Worum geht es bei der DSGVO?
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Regelung, die den Umgang von Unternehmen und anderen Organisationen mit personenbezogenen Daten regelt. Sie ist die bedeutendste Initiative zum Datenschutz seit 20 Jahren und hat große Auswirkungen auf jede Organisation in der Welt, die Dienste an Einzelpersonen aus der Europäischen Union anbietet.
Um den Nutzern die Kontrolle darüber zu geben, wie ihre Daten verwendet werden, und um die „Grundrechte und -freiheiten natürlicher Personen” zu schützen, legt die Gesetzgebung strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und die Einwilligung der Nutzer fest.
Jedes Unternehmen ist verpflichtet, die Abwicklung personenbezogener Daten aufzuzeichnen und zu überwachen.
Als für die Datenverarbeitung Verantwortlicher muss jede Organisation Aufzeichnungen über die Aktivitäten zur Verarbeitung personenbezogener Daten führen und diese kontrollieren. Dazu gehören personenbezogene Daten, die innerhalb der Organisation, aber auch von Dritten – so genannten Datenverarbeitern – verwendet werden.
Datenverarbeiter können zum Beispiel Software-as-a-Service-Anbieter sein oder eingebettete Dienstleistungen Dritter, die Besucher auf der Webseite der Organisation tracken und Profile erstellen.
Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Verarbeiter müssen in der Lage sein, Rechenschaft darüber abzulegen, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.
Wenn personenbezogene Daten an Organisationen oder Rechtsgebiete gesendet werden, die außerhalb der Reichweite der DSGVO liegen oder die von der DSGVO als „nicht angemessen” erachtet werden, muss der Nutzer speziell darüber und über die damit verbundenen Risiken informiert werden.
Alle eingeholten Einwilligungen müssen als Beweis dafür dokumentiert werden, dass der Nutzer seine Einwilligung erteilt hat.
Am 4. Mai 2020 verabschiedete der Europäische Datenschutzausschuss (EDSA) Richtlinien zur gültigen Einwilligung gemäß der DSGVO.
Eine gültige Einwilligung muss eine frei abgegebene, spezifische, informierte und unmissverständliche Angabe der Wünsche des Nutzers sein, d.h. eine klare und bestätigende Handlung des Nutzers.
Die EDSA-Richtlinien stellen klar, dass das Scrollen oder andauerndes Browsing auf einer Website keine gültige Einwilligung darstellt und dass Cookie-Banner keine angekreuzten Checkboxen haben dürfen.
Auch sogenannte Cookie-Walls (erzwungene Einwilligung) gelten als nicht datenschutzkonform.
Das EDSA ist die höchste Aufsichtsbehörde, die für die Anwendung der DSGVO in der gesamten EU zuständig ist, und setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammen. Ihre Richtlinien und Entscheidungen bilden die Grundlage für die Durchsetzung der DSGVO auf nationaler Ebene.
Erfahren Sie mehr über die EDSA-Richtlinien zur gültigen Einwilligung vom Mai 2020.
Einzelpersonen haben nun das „Recht auf Datenübertragbarkeit”, das „Recht auf Datenzugriff” zusammen mit dem „Recht, vergessen zu werden” und können ihre Einwilligung jederzeit zurückziehen. In einem solchen Fall muss der für die Datenverarbeitung Verantwortliche die personenbezogenen Daten der Person löschen, wenn sie für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind.
Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.
Weiterhin verpflichtet die DSGVO öffentliche Behörden, Organisationen mit mehr als 250 Mitarbeitern und Unternehmen dazu, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten einzusetzen. Der Datenschutzbeauftragte muss Maßnahmen ergreifen, um die Einhaltung der DSGVO in der gesamten Organisation sicherzustellen.
Was bedeutet die DSGVO für meine Website?
Sofern Ihre Website Besucher aus der EU hat und Sie – bzw. integrierte Dienste Dritter (z. B. Facebook, Google) – personenbezogene Daten verarbeiten, sind Sie zur vorherigen Einholung der Nutzereinwilligung verpflichtet.
Um eine gültige Einwilligung zu erhalten, müssen Sie dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache beschreiben.
Informationen dieser Art müssen dem Website-Besucher gegenüber jederzeit sichtbar bleiben, z.B. als Bestandteil Ihrer Datenschutzerklärung. Des Weiteren sind Sie verpflichtet, dem Website-Besucher benutzerfreundlich die Änderung oder den Widerruf seiner Einwilligung zu ermöglichen.
Sämtliche Einwilligungen müssen als Nachweis protokolliert und jegliches Tracking personenbezogener Daten, auch durch die integrierten Dienste Dritter, muss dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.
Informieren Sie sich auf der EU-Infopage über die Reform der Datenschutzgesetze.
Beachten Sie auch die Infografik Datenschutz – Bessere Regeln für kleine Unternehmen.
Wie Cookiebot™ helfen kann
Wenn Sie die Cookiebot Consent Management Platform (CMP) verwenden, können Sie Ihre Webseite und somit das Tracking und die Einholung von Einwilligungen DSGVO-konform automatisieren.
Die Cookiebot CMP ermöglicht es Ihnen, sämtliches Tracking auf Ihrer Website zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Website-Besuchern gegenüber anzuzeigen und automatisch Nutzereinwilligungen einzuholen und zu protokollieren.
Begriffserklärungen
Was sind personenbezogene Daten gemäß der DSGVO?
Die DSGVO definiert personenbezogene Daten als alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einem Identifikator wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einem Online-Identifikator oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.
Online-Identifikatoren, wie etwa IP-Adressen, gelten als personenbezogene Daten, sofern sie nicht gezielt anonymisiert werden.
Pseudonymisierte personenbezogene Daten unterliegen ebenfalls der DSGVO, wenn durch Reverse Engineering ermittelt werden kann, um wessen Daten es sich handelt.
Was sind sensible personenbezogene Daten in der DSGVO?
Zu den sensiblen personenbezogenen Daten gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.
IP-Adressen oder Namen gelten als personenbezogene Daten, aber NICHT als sensible personenbezogene Daten. (Siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).
Liste personenbezogener Daten vs. sensibler personenbezogene Daten
Persönlich Identifizierbare Informationen (PII):
- Name, Adresse, Telefon, E-Mail
- Geschlecht, Alter etc.
- Bewerbung, Lebenslauf, Position
- Kaufhistorie und Kundeninformationen
- Kreditinformationen, Schulden etc.
- IP-Nummer
Sensible PII
- Herkunft und ethnischer Hintergrund (nicht Nationalität)
- Genetische und biometrische Daten
- Politische oder religiöse Überzeugung
- Gewerkschaftliche Bedingungen
- Gesundheit und sexuelle Beziehungen
Was bedeutet Datenverarbeitung?
Daten zu verarbeiten bedeutet, jede Art von Operation an personenbezogenen Daten durchzuführen, ob automatisiert oder nicht. Beispiele für Datenoperationen, die in der DSGVO erwähnt werden, sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.
Was ist ein für die Datenverarbeitung Verantwortlicher gemäß der DSGVO?
Ein für die Datenverarbeitung Verantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Zusammenhang mit z. B. einem Unternehmen oder einer Website und deren Kunden und Nutzern ist der für die Datenverarbeitung Verantwortliche das Unternehmen oder die Website, das/die die Daten seiner/ihrer Kunden und Nutzer verarbeitet, um seine/ihre Dienstleistungen zu optimieren oder was auch immer das Unternehmen/die Website mit Hilfe der Datenverarbeitung erreichen will.
Was ist ein Auftragsverarbeiter gemäß der DSGVO?
Ein Auftragsverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchführt. Wenn es um Websites geht, sind Datenverarbeiter typischerweise Tools und Dienster Dritte wie z. B. Google Analytics, Hotjar, Social Media Buttons etc.
Was ist ein Datenempfänger gemäß der DSGVO?
Der Empfänger ist die Partei, mit der die Daten geteilt werden.
Wer ist „Dritter” gemäß der DSGVO?
Ein Dritter ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, die unter der direkten Autorität des für die Verarbeitung Verantwortlichen oder des Verarbeiters befugt ist, personenbezogene Daten zu verarbeiten.
Im Zusammenhang mit einer Website sind Dritte typischerweise die Cookie-Setz-Agenten, die nicht die Website selbst sind, und die Berechtigung entsteht dadurch, dass sie als Tools, eingebettete Inhalte oder Dienste in die Website integriert werden.
Was ist eine Einwilligung gemäß der DSGVO?
Die Einwilligung der Person, deren Daten verarbeitet werden, bedeutet die freiwillige, informierte und eindeutige Angabe ihres Wunsches, durch die sie durch eine Erklärung oder eine klare positive Handlung ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gibt.
Worin besteht eine Verletzung von personenbezogenen Daten gemäß der DSGVO?
Eine Verletzung der Sicherheit persönlicher Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unberechtigten Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten führt.
Was bedeutet Datenportabilität gemäß der DSGVO?
Datenportabilität ist das Recht, die eigenen personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und das Recht, diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der Erstere dies verhindern kann (siehe Artikel 20 der DSGVO).
Rechtswirksamkeit der Datenschutz-Grundverordnung: 25.05.2018
Eine EU-Gesetzgebung dieser Größe und Bedeutung ist das Ergebnis eines langwierigen Prozesses.
Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der Datenschutzbestimmungen aus dem Jahr 1995 vor (RICHTLINIE 95/46/EG), um Europa mit dem digitalen Zeitalter auf den neuesten Stand zu bringen.
Am 4. Mai 2016 wurden die offiziellen Texte der Verordnung und der Richtlinie im Amtsblatt der EU in allen Amtssprachen veröffentlicht.
Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt.
Bußgelder und Strafen nach der DSGVO
Seit Inkrafttreten der Datenschutz-Grundverordnung riskieren Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.
DSGVO-Checkliste: Datenschutzkonformität in 6 Schritten
1. Bereiten Sie Ihr Unternehmen vor:
Unterrichten Sie die Stakeholder Ihrer gesamten Organisation über die Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Ernennen Sie einen Datenschutzbeauftragten, falls erforderlich, d. h. wenn Sie mehr als 250 Mitarbeiter beschäftigen.
2. Prüfen Sie Ihre Daten:
Stellen Sie sicher, dass Sie wissen, wo sich all Ihre Daten befinden, wer Zugriff hat und auf welchen Geräten. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden, auch durch Drittverarbeiter. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie Ihre aktuelle Datenschutzerklärung.
3. Überprüfen Sie Ihre Service-Partner:
Stellen Sie sicher, dass Servicepartner, d. h. auf Ihrer Website eingebettete Dienste Dritter oder Software-as-a-Service-Anbieter, ebenfalls DSGVO-konform sind oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Überprüfen Sie ihre internationalen Datenflüsse und bilden Sie diese ab.
4. Holen Sie Einverständniserklärungen ein:
Implementieren Sie Methoden zur Einholung und Aufzeichnung von Einwilligungen, um Datenschutzkonformität zu gewährleisten. Halten Sie klar fest, wozu jeder einzelne Betroffene seine Einwilligung gegeben hat, und geben Sie dem Betroffenen die Möglichkeit, seine Einwilligung zu widerrufen oder zu ändern.
5. Beachten Sie die Datenrechte:
Verwenden Sie Verfahren, die es Ihrer Organisation ermöglichen, auf die Rechte der betroffenen Personen zu reagieren, d. h. auf Datenzugriff, -berichtigung und -löschung. Dokumentieren Sie, wie sie sowohl im Kunden- als auch im Mitarbeiterkontext ausgeübt werden.
6. Bereiten Sie sich auf Datenschutzverletzungen vor:
Stellen Sie sicher, dass Verfahren zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen vorhanden sind, um die 72-Stunden-Frist der DSGVO für die Benachrichtigung einzuhalten.
DSGVO-Anforderungen erfüllen
Kurse, Schulungen, Zertifizierungen
Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) – beide entsprechen der ISO 17024. Dies erfolgt über verschiedene Kurse, wie z. B. IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.
DSGVO Konformitäts-Software:
Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Sie dabei unterstützen können, DSGVO-konform zu werden, z. B. Responsum, der Ihnen hilft, Ihre persönliche Datenverarbeitung datenschutzkonform zu gestalten.
Die Cookiebot CMP kann Ihnen helfen, die Handhabung von Nutzereinwilligungen auf Ihrer Website zu automatisieren und Cookies und andere verwendete Tracker zu dokumentieren.
Ressourcen
Offizieller Gesetzestext der Allgemeinen Datenschutz-Grundverordnung
Komprimierter Überblick über die DSGVO
Gerichtshof der Europäischen Union (EuGH)
Europäische Kommission: EU-Datenschutzvorschriften
Europäische Kommission: Datenschutz – Bessere Vorschriften für kleine Unternehmen
EU-Kommission: Schutz personenbezogener Daten
EDSA-Richtlinien zur gültigen Einwilligung von Mai 2020
Eingebauter Datenschutz – Sieben grundlegende Prinzipien (PDF)