Einführung in die EU-DSGVO

Quelle: Guide GDPR, iubenda s.r.l., Milan (Italy)  

 

Was ist die DSGVO und wo findet sie Anwendung?

DSGVO steht für Datenschutz-Grundverordnung (EU-Verordnung 2016/679) und legt im Wesentlichen fest, wie personenbezogene Daten rechtmäßig verarbeitet werden sollen (einschließlich der Art und Weise, wie sie erhoben, verwendet, geschützt oder mit ihnen im Allgemeinen interagiert werden). Es soll den Datenschutz für alle Personen stärken, deren personenbezogene Daten in den Anwendungsbereich fallen, und ihnen die Kontrolle über personenbezogene Daten wieder in die Hände geben.

Die DSGVO findet Anwendung:

  • Der Geschäftssitz eines Unternehmens befindet sich in der EU (dies gilt unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht)

  • Ein nicht in der EU niedergelassenes Unternehmen bietet Waren oder Dienstleistungen (auch wenn das Angebot kostenlos ist) für Personen in der EU an. Die Einheit kann aus Regierungsbehörden, privaten/öffentlichen Unternehmen, Einzelpersonen und gemeinnützigen Organisationen bestehen

  • Eine Einrichtung ist nicht in der EU niedergelassen, überwacht aber das Verhalten von Personen, die sich in der EU aufhalten, sofern ein solches Verhalten in der EU stattfindet. 

Diese Regeln decken nahezu alle Unternehmen ab und bedeutet daher, dass die DSGVO für Sie gelten kann, unabhängig davon, ob Ihr Unternehmen seinen Sitz in der EU hat oder nicht. Tatsächlich hat eine PwC-Umfrage gezeigt, dass die DSGVO für bis zu 92 Prozent der befragten US-Unternehmen eine hohe Priorität im Datenschutz darstellt.

Die EU-DSGVO wurde im Mai 2018 in Kraft gesetzt.

 

Wesentliche gesetzliche Anforderungen

Spezielle Definitionen, die im Folgenden verwendet werden:

Der Begriff "Betroffener" bezeichnet hier eine Person, deren personenbezogene Daten von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verarbeitet werden.
Der Begriff "Verantwortlicher" bezeichnet jede natürliche oder juristische Person, die an der Festlegung des Zwecks und der Modalitäten der Verarbeitung der personenbezogenen Daten beteiligt ist.
Der Begriff "Auftragsverarbeiter" bezeichnet jede natürliche oder juristische Person, die an der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen beteiligt ist.
So kann beispielsweise ein Internetunternehmen Benutzerinformationen über seine Website sammeln und über einen Cloud-Service von Drittanbietern speichern. In diesem Szenario ist das Internetunternehmen der Verantwortliche und die Organisation, die den Cloud-Service betreibt, der Auftragsverarbeiter.

 

I. Rechtmässigkeit der Verarbeitung (DSGVO Art. 6)

Nach der DSGVO können Daten nur dann verarbeitet werden, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist:

  • Der Betroffene hat die Einwilligung für einen oder mehrere bestimmte Zwecke erteilt.
  • Die Verarbeitung ist für die Erfüllung eines Vertrages, an dem der Betroffene beteiligt ist, erforderlich oder notwendig, um (vom Betroffene gewünschte) Maßnahmen vor Vertragsabschluss zu ergreifen.
  • Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, der der für die Verarbeitung Verantwortliche unterliegt.
  • Die Verarbeitung ist notwendig, um die wesentlichen Interessen des Betroffene oder eines anderen Betroffene zu schützen.
  • Die Verarbeitung ist notwendig, um eine Aufgabe zu erfüllen, die im Interesse der Öffentlichkeit oder im Rahmen der dem für die Datenverarbeitung Verantwortlichen übertragenen amtlichen Befugnisse ausgeführt wird.
  • Die Verarbeitung ist für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder Dritter erforderlich, es sei denn, sie wird durch die Interessen, Rechte und Freiheiten des Nutzers außer Kraft gesetzt, insbesondere wenn der Betroffene ein Kind ist.

 

II. Einwilligungen (DSGVO Art. 7&8)

Organisationen müssen die nachprüfbare Einwilligung der Benutzer einholen.

In Bezug auf die Einwilligung für Kinder müssen Organisationen die nachprüfbare Zustimmung eines Elternteils oder Erziehungsberechtigten einholen, es sei denn, es handelt sich bei dem angebotenen Dienst um einen Präventiv- oder Beratungsdienst. Organisationen müssen sich in angemessener Weise (unter Verwendung der verfügbaren Technologie) bemühen, zu überprüfen, ob die Person, die die Einwilligung erteilt, tatsächlich die elterliche Verantwortung für das Kind trägt.

Im Allgemeinen dürfen Organisationen bei der Einholung der Einwilligung zur Datenverarbeitung keine zu komplizierten oder nicht entzifferbaren Begriffe verwenden. Dies schließt Rechtssprache und unnötigen Jargon ein. Das bedeutet, dass Begriffe und Datenschutzrichtlinien in verständlicher Sprache und mit verständlichen Klauseln lesbar dargestellt werden sollten, damit sich die Benutzer voll und ganz bewusst sind, worauf sie sich einlassen und welche Folgen ihre Zustimmung hat. Organisationen müssen den Zweck der Datensammlung transparent machen, und die Zustimmung muss "ausdrücklich und frei gegeben" werden. Das bedeutet, dass der Mechanismus zur Einholung der Zustimmung eindeutig sein muss und eine klare "Opt-in"-Aktion beinhalten muss (die Verordnung verbietet ausdrücklich das Ankreuzen von Kästchen und ähnliche "Opt-out"-Mechanismen). Die Verordnung gibt auch ein spezifisches Recht, die Zustimmung zu widerrufen; es muss daher genauso einfach sein, die Zustimmung zu widerrufen, wie sie zu erteilen.

Da die Zustimmung nach der DSGVO ein so wichtiges Thema ist, ist es zwingend erforderlich, dass Sie klare Aufzeichnungen führen und dass Sie in der Lage sind, zu beweisen, dass der Benutzer seine Zustimmung gegeben hat; sollten Probleme auftreten, liegt die Beweislast beim für die Datenverarbeitung Verantwortlichen, so dass die Führung genauer Aufzeichnungen von entscheidender Bedeutung ist. Die Aufzeichnungen sollten Folgendes beinhalten:

  • Wann und wie die Einwilligung des einzelnen Benutzers eingeholt wurde
  • Genau das, was dem Nutzer mitgeteilt wurde und welche Bedingungen zum Zeitpunkt der Einholung der Zustimmung galten.

Ein Beispiel für eine konforme Aufzeichnung im Vergleich zu einer nicht konformen Aufzeichnung finden Sie im Folgenden:

Nicht-konforme Aufzeichnung

Konforme Aufzeichnung

Eine Tabellenkalkulation mit Kundennamen und der Angabe, ob die Einwilligung gegeben wurde oder nicht

Stellen Sie sicher, dass Sie eine Kopie des vom Kunden unterzeichneten und datierten Formulars aufbewahren, aus dem hervorgeht, welche Maßnahmen der Kunde ergriffen hat, um seine Zustimmung zu der betreffenden Verarbeitung zu erteilen.

Einfach die Zeit und das Datum der Zustimmung mit einer IP-Adresse verknüpft halten, mit einem Web-Link zu Ihrem aktuellen Datenerfassungsformular und Ihrer Datenschutzrichtlinie.

Führen Sie umfassende Aufzeichnungen, die eine Benutzer-ID und die eingereichten Daten zusammen mit einem Zeitstempel enthalten. Sie bewahren auch eine Kopie der Version des Formulars und aller anderen relevanten Dokumente auf, die zu diesem Datum in Gebrauch waren.

 

Ein weiteres erwähnenswertes EU-Recht ist die Datenschutzrichtlinie für elektronische Kommunikation (auch bekannt als das Cookie-Gesetz). Dieses Gesetz gilt immer noch, da es nicht durch die DSGVO aufgehoben wurde. In Zukunft wird die Datenschutzrichtlinie für elektronische Kommunikation durch die Verordnung über den Schutz der Privatsphäre in der elektronischen Kommunikation ersetzt werden und als solche neben der DSGVO funktionieren; es wird erwartet, dass die bevorstehende Verordnung weiterhin die gleichen Werte wie die Richtlinie aufrechterhalten wird. Das Cookie-Gesetz verlangt die informierte Zustimmung der Nutzer, bevor Cookies auf dem Gerät des Nutzers gespeichert und verfolgt werden können.

 

III. Benutzerrechte

Das Recht auf Information (DSGVO Art. 13 & 14): Die Organisationen müssen den Benutzern Informationen über die von ihnen ausgeführten Datenverarbeitungsaktivitäten zur Verfügung stellen. Solche Informationen können in Form von schriftlichen, auch elektronischen, Datenschutzhinweisen/Policies bereitgestellt werden. Die Informationen müssen prägnant, transparent, verständlich, leicht zugänglich, in klarer und verständlicher Sprache (insbesondere wenn sie an ein Kind gerichtet sind) und kostenlos sein. Wenn die Daten von dem tatsächlichen Nutzer, auf den sie sich beziehen, gesammelt werden, dann müssen ihnen zum Zeitpunkt der Datenbeschaffung Datenschutzinformationen zur Verfügung gestellt werden. Wenn die persönlichen Daten jedoch von einer anderen Quelle als dem individuellen Nutzer, auf den sie sich beziehen, beschafft werden, dann müssen dem Nutzer innerhalb einer "angemessenen Frist" nach der Beschaffung der Daten Datenschutzinformationen zur Verfügung gestellt werden. Diese Frist kann im Allgemeinen nicht später als einen Monat betragen; wenn Sie die Daten zur Kommunikation mit dem Benutzer verwenden, spätestens wenn die erste Kommunikation stattfindet.

Das Recht auf Auskunft (DSGVO Art. 15): Die Benutzer haben das Recht auf Zugang zu ihren persönlichen Daten und Informationen darüber, wie ihre persönlichen Daten verarbeitet werden. Wenn der Benutzer dies verlangt, müssen die Verantwortlichen für die Datenverarbeitung eine Übersicht über die Kategorien der verarbeiteten Daten, eine Kopie der tatsächlichen Daten und Einzelheiten über die Verarbeitung bereitstellen. Die Einzelheiten sollten den Zweck, die Art und Weise der Datenerhebung und die Personen, mit denen sie geteilt wurden, enthalten. Außerdem muss die Organisation der Person, die den Antrag stellt, kostenlos eine Kopie ihrer persönlichen Daten zur Verfügung stellen (für weitere Kopien kann eine angemessene Gebühr erhoben werden). Die angeforderten Daten müssen der Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Erhalt der Anfrage zur Verfügung gestellt werden; die genaue Anzahl der Tage, an denen die Organisation einer Anfrage nachkommen muss, hängt vom Monat ab, in dem die Anfrage gestellt wurde. Das Recht auf Zugang ist eng mit dem Recht auf Datenübertragungsfähigkeit verbunden, aber diese beiden Rechte sind nicht dasselbe. Es ist daher wichtig, dass in Ihrer Datenschutzrichtlinie eine klare Unterscheidung zwischen den beiden Rechten getroffen wird.

Das Recht auf Berichtigung (DSGVO Art. 16): Die Benutzer haben das Recht, ihre persönlichen Daten berichtigen zu lassen, wenn sie ungenau oder unvollständig sind. Dieses Recht impliziert auch, dass die Berichtigung allen Drittempfängern, die an der Verarbeitung der fraglichen Daten beteiligt sind, mitgeteilt werden muss - es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Wunsch des Nutzers muss die Organisation den Nutzer auch über diese Drittempfänger informieren. Anfragen können um weitere zwei Monate verlängert werden, wenn die Anfrage komplex ist oder wenn zahlreiche Anfragen von der Person eingegangen sind. Die Person muss innerhalb eines Monats nach Eingang des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. Die Anträge müssen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. In den meisten Fällen müssen Organisationen einem Antrag auf Berichtigung ohne Erhebung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als "offensichtlich unbegründet oder übertrieben" herausstellt, kann eine "angemessene Gebühr" verlangt werden, um den Antrag auszuführen oder die Bearbeitung des Antrags abzulehnen. In beiden Szenarien muss die Entscheidung rechtmäßig begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht auf Löschung (DSGVO Art. 17): Wenn die Daten für ihren ursprünglichen Zweck nicht mehr relevant sind oder wenn die Nutzer ihre Zustimmung zurückgezogen haben oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden, haben die Nutzer das Recht, die Löschung ihrer Daten und die Einstellung jeglicher Verbreitung zu verlangen. Die Anträge müssen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. Das Recht auf Löschung kann verweigert werden, wenn die personenbezogenen Daten für Archivierungszwecke im öffentlichen Interesse (z.B. wissenschaftliche Forschung) verarbeitet werden, wenn die Daten für die Rechtsverteidigung oder zur Erfüllung einer gesetzlichen Verpflichtung oder zur Erfüllung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem für die Verarbeitung Verantwortlichen übertragen wurde, erforderlich sind. Das Recht auf Löschung kann auch verweigert werden, wenn die Daten für die Ausübung des Rechts auf freie Meinungsäußerung erforderlich sind oder wenn die Daten für Gesundheitszwecke im öffentlichen Interesse verarbeitet werden.

Das Recht auf Einschränkung der Verarbeitung (DSGVO Art. 18): Benutzer haben das Recht, die Verarbeitung ihrer persönlichen Daten einzuschränken, wenn sie deren Richtigkeit angefochten haben; wenn der Benutzer der Verarbeitung widersprochen hat und die Organisation prüft, ob es einen legitimen Grund gibt, der dieses Recht außer Kraft setzt; wenn die Verarbeitung unrechtmäßig ist, der Benutzer aber eine Einschränkung statt einer Löschung verlangt; oder wenn die Daten nicht mehr benötigt werden, der Benutzer sie aber zur Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs benötigt. Die Einschränkung muss allen an der Verarbeitung der betreffenden Daten beteiligten Dritten offengelegt werden - es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Wunsch des Nutzers muss die Organisation den Nutzer auch über diese Drittempfänger informieren. Anfragen müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Erhalt der Anfrage bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. In den meisten Fällen müssen Organisationen einem Antrag ohne Erhebung einer Gebühr nachkommen, doch wenn sich ein Antrag als "offensichtlich unbegründet oder übertrieben" erweist, kann eine "angemessene Gebühr" für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht auf Datenübertragbarkeit (DSGVO Art. 20): Die Benutzer haben das Recht, ihre persönlichen Daten (in einem maschinenlesbaren Format) zu erhalten, um sie von einem für die Verarbeitung Verantwortlichen an einen anderen zu übertragen, ohne dass der Datenverarbeiter daran gehindert wird. Sowohl "bereitgestellte" als auch "beobachtete" Daten fallen unter diese Regel. Dieses Recht gilt nur für personenbezogene Daten und als solches nicht für wirklich anonyme Daten (Daten, die nicht auf die Person zurückgeführt werden können). Anfragen müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Erhalt der Anfrage bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. In den meisten Fällen müssen Organisationen einem Antrag ohne Erhebung einer Gebühr nachkommen, doch wenn sich ein Antrag als "offensichtlich unbegründet oder übertrieben" erweist, kann eine "angemessene Gebühr" für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht auf Widerspruch (DSGVO Art. 21): Nach der DSGVO haben die Nutzer das Recht, gegen bestimmte vom für die Verarbeitung Verantwortlichen durchgeführte Verarbeitungsaktivitäten in Bezug auf ihre personenbezogenen Daten Widerspruch einzulegen. Kurz gesagt, der Nutzer kann der Verarbeitung seiner Daten widersprechen, wenn die Verarbeitung auf dem berechtigten Interesse des für die Verarbeitung Verantwortlichen oder auf der Erfüllung einer Aufgabe im öffentlichen Interesse/der Ausübung öffentlicher Gewalt oder für Zwecke der wissenschaftlichen/historischen Forschung und Statistik beruht. Der Nutzer muss seinen Widerspruch begründen, es sei denn, die Verarbeitung erfolgt zu Zwecken der Direktwerbung, dann ist keine Begründung für die Ausübung dieses Rechts erforderlich. Wenn ein Einspruch gegen die Verarbeitung personenbezogener Daten eingelegt wird und kein Grund zur Ablehnung besteht, muss die Verarbeitung eingestellt werden. Während die Verarbeitung (einschließlich der Speicherung) für die speziellen Verarbeitungsaktivitäten, gegen die Einspruch erhoben wurde, eingestellt werden muss, ist die Löschung möglicherweise nicht angemessen, wenn die Daten für andere Zwecke (einschließlich der Erfüllung gesetzlicher oder vertraglicher Verpflichtungen) verarbeitet werden, da die Daten für diese Zwecke aufbewahrt werden müssen. Anträge müssen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. In den meisten Fällen müssen Organisationen einen Einspruch (bei dem es keine Gründe für eine Ablehnung gibt) berücksichtigen, ohne eine Gebühr zu erheben. Wenn sich ein Antrag jedoch als "offensichtlich unbegründet oder übertrieben" erweist, kann eine "angemessene Gebühr" für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht bzgl. automatisierter Entscheidungen im Einzelfall einschl. Profiling (DSGVO Art. 22): Benutzer haben das Recht, nicht einer Entscheidung unterworfen zu werden, wenn diese auf einer automatisierten Verarbeitung oder Profilerstellung beruht und eine rechtliche oder ähnlich bedeutende Auswirkung auf den Benutzer hat. Organisationen können automatisierte Entscheidungen nur dann treffen, wenn sie für die Erfüllung eines Vertrags erforderlich sind, wenn sie durch das für die Datenverarbeitung verantwortliche EU-Staatsrecht geregelt sind, wenn sie keine rechtlichen oder ähnlich bedeutsamen Auswirkungen auf den Benutzer haben oder wenn sie auf der ausdrücklichen Zustimmung der Person beruhen. Sie können nur automatisierte Entscheidungen auf der Grundlage spezieller Datenkategorien treffen, ohne dass die ausdrückliche Zustimmung des Benutzers oder Gründe eines erheblichen öffentlichen Interesses vorliegen.

 

IV. Datenschutz per Design & Standard (DSGVO Art. 25)

Der Datenschutz sollte von Anfang an bei der Gestaltung und Entwicklung der Geschäftsprozesse und der Infrastruktur einbezogen werden. Dies bedeutet, dass die Datenschutzeinstellungen standardmäßig auf "hoch" gesetzt und Maßnahmen ergriffen werden sollten, um sicherzustellen, dass der Lebenszyklus der Datenverarbeitung den Anforderungen der DSGVO entspricht.

 

V. Verzeichnis von Verarbeitungstätigkeiten (DSGVO Art. 30)

Die DSGVO verlangt, dass sowohl die für die Datenverarbeitung Verantwortlichen als auch die Datenverarbeiter Aufzeichnungen über die von ihnen ausgeführten Datenverarbeitungsaktivitäten erstellen und aktuell halten.

Im Allgemeinen gilt diese Anforderung nur für Organisationen mit mehr als 250 Mitarbeitern, sie kann jedoch auch für Organisationen mit weniger als 250 Mitarbeitern gelten, wenn deren Verarbeitungstätigkeiten:

  • nicht gelegentlich sind; oder
  • sensible oder besondere Datenkategorien betrifft; oder
  • zu einer Gefährdung der Rechte und Freiheiten anderer führen könnte.

Die Aufzeichnungen über die Verarbeitungsaktivitäten müssen in schriftlicher Form erfolgen. Zwar sind sowohl Papier- als auch elektronische Formulare akzeptabel, aber es ist die beste Praxis, eine elektronische Methode der Aufzeichnung zu verwenden, um Änderungen zu erleichtern.

Die Aufzeichnungen des für die Datenverarbeitung Verantwortlichen sollten enthalten:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen und des DSB
  • Der Zweck der Verarbeitungsaktivitäten
  • Beschreibung der verschiedenen Kategorien von Benutzern und Daten
  • Die Kategorien von Datenempfängern, einschließlich der Empfänger in Drittländern (die nicht Mitglied der EU sind) oder internationalen Organisationen
  • die Übermittlung personenbezogener Daten an ein Drittland und die Identifizierung dieses Drittlandes oder dieser internationalen Organisation, einschließlich der Dokumentation geeigneter Schutzmaßnahmen (falls zutreffend)
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (wenn möglich)
  • Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (soweit möglich).

Aufzeichnungen über den Datenverarbeiter sollten enthalten:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und des in seinem Namen handelnden Auftragsverarbeiters sowie gegebenenfalls des Auftragsverarbeiters oder seines Vertreters und des DSB
  • Die Kategorien der Verarbeitung, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt werden
  • die Übermittlung personenbezogener Daten an ein Drittland und die Identifizierung dieses Drittlandes oder dieser internationalen Organisation, einschließlich der Dokumentation geeigneter Schutzmaßnahmen (falls zutreffend)
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (wenn möglich)
  • Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (soweit möglich).

Im Hinblick auf die Aktenführung kann es für Sie nützlich sein, regelmäßige Informationsaudits darüber durchzuführen, über welche Daten Ihre Organisation verfügt. Diese Praxis hilft Ihnen nicht nur, Ihren Aufzeichnungspflichten problemlos nachzukommen, sondern erleichtert Ihnen auch die Überprüfung und Optimierung Ihrer Datenverarbeitungsverfahren.

 

VI. Meldung von Datenpannen (DSGVO Art. 33 & 34)

Der für die Datenverarbeitung Verantwortliche muss die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, benachrichtigen. Wenn die Verarbeitung durch einen Auftragsverarbeiter im Namen des für die Verarbeitung Verantwortlichen erfolgt, muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen sofort nach Kenntnisnahme davon benachrichtigen. Nach dieser Regel müssen auch die Nutzer (innerhalb desselben Zeitrahmens) über die Verletzung informiert werden, es sei denn, die verletzten Daten wurden durch Verschlüsselung geschützt (Daten, die für den Eindringling unlesbar gemacht wurden), oder es ist generell unwahrscheinlich, dass die Verletzung zu einer Gefährdung der Rechte und Freiheiten des Einzelnen führt. In jedem Fall sollte der für die Datenverarbeitung Verantwortliche Aufzeichnungen über die aufgetretenen Verstöße führen, um der Aufsichtsbehörde die Einhaltung dieser Bestimmungen nachweisen zu können..

 

VII. Datenschutz-Folgenabschätzung (DSGVO Art. 35)

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, der Organisationen dabei hilft, die DSGVO effektiv einzuhalten und sicherzustellen, dass die Grundsätze der Rechenschaftspflicht, des "Privacy by Design" und des "Privacy by Default" von der Organisation in die Praxis umgesetzt werden. Der DSFA-Prozess sollte schriftlich festgehalten werden. Die Veröffentlichung der DSFA ist zwar keine gesetzliche Anforderung der DSGVO, aber es wird vorgeschlagen, dass die für die Datenverarbeitung Verantwortlichen die Veröffentlichung der gesamten oder eines Teils ihrer DSFA als Geste der Transparenz und Rechenschaftspflicht in Betracht ziehen, insbesondere in Fällen, in denen Mitglieder der Öffentlichkeit betroffen sind (z.B. wenn eine Behörde die DSFA durchführt).

Eine wirksame DSFA ist nützlich, um die Anforderung des "Privacy by design" zu erfüllen, da sie es Organisationen ermöglicht, Probleme in einem frühen Stadium zu finden und zu beheben, wodurch sowohl die Datensicherheitsrisiken für die Benutzer als auch das Risiko von Geldstrafen, Sanktionen und Rufschädigung, die der Organisation sonst entstehen könnten, gemindert werden. Im Allgemeinen ist die DSFA nur in Fällen obligatorisch, in denen die Datenverarbeitungstätigkeit wahrscheinlich ein hohes Risiko für die Benutzer darstellt (dies gilt insbesondere bei der Einführung neuer Verarbeitungstechnologien). Wenn Sie sich jedoch nicht sicher sind, ob Ihre Verarbeitungstätigkeit unter das als "hohes Risiko" geltende Risiko fällt, wird empfohlen, dennoch eine DSFA durchzuführen, da sie ein nützliches Instrument ist, um die Einhaltung des Gesetzes zu gewährleisten.

Zu den "risikoreichen" Datenverarbeitungsaktivitäten gehören:

  • Verarbeitung sensibler Daten in großem Maßstab
  • Systematische Überwachung eines öffentlich zugänglichen Bereichs (z.B. CCTV)
  • Situationen, in denen es umfangreiche automatisierte Auswertungen von persönlichen Daten gibt, die Entscheidungen beeinflussen sollen, die das Leben des Benutzers erheblich beeinflussen können.

DSFAs können auch unter anderen Umständen (auf der Grundlage einer Einzelfallbewertung) erforderlich sein, einschließlich, aber nicht beschränkt auf die Verarbeitung von Daten über schutzbedürftige Personen (z.B. Kinder, ältere Menschen), Datentransfer über Grenzen außerhalb der EU und Daten, die bei der Erstellung von Profilen verwendet werden (z.B. Kreditwürdigkeit). 

Die DSFA sollte enthalten:

  • Vollständige Beschreibungen der verarbeiteten Daten
  • Der Zweck der Verarbeitungstätigkeit (und gegebenenfalls Informationen über die berechtigten Interessen des für die Verarbeitung Verantwortlichen)
  • Eine Bewertung des Umfangs und der Notwendigkeit der Verarbeitungstätigkeit in Bezug auf den Zweck Eine Bewertung des Risikos für die Benutzer
    Maßnahmen, um diesem Risiko zu begegnen.

 

VIII. Datenschutzbeauftragter (DSGVO Art. 37)

Der Datenschutzbeauftragte (DSB) ist eine Person mit Fachkenntnissen im Bereich des Datenschutzrechts, zu dessen Aufgaben es gehört, den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter bei der Überwachung der internen Einhaltung der DSGVO-Bestimmungen zu unterstützen und die Datenschutzstrategie und -umsetzung zu überwachen. Der Datenschutzbeauftragte sollte auch über Kenntnisse im IT-Prozessmanagement, in der Datensicherheit und anderen kritischen Fragen im Zusammenhang mit der Verarbeitung persönlicher und sensibler Daten verfügen.

Die DSGVO verlangt die Benennung eines DSB insbesondere in den folgenden Fällen:

  • Wenn es eine regelmäßige und systematische Überwachung der Nutzer in großem Umfang gibt
  • Wenn die Verarbeitung von einer öffentlichen Behörde durchgeführt wird (mit Ausnahme von Gerichten oder unabhängigen Justizbehörden)
  • Wenn die Organisation komplexe Operationen mit Benutzerdaten (insbesondere sensiblen Benutzerdaten) durchführt.

Die Ernennung eines DSB richtet sich daher nicht nur nach der tatsächlichen Anzahl der Mitarbeiter, sondern nach dem Wesen der Datenverarbeitungstätigkeit. Wenn Ihre Organisation nicht in diese Kategorien fällt, ist die Ernennung eines DSB nicht zwingend erforderlich.

 

IX. Datenübermittlung an Drittländer (DSGVO Art. 44-50)

Die DSGVO erlaubt Datentransfers von in der EU ansässigen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann, wenn die festgelegten Bedingungen eingehalten werden. Unter diesen Bedingungen muss das Land oder die Region, in das bzw. in die die Daten übertragen werden, ein "angemessenes" Niveau des Schutzes personenbezogener Daten nach EU-Standards aufweisen, oder, falls dies nicht als angemessen erachtet wird, können Übertragungen dennoch unter Verwendung von Standardvertragsklauseln (SCC) oder verbindlichen Unternehmensregeln (BCR) erlaubt werden.

Was die Datenübermittlung in die USA anbelangt, so erfordern alle Übermittlungen entweder, dass der Datenverarbeiter den EU-US-Datenschutzschild (EU-US Privacy Shield) einhält oder dass die Zustimmung des Benutzers in Kenntnis der Sachlage erfolgt (in diesem Fall muss die Zustimmung auf der Grundlage ausreichend präziser Informationen, einschließlich Informationen über den mangelnden Schutz im Drittland, erteilt werden).

Der Datenschutz-Schutzschild ist ein verbindlicher Rechtsrahmen, der geschaffen wurde, um die Rechte der EU-Nutzer zu schützen und gleichzeitig US-Unternehmen die Möglichkeit zu geben, Daten von EU-Nutzern ohne vorherige Zustimmung zu verarbeiten.

 

Folgen der Nichteinhaltung

Die rechtlichen Konsequenzen für die Nichteinhaltung können Bußgelder bis zu 20 Millionen Euro (20 Mio. Euro) oder 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) umfassen, aber vielleicht genauso wichtig sind die anderen möglichen Sanktionen, die gegen Organisationen verhängt werden können, die gegen die Vorschriften verstoßen. Zu diesen Sanktionen gehören offizielle Verweise (bei erstmaligen Verstößen), regelmäßige Datenschutzaudits und Haftpflichtschäden.

Die DSGVO gibt den Benutzern das ausdrückliche Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn sie der Meinung sind, dass die Verarbeitung ihrer persönlichen Daten gegen die DSGVO-Bestimmungen verstoßen hat. Wenn der Behörde ein Bericht über eine Verletzung der Vorschriften vorgelegt wird, kann sich die Behörde dafür entscheiden, eine Prüfung der Datenverarbeitungsvorgänge der Organisation durchzuführen. Wenn festgestellt wird, dass eine bestimmte Verarbeitungsaktivität unrechtmäßig durchgeführt wurde, wird nicht nur eine Geldbuße verhängt, sondern es kann der Organisation auch verboten werden, sowohl die Daten der Untersuchung als auch die Daten, die durch ähnliche Mechanismen erworben wurden, weiter zu verwenden. Das bedeutet, dass die Organisation, wenn die unrechtmäßige Nutzung im Hinblick auf die Sammlung von E-Mail-Adressen erfolgte, Gefahr läuft, von der Nutzung der gesamten zugehörigen E-Mail-Liste ausgeschlossen zu werden.

Die DSGVO gibt den Nutzern auch das Recht auf Entschädigung für Schäden, die aus der Nichteinhaltung von Vorschriften durch eine Organisation entstehen, wodurch Verletzer für mögliche Rechtsstreitigkeiten offen bleiben.