Logo Logo
Cookiebot

Worum handelt es sich bei der Datenschutz-Grundverordnung?


Bei der Datenschutz-Grundverordnung handelt es sich um eine Verordnung, die in der gesamten EU gültig ist. Diese Verordnung gibt Unternehmen und anderen Organisationen die Art und Weise des Schutzes personengebundener Daten vor. Es ist die bedeutendste Initiative im Rahmen des Datenschutzes innerhalb der letzten 20 Jahren und wirkt sich weltweit entscheidend auf Organisationen aus, die im Dienste von EU-Kunden tätig sind.

Dass Menschen kontrollieren können, inwiefern ihre Daten genutzt und geschützt werden, gehört zu den „grundsätzlichen Rechten und Freiheiten natürlicher Personen“. Deshalb bestehen rechtlich strenge Vorgaben zu den Themen Abwicklungsverfahren, Transparenz, Dokumentation und Einwilligung der Nutzer.

Jedes Unternehmen ist verpflichtet, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen.

Dies betrifft personengebundene Daten, die innerhalb der Organisation, aber auch von Dritten (sogenannte Datenprozessoren) verarbeitet werden.

Der Begriff „Datenprozessor“ kann z. B. auf Software-as-a-Service-Anbieter, auf integrierte Dienste Dritter sowie auf die Nachverfolgung und Profilierung von Besuchern der Unternehmenswebseite verweisen.

Datenverantwortliche, wie auch Datenprozessoren, müssen in der Lage sein, Auskunft zu geben über die Art und Weise der zu verarbeitenden Daten, den Zweck der Verarbeitung sowie über die Staaten und Dritte, an und über die die Daten versandt werden. Daten dürfen nur an Organisationen versandt werden, die sich der Konformität gegenüber der Datenschutz-Verordnung ebenfalls verpflichtet haben oder an solche, die sich in „angemessenen“ Rechtsprechungsgebieten befinden.

Die Verarbeitung personengebundener Daten ist nur nach vorherigem Einverständnis rechtskonform. Das bedeutet: Ein solches Einverständnis muss im Vorfeld eines jeglichen Datenverarbeitungsschritts auf der Grundlage eindeutiger und spezifischer Informationen über Datentypen und Verarbeitungszwecke erfolgen. Bei sensiblen personengebundenen Daten muss ein ausdrückliches Einverständnis vorliegen, welches dessen Wichtigkeit im Rahmen der Verarbeitung personengebundener Daten hervorhebt.

Alle Einverständniserklärungen gelten als Nachweis und müssen in diesem Sinne archiviert werden.

Für Personen besteht nun das „Recht auf Datenübertragbarkeit“, „Datenzugriff“, „Datenlöschung“ sowie das „ständige Recht auf Widerruf ihres Einverständnisses“. In solchen Fällen ist der Datenverantwortliche zur Löschung personengebundener Daten verpflichtet, sofern der ursprüngliche Zweck der Datenerhebung die Datenaufbewahrung nicht mehr erfordert.

Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.

Weiterhin verpflichtet die Datenschutz-Verordnung öffentliche Behörden und Unternehmen, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten einzusetzen. Dieser muss Maßnahmen zur Konformität mit der Datenschutz-Verordnung innerhalb des gesamten Unternehmens ergreifen.

Im Zuge des „Brexits“ plant die Regierung Großbritanniens, mit der Datenschutz-Verordnung im Einklang stehende Gesetzgebungen zu erlassen.

Welche Bedeutung hat die Datenschutz-Verordnung für meine Webseite?


Sofern Ihre Webseite EU-Kunden bedient und Sie - bzw. integrierte Dienste Dritter (z. B. Facebook, Google) - personengebundene Daten verarbeiten, sind Sie zur vorherigen Einholung des Einverständnisses der Anwender verpflichtet.

Die Grundlage dessen bildet Ihre Beschreibung des Ausmaßes und des Zweckes der Datenvereinbarung in leicht verständlicher Ausdrucksweise, die einem Anwender vor jeglichen Datenverarbeitungsschritten vorliegen müssen.

Informationen dieser Art müssen dem Webseitenbesucher gegenüber jederzeit sichtbar bleiben, z. B. als Bestandteil Ihrer Datenschutzrichtlinien. Des weiteren sind Sie verpflichtet, dem Webseitenbesucher benutzerfreundlich die Änderung oder den Widerruf seines Einverständnisses zu ermöglichen.

Sämtliche Einverständniserklärungen müssen als Nachweis protokolliert und jegliche Nachverfolgung personengebundener Daten, auch durch die integrierten Dienste Dritter, müssen dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.

Inwiefern ist Cookiebot nützlich?

Wenn Sie Cookiebot verwenden, können Sie die Konformität Ihrer Webseite mit den Vorgaben der Datenschutz-Verordnung zu den Themen Nachverfolgung und Einverständnis abgleichen.

Cookiebot ermöglicht es Ihnen, sämtliche Formen der Nachverfolgung auf Ihrer Webseite zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Webseitenbesuchern gegenüber anzuzeigen. Ebenfalls werden sämtliche Anwender-Einverständniserklärungen automatisch eingeholt und protokolliert.

Worauf verweist der Begriff „personengebundene Daten“?


Die Datenschutzverordnung definiert persönliche Daten als „Daten/Informationen, die mit identifizierten oder identifizierbaren natürlichen Personen („Datensubjekten“) verknüpft sind. Identifizierbare natürliche Personen können direkt oder indirekt, im Besonderen durch Verweis auf Identifizierungsmerkmale (Namen, ID-Nr., Ortsdaten u. a.) sowie Online-Identifizierungsmerkmale aus mindestens einem Faktor hinsichtlich der konkreten physischen, physiologischen, genetischen, mentalen, ökonomischen, kulturellen oder soziologischen Gegebenheiten im Zusammenhang mit dieser natürlichen Person identifiziert werden.“

Online-Identifizierungsmerkmale, wie etwa IP-Adressen, gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden.

Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der Datenschutz-Verordnung, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.

Rechtswirksamkeit der Datenschutz-Verordnung: 25.05.2018


Die Datenschutzreform der EU wurde am 27.04.2016 durch das EU-Parlament und den EU-Rat verabschiedet. Die europäische Datenschutzverordnung trat am 25. Mai 2018 in Kraft und ersetzte die Datenschutzrichtlinie.

Bußgelder und Strafen der Datenschutz-Verordnung:


Unternehmen, die gegen die o. g. Verordnung verstoßen, werden mit Geldbußen von bis zu 20 Mio. EUR oder 4 % ihres Jahresumsatzes belegt, je nachdem, welcher Betrag höher ausfällt.

Prüfliste: Eine DSGVO-konforme Webseite in 6 Schritten:


1. Bereiten Sie Ihr Unternehmen vor:

Unterrichten Sie Interessenvertreter Ihres Unternehmens über die Vorgaben der o. g. Verordnung. Schulen Sie Ihre Arbeitnehmer zu den Themen Netzsicherheit, eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen. Setzen Sie einen Datenschutzbeauftragten ein, sofern Sie über mehr als 250 Arbeitnehmer verfügen.

2. Überprüfen Sie Ihre Daten:

Halten Sie sich stets darüber informiert, an welchen Orten Ihre Daten gespeichert bzw. abgelegt sind/werden, inwiefern Zugriffsrechte bzw. -möglichkeiten verteilt sind und über welche Geräte letzteres arrangiert ist. Identifizieren Sie eindeutig, an welchen Stellen personengebundene Daten verarbeitet werden, u. a. ggf. von welchen Dritten. Dokumentieren Sie die rechtlichen Grundlagen für die gesetzeskonforme Datenverarbeitung und aktualisieren Sie Datenschutzrichtlinien.

3. Überprüfen Sie Ihre Service-Partner:

Gewährleisten Sie, dass Service-Partner (Dienste Dritter auf Ihrer Webseite oder Software-as-a-Service-Anbieter) sich ebenfalls konform im Sinne der o. g. Verordnung verhalten oder sich in einem Rechtsprechungsgebiet befinden, in welchem Sanktionen zum Thema Datenverarbeitung gelten. Prüfen und orten Sie deren internationalen Datenverkehr.

4. Holen Sie Einverständniserklärungen ein:

Setzen Sie Methoden zur Einholung und Archivierung von Einverständniserklärungen zur Gewährleistung der Verordnungskonformität ein. Dokumentieren SIe den Inhalt der einzelnen Einverständniserklärungen und ermöglichen Sie stets deren Widerruf/Änderung.

5. Gewähren Sie die Ergreifung von Datenrechten:

Setzen Sie Verfahren um, die Ihrem Unternehmen ermöglichen dem Nutzer Datenrechte wie etwa Datenzugriff, Korrekturen und Löschung zu gewähren.

6. Wappnen Sie sich gegen Katastrophen:

Gewährleisten Sie Verfahren zur Erkennung, Ermittlung und Meldung von Datenverstößen, so dass die Mitteilungsfrist von 72 Stunden eingehalten werden kann.

Konformität & Vorgaben


Kurse, Schulungen, Zertifizierungen

Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) - beide entsprechen der ISO 17024. Dies erfolgt über verschiedene Kurse, wie z. B. IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.

Software als Konformitätshilfsmittel:

Viele Toolkits, Frameworks und Software-Programme helfen Ihnen Konformität zu erzielen, z. B. DPOrganizer.

 Cookiebot kann Ihnen helfen, den Umgang mit Anwender-Einverständniserklärungen auf Ihrer Webseite zu automatisieren und Cookies sowie andere Nachverfolgungs-Tools zu dokumentieren.

Ressourcen


Download der Datenschutz-Verordnung
EU-Kommission Schutz personengebundener Daten
Thema: Im Sinne der Datenschutz-Verordnung „angemessene Länder“
Für Großbritannien relevante Informationen: Commissioner’s Office (ICO): Die Datenschutzreform in Großbritannien
Eingebauter Datenschutz - Sieben grundlegende Prinzipien (PDF)

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen