Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz, das regelt, wie Unternehmen personenbezogene Daten verarbeiten und nutzen dürfen, die von Verbrauchern online erhoben werden. Die Europäische Union (EU) hat sie im April 2016 verabschiedet und die Anforderungen zur DSGVO-Konformität traten am 25. Mai 2018 in Kraft. Die Anforderungen an die DSGVO-Konformität stellen eine Harmonisierung der Datenschutzgesetze in der EU dar.
Die nahezu allgegenwärtige Nutzung von Cloud-Diensten und die ständige Bedrohung durch Datenschutzverletzungen sind eine treibende Kraft hinter den Anforderungen an die DSGVO-Konformität. Digitale Dienste überwanden Grenzen, die einst mehr Kontrolle darüber gaben, wo Daten gespeichert werden.
Die Anforderungen an die DSGVO-Konformität spiegeln die strenge Haltung der EU in Bezug auf den Datenschutz und die Datensicherheit ihrer Bürger wider.
Auch wenn das Gesetz in der EU verfasst und verabschiedet wurde, gilt die DSGVO für jedes Unternehmen, das Daten von EU-Bürgern erhebt und verarbeitet – unabhängig von ihren Standorten.
Die sieben Datenschutzgrunsätze bilden die Grundlage der DSGVO-Konformität und dienen dem Schutz der Privatsphäre von Personen, deren Daten erfasst, verwendet, abgefragt oder anderweitig verarbeitet werden:
- Rechenschaftspflicht
- Sorgfalt
- Minimierung der Datenmenge
- Integrität und Vertraulichkeit
- Rechtmäßigkeit, Fairness und Transparenz
- Zweckbindung
- Einschränkung der Speicherung
Was ist für die Einhaltung der DSGVO erforderlich?
Es gilt als besonders schwer, die DSGVO einzuhalten und dies aufrechtzuerhalten. Das Gesetz wird weithin als die strengste Sicherheits- und Datenschutzrichtlinie der Welt angesehen, wobei der vollständige Text 99 Artikel enthält. Im Folgenden werden die wichtigsten Anforderungen an die DSGVO-Konformität aufgeführt, um ein Gefühl für den Umfang und das Ausmaß des Gesetzes zu vermitteln.
Anforderungen an die Rechenschaftspflicht
Unternehmen, die personenbezogene Daten verarbeiten, müssen einen Datenverantwortlichen haben, der die DSGVO-Konformität nachweisen kann.
Anforderungen an die Sorgfalt
Die Einhaltung der DSGVO setzt von Unternehmen voraus, dass sie angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Informationen der betroffenen Personen korrekt sind. Auch wenn keine spezifischen Anforderungen vorgeschrieben sind, müssen die Umstände, die Art der verarbeiteten personenbezogenen Daten und der Grund für ihre Verwendung berücksichtigt werden.
Um diese Anforderung zu erfüllen, ist eine Bewertung erforderlich, um festzustellen, wie wichtig die personenbezogenen Daten sind. Mit zunehmender Bedeutung der Daten sollten auch die Maßnahmen zur Gewährleistung der Richtigkeit der Daten steigen. Als Teil der Sorgfaltsanforderung schreibt die DSGVO-Konformität vor, dass Verfahren vorhanden sein müssen, die es den betroffenen Personen ermöglichen, personenbezogene Daten auf ihren Wunsch hin aktualisieren zu lassen.
Anforderungen an die Zustimmung
Entgegen der gängigen Meinung erfordert die DSGVO-Konformität nicht die Zustimmung der betroffenen Personen zur Verarbeitung ihrer Daten. Sie ist nur eine von sechs Rechtsgrundlagen für die Verarbeitung der Daten der betroffenen Person und wird in der Regel eingeholt, wenn die anderen fünf Grundlagen nicht anwendbar sind.
Wenn jedoch die Zustimmung als Grundlage für die DSGVO-Konformität verwendet wird, müssen Unternehmen mehrere Regeln einhalten, unter anderem:
- Kinder unter 13 Jahren können ihre Zustimmung nur mit der Erlaubnis ihrer Eltern geben.
- Die Einwilligung muss „frei, spezifisch, informiert und unmissverständlich“ gegeben werden. Die Nutzer müssen ihre Zustimmung aktiv erteilen, vorangekreuzte Kästchen reichen dafür nicht aus.
- Betroffene Personen können eine erteilte Einwilligung jederzeit widerrufen. Wenn die Einwilligung widerrufen wird, können Unternehmen diese nicht durch einen der anderen fünf rechtlichen Gründe für die Verarbeitung der Daten der betroffenen Person ersetzen.
- Es muss ein Nachweis über die Einwilligung aufbewahrt werden.
- Ersuchen um Einwilligung müssen sich „deutlich von anderen Angelegenheiten unterscheiden“ und in „klarer und einfacher Sprache“ formuliert sein.
Anforderungen an die Datenschutz-Folgenabschätzung
DSGVO-Konformität beinhaltet die Identifizierung und Minimierung von Risiken bei der Datenverarbeitung mithilfe von Datenschutz-Folgenabschätzung (DPIA). In Artikel 35 wird das Konzept der Datenschutz-Folgenabschätzung beschrieben, das die DSGVO-Konformität vorschreibt, wenn die Datenverarbeitung „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Im Zusammenhang mit der DSGVO-Konformität bezieht sich ein hohes Risiko auf:
- Daten in besonderen Kategorien oder zu Straftaten in großem Umfang
- Systematisches und umfassendes Profiling
- Systematische Überwachung von öffentlich zugänglichen Orten in großem Maßstab
Anforderungen betreffend die Rechte der betroffenen Person
Bei der DSGVO-Konformität müssen acht Rechte der betroffenen Personen berücksichtigt werden.
- Das Recht auf Information
Unternehmen müssen die betroffenen Personen kurz und in einfacher Sprache darüber informieren, welche Informationen erhoben werden, wie sie verwendet werden, wie lange sie gespeichert werden und ob sie an Dritte weitergegeben werden. - Das Recht auf Auskunft
Betroffene Personen können von Unternehmen eine Kopie aller gespeicherten personenbezogenen Daten verlangen und müssen diese Informationen (mit einigen Ausnahmen) innerhalb eines Monats erhalten. - Das Recht auf Berichtigung
Betroffene Personen können die Aktualisierung ihrer Daten verlangen, wenn sich herausstellt, dass die Daten unrichtig oder unvollständig sind. Dies muss (mit einigen Ausnahmen) innerhalb eines Monats geschehen. - Das Recht auf Löschung
Unter bestimmten Umständen können betroffene Personen von einem Unternehmen verlangen, dass ihre Daten gelöscht werden, z. B. wenn die Daten nicht mehr benötigt werden, die Daten unrechtmäßig verarbeitet wurden oder sie nicht mehr dem rechtmäßigen Grund entsprechen, für den sie erhoben wurden. - Das Recht, die Verarbeitung einzuschränken
Wenn eine betroffene Person das Produkt oder die Dienstleistung, für die ihre Daten ursprünglich erhoben wurden, nicht mehr nutzt, kann sie verlangen, dass die Daten gelöscht werden. Wenn das Unternehmen geltend macht, dass dies erforderlich ist (z. B. um einen Rechtsanspruch zu begründen, auszuüben oder zu verteidigen), kann die Verwendung der Daten eingeschränkt werden. - Das Recht auf Datenübertragbarkeit
Die Informationen der betroffenen Personen sollten in einem Standardformat zugänglich sein, damit sie von verschiedenen Diensten genutzt werden können. - Das Recht auf Widerspruch
Selbst wenn ein Unternehmen personenbezogene Daten unter Berufung auf ein berechtigtes Interesse oder die Erfüllung einer Aufgabe im Interesse einer amtlichen Behörde als Rechtsgrundlage verarbeitet, haben die betroffenen Personen das Recht, der Verarbeitung zu widersprechen. - Rechte im Zusammenhang mit der automatisierten Entscheidungsfindung, einschließlich Profiling
Es werden Einschränkungen der Verwendung der Daten der betroffenen Personen für die automatisierte Entscheidungsfindung festgelegt, z. B. für das Profiling und andere Anwendungen von künstlicher Intelligenz und maschinellem Lernen.
Anforderungen an die Datenübertragung
Die Regeln für Datenübertragungen variieren je nachdem, wohin die Daten übertragen werden. Die grundlegenden DSGVO-Daten- und Datenschutzbestimmungen sind akzeptabel, wenn die Daten einer betroffenen Person innerhalb der EU übertragen werden.
Daten dürfen jedoch nur dann an einen Dritten oder ein internationales Unternehmen übermittelt werden, wenn das verarbeitende Unternehmen „angemessene Garantien bietet und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen.“
Anforderungen an Integrität und Vertraulichkeit
Die Datenverarbeitung muss so erfolgen, dass angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet ist, um die Anforderungen der DSGVO zu erfüllen. Das Niveau der Sicherheitskontrollen sollte den Auswirkungen einer Datenschutzverletzung auf die betroffenen Personen entsprechen.
Datenschutz ist erforderlich, um zu verhindern, dass verarbeitete Daten versehentlich oder absichtlich kompromittiert werden. Nur autorisierte Benutzer sollten auf die Daten der betroffenen Personen zugreifen und sie verändern, weitergeben oder löschen können.
Anforderungen an eine rechtmäßige, faire und transparente Verarbeitung
Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein. Einer von sechs rechtmäßigen Gründen für die Datenverarbeitung muss erfüllt sein, um die DSGVO-Konformität zu gewährleisten.
Die Datenverarbeitung muss zwar nicht unbedingt notwendig sein, es sollte aber einen bestimmten Zweck für die Verarbeitung der Daten einer betroffenen Person geben:
- Es muss die ausdrückliche Zustimmung der betroffenen Person eingeholt werden.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person zu erfüllen oder um Schritte zum Abschluss eines Vertrags zu unternehmen.
- Die Verarbeitung ist zur Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder im Namen einer amtlichen Behörde ausgeführt wird.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen, Rechte und Freiheiten der betroffenen Person nicht überwiegen.
- Die Verarbeitung ist notwendig, um die wesentlichen Interessen einer betroffenen Person oder einer anderen Person zu schützen.
Um Transparenz zu gewährleisten, sollten Unternehmen Datenschutzhinweise verfassen und sie den betroffenen Personen leicht zugänglich machen.
Begrenzung des Zwecks, der Daten und der Speicheranforderungen.
Die Einhaltung der DSGVO verlangt von Unternehmen, dass sie einen legitimen Grund für die Verarbeitung der Daten der betroffenen Personen haben und diesen der betroffenen Person zum Zeitpunkt der Erhebung ausdrücklich mitteilen. Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden. Es gibt Ausnahmen für die Datenverarbeitung zu Archivierungszwecken im öffentlichen Interesse und für wissenschaftliche, historische oder statistische Zwecke.
Meldepflichten bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung gibt es sehr spezifische Anforderungen für die DSGVO-Konformität. Eine der wichtigsten betrifft eine Datenschutzverletzung, bei der personenbezogene Daten kompromittiert und Menschen potenziell gefährdet werden.
In diesem Fall muss das Unternehmen den Vorfall innerhalb von 72 Stunden nach seiner Entdeckung melden. Anschließend wird geprüft, was mit den Daten passiert ist und welche Folgen dies für die betroffenen Personen hat.
Artikel 4, Abschnitt 12 definiert eine Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt“. Das bedeutet, dass eine Verletzung des Schutzes personenbezogener Daten über den Angriff eines Cyberkriminellen hinausgeht und auch zufällige Insider einschließt, die versehentlich die Daten einer betroffenen Person kompromittieren.
Datenschutz durch Technikgestaltung und Standardanforderungen
Um die Anforderungen der DSGVO-Konformität zu erfüllen, muss ein Unternehmen bei der Entwicklung seines Datenverarbeitungsprogramms die Sicherheit von Anfang an berücksichtigen und nicht erst später hinzufügen. Das bedeutet, dass die entsprechenden technischen und organisatorischen Datenschutzmaßnahmen zusammen mit den Maßnahmen zum Schutz der Rechte der betroffenen Personen implementiert werden müssen.
Anforderungen an Schulungen zum Sicherheitsbewusstsein
Schulungen zum Sicherheitsbewusstsein des Personals sind für die DSGVO-Konformität verpflichtend. Jeder, der mit personenbezogenen Daten umgeht oder für die Überwachung der Datenschutzpraktiken verantwortlich ist, muss über seine Verantwortung, die Bedrohungen, die auf personenbezogene Daten abzielen, und die Rechte der Betroffenen aufgeklärt werden. Die Schulungen zum Sicherheitsbewusstsein sollten auch die Themen Datenschutz durch Technikgestaltung und Voreinstellungen sowie Datenschutz-Folgenabschätzungen abdecken.
Anforderungen an die Speicherbegrenzung
Unternehmen müssen Aufbewahrungsrichtlinien und -pläne haben, die festlegen, wie lange die Daten der betroffenen Personen gespeichert werden, um die Anforderungen an die DSGVO-Konformität zu erfüllen. Diese Aufbewahrungsfrist sollte nur so lange sein, wie die Daten benötigt werden.
Es müssen Systeme vorhanden sein, die sicherstellen, dass die Daten gelöscht oder anonymisiert werden, wenn sie das Ende der festgelegten Nutzungsdauer erreicht haben. Darüber hinaus muss es ein Verfahren für die vorzeitige Löschung geben (z. B. auf Antrag einer betroffenen Person oder wenn die Daten nicht mehr verwendet werden).
Wer ist verpflichtet, die DSGVO einzuhalten?
Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten. Unabhängig davon, wo das Unternehmen ihren Sitz hat, ist die DSGVO-Konformität, wenn das Unternehmen:
- Das Verhalten eines EU-Bürgers überwacht, z. B. durch Tracking-Cookies oder IP (Internetprotokoll)-Adressen
- Einem EU-Bürger über seine Website Waren und Dienstleistungen anbietet
Welche Rechte haben die Benutzer nach der DSGVO?
DSGVO-Konformität legt die Rechte der betroffenen Personen und die Pflichten der Unternehmen fest, die ihre personenbezogenen Daten verarbeiten. Nachfolgend finden Sie eine Zusammenfassung der Rechte der betroffenen Personen, die durch die DSGVO durchgesetzt werden.
Das Recht auf Zugriff
Unternehmen müssen es den Benutzern leicht machen, auf ihre personenbezogenen Daten zuzugreifen, um die DSGVO-Konformität zu gewährleisten. Einzelpersonen müssen eine Kopie der personenbezogenen Daten anfordern können, über die ein Unternehmen verfügt, und eine Kopie zusammen mit zusätzlichen Informationen zu erhalten, z. B. über den Zweck der Verarbeitung und die Aufbewahrungsfrist der Daten. Diese Informationen müssen bis auf wenige Ausnahmen innerhalb eines Monats nach dem Datum der Anfrage übermittelt werden.
Das Recht auf Datenübertragbarkeit
Die DSGVO-Konformität setzt voraus, dass eine betroffene Person ihre personenbezogenen Daten von einem Dienstanbieter zu einem anderen übertragen kann. Dieses Recht gibt den betroffenen Personen mehr Kontrolle über ihre Daten und mehr Freiheit, wenn sie zwischen Dienstanbietern wechseln, um beispielsweise einen besseren Service oder bessere Preise zu erhalten.
Das Recht auf Löschung
Dieser Aspekt der DSGVO wird auch Recht auf Vergessenwerden genannt und ermöglicht es den betroffenen Personen, die Löschung der von ihnen erhobenen personenbezogenen Daten zu verlangen. Einige Ausnahmen sind Situationen, in denen eine gesetzliche Verpflichtung zur Speicherung besteht und in denen die Daten für eine Aufgabe verwendet werden, die im öffentlichen Interesse liegt. Einem Antrag auf Löschung muss innerhalb eines Monats nach Antragstellung entsprochen werden.
Das Recht, informiert zu werden
Um die Anforderungen zur Konformität mit der DSGVO einzuhalten, müssen Unternehmen sicherstellen, dass die betroffenen Personen darüber informiert sind, was ein Unternehmen mit ihren personenbezogenen Daten macht. Die Anforderungen sind unterschiedlich und hängen davon ab, ob ein Unternehmen personenbezogene Daten direkt von der betroffenen Person erhebt oder sie von einer anderen Quelle erhält.
- Wenn die Daten direkt von einer betroffenen Person erhoben werden, ist das Unternehmen verpflichtet, die persönlichen Daten zur Verfügung zu stellen.
- Wenn die Daten von Dritten stammen, muss das Unternehmen die betroffene Person nur über die Quelle informieren, nicht aber die persönlichen Daten bereitstellen.
Das Recht auf Berichtigung
Die Anforderungen der DSGVO schreiben vor, dass ein Unternehmen, das einen Antrag auf Berichtigung erhält, verpflichtet ist, angemessene Schritte zu unternehmen, um die Richtigkeit der Daten zu bestätigen oder sie zu korrigieren. Unternehmen haben ab dem Zeitpunkt des Eingangs der Anfrage einen Monat Zeit, um dieser nachzukommen.
Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling
Die automatisierte Entscheidungsfindung ist ein Prozess, an dem kein Mensch beteiligt ist, wie z. B. Profilerstellung und die Beurteilung von Aspekten einer Person. Die automatisierte Entscheidungsfindung kann nur in drei Situationen eingesetzt werden:
- Betroffene Personen werden über die Verarbeitung informiert.
- Eine betroffene Person kann problemlos menschliches Eingreifen verlangen oder eine Entscheidung anfechten.
- Regelmäßige Kontrollen werden durchgeführt, um sicherzustellen, dass das System wie vorgesehen funktioniert.
Das Recht auf Einschränkung der Verarbeitung
Die Einhaltung der DSGVO setzt voraus, dass Unternehmen die eindeutige Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten haben müssen. Das Verfahren zur Einholung der Einwilligung muss transparent und leicht zugänglich sein. Betroffene Personen haben außerdem das Recht, dass eine Person ausdrücklich in die Verarbeitung ihrer personenbezogenen Daten und den Umfang dieser Verarbeitung einwilligen muss.
Welche Strafen gibt es für die Nichteinhaltung der DSGVO?
Die Nichteinhaltung der Kriterien für die DSGVO-Konformität wird mit hohen Geldstrafen geahndet, die sich nach der Schwere des Verstoßes richten. Es gibt zwei Stufen von Geldbußen für die Nichteinhaltung der DSGVO. Zusätzlich zu den Bußgeldern gibt die DSGVO den betroffenen Personen das Recht, Schadenersatz von Unternehmen zu verlangen, die ihnen durch die Nichteinhaltung der DSGVO materiellen oder immateriellen Schaden zufügen.
Geldbußen der Stufe 1
Ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist, wird verhängt, wenn ein Verstoß gegen die Regeln vorliegt, der sich auf Folgendes bezieht:
- Zertifizierungsstellen (Artikel 42 und 43)
- Kontrolleure und Verarbeiter (Artikel 8, 11, 25-39, 42 und 43)
- Kontrollorgane (Artikel 41)
Geldbußen der Stufe 2
Ein Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist, wird verhängt, wenn ein Verstoß gegen die Regeln vorliegt, der sich auf Folgendes bezieht:
- Verstöße gegen die gemäß Kapitel IX erlassenen Gesetze der Mitgliedsstaaten (Kapitel IX gibt den EU-Mitgliedsstaaten die Möglichkeit, zusätzliche Datenschutzgesetze zu erlassen, solange diese im Einklang mit der DSGVO stehen)
- Nichteinhaltung einer Anordnung einer Aufsichtsbehörde
- Die Grundprinzipien für die Verarbeitung (Artikel 5, 6 und 9)
- Die Bedingungen für die Zustimmung (Artikel 7)
- Die Rechte der betroffenen Personen (Artikel 12-22)
Bußgelder für die Nichteinhaltung der DSGVO werden von der Datenschutzbehörde in jedem EU-Land verhängt. Sie entscheidet, ob ein Verstoß vorliegt und wie hoch die Strafe ausfällt.
Die folgenden zehn Kriterien werden herangezogen, um zu beurteilen, ob ein Unternehmen gegen die DSGVO verstoßen hat und, falls ja, welche Strafe damit verbunden ist. Wenn festgestellt wird, dass das Unternehmen mehrere Verstöße begangen hat, wird es für den schwersten Verstoß bestraft, vorausgesetzt, alle Verstöße sind Teil desselben Verarbeitungsvorgangs.
- Schwere und Art
- Absicht
- Mildernde Umstände
- Vorsichtsmaßnahmen
- Verlauf
- Zusammenarbeit mit der Aufsichtsbehörde
- Datenkategorie
- Benachrichtigung
- Zertifizierung
- Erschwerende/mildernde Faktoren
- Wie es passiert ist
- Dauer, bis das Problem gelöst wurde
- Der entstandene Schaden
- Anzahl der betroffenen Personen
- Was passiert ist
- Warum es passiert ist
- Absichtlich
- Versehentlich
- Aus Fahrlässigkeit
- Ob das Unternehmen Maßnahmen ergriffen hat, um den Schaden zu begrenzen
- Dauer, bis reagiert wurde
- Technische Sicherheitsvorkehrungen
- Organisatorische Vorbereitung
- Alle relevanten früheren Verstöße gegen die Datenschutzrichtlinie und die DSGVO
- Compliance mit früheren administrativen Abhilfemaßnahmen gemäß der DSGVO
- Um den Verstoß zu entdecken
- Um den Verstoß zu beheben
- Art der betroffenen personenbezogenen Daten
- Das Unternehmen hat den Vorfall proaktiv gemeldet
- Der Vorfall wurde von einem Dritten gemeldet
- Ob das Unternehmen genehmigte Verhaltensrichtlinien befolgt hat
- Ob das Unternehmen zuvor zertifiziert wurde
- Erzielte finanzielle Vorteile
- Vermiedene Verluste
Welcher Zusammenhang besteht zwischen der DSGVO und Datenschutzverletzungen?
Um die DSGVO-Vorschriften einzuhalten, müssen Unternehmen eine Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde melden, wenn diese wahrscheinlich zu einem „Risiko für die Rechte und Freiheiten der betroffenen Personen“ führt. Gemäß den Vorschriften für die DSGVO-Konformität gibt es drei Arten von personenbezogenen Datenschutzverletzungen, wobei Verstöße in alle drei Kategorien fallen können.
- Verletzung der Vertraulichkeit – unbefugte oder versehentliche Offenlegung von oder Zugriff auf persönliche Daten
- Verletzung der Verfügbarkeit – ein versehentlicher oder verlorener Zugriff auf oder die Zerstörung von personenbezogenen Daten
- Verletzung der Integrität – eine unbefugte oder versehentliche Änderung personenbezogener Daten
DSGVO-Konformität verlangt von Unternehmen, dass sie eine Datenschutzverletzung, die personenbezogene Daten betrifft, innerhalb von 72 Stunden nach Bekanntwerden an eine Datenschutzbehörde melden.
Was ist ein Antrag auf Einsicht einer betroffenen Person?
Ein Data Subject Access Request (DSAR) ist der Antrag einer Person auf Auskunft über ihre personenbezogenen Daten, die ein Unternehmen verarbeitet hat, sowie über:
- Kategorien von personenbezogenen Daten, die das Unternehmen verarbeitet,
- Aufbewahrungszeitraum der Daten,
- Informationen zur automatisierten Entscheidungsfindung (z. B. Profiling),
- Informationen über ihre Rechte nach der DSGVO,
- Zweck der Verarbeitung personenbezogener Daten,
- Datenquelle (wenn die Daten nicht bei der betroffenen Person erhoben wurden),
- Dritte, mit denen die Unternehmen personenbezogene Daten austauscht.
Was ist ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter (DSB) ist dafür verantwortlich, dass ein Unternehmen die Anforderungen an die DSGVO-Konformität einhält. In größeren Unternehmen wird die Funktion des DSB von mehreren Personen oder einer ganzen Abteilung wahrgenommen.
Die Aufgaben des DSB umfassen:
- Als Kontaktstelle zwischen dem Unternehmen und seiner Aufsichtsbehörde zu fungieren.
- Mitarbeiter über ihre Datenschutzpflichten zu beraten.
- Arbeitsabläufe für den Datenzugriff zu genehmigen.
- Zu definieren, wie gespeicherte Daten anonymisiert werden.
- Vertretbare Aufbewahrungszeiträume für personenbezogene Daten festzulegen.
- Die Geschäftsführung bei der Entscheidung zu unterstützen, ob eine Datenschutz-Folgenabschätzung (DPIA) erforderlich ist.
- All diese Systeme zu überwachen, um sicherzustellen, dass sie private Kundendaten schützen.
- Datenschutzrichtlinien und -verfahren zu überwachen.
- Als Ansprechpartner für die betroffenen Personen zu fungieren.
Beachten Sie, dass nicht jedes Unternehmen die DSGVO-Vorschriften einhalten muss. Ein DSB sollte ernannt werden, wenn das Unternehmen über Folgendes verfügt:
- Tätigkeiten, bei denen es sich um eine groß angelegte Verarbeitung besonderer Datenkategorien handelt, die in Artikel 9 und 10 der DSGVO aufgeführt sind.
- Kernaktivitäten, die eine systematische und regelmäßige Überwachung der betroffenen Personen in großem Umfang erfordern.
- Öffentliche Gewalt mit Ausnahme eines Gerichts, das in richterlicher Funktion handelt
Nehmen Sie die Anforderungen an die DSGVO-Konformität ernst
DSGVO-Konformität sollte nicht auf die leichte Schulter genommen werden. Die Strafen durch die Aufsichtsbehörden sind hoch. Darüber hinaus können Einzelpersonen eine zusätzliche Entschädigung fordern und erhalten diese im Allgemeinen auch. DSGVO-Konformität erfordert zwar einen gewissen Aufwand, trägt jedoch auch zur Verbesserung der allgemeinen Sicherheit bei, wovon Unternehmen profitieren.