E-Mail, Produktivitätsanwendungen am Arbeitsplatz, Messaging, Dateifreigabedienste, soziale Medien, Bank- und Gesundheitsanwendungen – immer mehr Menschen vertrauen ihre privaten und sensiblen Daten Cloud-Diensten an. Gleichzeitig nehmen Datenschutzverletzungen und Sicherheitsvorfälle zu und werden immer ausgeklügelter.

Viele Sicherheits-Compliance-Rahmenwerke konzentrieren sich auf den Datenschutz und die Sicherheit von Daten vor Hackern und Verstößen. Aber die Datenschutz-Grundverordnung (DSGVO) legt ebenso großen Wert auf den Datenschutz. Ihre Ziele sind es, Daten sicher zu halten und den Menschen mehr Macht darüber zu geben, wer ihre personenbezogenen Daten verarbeiten kann und warum.

Die DSGVO ist ein bahnbrechendes Gesetz mit weitreichenden Auswirkungen. Sie hat bereits ähnliche Datenschutzgesetze auf der ganzen Welt inspiriert, insbesondere den California Consumer Privacy Act (CCPA). Da sowohl auf Datenschutzmaßnahmen als auch auf den Datenschutz so viel Wert gelegt wird, müssen sich Organisationen auf der ganzen Welt dieser Vorschriften bewusst sein, um konforme zu bleiben und erhebliche Geldstrafen zu vermeiden.

Dieser Artikel behandelt die Grundlagen der DSGVO und der Compliance, um Ihnen zu helfen, die wesentlichen Punkte des Gesetzes und dessen Anwendung auf Ihr Unternehmen und Ihre Kunden zu verstehen.

Was ist die DSGVO und wofür steht sie?

DSGVO steht für Datenschutz-Grundverordnung. Es ist ein Gesetz, das von der Europäischen Union (EU) verabschiedet wurde, um Datenschutz- und Sicherheitsgesetze für den Europäischen Wirtschaftsraum festzulegen, zu dem alle EU-Länder sowie Island, Liechtenstein und Norwegen gehören.

Obwohl es von der EU entworfen und verabschiedet wurde, gilt es für jede Organisation, die EU-Bürger ins Visier nimmt oder Daten von EU-Bürgern sammelt.

Die DSGVO ist bekannt dafür, dass sie bei Verstößen harte Strafen verhängt, mit Geldbußen in Höhe von mehreren Millionen Euro.

Was ist der Zweck der DSGVO?

Der Zweck der DSGVO ist es, die personenbezogenen Daten und die Privatsphäre der EU-Bürger zu schützen.

Obwohl die DSGVO erst vor einigen Jahren verabschiedet wurde, reichen ihre Wurzeln bis in die 1950er Jahre zurück. Die Europäische Menschenrechtskonvention von 1950 besagt, dass jeder ein grundlegendes Recht auf Privatsphäre hat.

Als das Internet immer weiter verbreitet wurde, erkannte die EU die Notwendigkeit modernerer Schutzmaßnahmen. Sie verabschiedete 1995 die Europäische Datenschutzrichtlinie, die einige grundlegende Datenschutz- und Informationssicherheitsstandards festlegte. Jedes EU-Mitgliedsland setzte sein eigenes Gesetz auf Grundlage dieser Richtlinien um.

Dann, in den späten 2000er und frühen 2010er Jahren, erkannte die EU die Notwendigkeit einer umfassenderen Lösung und begann, Möglichkeiten zur Aktualisierung der Richtlinie von 1995 zu prüfen.

Die DSGVO wurde 2016 vom Europäischen Parlament verabschiedet und trat am 25. Mai 2018 in Kraft.

Obwohl die DSGVO ein EU-Gesetz ist, gilt sie für jede Organisation, die die personenbezogenen Daten von EU-Bürgern verarbeitet oder Waren und/oder Dienstleistungen für EU-Bürger anbietet.

Was ist DSGVO-Konformität?

Wenn eine Organisation in den Geltungsbereich der DSGVO fällt, muss die Organisation die Anforderungen für die ordnungsgemäße Verarbeitung personenbezogener Daten von EU-Bürgern erfüllen.

Wichtige Anforderungen umfassen:

  • Einrichtung einer rechtlichen Grundlage für die Datenverarbeitung: Organisationen müssen eine gültige rechtliche Grundlage für die Erhebung und Verarbeitung personenbezogener Daten haben, wie z.B. die Erfüllung vertraglicher oder gesetzlicher Verpflichtungen.
  • Einholung der ausdrücklichen Zustimmung der betroffenen Personen: Organisationen müssen erklären, wie sie Daten in einer Form verarbeiten – die meisten entscheiden sich für eine klar formulierte Datenschutzerklärung.
  • Umsetzung technischer und organisatorischer Schutzmaßnahmen: Organisationen müssen Schutzmaßnahmen implementieren, um sicherzustellen, dass Kundendaten sicher verarbeitet werden. Schutzmaßnahmen können geeignete logische Zugangskontrollen und die Durchführung jährlicher Sicherheits- und Datenschutz-Schulung umfassen.
  • Versand von Verletzungsbenachrichtigungen: Im Falle einer Datenverletzung müssen Organisationen die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen.
  • Ernennung eines Datenschutzbeauftragten (falls zutreffend): Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu ernennen, der die Datenschutzstrategie der Organisation und deren Umsetzung überwacht.
  • Achtung der Rechte der betroffenen Personen: Betroffene Personen haben nach der DSGVO bestimmte Rechte, einschließlich des Rechts auf Information, des Zugangsrechts und des Widerspruchsrechts.

Schlussendlich schränken diese durch die DSGVO festgelegten Verpflichtungen ein, wie Organisationen personenbezogene Daten verwenden können, und bieten Einzelpersonen mehr Autonomie darüber, wer ihre personenbezogenen Daten verarbeiten kann und warum.