Was ist die Datenschutz-Grundverordnung? Und wie kann ich sie einhalten?

Die Datenschutz-Grundverordnung (DSGVO) ist die Grundlage der europäischen Gesetzgebung zum Schutz personenbezogender Daten. Zusammengefasst ist die DSGVO ein Regelwerk, das den EU-Bürgern mehr Kontrolle über personenbezogene Daten geben soll. Sie zielt darauf ab, das regulatorische Umfeld für Unternehmen zu vereinfachen, damit sowohl Bürger als auch Unternehmen in der EU in vollem Umfang von der digitalen Wirtschaft profitieren können.

Im ersten Quartal 2012 schlug die EU-Kommission vor, den Datenschutz innerhalb der EU zu reformieren, um Europa fit für das digitale Zeitalter zu machen. Vier Jahre nach dem Vorschlag wurde eine Einigung darüber erzielt, was dies beinhaltet und wie es durchgesetzt werden soll. Seit Mai 2018 wird die DSGVO angewendet, das bedeutet, dass alle Unternehmen in der europäischen Union und Wirtschaftsraum sich an die gesetzlichen Vorgaben halten müssen.

Fast jeder Aspekt unseres Lebens ist mit Daten verbunden. Unternehmen der sozialen Medien, Banken, Einzelhändler und Regierungen sammeln und analysieren unsere persönlichen Daten. Ihr Name, Ihre Adresse, Ihre Kreditkartennummer und vieles mehr - all das wird von Organisationen gesammelt, analysiert und, was vielleicht am wichtigsten ist, gespeichert.

Was bedeutet die Einhaltung der DSGVO?

Die DSGVO verlangt von Organisationen nicht nur, dass sie sicherstellen, dass personenbezogene Daten rechtmäßig und unter strengen Bedingungen erhoben werden, sondern diejenigen, die sie verarbeiten und verwalten, müssen sie auch vor Missbrauch schützen und die Rechte der Betroffenen respektieren - Verstöße können zu Bußgeldern führen. Ein externer Datenschutzbeauftragter kann Sie kostengünstig bei der Erfüllung aller gesetzlichen Anforderungen unterstützen.

Grundsätze des Datenschutzes

Wenn Sie Daten verarbeiten, müssen Sie dies nach sieben Grundprinzipien tun:

Datenminimierung - Sie sollten nur so viele Daten erheben und verarbeiten, wie für die angegebenen Zwecke unbedingt erforderlich sind.

Richtigkeit - Sie müssen personenbezogene Daten richtig und auf dem neuesten Stand halten.

Speicherbegrenzung - Sie sollten personenbezogene Daten nur so lange speichern, wie es für den angegebenen Zweck unbedingt erforderlich ist.

Rechtmäßigkeit, Fairness und Transparenz - Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.

Zweckbindung - Sie müssen Daten für die legitimen Zwecke verarbeiten, die der betroffenen Person zum Zeitpunkt der Erhebung ausdrücklich mitgeteilt wurden.

Integrität und Vertraulichkeit - Die Verarbeitung muss so erfolgen, dass eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet ist (z. B. durch Verwendung von Verschlüsselung).

Rechenschaftspflicht - Der für die Datenverarbeitung Verantwortliche ist für den Nachweis verantwortlich, dass die DSGVO alle diese Grundsätze erfüllt.

Die DSGVO besagt, dass Datenverantwortliche in der Lage sein müssen, zu beweisen, dass sie Datenschutz-konform sind. Und das kann man nicht im Nachhinein tun: Wenn Sie denken, dass Sie mit der DSGVO konform arbeiten, dies aber nicht belegen können, sind Sie nicht Datenschutz-konform.

Allgemeine Datensicherheit

Die DSGVO vordert zur Sicherung der Daten die Einführung von technischen und organisatorischen Maßnahmen.

Technische Maßnahmen reichen von der Anforderung an Ihre Mitarbeiter (z.B. Zwei-Faktor-Authentifizierung), bis hin zu Verträgen mit Cloud-Anbietern, die eine Ende-zu-Ende-Verschlüsselung verwenden.

Zu den organisatorischen Maßnahmen gehören Dinge wie Mitarbeiterschulungen, das Hinzufügen einer Datenschutzrichtlinie zu Ihrem Mitarbeiterhandbuch oder die Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Mitarbeiter in Ihrem Unternehmen, die diese benötigen.

Von nun an muss alles, was Sie in Ihrer Organisation tun, "bewusst und von Vornherein" den Datenschutz mit einbeziehen. In der Praxis bedeutet dies, dass Sie die Datenschutzprinzipien bei der Gestaltung jedes neuen Produkts oder jeder neuen Aktivität berücksichtigen müssen. Im Falle einer Datenschutzverletzung haben Sie 72 Stunden Zeit, um die Aufsichtsbehörde zu benachrichtigen, sonst drohen Bußgelder.

Wann dürfen Sie Daten verarbeiten?

Sie dürfen Daten nur verarbeiten, wenn Sie hierfür eine Rechtsgrundlage haben. Dies kann z.B. eine Einwilligung, ein berechtigtes Interesse sein, die Erfüllung eines Vertrages oder auch die Erfüllung einer öffentlichen Aufgabe.

Das berechtigte Interesse an der Verarbeitung der personenbezogenen Daten einer Person, ist die flexibelste Rechtsgrundlage, obwohl die "Grundrechte und Grundfreiheiten der betroffenen Person" immer Vorrang vor Ihren Interessen haben, insbesondere wenn es sich um die Daten eines Kindes handelt.

Sobald Sie die rechtmäßige Grundlage für Ihre Datenverarbeitung festgelegt haben, müssen Sie diese Grundlage dokumentieren und die betroffene Person vor Erhebung der Daten darüber informieren. Wenn Sie sich später entscheiden, Ihre Begründung zu ändern, müssen Sie einen guten Grund haben, diesen Grund dokumentieren und die betroffene Person benachrichtigen.

Lassen Sie sich jetzt beraten!

Wir freuen uns darauf, Sie kennenzulernen.

Sie möchten ein kostenloses Angebot oder eine Erstberatung erhalten oder möchten sich einfach nur unverbindlich mit uns in Verbindung setzen?
Wir freuen uns auf Ihre Nachricht oder Ihren Anruf!

+49 (0) 89 215 281 07

info@privacypoint.de

Kostenlose Erstberatung oder
Angebot anfordern.

Datenschutz-Blog

Wissenswertes zum Datenschutz finden Sie in unseren Blog-Beiträgen.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Wie hoch sind die Bußgelder bei Datenschutzverstößen?

Wie hoch sind die Kosten für einen externen Datenschutzbeauftragten?

Vor- und Nachteile: interner vs. externer Datenschutzbeauftragter