Ziel der Datenschutz-Grundverordnung ist es, alle EU-Bürger in einer zunehmend datengetriebenen Welt vor Datenschutz und Datenverletzungen zu schützen, die sich erheblich von der Zeit unterscheidet, in der die Richtlinie von 1995 aufgestellt wurde. Auch wenn die wichtigsten Grundsätze des Datenschutzes der früheren Richtlinie noch immer entsprechen, wurden zahlreiche Änderungen der Regulierungspolitik vorgeschlagen. Die wichtigsten Punkte der DSGVO sowie Informationen über die Auswirkungen auf die Unternehmen finden Sie weiter unten.
Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung, mit der die Europäische Kommission den Datenschutz für Einzelpersonen in der Europäischen Union (EU) stärken und vereinheitlichen will. Es befasst sich auch mit dem Export von personenbezogenen Daten außerhalb der EU.
Die neue DSGVO ist eine Weiterentwicklung der bestehenden EU-Datenschutzvorschriften, der Datenschutzrichtlinie (DPD). Es behandelt viele der Mängel in der DPD: Hinzufügen von Anforderungen für die Dokumentation von IT-Verfahren, Durchführung von Risikobewertungen unter bestimmten Bedingungen, Benachrichtigung der Verbraucher und Behörden im Falle eines Verstoßes sowie Stärkung der Regeln für die Datenminimierung. Wikipedia
Es ist wichtig zu beachten, dass die DSGVO der EU personenbezogene Daten umfasst. In den USA würden wir persönlich identifizierbare Informationen (PII) nennen. Denken Sie an Namen, Adressen, Telefonnummern, Kontonummern und in letzter Zeit an E-Mail- und IP-Adressen.
- Erhöhter territorialer Geltungsbereich (extraterritoriale Anwendbarkeit) Die wohl größte Veränderung im regulatorischen Umfeld des Datenschutzes liegt in der erweiterten Zuständigkeit der Datenschutz-Grundverordnung, da sie für alle Unternehmen gilt, die personenbezogene Daten von in der Union ansässigen betroffenen Personen unabhängig vom Standort des Unternehmens verarbeiten. Zuvor war die territoriale Anwendbarkeit der Richtlinie nicht eindeutig und bezog sich auf den Datenprozess „im Zusammenhang mit einem Betrieb“. Dieses Thema ist in einer Reihe von bekannten Gerichtsverfahren aufgetreten. Die GPDR macht ihre Anwendbarkeit sehr deutlich – sie wird für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Auftragsverarbeiter in der EU gelten, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die Datenschutzgrundverordnung gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen in der EU nicht niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Tätigkeiten Folgendes betreffen: Anbieten von Waren oder Dienstleistungen für EU-Bürger (unabhängig davon, ob eine Zahlung erforderlich ist) und die Überwachung von Verhaltensweisen innerhalb der EU. Auch Nicht-EU-Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen einen Vertreter in der EU benennen.
- Strafen Im Rahmen der DSGVO können Organisationen, die gegen die DSGVO verstoßen, bis zu 4% des jährlichen Weltumsatzes oder 20 Mio. EUR (je nachdem, welcher Betrag höher ist) bestraft werden. Dies ist die maximale Geldbuße, die für die schwerwiegendsten Verstöße auferlegt werden kann, zum Beispiel wenn sie nicht genügend Zustimmung des Kunden haben, Daten zu verarbeiten oder den Kern der Privacy by Design-Konzepte zu verletzen. Es gibt eine gestaffelte Vorgehensweise für Geldbußen, z.B. Ein Unternehmen kann mit einer Geldbuße von 2% belegt werden, wenn seine Unterlagen nicht ordnungsgemäß archiviert werden (Artikel 28), wobei die Aufsichtsbehörde und die betroffene Person nicht über eine Verletzung informiert werden oder keine Folgenabschätzung vornehmen. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten – was bedeutet, dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.
- Zustimmung Die Bedingungen für die Einwilligung wurden gestärkt, und die Unternehmen werden nicht länger in der Lage sein, lange unleserliche Bedingungen voll juristischer Sprache zu verwenden, da der Antrag auf Einwilligung in verständlicher und leicht zugänglicher Form mit dem Zweck der Datenverarbeitung gestellt werden muss diese Zustimmung. Die Einwilligung muss klar und deutlich von anderen Angelegenheiten unterscheidbar sein und in verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache zur Verfügung gestellt werden. Es muss so einfach sein, die Einwilligung zu widerrufen, wie sie zu geben ist.
Datensubjekt-Rechte
- Verstoßmeldung. Im Rahmen der Datenschutz-Grundverordnung wird die Meldung von Verstößen in allen Mitgliedstaaten verbindlich vorgeschrieben, in denen ein Verstoß gegen die Datenschutzbestimmungen wahrscheinlich zu einem Risiko für die Rechte und Freiheiten des Einzelnen führt. Dies muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes geschehen. Die Datenverarbeiter werden außerdem verpflichtet, ihre Kunden, die Kontrolleure, „unverzüglich“ zu benachrichtigen, nachdem sie eine Datenverletzung bemerkt haben.
- Zugangsrecht. Ein Teil der durch die DSGVO erweiterten Rechte der betroffenen Personen ist das Recht für die betroffenen Personen, von der für die Verarbeitung Verantwortlichen Kenntnis darüber zu erlangen, ob personenbezogene Daten über sie verarbeitet werden, wo und zu welchem Zweck. Ferner stellt der für die Verarbeitung Verantwortliche kostenlos eine Kopie der personenbezogenen Daten in elektronischer Form zur Verfügung. Diese Änderung stellt eine dramatische Veränderung der Datentransparenz und der Befähigung der betroffenen Personen dar.
- Das Recht, vergessen zu werden. Auch als Datenlöschung bekannt, berechtigt das Recht, in Vergessenheit zu geraten, die betroffene Person dazu, dass der für die Verarbeitung Verantwortliche ihre personenbezogenen Daten löscht, die Weiterverbreitung der Daten einstellt und möglicherweise Dritte die Verarbeitung der Daten einstellen lässt. Die Bedingungen für das Löschen, wie in Artikel 17 dargelegt, beinhalten, dass die Daten für die ursprünglichen Zwecke für die Verarbeitung nicht mehr relevant sind oder dass die betroffenen Personen ihre Zustimmung zurückziehen. Es sollte auch darauf hingewiesen werden, dass dieses Recht von den für die Verarbeitung Verantwortlichen verlangt, die Rechte der Subjekte bei der Prüfung solcher Anfragen mit dem „öffentlichen Interesse an der Verfügbarkeit der Daten“ zu vergleichen.
- Datenportabilität Die DSGVO führt Datenübertragbarkeit ein – das Recht für eine betroffene Person, die sie betreffenden personenbezogenen Daten zu erhalten, die sie zuvor in einem „allgemein verwendbaren und maschinenlesbaren Format“ bereitgestellt haben, und das Recht, diese Daten an einen anderen Verantwortlichen zu übermitteln.
- Datenschutz durch Design Privacy by Design als Konzept existiert seit Jahren, wird aber erst mit der DSGVO Teil einer gesetzlichen Anforderung. In seinem Kern verlangt „Privacy by Design“ die Einbeziehung des Datenschutzes von Anfang an in die Entwicklung von Systemen und nicht als Ergänzung. Im Einzelnen – „Der für die Verarbeitung Verantwortliche … setzt geeignete technische und organisatorische Maßnahmen … in wirksamer Weise um, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen“. Nach Artikel 23 müssen die für die Verarbeitung Verantwortlichen nur die für die Erfüllung ihrer Aufgaben unbedingt notwendigen Daten speichern und verarbeiten (Datenminimierung) und den Zugang zu personenbezogenen Daten auf diejenigen beschränken, die die Verarbeitung abwickeln müssen.
- Datenschutzbeauftragte. Gegenwärtig müssen die für die Verarbeitung Verantwortlichen ihre Datenverarbeitungsaktivitäten mit lokalen Datenschutzbehörden melden, was für multinationale Unternehmen ein bürokratischer Albtraum sein kann, da die meisten Mitgliedstaaten unterschiedliche Meldeanforderungen haben. Im Rahmen der DSGVO ist es nicht erforderlich, Meldungen / Registrierungen an jede lokale Datenschutzbehörde für Datenverarbeitungstätigkeiten zu übermitteln, und es ist auch nicht erforderlich, Übertragungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu melden / zu erhalten. Stattdessen wird es interne Anforderungen an die Aufbewahrung von Aufzeichnungen geben, wie weiter unten erläutert, und die Ernennung von Datenschutzbeauftragten ist nur für jene Controller und Prozessoren verpflichtend, deren Kernaktivitäten aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen erfordern Kategorien von Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten.
Wichtig ist:
- Sie müssen aufgrund ihrer beruflichen Qualitäten und insbesondere ihres Fachwissens über Datenschutzgesetze und -praktiken ernannt werden
- Kann ein Mitarbeiter oder ein externer Dienstleister sein
- Die Kontaktdaten müssen der zuständigen Datenschutzbehörde mitgeteilt werden
- Sie müssen mit geeigneten Ressourcen ausgestattet sein, um ihre Aufgaben zu erfüllen und ihr Fachwissen zu bewahren
- Muss direkt an die oberste Managementebene gemeldet werden
- Darf keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten.
Das umstrittene „Recht auf Vergessenwerden“ ist jetzt Gesetz des EU-Landes.
Für die meisten Unternehmen ist dies ein Recht für die Verbraucher, ihre Daten zu löschen.
Die Datenschutz-Grundverordnung hat die bestehenden Löschungsregeln des DPD gestärkt und dann das Recht auf Vergessen gesetzt. Es gibt jetzt eine Sprache, die den Controller zwingen würde, angemessene Schritte zu unternehmen, um Dritte über eine Anfrage zum Löschen von Informationen zu informieren.
In Artikel 17 der vorgeschlagenen DSGVO heißt es: „Der (…) für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, insbesondere in Bezug auf personenbezogene Daten, die erfasst werden, als die betroffene Person ein Kind war, und die Daten Der Betreffende hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung der ihn betreffenden personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen „.
Dies bedeutet, dass im Falle eines Social-Media-Dienstes, der persönliche Daten eines Abonnenten im Web veröffentlicht, diese nicht nur die anfänglichen Informationen entfernen, sondern auch andere Websites kontaktieren müssen, die die Informationen möglicherweise kopiert haben. Dies wäre kein einfacher Prozess!
Was ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte weitergibt, beispielsweise einen cloudbasierten Dienst zur Speicherung oder Verarbeitung?
Übersetzung: Der Verbraucher oder die betroffene Person kann jederzeit die Löschung der von den Unternehmen gespeicherten Daten verlangen. In der EU gehören die Daten den Menschen!
Die neue DSGVO hat unmittelbare praktische Auswirkungen. Betrachten wir als Beispiel die Auswirkungen auf das webbasierte Marketing.
In der EU-DSGVO heißt es, dass Vermarkter die Daten auf den Zweck beschränken sollten, für den sie erhoben werden – brauche ich wirklich Postleitzahlen oder Lieblingsbücher? – und die Daten nicht über den Punkt hinaus behalten, an dem sie nicht mehr relevant sind.
Die Datenpunkte, die Sie vor fünf Jahren aus dieser Web-Kampagne gesammelt haben – enthalten vielleicht 5000 E-Mail-Adressen zusammen mit den Lieblings-Tiernamen – und leben jetzt in einer Tabelle, die niemand jemals anschaut. Nun, Sie sollten es finden und löschen.
Wenn die lokale EU-Behörde den Bruch zu Ihrem Unternehmen zurückverfolgen kann, können Sie mit hohen Geldstrafen rechnen.
Minimieren Sie die gesammelten Daten (insbesondere PII) von den Verbrauchern. Bewahren Sie persönliche Daten nicht über ihren ursprünglichen Zweck hinaus auf. Ermöglichen Sie den Verbrauchern den Zugriff auf und den Besitz ihrer Daten. Auf PbD wird in Artikel 23 der Datenschutz-Grundverordnung und an vielen anderen Stellen der neuen Verordnung stark Bezug genommen.
GDPR Portal
https://www.eugdpr.org/