Was ist die DSGVO?
Inwiefern unterscheidet sie sich von der EU-Datenschutzrichtlinie?
Die DSGVO (Datenschutz-Grundverordnung) ist der rechtliche Rahmen in der EU und im Vereinigten Königreich und hat 2018 die bis dahin gültige EU-Datenschutzrichtlinie ersetzt. Der wichtigste Unterschied zwischen den beiden ist der Unterschied zwischen einer Verordnung und einer Richtlinie.
Eine Verordnung ist ein Gesetz und rechtsverbindlich, während eine Richtlinie eine Empfehlung und somit nicht rechtsverbindlich ist. Das bedeutet, dass die DSGVO ein Gesetz ist, das von allen europäischen Mitgliedsstaaten befolgt werden muss.
Alternativ kann diese Unterscheidung auch so erklärt werden, dass eine Verordnung ein einziger Satz von Regeln ist, die befolgt werden müssen, während eine Richtlinie ein Satz von Regeln ist, der Raum für Interpretationen lässt.
Während die frühere EU-Datenschutzrichtlinie keine Definition von Datenschutzverletzungen enthielt, enthält die DSGVO eine sehr weit gefasste Definition, die besagt, dass eine Datenschutzverletzung „eine Verletzung der Sicherheit ist, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.“
Die Definitionen von Datenschutzverletzungen und personenbezogenen Daten sind entscheidend, da sie bedeuten, dass viele verschiedene Ereignisse oder Aktivitäten als Verstöße gegen die DSGVO eingestuft werden können. Personenbezogene Daten sind definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen – nicht nur Daten, die für Betrug oder Identitätsdiebstahl verwendet werden könnten.“
Was ist der Zweck der DSGVO?
Die DSGVO soll personenbezogene Daten und die Art und Weise schützen, wie Unternehmen sie verarbeiten, speichern und schließlich vernichten, wenn die Daten nicht mehr benötigt werden. Das Gesetz gibt Einzelpersonen die Kontrolle darüber, wie Unternehmen Informationen nutzen können, die direkt mit ihnen persönlich in Verbindung stehen, und sieht acht spezifische Rechte vor.
Sie legt auch sehr strenge Regeln fest, was passiert, wenn der Zugang zu persönlichen Daten verletzt wird, und welche Konsequenzen (Geldstrafen) Unternehmen zu erwarten haben.
Wie definiert die DSGVO „personenbezogene Daten“?
Wenn es um Datenschutz geht, sind die DSGVO-Bestimmungen die strengsten der Welt. Der Begriff „personenbezogene Daten“ wird sehr weit gefasst und umfasst praktisch alle Informationen, die eine Person identifizieren können. Die DSGVO kann auf viele Arten angewandt werden, darunter Beispiele wie die folgenden:
Direkte/indirekte Identifizierung
Zugeordnete Daten
IP-Adresse
Für wen gilt die DSGVO?
Die personenbezogenen Daten, die unter die DSGVO fallen, beginnen mit den Daten, die einer natürlichen Person bei der Geburt zugeordnet werden, umfassen alle identifizierbaren Daten dieser Person während ihres gesamten Lebens und enden mit dem Tod dieser Person. Sie gilt jedoch nicht für Organisationen, Unternehmen, Institutionen usw.
Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen speichern oder verarbeiten, sind verpflichtet, die DSGVO einzuhalten, auch wenn sie außerhalb der EU ansässig sind.
Denken Sie daran, dass die Verordnung personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Die Auswirkung der DSGVO auf IT-Mitarbeiter kann nicht minimiert werden. Die für die Verarbeitung Verantwortlichen, die Datenschutzbeauftragten, die Auftragsverarbeiter und andere spielen alle eine Rolle bei der Erleichterung und Durchsetzung der Einhaltung der Datenschutz-Grundverordnung. Definition der mit DSGVO-Compliance verbundenen Aufgaben:
Verantwortlicher
Ein Verantwortlicher bestimmt, alleine oder gemeinsam mit anderen, wie und warum personenbezogene Daten verarbeitet werden. Diese Rolle ähnelt der früheren Rolle des für die Datenverarbeitung Verantwortlichen im Rahmen der alten EU-Datenschutzrichtlinien, wurde jedoch erweitert. Rechtlich gesehen trägt der Verantwortliche die letzte Verantwortung dafür, dass die Auftragsverarbeiter die Regeln einhalten.
Auftragsverarbeiter
Ein Auftragsverarbeiter ist definiert als jede Person, die Daten im Auftrag des Datenverantwortlichen verarbeitet. Beispiele umfassen Drittunternehmen wie Marketingfirmen und Cloud-Hosting-Anbieter.
Datenschutzbeauftragter
Möglicherweise muss ein Datenschutzbeauftragter (DSB) als führende Autorität für DSGVO-Compliance innerhalb des Unternehmens benannt werden. Kurz gesagt, ein DSB ist erforderlich, wenn die Verarbeitung von Daten durch eine Behörde oder eine Einrichtung des öffentlichen Rechts erfolgt oder wenn Daten regelmäßig und systematisch in großem Umfang verarbeitet werden oder wenn die Verarbeitung spezieller Daten wie z. B. strafrechtlicher Verurteilungen in großem Umfang erfolgt.
Verantwortliche, Auftragsverarbeiter oder Unternehmen außerhalb der EU
Verantwortliche, Auftragsverarbeiter oder Unternehmen außerhalb der EU, die ihre Dienstleistungen und Waren in der EU anbieten oder identifizierende Daten von EU-Bürgern verarbeiten, müssen DSGVO-konform handeln.
Die 8 Rechte der DSGVO
Recht, informiert zu werden
Recht auf Zugriff
Recht auf Berichtigung
Recht auf Löschung (Recht auf Vergessenwerden)
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Widerspruchsrecht
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Checkliste für DSGVO-Compliance
Die DSGVO ist in der Tat ein Schwergewicht. Mit dieser Checkliste erhalten Sie einen einfachen Überblick über die ersten Schritte hin zu Compliance. Hinweis: Die folgenden Informationen sind allgemeiner Natur und stellen keine Rechtsberatung dar. Sie sollten sich mit einem Anwalt in Verbindung setzen, der sich auf die Einhaltung der DSGVO im Rahmen der speziellen Situation Ihres Unternehmens spezialisiert hat.
Zugriff auf Ihre Daten
- Beginnen Sie mit einem Audit der Informationen, die Sie derzeit verarbeiten, einschließlich der Details darüber, wer darauf zugreifen kann.
- Vergewissern Sie sich, dass Sie eine rechtliche Grundlage für die Erfassung dieser Daten haben.
- Führen Sie Ihre Verarbeitung und die rechtliche Begründung in Ihrer Datenschutzrichtlinie auf.
Sicherung Ihrer Daten
- Verwenden Sie Verschlüsselungsprotokolle und andere Methoden zur Gewährleistung der Anonymität personenbezogener Daten, wo dies möglich ist.
- Erstellen Sie eine Datensicherheitsrichtlinie und sorgen Sie dafür, dass Ihre Mitarbeiter darin geschult werden. Überprüfen Sie Ihre Richtlinie regelmäßig und setzen Sie die darin enthaltenen Bestimmungen durch.
- Stellen Sie sicher, dass Sie über einen Plan zur Reaktion auf Vorfälle verfügen, um Verstöße zu melden, Probleme zu entschärfen und Abhilfemaßnahmen zu ergreifen, damit ähnliche Vorfälle in Zukunft vermieden werden können.
Überwachung Ihrer Daten
- Wählen Sie eine Person aus, die dafür verantwortlich ist, dass die DSGVO-Compliance unternehmensweit umgesetzt wird.
- Vergewissern Sie sich, dass Sie mit allen Dritten, die Daten für Ihre Organisation verarbeiten, eine Vereinbarung zur Datenverarbeitung aufsetzen und unterzeichnen.
- Wenn Sie außerhalb der EU tätig sind, sollte ein Vertreter aus der EU ernannt werden.
- Bei Bedarf sollten Sie einen Datenschutzbeauftragten ernennen.
Überlegungen zum Datenschutz
- Stellen Sie sicher, dass personenbezogene Daten einfach gelöscht werden können, wenn betroffene Personen dies fordern.
- Machen Sie es den Kunden leicht, die Verarbeitung ihrer Daten zu stoppen, wenn sie dies wünschen.
- Stellen Sie sicher, dass Ihre Kunden die personenbezogenen Daten, die Sie über sie haben, in einem Format erhalten, das leicht übertragen werden kann.
- Ermöglichen Sie ein einfaches Widerspruchsverfahren, wenn Sie aufgefordert werden, die Datenverarbeitung zu stoppen.
- Wenn Ihre automatisierten Prozesse eine Entscheidungsfindung beinhalten, stellen Sie sicher, dass Sie über Verfahren zum Datenschutz verfügen.
Herausforderungen für DSGVO-Compliance
Die Einhaltung der strengen DSGVO bringt jede Menge Herausforderungen mit sich. Länder auf der ganzen Welt haben jedoch erkannt, dass die strengen Richtlinien zum Schutz personenbezogener Daten nicht nur im Interesse des Einzelnen, sondern auch im Interesse des Unternehmens sind. Viele Länder entwickeln daher Compliance-Vorschriften nach dem Vorbild der DSGVO. Einige nennenswerte sind der California Consumer Privacy Act (CCPA), der vorgeschlagene kanadische Digital Charter Implementation Act und der brasilianische Lei Geral de Protecao de Dados (LGPD).
Um die Vorschriften einzuhalten, müssen Unternehmen die schwierige Arbeit leisten, die Rechte der betroffenen Personen zu schützen, Folgenabschätzungen durchzuführen, Vorfälle wie Datenschutzverletzungen zu melden und sicherzustellen, dass sie über Prüfverfahren verfügen. Darüber hinaus ist die DSGVO zwar eine EU-Verordnung, aber ihre Auswirkungen sind global, da auch Unternehmen, die Mitarbeiter oder Kunden außerhalb der EU haben oder die Daten verwenden, die außerhalb der EU verarbeitet werden, die Vorschriften einhalten müssen.
IT-Mitarbeiter haben bei der Einführung der DSGVO vielleicht manuelle Prozesse oder sogar vorübergehende Kontrollen eingesetzt, um die Anforderungen zu erfüllen, aber dieser Ansatz ist nicht nachhaltig. Stattdessen erfüllt eine robuste, automatisierte und optimierte Datenschutztechnologie besser die strengen gesetzlichen Anforderungen an die Beschränkung des Zugriffs auf personenbezogene Daten und die Sicherung von Daten im Ruhezustand und in Bewegung.
Sicherheit
Datenmanagement
Automatisierung
DSGVO-Anforderungen mit einer Suite Sicherheitslösungen erfüllen
Die Einhaltung der DSGVO erfordert einen mehrschichtigen Ansatz, der am besten mit einer Reihe von Sicherheitslösungen erfüllt wird, die nahtlos in Ihr Unternehmen integriert werden können, um die festgelegten Richtlinien durchzusetzen. Die Sicherheitssuite von Fortra bietet eine Vielzahl von sicherheitsorientierten Lösungen, die Ihnen helfen, Ihre GDPR-Verpflichtungen zu erfüllen.
Adaptive Data Loss Prevention (A-DLP)
Datenklassifizierung
Bewertung von Sicherheitslücken und Verhindern von Hackerangriffen
Datensichere Dateiübertragung
Infrastrukturschutz
Wir können Sie bei DSGVO-Compliance unterstützen
Kontaktieren Sie die Experten von Fortra für eine kostenlose 30-minütige Beratung darüber, welche Lösungen für Ihr Unternehmen am besten geeignet sind. Wir helfen Ihnen herauszufinden, was Sie als Nächstes tun müssen, um die DSGVO einzuhalten.