen zu entsprechen.
Incident-Response-Pläne sind eine weitere notwendige Maßnahme. Sie umreißen die Schritte, die im Falle von Datenverletzungen unternommen werden sollen, um Schäden zu minimieren und die entsprechenden Behörden zu benachrichtigen.
Unter der DSGVO müssen Unternehmen und Organisationen Datenschutzverletzungen unverzüglich der zuständigen Aufsichtsbehörde und den betroffenen Personen melden, wenn eine Verletzung die Sicherheit personenbezogener Daten gefährdet. Die DSGVO legt spezifische Anforderungen an Benachrichtigungen und Zeitrahmen für die Meldung von Verletzungen fest.
Organisationen sind verpflichtet, die Schwere der Verletzung zu bewerten, einschließlich der Analyse der potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen. Die Vorfallbewertung dient dazu, angmessene Maßnahmen zu bestimmten, um die Auswirkungen der Datenschutzverletzung zu mindern und weiteren unbefugten Zugriff zu verhindern.
Bei der Benachrichtigung betroffener Personen müssen Organisationen klare und prägnante Informationen über die Verletzung bereitstellen. Darin muss die Art des Vorfalls, die betroffene Datenkategorien und empfohlene Maßnahmen zum Selbstschutz genannt werden.
Die DSGVO stellt viele Anforderungen an Organisationen, die personenbezogene Daten erfassen und verarbeiten, doch die Einhaltung der Vorschriften muss nicht kompliziert sein. Mit DataGuard haben Sie den idealen Partner an Ihrer Seite, um die DSGVO-Vorgaben effizient zu erfüllen – zentral an einem Ort.
Unsere benutzerfreundliche Plattform vereinfacht den gesamten Datenschutzprozess, reduziert den manuellen Aufwand um bis zu 40 % und hilft Ihnen, Datenschutzverletzungen und hohe Bußgelder zu vermeiden. Unser Team zertifizierter Experten steht Ihnen beratend zur Seite.
Die DSGVO (Datenschutz-Grundverordnung) gilt für alle Organisationen, die personenbezogene Daten von Personen innerhalb der Europäischen Union (EU) verarbeiten. Dazu gehören Unternehmen, gemeinnützige Organisationen und Regierungsbehörden.
Ja, die DSGVO gilt auch für Unternehmen außerhalb der EU, wenn sie Waren oder Dienstleistungen für Personen in der EU anbieten oder deren Verhalten überwachen.
Ja, die DSGVO gilt für alle Organisationen, unabhängig von ihrer Größe, die personenbezogene Daten von Personen innerhalb der EU verarbeiten. Es gibt jedoch einige Ausnahmen für kleine Unternehmen mit weniger als 250 Mitarbeitenden.
Nichtkonformität mit der DSGVO kann zu schwerwiegenden Konsequenzen führen, einschließlich Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Personen haben auch das Recht, Schadensersatz für Schäden geltend zu machen, die durch die Nichtkonformität der Organisation verursacht wurden.