Logo Logo
Cookiebot

Worum geht es bei der Datenschutz-Grundverordnung?


Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Regelung, die den Umgang von Unternehmen und anderen Organisationen mit personenbezogenen Daten regelt. Sie ist die bedeutendste Initiative zum Datenschutz seit 20 Jahren und hat große Auswirkungen auf jede Organisation in der Welt, die im Dienste von Einzelpersonen aus der Europäischen Union steht.

Um den Menschen die Kontrolle darüber zu geben, wie ihre Daten verwendet werden, und um die "Grundrechte und -freiheiten natürlicher Personen" zu schützen, legt die Gesetzgebung strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und die Zustimmung der Nutzer fest.

Jedes Unternehmen ist verpflichtet, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen.

Als für die Datenverarbeitung Verantwortlicher muss jede Organisation Aufzeichnungen über die Aktivitäten zur Verarbeitung personenbezogener Daten führen und diese kontrollieren. Dazu gehören persönliche Daten, die innerhalb der Organisation, aber auch von Dritten - so genannten Datenverarbeitern - verwendet werden.

Datenverarbeiter können alles sein, von Software-as-a-Service-Anbietern bis hin zu eingebetteten Dienstleistungen Dritter, die Besucher auf der Website der Organisation verfolgen und Profile erstellen.

Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Verarbeiter müssen in der Lage sein, Rechenschaft darüber abzulegen, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.

Wenn personenbezogene Daten an Organisationen oder Rechtsgebiete gesendet werden, die außerhalb der Reichweite der GDPR liegen oder die von der GDPR als nicht "angemessen" erachtet werden, muss man den Benutzer speziell darüber und über die damit verbundenen Risiken informieren.

Alle Einverständniserklärungen müssen als Beweis dafür festgehalten werden, dass die Zustimmung erteilt wurde.

Am 1. Oktober 2019 entschied der Gerichtshof der Europäischen Union (EuGH), dass die einzige Form der gültigen Zustimmung in der EU die ausdrückliche Zustimmung ist.

Dies bedeutet, dass Websites eine positive und aktive Zustimmung für jede Art von persönlichen Daten einholen müssen, und nicht nur für sensible Kategorien von persönlichen Daten, so lautet das Mandat der GDPR.

Das CJEU-Urteil über die gültige Zustimmung bedeutet, dass der Zustimmungsbanner Ihrer Website keine vorgekreuzten Kontrollkästchen auf Kategorien von Cookies enthalten darf, außer denen, die für die Grundfunktion Ihrer Website unbedingt erforderlich sind.

Dies wird als vorherige Zustimmung bezeichnet.

Einzelpersonen haben nun das "Recht auf Datenübertragbarkeit", das "Recht auf Datenzugriff" zusammen mit dem "Recht, vergessen zu werden" und können ihre Zustimmung jederzeit zurückziehen. In einem solchen Fall muss der für die Datenverarbeitung Verantwortliche die persönlichen Daten der Person löschen, wenn sie für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind. 

Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.

Weiterhin verpflichtet die DSGVO öffentliche Behörden und Unternehmen, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten (kurz: DSB) einzusetzen. Der DSB muss Maßnahmen ergreifen, um die Einhaltung der GDPR in der gesamten Organisation sicherzustellen.


Was bedeutet die DSGVO für meine Website?


Sofern Ihre Website  Besucher aus der EU hat und Sie – bzw. integrierte Dienste Dritter (z. B. Facebook, Google) – personengebundene Daten verarbeiten, sind Sie zur vorherigen Einholung des Einverständnisses der Anwender verpflichtet.

Um eine gültige Zustimmung zu erhalten, müssen Sie dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache beschreiben.

Informationen dieser Art müssen dem Website-Besucher gegenüber jederzeit sichtbar bleiben, z.B. als Bestandteil Ihrer Datenschutzrichtlinien. Des weiteren sind Sie verpflichtet, dem Website-Besucher benutzerfreundlich die Änderung oder den Widerruf seines Einverständnisses zu ermöglichen.

Sämtliche Einverständniserklärungen müssen als Nachweis protokolliert und jegliche Nachverfolgung personengebundener Daten, auch durch die integrierten Dienste Dritter, müssen dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.

Informieren Sie sich auf der EU-Infopage über die Reform der Datenschutzgesetze.

Beachten Sie auch die Infografik Datenschutz - Bessere Regeln für kleine Unternehmen.


Wie Cookiebot helfen kann

Wenn Sie Cookiebot verwenden, können Sie die Konformität Ihrer Website mit den Vorgaben der Datenschutz-Grundverordnung zu Tracking und Zustimmung abgleichen.

Cookiebot ermöglicht es Ihnen, sämtliches Tracking auf Ihrer Website zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Website-Besuchern gegenüber anzuzeigen. Ebenfalls werden sämtliche User-Einverständniserklärungen automatisch eingeholt und protokolliert.


Begriffserklärungen


Was meint personenbezogene Daten in der DSGVO?

Die Datenschutzverordnung definiert persönliche Daten als "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind".

Online-Identifizierungsmerkmale, wie etwa IP-Adressen, gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden.

Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der DSGVO, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.


Was sind sensible personenbezogene Daten in der DSGVO?

Zu den sensiblen personenbezogenen Daten gehören Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.

Eine IP-Adresse oder ein Name gelten als persönliche Daten, aber NICHT als sensible persönliche Daten. (siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).


Liste personenbezogener Daten vs. sensibler personenbezogene Daten


Persönlich Identifizierbare Informationen (PII):

Sensible PII



Was bedeutet Datenverarbeitung?

Daten zu verarbeiten bedeutet, jede Art von Operation an persönlichen Daten durchzuführen, ob automatisiert oder nicht.   Beispiele für Datenoperationen, die in der DSGVO erwähnt werden, sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.


Was ist ein für die Datenverarbeitung Verantwortlicher in der DSGVO?

Ein für die Datenverarbeitung Verantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Zusammenhang mit z.B. einem Unternehmen oder einer Website und deren Kunden und Nutzern ist der für die Datenverarbeitung Verantwortliche das Unternehmen oder die Website, das/die die Daten seiner/ihrer Kunden und Nutzer verarbeitet, um seine/ihre Dienstleistungen zu optimieren oder was immer das Unternehmen/die Website mit Hilfe der Datenverarbeitung erreichen will.


Was ist ein Auftragsverarbeiter in der DSGVO?

Ein Auftragsverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchführt. Wenn es um Websites geht, sind Datenverarbeiter typischerweise Werkzeuge und integrierte Dritte wie z.B. Google Analytics, Hotjar, Social Media Buttons etc..


Was ist ein Datenempfänger im Zusammenhang mit der DSGVO?

Der Empfänger ist die Partei, der die Daten mitgeteilt werden.


Wer wird in der DSGVO als dritte Partei betrachtet?

Eine dritte Partei ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, die unter der direkten Autorität des für die Verarbeitung Verantwortlichen oder des Verarbeiters befugt ist, persönliche Daten zu verarbeiten.

Im Zusammenhang mit einer Website sind Dritte typischerweise die Cookie-Setz-Agenten, die nicht die Website selbst sind, und die Berechtigung entsteht dadurch, dass sie als Werkzeuge, eingebettete Inhalte oder Dienste in die Website integriert werden.


Was ist mit Einwilligung in der DSGVO gemeint?


Die Einwilligung der Person, deren Daten verarbeitet werden, bedeutet die freie, informierte und nicht zweideutige Angabe ihres Wunsches, durch die sie durch eine Erklärung oder eine klare positive Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden persönlichen Daten gibt.


Worin besteht eine Verletzung von personenbezogenen Daten im Rahmen der DSGVO?

Eine Verletzung der Sicherheit persönlicher Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unberechtigten Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten führt.


Was bedeutet Datenportabilität in der DSGVO?

Data portability is the right to receive one’s personal data in return from a data controller, in a structured, commonly used and machine-readable format, and have the right to transmit those data to another controller without any hindrance from the former (see Article 20 in the GDPR).


Rechtswirksamkeit der Datenschutz-Grundverordnung: 25.05.2018


Eine EU-Gesetzgebung dieser Größe und Bedeutung ist das Ergebnis eines langwierigen Prozesses.

Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der Datenschutzbestimmungen aus dem Jahr 1995 vor (RICHTLINIE 95/46/EG), um Europa mit dem digitalen Zeitalter auf den neuesten Stand zu bringen.

Am 4. Mai 2016 wurden die offiziellen Texte der Verordnung und der Richtlinie im Amtsblatt der EU in allen Amtssprachen veröffentlicht.

Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt.


Bußgelder und Strafen nach DSGVO


Seit Inkrafttreten der Datenschutz-Grundverordnung riskieren Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.


DSGVO-Checkliste: Datenschutz-Konformität in 6 Schritten


1. Bereiten Sie Ihr Unternehmen vor:

Unterrichten Sie die Stakeholder Ihrer gesamten Organisation in den Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Weisen Sie einen Datenschutzbeauftragten (DSB) zu, falls erforderlich, d.h. wenn Sie mehr als 250 Mitarbeiter beschäftigen.

2. Prüfen Sie Ihre Daten:

Stellen Sie sicher, dass Sie wissen, wo sich all Ihre Daten befinden, wer Zugriff hat und auf welchen Geräten. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden, auch durch Drittverarbeiter. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie die aktuellen Datenschutzrichtlinien.

3. Überprüfen Sie Ihre Service-Partner:

Stellen Sie sicher, dass Servicepartner, d.h. auf Ihrer Website eingebettete Dienste Dritter oder Software-as-a-Service-Anbieter, ebenfalls GDPR-konform sind oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Überprüfen Sie ihre internationalen Datenflüsse und bilden Sie diese ab.

4. Holen Sie Einverständniserklärungen ein:

Implementieren Sie Methoden zur Einholung, Erlangung und Aufzeichnung von Zustimmungen, um Konformität zu gewährleisten. Halten Sie klar fest, wozu jeder einzelne Betroffene seine Einwilligung gegeben hat, und geben Sie dem Betroffenen die Möglichkeit, eine Einwilligung zu widerrufen oder zu ändern.

5. Beachten Sie die Datenrechte:

Verwenden Sie Verfahren, die es Ihrer Organisation ermöglichen, auf die Rechte der betroffenen Personen zu reagieren, d.h. auf Datenzugriff, -berichtigung und -löschung. Dokumentieren Sie, wie sie sowohl im Kunden- als auch im Mitarbeiterkontext ausgeübt werden.

6. Bereiten Sie sich auf Datenschutzverletzungen vor:

Stellen Sie sicher, dass Verfahren zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen vorhanden sind, um die 72-Stunden-Frist der GDPR für die Benachrichtigung einzuhalten.


DSGVO-Anforderungen erfüllen


Kurse, Schulungen, Zertifizierungen

Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) - beide entsprechen der ISO 17024. Dies erfolgt über verschiedene Kurse, wie z. B. IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.


DSGVO Konformitäts-Software:

Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Sie dabei unterstützen können, GDPR-konform zu werden, z.B. DPOrganizer, der Ihnen hilft, Ihre persönliche Datenverarbeitung konform zu gestalten.

Cookiebot kann Ihnen helfen, die Handhabung von Benutzerzustimmungen auf Ihrer Website zu automatisieren und Cookies und andere verwendete Tracker zu dokumentieren.


Ressourcen


offizieller Gesetzestext der Allgemeinen Datenschutz-Grundverordnung

komprimierter Überblick über die DSGVO

Gerichtshof der Europäischen Union (EuGH)

Europäische Kommission: EU-Datenschutzvorschriften

Europäische Kommission: Datenschutz – Bessere Vorschriften für kleine Unternehmen

EU-Kommission: Schutz personengebundener Daten

Für Großbritannien relevante Informationen: Commissioner’s Office (ICO): Die Datenschutzreform in Großbritannien

Eingebauter Datenschutz - Sieben grundlegende Prinzipien (PDF)

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen