BitRaser >
Article >
Alles, was Sie wissen müssen, um die Einhaltung der GDPR (EU) sicherzustellen

BITRASER^®

Alles, was Sie wissen müssen, um die Einhaltung der GDPR (EU) sicherzustellen

Geschrieben von

Pravin Mehta linkdin

Veröffentlicht am

Sept 29, 2023

Min Lesen

3 Min

Zusammenfassung: Dieser Artikel gibt einen umfassenden Überblick über die Datenschutzgrundverordnung. Er beleuchtet die Ziele, den Anwendungsbereich, die wichtigsten Grundsätze sowie die Geschichte und die Ausnahmen des Gesetzes. Nach der Lektüre dieses Artikels werden Sie ein solides Verständnis der DSGVO erlangen und mit dem Wissen ausgestattet sein, die personenbezogenen Daten Ihrer Kunden zu schützen und rechtliche Konsequenzen zu vermeiden.

Das Jahr 2020 begann für Eni Gas e Luce (EGL), ein italienisches Strom- und Gasversorgungsunternehmen, mit einem schlechten Start.

Am 17. Januar 2020 verhängte die italienische Aufsichtsbehörde gegen die EGL zwei getrennte Geldbußen in Höhe von 8,5 Mio. € und 3 Mio. € für zwei verschiedene Fälle der Nichteinhaltung der Datenschutzgrundverordnung.

Die Aufsichtsbehörden der GDPR waren in der Tat sehr beschäftigt.

In den ersten 20 Monaten nach Inkrafttreten der GDPR in der EU haben sie mehr als 114 Millionen Euro an Bußgeldern für die Nichteinhaltung der Vorschriften verhängt. Zu den beschuldigten Unternehmen gehören auch Facebook und Google. Die Einhaltung der DSGVO hat sich für weltweit tätige Unternehmen zu einer Herausforderung entwickelt.

Worum geht es bei der GDPR?

Bei der GDPR geht es um den Schutz von Daten. Der Mathematiker Clive Humby sagte im Jahr 2006, dass Daten das neue Öl sind. Es wurde jedoch zu einem Modewort in Wirtschaftskreisen, als The Economist im Mai 2017 einen Bericht veröffentlichte: "Die wertvollste Ressource der Welt ist nicht mehr Öl, sondern Daten".

Die GDPR regelt die Art und Weise, wie Unternehmen diese unbezahlbare Ressource namens Daten erzeugen und nutzen. General Data Protection Regulation - dafür steht, wie wir alle wissen, die GDPR. Sie gilt in allen Mitgliedsstaaten der EU (Europäische Union).

GDPR gilt auch für die zusätzlichen Länder des Europäischen Wirtschaftsraums (EWR) die nicht Teil der EU sind. Sie zielt darauf ab, die Gesetze zum Datenschutz in allen EU- und EWR-Staaten zu vereinheitlichen.

"Das Recht auf Vergessenwerden" und das "Recht auf Löschung" sind zwei weitere Ausdrücke, die in den EU- und EWR-Ländern im Zusammenhang mit der Datenschutz-Grundverordnung verwendet werden. Dieser Artikel erklärt die GDPR aus einer handlungsorientierten Perspektive und stellt den ultimativen Leitfaden für die Einhaltung der GDPR dar.

GDPR: Ein synoptischer Überblick

Um es mit den Worten der offiziellen GDPR-Übersichtsseite der EU zu sagen, ist dieses neue europäische Gesetz zum Schutz der Daten von EU- und EWR-Bürgern überall auf der Welt "das strengste Datenschutz- und Sicherheitsgesetz der Welt."

GDPR wurde vor dem Hintergrund erlassen, dass immer mehr Menschen ihre persönlichen Daten Cloud-Diensten anvertrauen. Auch Datenschutzverletzungen sind inzwischen an der Tagesordnung. Die GDPR ist die Antwort der EU auf solche Verstöße.

Sie legt auf Hunderten von Seiten Standards fest, die Organisationen befolgen müssen. Sie gilt für alle Unternehmen, ob groß, mittelgroß oder klein. Es spielt keine Rolle, wo auf der Welt Ihr Unternehmen seinen Sitz hat. Auch die Art der Produkte und/oder Dienstleistungen, mit denen Sie handeln, spielt keine Rolle.

Wenn Sie eine Online-Präsenz haben, sind Sie in einem Geschäftsumfeld tätig, das von Daten bestimmt wird. Wenn sich diese Daten auf Bürger der EU oder des EWR beziehen, müssen Sie die Einhaltung der DSGVO sicherstellen. Jede Nichteinhaltung würde zu hohen Geldstrafen führen.

Die GDPR hat eine Geschichte

Die GDPR basiert auf dem Recht auf Privatsphäre, das in der Europäischen Menschenrechtskonvention von 1950 verankert ist. Europas erste Reaktion auf die Notwendigkeit, das Recht seiner Bürger auf Privatsphäre im Internetzeitalter zu schützen, war die 1995 verabschiedete Europäische Datenschutzrichtlinie (EDPD).

Die Datenschutz-Grundverordnung ist eine verbesserte, umfassendere, strengere und härtere Version der EDPD. Sie wurde 2016 vom Europäischen Parlament verabschiedet und gilt seit dem 25. Mai 2018 in allen EU- und EWR-Staaten.

Der Anwendungsbereich der GDPR

Die GDPR gilt für alle Unternehmen, die über personenbezogene Daten von Bürgern und Einwohnern der EU und des EWR verfügen. Sie gilt auch für alle Unternehmen, die Waren und/oder Dienstleistungen an Bürger und Einwohner der EU und des EWR liefern. Das Unternehmen muss keine physische Präsenz in der EU haben.

Lassen Sie uns dies anhand eines Beispiels verdeutlichen. Sie könnten ein in Kalifornien ansässiges Unternehmen für die Entwicklung von Inhalten sein, das seine Dienstleistungen hauptsächlich Unternehmen in Kalifornien (USA) anbietet. Sie fallen dennoch unter die DSGVO, wenn Sie die Daten von EU-Besuchern auf Ihrer Website verfolgen und analysieren.

Artikel 3 der GDPR umreißt den geografischen Geltungsbereich des Gesetzes. Es ist von entscheidender Bedeutung, die territorialen Auswirkungen vollständig zu verstehen. Die gelegentliche Nutzung durch europäische Besucher bedeutet nicht, dass ein Nicht-EU-Unternehmen die DSGVO einhalten muss. Die Überwachung personenbezogener Daten von EU- und EWR-Bürgern und -Einwohnern hingegen schon.

Angenommen, Sie sind ein Blumenhändler mit Sitz in Cambridge, Massachusetts. Ein französischer Jugendlicher aus Lyon bestellt in Ihrem Geschäft online einen Rosenstrauß, der an seine Freundin, die am Massachusetts Institute of Technology (MIT) studiert, geliefert werden soll. Bei dieser einen Bestellung müssen Sie sich keine Gedanken über die Einhaltung der Datenschutzgrundverordnung machen.

Angenommen aber, Sie erhalten hin und wieder ähnliche Bestellungen von Franzosen und Italienern. Sie bieten eine Preisliste in Euro an, weil Sie das Verhalten dieser Besucher analysiert haben. Das wird als Zeichen der Datenüberwachung gewertet und zieht Geldstrafen für die Nichteinhaltung der GDPR nach sich.

Wie die GDPR die Datenüberwachung interpretiert

Einfach ausgedrückt, interpretiert die Datenschutz-Grundverordnung die Nutzung von Webdiensten zur Verfolgung von Cookies oder IP-Adressen von Besuchern einer Website als Verhaltensüberwachung. Wenn sich solche Daten auf EU- oder EWR-Bürger oder Einwohner beziehen, müssen Sie die Bestimmungen der DSGVO einhalten.

Auf der offiziellen GDPR-Übersichtsseite wird jedoch eingeräumt, dass es an Klarheit darüber mangelt, wie streng die GDPR-Behörden diese Bestimmung zur Verhaltensüberwachung auslegen und anwenden werden.

Angenommen, eine Gruppe deutscher Golfer besucht den Golfplatz, den Sie in Florida betreiben und der fast ausschließlich einheimische Mitglieder hat. Technisch gesehen würde Ihr Golfplatz in den Geltungsbereich der Datenschutz-Grundverordnung fallen. Würden die deutschen Aufsichtsbehörden Sie auf die Einhaltung der Vorschriften überprüfen?

Das ist unwahrscheinlich. Nehmen wir jedoch an, Sie würden anfangen, Werbematerial an diese deutschen Besucher zu schicken. Sie fühlen sich belästigt und beschließen, sich zu beschweren. Das könnte für Sie zu Problemen führen. Die Wahrscheinlichkeit ist groß, dass Sie dann als nicht GDPR-konform eingestuft werden.

Kritische Begriffe in der GDPR

Angesichts der anerkannten Mehrdeutigkeit bei der Definition dessen, was Datenüberwachung ist, ist es eine gute Idee, genau zu wissen, wie der GDPR-Text die zentralen Konzepte definiert. Hier ist, was Sie wissen müssen:

Zustimmung:
Die GDPR betrachtet jede Art von personenbezogenen Daten als privat und geschützt, es sei denn, es besteht eine rechtliche Notwendigkeit, sie offenzulegen, oder die betroffene Person hat ihre Einwilligung zur Verwendung der Daten gegeben. Die betroffene Person muss diese Zustimmung freiwillig erteilen.

Jede Art von direktem oder indirektem Druck zur Erlangung der Einwilligung würde bedeuten, dass die Einwilligung nicht frei gegeben wurde. Die Einwilligung muss außerdem in Kenntnis der Sachlage und konkret erfolgen. Das bedeutet, dass die Person klar verstehen muss, für welche Art von Daten sie ihre Zustimmung zur Verarbeitung gibt.

Es ist auch wichtig, dass die einwilligende Person genau weiß, wem sie ihre Einwilligung erteilt. Es ist entscheidend, dass die einwilligende Person ihre Zustimmung schriftlich oder durch eine Handlung zum Ausdruck bringt. Eine stillschweigende Zustimmung ist nicht ausreichend.

Wenn zum Beispiel jemand auf Ihrer Website surft, ohne auf die Schaltfläche "OK" zu klicken, wenn Sie Cookies verwenden, können Sie nicht davon ausgehen, dass Sie die Einwilligung haben. Das Klicken auf "OK" ist notwendig.

Die einwilligende Person muss auch wissen, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen. Außerdem muss die Einwilligung von Personen unter 16 Jahren durch die Zustimmung der Eltern gestützt werden. Einige EU-Mitgliedstaaten können die Altersgrenze durch nationales Recht herabsetzen, jedoch nicht unter 13 Jahre.

Die einzige Ausnahme von der Altersbeschränkungsklausel gilt für Dienste, die sich ausschließlich an Kinder richten. Alles, was sich sowohl an Kinder als auch an Erwachsene richtet, fällt nicht unter diese Ausnahme.
Personenbezogene Daten :
Dies ist der entscheidende Begriff der GDPR, da das Gesetz nur für personenbezogene Daten gilt. Jede Information, die eine Person identifizierbar macht, gilt als personenbezogene Daten, und zwar im weitestmöglichen Sinne. Die Identität umfasst kulturelle, genetische, physische, physiologische und soziale Aspekte.

Personenbezogene Daten gelten jedoch nur für einzelne menschliche Wesen, die noch leben. Eine Person, die nicht mehr lebt, fällt nicht unter die Datenschutz-Grundverordnung. Auch Unternehmen oder andere Organisationen fallen nicht unter die Definition von personenbezogenen Daten in der Datenschutz-Grundverordnung.
Verarbeitung:
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn ein Unternehmen unter die Bestimmung der "Auftragsdatenverarbeitung" fällt. Ein Unternehmen muss dafür dokumentierte Anweisungen des für die Datenverarbeitung Verantwortlichen einholen. Die Bestimmung verlangt, dass ein Unternehmen Aufzeichnungen über die Datenverarbeitung führt.
>
Ein Unternehmen, das eine Erlaubnis zur Auftragsdatenverarbeitung hat, muss den für die Datenverarbeitung Verantwortlichen unverzüglich über jede Änderung der datenbezogenen Richtlinien informieren. Sowohl der für die Datenverarbeitung Verantwortliche als auch das beauftragte Unternehmen sind gemeinsam dafür verantwortlich, die Einhaltung der DSGVO sicherzustellen.

Jede der beiden Parteien kann sich jedoch exkulpieren, indem sie nachweist, dass sie nicht verantwortlich war. Kommt es beispielsweise zu einer Datenschutzverletzung, weil das beauftragte Unternehmen es versäumt hat, mit dem für die Datenverarbeitung Verantwortlichen über eine Änderung der Richtlinien zu kommunizieren, ist das Unternehmen allein verantwortlich.
Auskunftsrecht:
Eine Person hat das Recht, die personenbezogenen Daten zu ändern, die sie zur Verarbeitung zulässt. Eine Person hat auch das Recht auf Löschung aller personenbezogenen Daten. Das ist die Bedeutung des Auskunftsrechts.

Unterlassene oder unvollständige Informationen über die Art der Daten, die im Rahmen der Datenschutzpolitik eines Unternehmens verarbeitet werden, stellen nach der Datenschutz-Grundverordnung ein Vergehen dar. Die Art der Informationen, die das Unternehmen zur Verfügung stellen muss, bezieht sich auf:

Datenschutzbeauftragter (DSB):
Die DSGVO verpflichtet alle öffentlichen Stellen, mit Ausnahme von Gerichten, zur Bestellung eines DSB. Für private Unternehmen hängt die Notwendigkeit der Bestellung eines DSB nicht von der Größe des Unternehmens ab, sondern von der Art der Daten, die ein Unternehmen sammelt und verarbeitet.

Die territorialen Normen für die Notwendigkeit der Bestellung eines DSB sind die gleichen wie zuvor erläutert. Es ist auch wichtig zu wissen, dass einige EU-Mitgliedsstaaten spezifische nationale Gesetze über die Bestellung von DSB haben.

Das deutsche Bundesdatenschutzgesetz enthält in § 38 beispielsweise strengere Bestimmungen für die Bestellung eines DSB als die DSGVO. Die französische Datenschutzbehörde CNIL hingegen empfiehlt die Bestellung eines DSB auf freiwilliger Basis, sofern dies nicht ausdrücklich in der DSGVO vorgeschrieben ist.
Verschlüsselung:
Die Chancen für die Einhaltung der GDPR sind besser, wenn ein Unternehmen sicherstellt, dass alle von ihm erhobenen, gespeicherten und verarbeiteten personenbezogenen Daten verschlüsselt bleiben. Das gilt nur, wenn diese Daten mit der ausdrücklichen Zustimmung einer Person erhoben wurden.

Einfach gesagt, macht die Datenverschlüsselung die enthaltenen Daten für Dritte unlesbar. Sie minimiert somit die Gefahr, dass die Daten von unbeabsichtigten Dritten gehackt werden. Die Verschlüsselungsklausel ist besonders wichtig für das E-Mail-Marketing.
Das Recht auf Löschung und das Recht auf Vergessenwerden:
Diese beiden sind eng miteinander verbunden, aber nicht genau dasselbe. Das Recht auf Löschung erfordert eine bestimmte Handlung des Einzelnen, das Recht auf Vergessenwerden hingegen nicht.
Das Recht auf Löschung gibt einer Person das Recht, schriftlich die Löschung aller personenbezogenen Daten zu verlangen. Das betroffene Unternehmen muss innerhalb eines Monats antworten. Das Recht auf Vergessenwerden bedeutet, dass alle personenbezogenen Daten automatisch gelöscht werden müssen, sobald der ursprüngliche Zweck erfüllt ist.

Das Recht auf Vergessenwerden verlangt von den Unternehmen auch, alle personenbezogenen Daten zu löschen, sobald der Zeitraum, für den die Einwilligung erteilt wurde, abgelaufen ist.

Cookies und die GDPR

Die offizielle EU GDPR Seite zu diesem Thema räumt ein, dass die EU immer noch genaue Richtlinien über die Verwendung von Cookies durch Websites ausarbeitet. Damit Ihre Cookie-Richtlinie GDPR-konform ist, müssen Sie folgende Punkte beachten:

Erhalten Sie die ausdrückliche Zustimmung der Nutzer, außer für die Cookies, die für das Funktionieren Ihrer Website unbedingt erforderlich sind.
Informationen darüber, was genau Ihre Cookies verfolgen und zu welchem Zweck, müssen für den Nutzer in einer jargonfreien Sprache verfügbar sein.
Sie müssen die von den Nutzern erhaltene Zustimmung dokumentieren und speichern.
Nutzer sollten Ihre Dienste auch dann nutzen können, wenn sie die Verwendung von Cookies ablehnen, die für das Funktionieren Ihrer Website nicht unbedingt erforderlich sind.
Die Nutzer müssen die Möglichkeit haben, ihre Zustimmung zu widerrufen.

Geldbußen und Strafen gemäß GDPR

Die Bußgelder und Strafen für die Nichteinhaltung der DSGVO sind hart, um es milde auszudrücken. Je nach Art des Verstoßes gibt es zwei Stufen von Strafen. Bei weniger schwerwiegenden Verstößen kann ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr verhängt werden. Bei Verstößen, die als schwerwiegender eingestuft werden, kann eine Geldbuße von bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr verhängt werden. In beiden Fällen gilt der jeweils höhere Betrag.

Die Parameter zur Bestimmung der Schwere der Datenverletzung sind;

Schwere und Art des Verstoßes: was genau passiert ist, wie es passiert ist, warum es passiert ist und wie viele Daten von wie vielen Personen verletzt wurden.
Datenkategorie: Die Art der personenbezogenen Daten, die von dem Verstoß betroffen sind.
Absichtlichkeit: Ob der Verstoß absichtlich oder fahrlässig erfolgte.
Vermeidungsversuche: Ob das betroffene Unternehmen Schritte unternommen hat, um die Auswirkungen der Datenverletzung zu verringern.
Vorsorge: Das Ausmaß, in dem das Unternehmen Systeme zur Einhaltung der DSGVO eingerichtet hatte.
Vorgeschichte: Die Geschichte des Unternehmens in Bezug auf die Einhaltung oder Nichteinhaltung von Datenschutzgesetzen und -richtlinien, die vor dem Inkrafttreten der GDPR galten.
Zertifizierung: Ob das Unternehmen eine Zertifizierung als GDPR-konform erhalten hat, indem es die erforderlichen Verhaltensregeln anwendet.
Benachrichtigung und Zusammenarbeit: Ob das Unternehmen Schritte unternommen hat, um die betroffene Aufsichtsbehörde proaktiv über die Datenschutzverletzung zu informieren, und inwieweit das Unternehmen während der Untersuchung mit der Aufsichtsbehörde zusammenarbeitet.
Sonstige Faktoren: Die finanziellen Gewinne, die dem Unternehmen durch die Datenverletzung entstehen, oder die Höhe der finanziellen Verluste, die das Unternehmen durch die Verletzung verhindern kann.

Ausnahmen von der GDPR

Es gibt nur zwei Ausnahmen von der Anwendbarkeit der Datenschutz-Grundverordnung. Sie gilt nicht für Daten, die für einen rein persönlichen Zweck verwendet werden, der nichts mit dem Betrieb eines Unternehmens zu tun hat. Sie gilt auch nicht für Unternehmen mit weniger als 250 Beschäftigten. Für kleine Unternehmen mit weniger als 250 Beschäftigten gibt es jedoch keine generelle Ausnahme. Solche Unternehmen müssen die Einhaltung der DSGVO sicherstellen, wenn sie regelmäßig personenbezogene Daten von EU- oder EWR-Bürgern und Gebietsansässigen verarbeiten.

Die Einhaltung der DSGVO wird zwingend erforderlich, wenn ein kleines Unternehmen regelmäßig Transaktionen mit einer oder mehreren großen Organisationen durchführt. Die allgemeine Empfehlung für kleine Unternehmen lautet, eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen. Eine DPIA ist für ein kleines Unternehmen ein Muss, wenn das Unternehmen:

Einführung einer neuen Technologie
Verfolgt das Verhalten und/oder den Aufenthaltsort von Personen
Systematische Überwachung eines großen öffentlich zugänglichen Ortes
Verarbeitet personenbezogene Daten in Bezug auf ethnische/rassische Herkunft, politische Ansichten, religiöse Überzeugungen, Sexualleben oder sexuelle Orientierung und Gewerkschaftszugehörigkeit
Verarbeitet biometrische oder genetische Daten zur Identifizierung einer menschlichen Person
Verarbeitet Daten für automatisierte Entscheidungen, die rechtliche Auswirkungen haben könnten, oder etwas Ähnliches
Verarbeitet Daten von Kindern
Verarbeitet Daten, die bei Bekanntwerden körperlichen Schaden verursachen könnten

Die DPIA-Vorlage können Sie sich hier ansehen. Im Großen und Ganzen können kleine Unternehmen mit weniger als 250 Mitarbeitern jedoch vor GDPR-Strafen sicher sein, wenn sie die folgenden einfachen Maßnahmen anwenden:

Verwenden Sie einen verschlüsselten E-Mail-Dienst
Implementieren Sie Cybersicherheitsmaßnahmen
Kultivieren Sie eine Kultur der Cybersicherheit: schulen Sie Ihr Personal über die Sicherheitsmaßnahmen, überwachen Sie, wie die Mitarbeiter die Maßnahmen einhalten, und überprüfen Sie die Cybersicherheitsmaßnahmen regelmäßig, um ihre Angemessenheit sicherzustellen

Brexit und GDPR

Ab sofort fällt das Vereinigte Königreich bis zum Ende der Übergangsfrist am 31. Dezember 2020 in den Geltungsbereich der Datenschutz-Grundverordnung. Die britische Regierung hat ein Gesetz mit dem Titel the Data Protection, Privacy, and Electronic Communications (Amendments, etc) (EU Exit) Regulations 2019 formuliert.

Dieses wird sich wahrscheinlich bis zum Ende der Übergangszeit zu einem vollwertigen UK-GDPR-Gesetz entwickeln. In der Praxis gibt es jedoch kaum Unterschiede zwischen der GDPR und dem britischen Gesetz.

GDPR kann sich 2020 ändern

"Keine Kontrolle über unsere Daten zu haben, macht uns verletzlich." Das hatte Margrethe Vestager, die geschäftsführende Vizepräsidentin der Europäischen Kommission, in ihrer Grundsatzrede auf dem Datenschutzkongress der International Association for Privacy Professionals gesagt. Das war im November 2019. Das Jahr 2020 wird wahrscheinlich eine strengere Durchsetzung der Datenschutz-Grundverordnung bringen. Griechenland, Portugal und Slowenien müssen ihre nationalen Gesetze ohne weitere Verzögerung an die DSGVO anpassen. Die neue EU-Verordnung zum Schutz der Privatsphäre in der elektronischen Kommunikation wird sich jedoch wahrscheinlich weiter verzögern. Sobald sie in Kraft tritt, wird es Auswirkungen auf die derzeitige Funktionsweise von Cookies geben. Bis dahin ist es für Unternehmen mit globaler Präsenz sinnvoll, die Einhaltung der GDPR sicherzustellen, um hohe Geldstrafen zu vermeiden.

Was this article helpful?