Wer muss die DSGVO einhalten?

2015 hat die Europäische Union die Datenschutz-Grundverordnung (DSGVO) verabschiedet, die die Art und Weise, wie Organisationen weltweit personenbezogene Daten sammeln und verarbeiten, neu gestaltet hat. Das Ziel der DSGVO ist klar: Verbrauchern zu helfen, zu verstehen und zu kontrollieren, welche Art von Daten Unternehmen sammeln, mit wem sie geteilt werden und wofür sie verwendet werden.

Das Wie der DSGVO-Compliance ist etwas unklarer. Das Gesetz verlangt von Organisationen, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und die Nutzer über ihre Datenschutzrechte zu informieren, spezifiziert jedoch nicht, welche Maßnahmen dies genau sein sollen. Während diese Flexibilität es den Organisationen ermöglichen soll, ihren Ansatz an ihre einzigartigen Systeme, Prozesse und Kunden anzupassen, kann es für Unternehmen schwierig sein, sicherzustellen, dass sie das Gesetz einhalten.

Um zu verdeutlichen, was zur Einhaltung der DSGVO erforderlich ist, haben wir eine interaktive Checkliste erstellt, die Sie verwenden können, um zu überprüfen, ob Sie die richtigen Schutzmaßnahmen getroffen haben.

Wer muss die DSGVO einhalten?

Die erste Frage, die man stellen sollte, lautet: Gelten die DSGVO-Vorschriften für Ihre Organisation?

Die DSGVO ist ein Datenschutzgesetz, das Bürgern und Einwohnern der EU mehr Einblicke in und Kontrolle über die personenbezogenen Daten gibt, die Organisationen sammeln und wie diese verarbeitet werden.

Obwohl die DSGVO eine EU-Gesetzgebung ist, hat sie weitreichende Auswirkungen. Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern oder Einwohnern sammelt und verarbeitet – auch für Unternehmen außerhalb der EU. Jede Organisation mit globaler Präsenz sollte bestrebt sein, DSGVO-konform zu sein.

Ein Überblick über die DSGVO-Anforderungen

Das eigentliche DSGVO-Dokument ist ziemlich umfangreich – 88 Seiten juristischer Text, der 99 Artikel und 173 Erwägungsgründe enthält. Wenn Sie tiefer eintauchen möchten, was erforderlich ist, um DSGVO-konform zu werden, lesen Sie unseren Artikel, der die DSGVO-Anforderungen im Detail erklärt. Hier fassen wir die wesentlichen Punkte zusammen, bevor wir in die Compliance-Checkliste einsteigen.

1. Eine Rechtsgrundlage für die Datenverarbeitung schaffen

Unabhängig davon, ob Ihre Organisation ein Datenverarbeiter oder ein Datenverantwortlicher ist, muss sie eine gültige Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten haben. Unter der DSGVO umfassen diese Rechtsgrundlagen:

• Eine betroffene Person hat der Verarbeitung personenbezogener Daten freiwillig und eindeutig zugestimmt.
• Die Datenverarbeitung ist notwendig, um vertraglichen oder gesetzlichen Verpflichtungen nachzukommen.
• Die Verarbeitung der Daten wird das Leben einer Person retten.
• Die Verarbeitung der Daten liegt im öffentlichen Interesse.
• Die Organisation hat ein „berechtigtes Interesse“ – mit anderen Worten, wann immer eine Organisation personenbezogene Daten in einer Weise verwendet, wie es die betroffene Person bereits erwartet. Zum Beispiel eine Finanzinstitution, die personenbezogene Daten analysiert, um betrügerische Transaktionen zu erkennen und zu verhindern.

Organisationen sind verpflichtet, ihre rechtliche Grundlage zu dokumentieren und die betroffenen Personen zu benachrichtigen.

2. Holen Sie die ausdrückliche Einwilligung der betroffenen Personen ein.

Organisationen, die die Einwilligung der betroffenen Person als rechtliche Grundlage nutzen, müssen in der Lage sein, nachzuweisen, dass diese Einwilligung fair eingeholt wurde. Die betroffenen Personen müssen vollständig darüber informiert werden, wie Sie ihre Daten verarbeiten, und sie müssen der Verarbeitung personenbezogener Daten frei und unmissverständlich zustimmen.

Mit anderen Worten, Sie müssen den betroffenen Personen in klaren, einfachen Begriffen erklären, wie Sie ihre Daten verarbeiten und welche Datenschutzrechte sie gemäß der DSGVO haben. Viele Organisationen tun dies durch eine Datenschutzerklärung, die öffentlich auf ihrer Website veröffentlicht wird.

Sie dürfen Benutzer nicht dazu zwingen oder täuschen, ihre Einwilligung zu geben, und Sie dürfen keine Details auslassen, die sie daran hindern, ihre Rechte gemäß der DSGVO auszuüben, wie z. B. ihr Recht, sich gegen die Verarbeitung von Daten zu entscheiden oder die Löschung ihrer personenbezogenen Daten zu verlangen.

3. Respektieren Sie die Rechte der betroffenen Personen.

Betroffene Personen haben bestimmte Rechte gemäß der DSGVO, die Organisationen einhalten müssen. Diese umfassen:

• Das Recht auf Information: Betroffene Personen müssen darüber informiert werden, wie Sie personenbezogene Daten verarbeiten und zu welchem Zweck. Diese Anforderung gilt auch, wenn Daten an Dritte weitergegeben werden.
• Das Recht auf Zugang: Betroffene Personen haben das Recht zu erfahren, welche personenbezogenen Daten Sie über sie gesammelt haben, wo und wie diese gesammelt werden, warum sie verarbeitet werden und wie lange sie aufbewahrt werden.
• Das Recht auf Berichtigung: Betroffene Personen haben das Recht, unrichtige oder unvollständige personenbezogene Daten zu berichtigen.
• Das Recht auf Löschung: Betroffene Personen können die Löschung ihrer personenbezogenen Informationen verlangen.
• Das Recht auf Einschränkung der Verarbeitung: Unter bestimmten Umständen können betroffene Personen verlangen, dass Sie die Art und Weise ändern, wie Sie ihre personenbezogenen Informationen verarbeiten.
• Das Recht auf Datenübertragbarkeit: Wenn eine betroffene Person ihre personenbezogenen Daten anfordert, müssen Sie diese kostenlos und in einem leicht zugänglichen Format bereitstellen.
• Das Widerspruchsrecht: Betroffene Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen. Sie müssen diesem Widerspruch nachkommen, es sei denn, Sie können nachweisen, dass Sie eine rechtliche Grundlage für die Verarbeitung haben.

4. Implementieren Sie technische und organisatorische Sicherheitsmaßnahmen.

Organisationen müssen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um sicherzustellen, dass verarbeitete Kundendaten ordnungsgemäß gesichert sind.

Die DSGVO legt keine genaue Liste von Sicherheitsmaßnahmen fest, sondern ermöglicht es Organisationen, eine Informationssicherheitsstrategie zu entwickeln, die ihren spezifischen Bedürfnissen entspricht. Beispiele für Datensicherheitskontrollen sind Multi-Faktor-Authentifizierung, Datenverschlüsselung, Firewalls, Benutzerzugriffssteuerungen und Sicherheitsschulungen.

5. Versenden Sie Benachrichtigungen über Datenschutzverletzungen.

Im Falle einer Datenschutzverletzung verlangt die DSGVO, dass Organisationen die betroffenen Personen innerhalb von 72 Stunden benachrichtigen (oder eine angemessene Begründung für die Verzögerung haben).

Benachrichtigungen über Datenschutzverletzungen müssen erklären, wie viele Personen und Datensätze betroffen sind, die wahrscheinlichen Folgen und welche Maßnahmen der Datenverantwortliche ergriffen hat, um die Auswirkungen der Verletzung zu mindern. Die Benachrichtigungen müssen auch den Namen und die Kontaktdaten des Datenschutzbeauftragten der Organisation enthalten.

6. Benennen Sie einen Datenschutzbeauftragten (sofern zutreffend).

Datenschutzbeauftragte (DSB) überwachen die gesamte Datenschutzstrategie der Organisation. Sie sind dafür verantwortlich, dass Mitarbeiter über die Anforderungen der DSGVO geschult werden, regelmäßige Compliance-Audits durchführen und Dokumentationen führen, um die Einhaltung zu belegen.

Datenschutzbeauftragte fungieren auch als Hauptansprechpartner für sowohl Aufsichtsbehörden als auch betroffene Personen. Wenn eine betroffene Person die Löschung ihrer personenbezogenen Daten beantragt, muss der Datenschutzbeauftragte auf diesen Antrag innerhalb eines Kalendermonats reagieren.

7. Berücksichtigen Sie den Datenschutz bei der Entwicklung.

Organisationen müssen den Datenschutz berücksichtigen, wenn sie neue Produkte oder Dienstleistungen entwickeln. In jeder Phase der Entwicklung müssen Unternehmen die Erhebung personenbezogener Daten auf das absolut Notwendige beschränken und die spezifischen Schritte detailliert darlegen, die sie unternehmen werden, um diese Daten zu schützen.

8. Führen Sie eine Datenschutz-Folgenabschätzung durch.

Wann immer eine betroffene Person der Datenerfassung oder -verarbeitung zustimmt, geht sie ein gewisses Risiko ein. Ihre Daten könnten gestohlen oder bei einer Verletzung des Schutzes personenbezogener Daten offengelegt und für betrügerische Zwecke verwendet werden. Eine Datenschutz-Folgenabschätzung (DSFA) erklärt, wie Ihre Organisation diese Risiken identifiziert und minimiert.

9. Beschränkung des Transfers personenbezogener Daten

Die DSGVO enthält strenge Bedingungen für den Transfer personenbezogener Daten außerhalb der EU. Wenn Datentransfers erlaubt sind, erfordert die DSGVO, dass sowohl der Datenimporteur als auch der Datenexporteur geeignete Maßnahmen ergreifen, um die übertragenen personenbezogenen Daten zu schützen.

10. Regelmäßige Datenschutzschulungen durchführen

Da die DSGVO-Gesetzgebung recht komplex ist, sind regelmäßige Datenschutzschulungen erforderlich, um den Mitarbeitern zu helfen, verschiedene Kategorien personenbezogener Daten sicher zu handhaben. Die DSGVO-Schulung sollte erläutern, was das Gesetz ist und wo es gilt, die Rechte der Betroffenen, die Verantwortlichkeiten sowohl der Datenverantwortlichen als auch der Datenverarbeiter und wie auf einen Cyber-Sicherheitsvorfall reagiert werden soll.

DSGVO-Checkliste: Bewerten Sie den Datenschutzansatz Ihrer Organisation

Um Ihnen zu helfen, das Vereinbarkeitsniveau Ihrer Organisation mit der DSGVO zu beurteilen, haben wir diese interaktive Checkliste erstellt. Schauen Sie sich die folgenden Schritte an, um zu überprüfen, ob Sie vollständig konform sind, oder um etwaige Lücken zu identifizieren und zu beheben.

*Diese Checkliste dient nur als Orientierungshilfe und ist kein Ersatz für rechtlichen Rat. Konsultieren Sie stets einen Anwalt, um sicherzustellen, dass Ihre Organisation vollumfänglich mit der DSGVO konform ist.

Gewinnen Sie 100% Vertrauen in Ihre DSGVO-Compliance mit Secureframe

Wir machen den DSGVO-Compliance-Prozess einfach und unkompliziert. Erhalten Sie eine Bibliothek von Richtlinien, die von DSGVO-Experten geprüft wurden, proprietäre DSGVO-Schulungen für Mitarbeiter und Zugang zu internen Compliance-Experten, die Sie über die neuesten DSGVO-Vorschriften auf dem Laufenden halten. Sie erhalten die Sicherheit einer vollständigen DSGVO-Konformität, damit Sie sich auf die Bedienung Ihrer Kunden und das Wachstum Ihres Unternehmens konzentrieren können.

Erfahren Sie mehr über unser DSGVO-Compliance-Angebot oder vereinbaren Sie eine Demo, um unsere Compliance-Automatisierungsplattform in Aktion zu sehen.