Datenschutz Grundverordnung – General Data Protection Regulation

Datenschutz Grundverordnung

Die neue Datenschutz Grundverordnung – General Data Protection Regulation

Ziel der Datenschutz-Grundverordnung ist es, alle EU-Bürger in einer zunehmend datengetriebenen Welt vor Datenschutz und Datenverletzungen zu schützen, die sich erheblich von der Zeit unterscheidet, in der die Richtlinie von 1995 aufgestellt wurde. Auch wenn die wichtigsten Grundsätze des Datenschutzes der früheren Richtlinie noch immer entsprechen, wurden zahlreiche Änderungen der Regulierungspolitik vorgeschlagen. Die wichtigsten Punkte der DSGVO sowie Informationen über die Auswirkungen auf die Unternehmen finden Sie weiter unten.

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung, mit der die Europäische Kommission den Datenschutz für Einzelpersonen in der Europäischen Union (EU) stärken und vereinheitlichen will. Es befasst sich auch mit dem Export von personenbezogenen Daten außerhalb der EU.
Die neue DSGVO ist eine Weiterentwicklung der bestehenden EU-Datenschutzvorschriften, der Datenschutzrichtlinie (DPD). Es behandelt viele der Mängel in der DPD: Hinzufügen von Anforderungen für die Dokumentation von IT-Verfahren, Durchführung von Risikobewertungen unter bestimmten Bedingungen, Benachrichtigung der Verbraucher und Behörden im Falle eines Verstoßes sowie Stärkung der Regeln für die Datenminimierung. Wikipedia

Es ist wichtig zu beachten, dass die DSGVO der EU personenbezogene Daten umfasst. In den USA würden wir persönlich identifizierbare Informationen (PII) nennen. Denken Sie an Namen, Adressen, Telefonnummern, Kontonummern und in letzter Zeit an E-Mail- und IP-Adressen.

Eine Möglichkeit, die DSGVO zu beschreiben, besteht darin, dass sie einfach eine Menge gesunder Datensicherheitsideen legalisiert, insbesondere aus der Sicht von Privacy by Design: Minimierung der Sammlung von persönlichen Daten, Löschung von nicht mehr benötigten personenbezogenen Daten, Einschränkung des Zugriffs und sichere Daten während seines gesamten Lebenszyklus.

Erhöhter territorialer Geltungsbereich (extraterritoriale Anwendbarkeit)
Die wohl größte Veränderung im regulatorischen Umfeld des Datenschutzes liegt in der erweiterten Zuständigkeit der Datenschutz-Grundverordnung, da sie für alle Unternehmen gilt, die personenbezogene Daten von in der Union ansässigen betroffenen Personen unabhängig vom Standort des Unternehmens verarbeiten. Zuvor war die territoriale Anwendbarkeit der Richtlinie nicht eindeutig und bezog sich auf den Datenprozess „im Zusammenhang mit einem Betrieb“. Dieses Thema ist in einer Reihe von bekannten Gerichtsverfahren aufgetreten. Die GPDR macht ihre Anwendbarkeit sehr deutlich – sie wird für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Auftragsverarbeiter in der EU gelten, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die Datenschutzgrundverordnung gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen in der EU nicht niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Tätigkeiten Folgendes betreffen: Anbieten von Waren oder Dienstleistungen für EU-Bürger (unabhängig davon, ob eine Zahlung erforderlich ist) und die Überwachung von Verhaltensweisen innerhalb der EU. Auch Nicht-EU-Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen einen Vertreter in der EU benennen.

Strafen
Im Rahmen der DSGVO können Organisationen, die gegen die DSGVO verstoßen, bis zu 4% des jährlichen Weltumsatzes oder 20 Mio. EUR (je nachdem, welcher Betrag höher ist) bestraft werden. Dies ist die maximale Geldbuße, die für die schwerwiegendsten Verstöße auferlegt werden kann, zum Beispiel wenn sie nicht genügend Zustimmung des Kunden haben, Daten zu verarbeiten oder den Kern der Privacy by Design-Konzepte zu verletzen. Es gibt eine gestaffelte Vorgehensweise für Geldbußen, z.B. Ein Unternehmen kann mit einer Geldbuße von 2% belegt werden, wenn seine Unterlagen nicht ordnungsgemäß archiviert werden (Artikel 28), wobei die Aufsichtsbehörde und die betroffene Person nicht über eine Verletzung informiert werden oder keine Folgenabschätzung vornehmen. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten – was bedeutet, dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.

Zustimmung
Die Bedingungen für die Einwilligung wurden gestärkt, und die Unternehmen werden nicht länger in der Lage sein, lange unleserliche Bedingungen voll juristischer Sprache zu verwenden, da der Antrag auf Einwilligung in verständlicher und leicht zugänglicher Form mit dem Zweck der Datenverarbeitung gestellt werden muss diese Zustimmung. Die Einwilligung muss klar und deutlich von anderen Angelegenheiten unterscheidbar sein und in verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache zur Verfügung gestellt werden. Es muss so einfach sein, die Einwilligung zu widerrufen, wie sie zu geben ist.

Datensubjekt-Rechte

Verstoßmeldung
Im Rahmen der Datenschutz-Grundverordnung wird die Meldung von Verstößen in allen Mitgliedstaaten verbindlich vorgeschrieben, in denen ein Verstoß gegen die Datenschutzbestimmungen wahrscheinlich zu einem Risiko für die Rechte und Freiheiten des Einzelnen führt. Dies muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes geschehen. Die Datenverarbeiter werden außerdem verpflichtet, ihre Kunden, die Kontrolleure, „unverzüglich“ zu benachrichtigen, nachdem sie eine Datenverletzung bemerkt haben.

Zugangsrecht
Ein Teil der durch die DSGVO erweiterten Rechte der betroffenen Personen ist das Recht für die betroffenen Personen, von der für die Verarbeitung Verantwortlichen Kenntnis darüber zu erlangen, ob personenbezogene Daten über sie verarbeitet werden, wo und zu welchem ​​Zweck. Ferner stellt der für die Verarbeitung Verantwortliche kostenlos eine Kopie der personenbezogenen Daten in elektronischer Form zur Verfügung. Diese Änderung stellt eine dramatische Veränderung der Datentransparenz und der Befähigung der betroffenen Personen dar.

Das Recht, vergessen zu werden
Auch als Datenlöschung bekannt, berechtigt das Recht, in Vergessenheit zu geraten, die betroffene Person dazu, dass der für die Verarbeitung Verantwortliche ihre personenbezogenen Daten löscht, die Weiterverbreitung der Daten einstellt und möglicherweise Dritte die Verarbeitung der Daten einstellen lässt. Die Bedingungen für das Löschen, wie in Artikel 17 dargelegt, beinhalten, dass die Daten für die ursprünglichen Zwecke für die Verarbeitung nicht mehr relevant sind oder dass die betroffenen Personen ihre Zustimmung zurückziehen. Es sollte auch darauf hingewiesen werden, dass dieses Recht von den für die Verarbeitung Verantwortlichen verlangt, die Rechte der Subjekte bei der Prüfung solcher Anfragen mit dem „öffentlichen Interesse an der Verfügbarkeit der Daten“ zu vergleichen.

Datenportabilität
Die DSGVO führt Datenübertragbarkeit ein – das Recht für eine betroffene Person, die sie betreffenden personenbezogenen Daten zu erhalten, die sie zuvor in einem „allgemein verwendbaren und maschinenlesbaren Format“ bereitgestellt haben, und das Recht, diese Daten an einen anderen Verantwortlichen zu übermitteln.

Datenschutz durch Design
Privacy by Design als Konzept existiert seit Jahren, wird aber erst mit der DSGVO Teil einer gesetzlichen Anforderung. In seinem Kern verlangt „Privacy by Design“ die Einbeziehung des Datenschutzes von Anfang an in die Entwicklung von Systemen und nicht als Ergänzung. Im Einzelnen – „Der für die Verarbeitung Verantwortliche … setzt geeignete technische und organisatorische Maßnahmen … in wirksamer Weise um, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen“. Nach Artikel 23 müssen die für die Verarbeitung Verantwortlichen nur die für die Erfüllung ihrer Aufgaben unbedingt notwendigen Daten speichern und verarbeiten (Datenminimierung) und den Zugang zu personenbezogenen Daten auf diejenigen beschränken, die die Verarbeitung abwickeln müssen.

Datenschutzbeauftragte
Gegenwärtig müssen die für die Verarbeitung Verantwortlichen ihre Datenverarbeitungsaktivitäten mit lokalen Datenschutzbehörden melden, was für multinationale Unternehmen ein bürokratischer Albtraum sein kann, da die meisten Mitgliedstaaten unterschiedliche Meldeanforderungen haben. Im Rahmen der DSGVO ist es nicht erforderlich, Meldungen / Registrierungen an jede lokale Datenschutzbehörde für Datenverarbeitungstätigkeiten zu übermitteln, und es ist auch nicht erforderlich, Übertragungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu melden / zu erhalten. Stattdessen wird es interne Anforderungen an die Aufbewahrung von Aufzeichnungen geben, wie weiter unten erläutert, und die Ernennung von Datenschutzbeauftragten ist nur für jene Controller und Prozessoren verpflichtend, deren Kernaktivitäten aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen erfordern Kategorien von Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten. Wichtig ist, die DPO:
Sie müssen aufgrund ihrer beruflichen Qualitäten und insbesondere ihres Fachwissens über Datenschutzgesetze und -praktiken ernannt werden
Kann ein Mitarbeiter oder ein externer Dienstleister sein
Die Kontaktdaten müssen der zuständigen Datenschutzbehörde mitgeteilt werden
Sie müssen mit geeigneten Ressourcen ausgestattet sein, um ihre Aufgaben zu erfüllen und ihr Fachwissen zu bewahren
Muss direkt an die oberste Managementebene gemeldet werden
Darf keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten.

Das Recht, vergessen zu werden

Das umstrittene „Recht auf Vergessenwerden“ ist jetzt Gesetz des EU-Landes.

Für die meisten Unternehmen ist dies ein Recht für die Verbraucher, ihre Daten zu löschen.

Die Datenschutz-Grundverordnung hat die bestehenden Löschungsregeln des DPD gestärkt und dann das Recht auf Vergessen gesetzt. Es gibt jetzt eine Sprache, die den Controller zwingen würde, angemessene Schritte zu unternehmen, um Dritte über eine Anfrage zum Löschen von Informationen zu informieren.

In Artikel 17 der vorgeschlagenen DSGVO heißt es: „Der (…) für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, insbesondere in Bezug auf personenbezogene Daten, die erfasst werden, als die betroffene Person ein Kind war, und die Daten Der Betreffende hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung der ihn betreffenden personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen „.

Dies bedeutet, dass im Falle eines Social-Media-Dienstes, der persönliche Daten eines Abonnenten im Web veröffentlicht, diese nicht nur die anfänglichen Informationen entfernen, sondern auch andere Websites kontaktieren müssen, die die Informationen möglicherweise kopiert haben. Dies wäre kein einfacher Prozess!

Was ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte weitergibt, beispielsweise einen cloudbasierten Dienst zur Speicherung oder Verarbeitung?

Der lange Arm der EU-Verordnungen gilt immer noch: Als Datenverarbeiter muss der Cloud-Dienst auch die persönlichen Daten löschen, wenn der für die Verarbeitung Verantwortliche dies verlangt.

Übersetzung: Der Verbraucher oder die betroffene Person kann jederzeit die Löschung der von den Unternehmen gespeicherten Daten verlangen. In der EU gehören die Daten den Menschen!

Varonis kann Ihnen helfen, sich auf unsere kostenlose DSP-Bereitschaftsprüfung vorzubereiten. Unser Team wird für Sie alle Schwerstarbeit leisten: Aufbau, Konfiguration und Analyse mit konkreten Schritten zur Verbesserung Ihrer DSG-Einhaltung. Unsere Einschätzung ist stressfrei, unaufdringlich und Sie erhalten einen umfassenden Bericht.

Datenschutz durch Design

Privacy by Design (PbD) ist ein gut gemeinter Satz von Prinzipien – siehe unseren Spickzettel -, um die C-Suite dazu zu bringen, die Privatsphäre und Sicherheit der Verbraucher ernsthafter zu nehmen. Insgesamt ist PbD eine gute Idee und Sie sollten versuchen, sich daran zu halten.

Aber mit der Datenschutz-Grundverordnung (DSGVO) ist es mehr als das: Es ist das Gesetz, wenn Sie Geschäfte in der EU-Zone machen!

PbD hat vernünftige Richtlinien und Praktiken in Bezug auf den Zugang der Verbraucher zu ihren Daten und macht Datenschutzrichtlinien offen und transparent. Dies sind keine kontroversen Ideen, außer wenn Sie, ähm, eine große Internet-Firma sind, die viele Verbraucherdaten sammelt.

Und PbD verzichtet auch auf gute allgemeine Hinweise zur Datensicherheit, die sich in einem Wort zusammenfassen lassen: minimieren.

Minimieren Sie die Sammlung von Kundendaten, minimieren Sie, mit wem Sie die Daten teilen, und minimieren Sie, wie lange Sie diese Daten aufbewahren. Weniger ist mehr: weniger Daten für den Hacker, bedeutet eine sicherere Umgebung.

Die neue DSGVO hat unmittelbare praktische Auswirkungen. Betrachten wir als Beispiel die Auswirkungen auf das webbasierte Marketing.

Unternehmen versuchen immer, Informationen über ihre Kunden zu erhalten und suchen neue Leads mit dem vollen digitalen Arsenal – Web, E-Mail, Mobile Und wenn eine halbe Chance gegeben wird, wollen Marketer immer mehr Daten – Einkommen, Einkommen, Postleitzahl, letztes Buch lesen, Lieblingseis, Lieblingsessen, etc. – auch für die einfachste Verbraucherinteraktion.

In der EU-DSGVO heißt es, dass Vermarkter die Daten auf den Zweck beschränken sollten, für den sie erhoben werden – brauche ich wirklich Postleitzahlen oder Lieblingsbücher? – und die Daten nicht über den Punkt hinaus behalten, an dem sie nicht mehr relevant sind.

Die Datenpunkte, die Sie vor fünf Jahren aus dieser Web-Kampagne gesammelt haben – enthalten vielleicht 5000 E-Mail-Adressen zusammen mit den Lieblings-Tiernamen – und leben jetzt in einer Tabelle, die niemand jemals anschaut. Nun, Sie sollten es finden und löschen.

Wenn ein Hacker es ergreift und es für Phishingzwecke verwendet, haben Sie ein Sicherheitsrisiko für Ihre Kunden geschaffen.

Wenn die lokale EU-Behörde den Bruch zu Ihrem Unternehmen zurückverfolgen kann, können Sie mit hohen Geldstrafen rechnen.

Können also große Daten und Privatsphäre glücklich zusammenleben? Privacy by Design (PbD) sagt ja – mit wenigen grundlegenden Schritten können Sie die PbD-Vision erreichen:

Minimieren Sie die gesammelten Daten (insbesondere PII) von den Verbrauchern
Bewahren Sie persönliche Daten nicht über ihren ursprünglichen Zweck hinaus auf
Ermöglichen Sie den Verbrauchern den Zugriff auf und den Besitz ihrer Daten.
Auf PbD wird in Artikel 23 der Datenschutz-Grundverordnung und an vielen anderen Stellen der neuen Verordnung stark Bezug genommen.

Es ist nicht zu weit hergeholt zu sagen, dass wenn Sie PbD implementieren, Sie auf dem besten Weg sind, die DSGVO zu meistern.

Unsere Checkliste für die Vorbereitung auf die DSGVO

Alle Informationen zur Datenschutz-Grundverordnung auf einem Blick: Gesetztexte, aktueller Umsetzungsstand beim deutschen Gesetzgeber, Stimmen der Aufsichtsbehörden und eine Checkliste zur Umsetzung im Unternehmen finden Sie hier:

  • Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen; Art. 39 Abs. 1 lit. b (zum Blogbeitrag).
  • Datenschutz-Folgenabschätzung/Privacy Impact Assessment als Prozess etablieren; Art. 35 (zum Blogbeitrag).
  • Prozesse gestalten: Meldepflichten bei Datenpannen; Art. 33 f. (zum Blogbeitrag).
  • Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.; Art. 12 ff. DSGVO (zum Blogbeitrag).
  • Alle Prozesse dokumentieren; Art. 5 Abs. 2.
  •  ADV-Verträge anpassen; Art. 28 (zum Blogbeitrag).
  • Verfahrensverzeichnis überprüfen; Art. 30 (zum Blogbeitrag).
  • Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen; Art. 30 Abs. 2 (zum Blogbeitrag).
  • Schulungsplanung aufstellen; Art. 39 Abs. 1 lit. b.
  • TOMs dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen; Art. 32 (zum Blogbeitrag).
  • Wirksamkeit der TOMs prüfen, Penetrationstests und Informationssicherheitsmanagement planen; Art. 32 Abs. 1 lit. d (zum Blogbeitrag).
  • Ggf. technische Umsetzung der Betroffenenrechte planen – Auskunft, Datenübertragbarkeit etc.; z.B. Art. 20 (zum Blogbeitrag).
  • Formulare und Einwilligungen überprüfen; Art. 7 (zum Blogbeitrag).
  • Datenschutzerklärung anpassen, ggf. Webtracking anpassen; Art. 13 ff. und ePrivacy-Richtline (zum Blogbeitrag).
  • Ruhig bleiben und alles Weitere im Blick behalten. 

GDPR Portal
https://www.eugdpr.org/