DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Regelung, die den Schutz personenbezogener Daten in der Europäischen Union stärken soll. Sie trat am 25. Mai 2018 in Kraft und ersetzt die bis dahin gültige Datenschutzrichtlinie 95/46/EG. Die DSGVO legt fest, wie Unternehmen und Organisationen personenbezogene Daten erheben, verarbeiten und speichern dürfen und welche Rechte betroffene Personen in Bezug auf ihre Daten haben.

 

Anforderungen an Unternehmen

Unternehmen, die personenbezogene Daten verarbeiten, müssen eine Reihe von Anforderungen erfüllen, um mit der DSGVO konform zu sein:

  • Einwilligung: Die Verarbeitung personenbezogener Daten ist nur mit ausdrücklicher Einwilligung der betroffenen Person erlaubt. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein.
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design and by Default): Unternehmen müssen von Anfang an sicherstellen, dass Systeme und Prozesse so gestaltet sind, dass die Verarbeitung von personenbezogenen Daten den datenschutzrechtlichen Anforderungen entspricht. Dies bedeutet unter anderem, dass nur die für den Zweck der Verarbeitung notwendigen Daten erhoben und verarbeitet werden.
  • Informationspflichten: Unternehmen müssen betroffene Personen transparent über die Verarbeitung ihrer Daten informieren. Dazu gehört, dass sie mitteilen, welche Daten verarbeitet werden, zu welchem Zweck und für welche Dauer. Auch müssen betroffene Personen über ihre Rechte informiert werden.
  • Rechte der betroffenen Personen: Die DSGVO stärkt die Rechte der betroffenen Personen erheblich. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
  • Meldung von Datenschutzverletzungen: Unternehmen sind verpflichtet, Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 72 Stunden, der zuständigen Aufsichtsbehörde zu melden, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
  • Auftragsverarbeitung: Wenn Unternehmen personenbezogene Daten durch Dritte verarbeiten lassen (z.B. durch einen Cloud-Anbieter), müssen sie sicherstellen, dass auch diese Dritten die Anforderungen der DSGVO erfüllen.
  • Datenschutzbeauftragter: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie umfangreiche Verarbeitungen von besonders sensiblen personenbezogenen Daten durchführen oder wenn die Datenverarbeitung zu den Kerntätigkeiten des Unternehmens gehört und eine regelmäßige und systematische Überwachung der betroffenen Personen erforderlich ist.
  • Datenschutz-Folgenabschätzung (DSFA): Bei risikobehafteten Datenverarbeitungen, insbesondere wenn neue Technologien zum Einsatz kommen, ist eine Datenschutz-Folgenabschätzung durchzuführen, um die Risiken für die Rechte und Freiheiten der betroffenen Personen zu ermitteln und geeignete Maßnahmen zur Risikominimierung festzulegen.

 

Notwendige Schritte zur Umsetzung

Um die Anforderungen der DSGVO umzusetzen, sollten Unternehmen die folgenden Schritte einleiten:

  1. Dateninventar und -audit: Erstellen Sie ein umfassendes Inventar aller personenbezogenen Daten, die im Unternehmen verarbeitet werden. Führen Sie ein Datenschutz-Audit durch, um zu prüfen, ob die derzeitigen Verfahren den Anforderungen der DSGVO entsprechen.
  2. Anpassung von Prozessen und Richtlinien: Überarbeiten Sie die internen Prozesse und Richtlinien, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Dies betrifft insbesondere den Umgang mit Einwilligungen, die Informationspflichten und die Umsetzung der Betroffenenrechte.
  3. Schulung von Mitarbeitern: Sensibilisieren und schulen Sie Ihre Mitarbeiter in Bezug auf die Anforderungen der DSGVO, insbesondere diejenigen, die regelmäßig mit personenbezogenen Daten arbeiten.
  4. Technische und organisatorische Maßnahmen: Implementieren Sie technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsüberprüfungen.
  5. Benennung eines Datenschutzbeauftragten: Falls erforderlich, benennen Sie einen Datenschutzbeauftragten und melden Sie diesen der zuständigen Aufsichtsbehörde.
  6. Dokumentation und Nachweispflicht: Dokumentieren Sie alle Maßnahmen zur Umsetzung der DSGVO. Diese Dokumentation ist wichtig, um im Falle einer Überprüfung durch die Aufsichtsbehörden nachweisen zu können, dass Ihr Unternehmen den Anforderungen der DSGVO nachkommt.
  7. Festlegung der kontinuierlichen Verbesserungen: Definition der Intervalle für den Deming-Cycle zur sukzessiven Verbesserung von Datenschutzmaßnahmen, regelmäßigen Überprüfungen und weiteren Anpassungen zur Einhaltung der DSGVO, sowie die Anwendung dieses systematischen Ansatzes, um die Compliance sicherzustellen und auf neue Herausforderungen zu reagieren.

 

Welche Unternehmen müssen die DSGVO umsetzen?

Die DSGVO gilt für alle Unternehmen, die in der EU tätig sind oder personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Dies bedeutet, dass nicht nur EU-ansässige Unternehmen die DSGVO umsetzen müssen, sondern auch Unternehmen außerhalb der EU, die Dienstleistungen oder Waren in der EU anbieten oder das Verhalten von EU-Bürgern überwachen (z.B. durch Tracking-Technologien auf Websites).

 

Wann müssen Unternehmen die DSGVO umsetzen?

Die DSGVO trat am 25. Mai 2018 in Kraft, und ab diesem Datum müssen alle betroffenen Unternehmen die Vorschriften einhalten. Unternehmen, die nach diesem Stichtag gegründet wurden oder die vorher keine personenbezogenen Daten verarbeitet haben, müssen die DSGVO ab dem Zeitpunkt der Datenverarbeitung umsetzen.

Unternehmen, die bereits vor dem Inkrafttreten der DSGVO personenbezogene Daten verarbeitet haben, mussten bis zum 25. Mai 2018 ihre Prozesse und Systeme an die neuen Anforderungen anpassen. Bei Verstößen gegen die DSGVO drohen empfindliche Geldbußen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.