Zu wissen, ob Sie den Datenschutzbestimmungen der GDPR entsprechen müssen, ist ziemlich einfach. Wenn Sie EU-Kunden bedienen, gilt dies höchstwahrscheinlich für Sie. Aber genau zu wissen, was Sie tun müssen, um konform zu sein, ist eine andere Sache.
Wenn Sie nach Informationen zur Einhaltung der GDPR suchen, sind Sie bei uns genau richtig. Dieser Artikel erklärt wichtige Konzepte und erläutert, was nach der GDPR erforderlich ist.
Ein Überblick über die GDPR-Compliance-Anforderungen
Das GDPR-Rechtsdokument ist über 85 Seiten lang und umfasst 99 Artikel und 173 Erwägungsgründe. Es definiert mehrere wichtige Schwerpunkte für den Datenschutz:
- Persönliche Daten: Alle Informationen, die sich auf eine identifizierbare Person beziehen, entweder direkt oder indirekt. Beispiele sind Namen, E-Mail-Adressen, Standortdaten, Ethnizität, Geschlecht, IP-Adressen, politische oder religiöse Zugehörigkeit und biometrische Daten.
- Datenverarbeitung: Jede automatisierte oder manuelle Handlung, die an personenbezogenen Daten durchgeführt wird. Beispiele sind das Sammeln, Speichern, Verwenden, Übertragen oder Löschen von Daten.
- Betroffene Personen: Die Person, deren Daten verarbeitet werden, wie Kunden, Abonnenten, Benutzer und Website-Besucher.
- Verantwortliche: Die Person, Organisation oder Einheit, die entscheidet, wie und warum personenbezogene Daten verarbeitet werden. Angestellte, die Daten verwalten oder handhaben, sind ein Beispiel.
- Auftragsverarbeiter: Dritte, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, wie Cloud-Dienstleister und E-Mail-Dienstleister.
Liste der GDPR-Anforderungen
Um den Anforderungen der GDPR zu entsprechen, müssen Organisationen bestimmte Anforderungen für die Verarbeitung personenbezogener Daten einhalten. Im Folgenden fassen wir einige wichtige Anforderungen für die GDPR-Compliance zusammen.
1. Eine Rechtsgrundlage für die Datenverarbeitung schaffen
Gemäß Artikel 6 der GDPR müssen Organisationen eine gültige Rechtsgrundlage für das Sammeln und Verarbeiten personenbezogener Daten haben. Dazu gehören:
- Eine betroffene Person hat ihre klare, eindeutige Zustimmung gegeben. Die Zustimmung darf nicht erzwungen sein, und die Anfrage muss in klarer Sprache eindeutig dargestellt werden. Mit anderen Worten, Sie dürfen sie nicht in langen Nutzungsbedingungen verstecken oder verwirrende juristische Fachsprache verwenden. Die Zustimmung muss auch dokumentiert werden. Betroffene Personen können ihre Zustimmung jederzeit widerrufen, und Kinder unter 13 Jahren können nur mit ausdrücklicher Erlaubnis eines Elternteils zustimmen.
- Die Datenverarbeitung ist notwendig, um vertragliche oder gesetzliche Verpflichtungen zu erfüllen.
- Die Verarbeitung der Daten wird das Leben eines Menschen retten.
- Die Verarbeitung der Daten liegt im öffentlichen Interesse.
- Sie haben ein berechtigtes Interesse an der Verarbeitung der Daten. Dies ist die flexibelste der rechtmäßigen Grundlagen und gilt immer dann, wenn eine Organisation personenbezogene Daten auf eine Weise verwendet, die die betroffene Person bereits erwartet. Ein Beispiel wäre eine Versicherungsgesellschaft, die personenbezogene Daten analysiert, um betrügerische Ansprüche zu erkennen. Es ist wichtig zu beachten, dass das Grundrecht auf Privatsphäre der betroffenen Person im Konfliktfalle die berechtigten Interessen überwiegt.
Wenn Sie eine der oben genannten Anforderungen erfüllen, haben Sie eine rechtmäßige Grundlage für die Datenverarbeitung. Sie müssen diese Grundlage dokumentieren und die betroffenen Personen benachrichtigen.
Wenn Sie Ihre rechtliche Begründung ändern müssen, benötigen Sie einen ausreichenden und gut dokumentierten Grund und müssen Ihre betroffenen Personen benachrichtigen.
2. Holen Sie die ausdrückliche Zustimmung der betroffenen Personen ein.
Sie müssen erklären, wie Sie Daten in einer „prägnanten, transparenten, verständlichen und leicht zugänglichen Form“ verarbeiten. Viele Organisationen tun dies durch eine klar formulierte Datenschutzerklärung.
Wenn Ihre rechtliche Begründung für die Verarbeitung personenbezogener Daten darin besteht, dass Sie die Zustimmung der betroffenen Person haben, dann müssen Sie diese Zustimmung auf eine Weise eingeholt haben, die „klar, spezifisch, informiert und unmissverständlich“ ist.
Die DSGVO enthält einige Bedingungen, die erfüllt sein müssen, damit die Zustimmung gültig ist.
- Betroffene Personen dürfen nicht zur Zustimmung gezwungen werden. Zum Beispiel dürfen Sie den Zugang zu Produkten oder Dienstleistungen nicht davon abhängig machen, ob die Betroffenen der Datenverarbeitung zugestimmt haben.
Sie dürfen auch keine Tricks anwenden, um die Zustimmung zu erhalten. Zum Beispiel, indem Sie eine Vielzahl von Zustimmungserklärungen zusammenfassen, aber nur ein „Ich stimme zu“-Kästchen verwenden, das allen zustimmt. Sie müssen jeden Anwendungsfall der Datenverarbeitung erklären und den betroffenen Personen die Möglichkeit geben, zu jedem Fall zuzustimmen (oder nicht).
Schließlich muss die Zustimmung klar und unmissverständlich sein. Sie dürfen keine Seite mit vorausgewählten Zustimmungskästchen laden, und Sie dürfen eine Seite nicht so gestalten, dass die Zustimmung durch Untätigkeit erteilt wird.
All dies läuft auf eine Hauptidee hinaus: Betroffene Personen müssen eine freie und informierte Entscheidung zur Zustimmung zur Datenverarbeitung treffen. - Sie müssen den betroffenen Personen genau erklären, worin sie einwilligen. Diese müssen wissen, wer Sie sind, wie Sie ihre Daten verarbeiten, zu welchem Zweck und ob Sie beabsichtigen, diese an Dritte weiterzugeben.
- Der Datenverantwortliche muss nachweisen können, dass die betroffene Person in die Datenverarbeitung eingewilligt hat.
- Wenn die Aufforderung zur Zustimmung der betroffenen Person in einem schriftlichen Dokument enthalten ist, das andere Informationen enthält, muss die Aufforderung zur Zustimmung getrennt von den anderen Informationen und in klarer Sprache dargestellt werden.
- Sie sind verpflichtet, den betroffenen Personen mitzuteilen, dass sie das Recht haben, ihre Zustimmung jederzeit zu widerrufen, und Sie müssen es ihnen leicht machen, dies zu tun. Dies umfasst die Veröffentlichung von Kontaktinformationen zur Ausübung der Verbraucherrechte gemäß DSGVO an einem leicht zugänglichen Ort.
3. Einhaltung der Rechte der betroffenen Personen
Betroffene Personen haben bestimmte Rechte gemäß der DSGVO. Diese umfassen:
- Das Recht auf Auskunft: Sie müssen klar erklären, wie Sie personenbezogene Daten verarbeiten und zu welchem Zweck. Sie müssen es den Betroffenen auch leicht machen, sich abzumelden und/oder die Löschung ihrer Daten zu verlangen und auf diese Anforderungen zeitnah reagieren. Beim Erheben von Daten von einer betroffenen Person müssen Sie auch erklären, wie und warum. Diese Anforderung gilt auch, wenn Daten an einen Dritten übermittelt werden.
- Das Recht auf Zugriff: Betroffene Personen haben das Recht zu wissen, welche personenbezogenen Daten Sie über sie gesammelt haben, wo und wie sie gesammelt werden, warum sie verarbeitet werden und wie lange sie aufbewahrt werden.
- Das Recht auf Berichtigung: Betroffene Personen haben das Recht, ungenaue oder unvollständige personenbezogene Daten zu korrigieren.
- Das Recht auf Löschung: Auch bekannt als das Recht auf Vergessenwerden, können Datensubjekte verlangen, dass Sie ihre persönlichen Informationen löschen (mit einigen speziellen Ausnahmen), und es sollte für die Benutzer einfach sein, diese Löschungsanfragen zu stellen.
- Das Recht auf Einschränkung der Verarbeitung: Datensubjekte können auch verlangen, dass Sie ändern, wie Sie ihre persönlichen Informationen verarbeiten, wenn sie Grund zu der Annahme haben, dass die Daten ungenau sind, illegal verwendet werden oder nicht mehr für Ihre angegebenen rechtlichen Grundlagen benötigt werden.
- Das Recht auf Datenübertragbarkeit: Die DSGVO verlangt, dass Sie personenbezogene Daten in einer Weise speichern, die bei Anforderung durch ein Datensubjekt leicht mit anderen geteilt werden kann. Wenn ein Datensubjekt seine personenbezogenen Daten anfordert, müssen Sie sie ihm kostenlos und in einem leicht zugänglichen Format zur Verfügung stellen.
- Das Widerspruchsrecht: Datensubjekte können der Verarbeitung ihrer personenbezogenen Daten widersprechen. Sie müssen diesem Widerspruch nachkommen, es sei denn, Sie können nachweisen, dass Sie eine rechtliche Grundlage für die Verarbeitung haben.
4. Technische und organisatorische Schutzmaßnahmen einführen
Organisationen müssen „geeignete technische und organisatorische Maßnahmen“ umsetzen, um sicherzustellen, dass Kundendaten sicher behandelt werden.
Die DSGVO gibt nicht genau vor, welche Sicherheitsmaßnahmen Unternehmen ergreifen müssen. Sie verlangt jedoch, dass die Organisation die inhärenten Risiken bei der Verarbeitung personenbezogener Daten der EU bewertet und geeignete Sicherheitsmaßnahmen umsetzt, die solche Risiken mindern, indem sie die Vertraulichkeit, Integrität und Verfügbarkeit von Verarbeitungssystemen und -prozessen berücksichtigt.
Jede Organisation muss eine Reihe von Sicherheitskontrollen festlegen, die am besten für ihre einzigartigen Systeme und Prozesse geeignet sind. Dazu können Maßnahmen wie die Aktivierung der Multi-Faktor-Authentifizierung, die Verwendung von End-to-End-Datenverschlüsselung, die Implementierung von Firewalls, die Einrichtung von Benutzerzugriffskontrollen und die Durchführung regelmäßiger Sicherheitsschulungen für das Personal gehören.
5. Verletzungsbenachrichtigungen senden
Ähnlich wie die HIPAA-Verletzungsbenachrichtigungsregel verlangt die DSGVO, dass Sie betroffene Datensubjekte innerhalb von 72 Stunden nach einer Datenverletzung benachrichtigen. Wenn Sie innerhalb von 72 Stunden keine Benachrichtigung liefern können, müssen Sie eine angemessene Begründung für die Verzögerung haben.
Unter der DSGVO müssen Verletzungsbenachrichtigungen:
- Das Ausmaß und die Natur der Datenverletzung beschreiben, einschließlich der Anzahl der betroffenen Personen und Datenaufzeichnungen
- Die wahrscheinlichen Folgen der Datenverletzung erklären
- Die vom Datenverantwortlichen ergriffenen Maßnahmen zur Behebung der Verletzung mitteilen
- Den Namen und die Kontaktdaten des Datenschutzbeauftragten angeben, bei dem Datensubjekte zusätzliche Informationen anfordern können
Empfohlene Lektüre
HIPAA-Verletzungsbenachrichtigungsregel: Was sie ist + Wie man sie einhält
Read More6. Ernennen Sie einen Datenschutzbeauftragten (falls zutreffend)
Organisationen müssen einen Datenschutzbeauftragten (DSB) ernennen, wenn:
- Es als öffentliche Behörde fungiert (außer einem Gericht, das in richterlicher Eigenschaft handelt)
- Seine Kernaktivitäten erfordern die Überwachung von Personen im großen Maßstab
- Seine Kernaktivitäten die Verarbeitung spezieller Kategorien von Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten umfassen
Datenschutzbeauftragte sind dafür verantwortlich, die Datenschutzstrategie der Organisation zu überwachen. Dies umfasst in der Regel die Schulung der Mitarbeiter zu den Anforderungen der DSGVO, die Durchführung regelmäßiger Compliance-Audits und die Führung von Dokumentationen und Aufzeichnungen zur Einhaltung der Vorschriften.
Datenschutzbeauftragte fungieren auch als Hauptansprechpartner für Aufsichtsbehörden und Betroffene. Wenn ein Betroffener anfragt, wie seine Daten verarbeitet werden, oder einen Löschungsantrag stellt, muss der Datenschutzbeauftragte innerhalb eines Kalendermonats antworten.
7. Mit Blick auf den Datenschutz gestalten
Artikel 25 der DSGVO besagt, dass Organisationen den Datenschutz und die Datenverarbeitung berücksichtigen müssen, wenn sie neue Produkte oder Dienstleistungen entwerfen. In jeder Phase der Entwicklung müssen Unternehmen darüber nachdenken, welche persönlichen Daten sie unbedingt von Kunden oder Nutzern erfassen müssen und wie sie diese Daten sicher aufbewahren werden.
8. Durchführung einer Datenschutz-Folgenabschätzung
Wann immer eine betroffene Person der Datenerhebung oder -verarbeitung zustimmt, geht sie ein gewisses Risiko ein. Ihre Daten könnten gestohlen oder durchgesickert und für betrügerische Zwecke verwendet werden. Eine Datenschutz-Folgenabschätzung (DSFA) erklärt, wie Ihre Organisation diese Risiken identifiziert und minimiert.
Diese Bewertungen sind erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen mit sich bringt – aber auch bei anderen Arten der Datenverarbeitung können sie entscheidende Vorteile bieten.
DSFAs helfen, das Organisationsbewusstsein für Datenschutzrisiken zu verbessern, damit Sie vollständig mit dem Datenschutz im Blick entwerfen können. Und sie können Ihnen helfen, Kunden und Nutzern die genauen Schritte, die Sie unternehmen, um ihre persönlichen Daten zu sichern, klar mitzuteilen.
9. Beschränkung der Übertragung personenbezogener Daten
Die DSGVO enthält strenge Bedingungen für die Übertragung personenbezogener Daten außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR). In Fällen, in denen personenbezogene Daten außerhalb der EU oder des EWR übertragen werden, verlangt die DSGVO von den betreffenden Organisationen (d.h. den Organisationen des Datenimporteurs und des Datenexporteurs), geeignete Datenschutzmaßnahmen zu ergreifen, die technische und organisatorische Maßnahmen umfassen.
Datenübertragungen sind in folgenden Fällen zulässig:
- Die Europäische Kommission (EK) hat einen Angemessenheitsbeschluss für das Land, in dem sich der Empfänger befindet, gefasst.
- Die Übertragung ist durch die in Artikel 46 der DSGVO aufgeführten geeigneten Garantien abgedeckt.
- Sie haben die betroffene Person über mögliche Risiken informiert und deren ausdrückliche Zustimmung eingeholt.
- Die Datenübertragung ist erforderlich, um vertragliche Verpflichtungen mit der betroffenen Person zu erfüllen.
- Die Datenübertragung liegt im öffentlichen Interesse oder wird zum Schutz lebenswichtiger Interessen einer Person erforderlich sein.
- Die Datenübertragung ist erforderlich, um einen Rechtsanspruch zu begründen oder zu verteidigen.
- Die Übertragung erfolgt aus einem öffentlichen Register.
- Es handelt sich um eine einmalige Übertragung, die in Ihrem berechtigten Interesse liegt.
10. Regelmäßige Sensibilisierungsschulungen zum Datenschutz abschließen
Da die DSGVO-Gesetzgebung relativ komplex ist, sind Schulungen erforderlich, um den Mitarbeitern zu helfen, personenbezogene Daten sicher zu handhaben. Während das Gesetz keine genauen Schulungsanforderungen spezifiziert, sollte die DSGVO-Schulung, die Sie wählen, abdecken, was das Gesetz ist und wo es gilt, die grundlegenden Prinzipien des Datenschutzes, die Rechte der betroffenen Personen, die Verantwortlichkeiten der Datenverantwortlichen und Datenverarbeiter und wie man auf einen Cybersicherheitsvorfall oder Datenverstoß reagiert.
Schulungen sollten regelmäßig – mindestens einmal jährlich – für neue und bestehende Mitarbeiter, die mit personenbezogenen Daten umgehen, abgeschlossen werden.
FAQs
Was sind die Anforderungen für die DSGVO-Konformität?
Die DSGVO legt wichtige Anforderungen für die ordnungsgemäße Verarbeitung personenbezogener Daten von EU-Bürgern fest. Sie müssen alle diese Anforderungen erfüllen, um DSGVO-konform zu sein.
Was sind die wichtigsten Anforderungen der DSGVO?
- Etablierung einer rechtlichen Grundlage für die Datenverarbeitung
- Einholung der ausdrücklichen Zustimmung der betroffenen Personen
- Anerkennung der Rechte der betroffenen Personen
- Umsetzung technischer und organisatorischer Schutzmaßnahmen
- Versendung von Benachrichtigungen bei Datenschutzverletzungen
- Ernennung eines Datenschutzbeauftragten (falls zutreffend)
- Entwurf neuer Produkte oder Dienstleistungen mit Blick auf den Datenschutz
- Durchführung von Datenschutz-Folgenabschätzungen
- Einschränkung der Übertragung personenbezogener Daten
- Regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter für Datenschutz durchführen
Was sind die rechtmäßigen Grundlagen der DSGVO?
Wie in Artikel 6 der DSGVO definiert, gibt es sechs rechtmäßige Grundlagen für die Verarbeitung personenbezogener Daten, darunter:
- Eine betroffene Person hat ihre klaren, eindeutigen Einwilligung freiwillig erteilt.
- Die Datenverarbeitung ist notwendig, um vertragliche Verpflichtungen zu erfüllen.
- Die Datenverarbeitung ist notwendig, um rechtliche Verpflichtungen zu erfüllen.
- Die Datenverarbeitung wird das Leben einer Person retten.
- Die Datenverarbeitung liegt im öffentlichen Interesse.
- Sie haben ein berechtigtes Interesse an der Verarbeitung der Daten.