Logo Logo
Cookiebot

Worum handelt es sich bei der Datenschutz-Grundverordnung?


Bei der Datenschutz-Grundverordnung handelt es sich um eine Verordnung, die in der gesamten EU gültig ist. Diese Verordnung gibt Unternehmen und anderen Organisationen die Art und Weise des Schutzes personengebundener Daten vor. Es ist die bedeutendste Initiative im Rahmen des Datenschutzes innerhalb von 20 Jahren und wirkt sich weltweit entscheidend auf Organisationen aus, die im Dienste von EU-Kunden tätig sind.

Dass Menschen kontrollieren können, inwiefern ihre Daten genutzt und geschützt werden, gehört zu den „grundsätzlichen Rechten und Grundfreiheiten natürlicher Personen“. Deshalb bestehen rechtlich strenge Vorgaben zu den Themen Abwicklungsverfahren, Transparenz, Dokument und Einwilligung der Nutzer.

Jedes Unternehmen ist verpflichtet, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen.

Jeder der für Daten verantwortlich ist verpflichtet sich, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen. Dies betrifft personengebundene Daten, die innerhalb der Organisation, aber auch von Dritten (nämlich sogenannten Datenprozessoren) verarbeitet werden.

Der Begriff „Datenprozessor“ kann z. B. auf Software-as-a-Service-Anbieter, auf integrierte Dienste Dritter sowie auf die Nachverfolgung und Profilierung von Besuchern der Unternehmenswebseite verweisen.

Datenverantwortliche wie auch Datenprozessoren müssen in der Lage sein, Auskunft zu geben über die Art und Weise der zu verarbeitenden Daten, den Zweck der Verarbeitung, über die Staaten sowie über Dritte, an die sie versandt werden. Daten dürfen nur versandt werden an Organisationen, die sich der Konformität gegenüber der Datenschutz-Verordnung ebenfalls verpflichtet haben oder an solche, die sich in „angemessenen“ Rechtsprechungsgebieten befinden.

Alle Einverständniserklärungen gelten als Nachweis und müssen in diesem Sinne archiviert werden

Die Verarbeitung personengebundener Daten ist nur nach vorherigem Einverständnis rechtskonform. Das bedeutet: Ein solches Einverständnis muss im Vorfeld eines jeglichen Datenverarbeitungsschritts auf der Grundlage eindeutiger und spezifischer Informationen über Datentypen und Verarbeitungszwecke erfolgen. Bei sensiblen personengebundenen Daten muss ein ausdrückliches Einverständnis vorliegen, welches dessen Wichtigkeit im Rahmen der Verarbeitung personengebundener Daten hervorhebt.

Für Personen besteht nun das „Recht auf Datenübertragbarkeit“, „Datenzugriff“ sowie „Datenlöschung“ und das „ständige Recht auf Widerruf ihres Einverständnisses“. In solchen Fällen ist der Datenverantwortliche zur Löschung personengebundener Daten verpflichtet, sofern der ursprüngliche Zweck der Datenerhebung die Datenaufbewahrung nicht mehr erfordert.

Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.

Weiterhin verpflichtet die Datenschutz-Verordnung öffentliche Behörden und Unternehmen, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten einzusetzen. Dieser muss Maßnahmen zur Konformität mit der Datenschutz-Verordnung innerhalb des gesamten Unternehmens ergreifen.

Im Zuge des „Brexits“ plant die Regierung Großbritanniens, mit der Datenschutz-Verordnung im Einklang stehende Gesetzgebungen zu erlassen.

Welche Bedeutung hat die Datenschutz-Verordnung für meine Webseite?


Sofern Ihre Webseite EU-Kunden bedient und Sie - bzw. integrierte Dienste Dritter (z. B. Facebook, Google) - personengebundene Daten verarbeiten, sind Sie zur vorherigen Einholung des Anwender-Einverständnisses verpflichtet.

Die Grundlage dessen bildet Ihre Beschreibung des Ausmaßes und des Zweckes der Datenvereinbarung in leicht verständlicher Ausdrucksweise, die einem Anwender vor jeglichen Datenverarbeitungsschritten vorliegen müssen.

Informationen dieser Art müssen dem Webseitenbesucher gegenüber jederzeit sichtbar bleiben, z. B. einen Bestandteil Ihrer Datenschutzrichtlinien bilden. Sie sind verpflichtet, dem Webseitenbesucher benutzerfreundlich die Änderung oder den Widerruf seines Einverständnisses zu ermöglichen.

Sämtliche Einverständniserklärungen müssen als Nachweis protokolliert und jegliche Nachverfolgung personengebundener Daten (auch durch die integrierten Dienste Dritter) müssen dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die o. g. Daten übermittelt werden.

Inwiefern ist Cookiebot nützlich?

Wenn Sie Cookiebot verwenden, können Sie die Konformität Ihrer Webseite mit den Vorgaben der Datenschutz-Verordnung zu den Themen Nachverfolgung und Einverständnis abgleichen.

Cookiebot ermöglicht es Ihnen, sämtliche Formen der Nachverfolgung auf Ihrer Webseite zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Webseitenbesuchern gegenüber anzuzeigen. Ebenfalls werden sämtliche Anwender-Einverständniserklärungen automatisch eingeholt und protokolliert.

Worauf verweist der Begriff „personengebundene Daten“?


Die Datenschutzverordnung definiert persönliche Daten als „Daten/Informationen, die mit identifizierten oder identifizierbaren natürlichen Personen („Datensubjekten“) verknüpft sind. Identifizierbare natürliche Personen können direkt oder indirekt, im Besonderen durch Verweis auf Identifizierungsmerkmale (Namen, ID-Nr., Ortsdaten u. a.) sowie Online-Identifizierungsmerkmale aus mindestens einem Faktor hinsichtlich der konkreten physischen, physiologischen, genetischen, mentalen, ökonomischen, kulturellen oder soziologischen Gegebenheiten im Zusammenhang mit dieser natürlichen Person identifiziert werden.“

Online-Identifizierungsmerkmale (nämlich etwa IP-Adressen) gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden.

Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der Datenschutz-Verordnung, sofern durch eine technische Zurückentwicklung die Möglichkeit der personengebundenen Zuordnung eröffnet werden kann.

Rechtswirksamkeit der Datenschutz-Verordnung: 25.05.2018


Die Datenschutzreform der EU wurde durch das EU-Parlament und den EU-Rat am 27.04.2016 verabschiedet. Die europäische Datenschutzverordnung tritt in Kraft am 25.05.2018 und ersetzt die Datenschutzrichtlinie.

Bußgelder und Strafen der Datenschutz-Verordnung:


Unternehmen, die gegen die o. g. Verordnung verstoßen, werden mit schweren Geldbußen von bis zu 20 Mio. EUR oder 4 % ihres Jahresumsatzes belegt (je nachdem, welcher Betrag höher ausfällt).

Prüfliste: Ergreifen Sie sechs Maßnahmen:


1. Bereiten Sie Ihr Unternehmen vor:

Unterrichten Sie Interessenvertreter Ihres Unternehmens über die Vorgaben der o. g. Verordnung. Schulen Sie Ihre Arbeitnehmer zu den Themen Netzsicherheit, eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen. Setzen Sie einen Datenschutzbeauftragten ein, sofern Sie über mehr als 250 Arbeitnehmer verfügen.

2. Überprüfen Sie Ihre Daten:

Halten Sie sich stets darüber ausführlich informiert, an welchen Orten Ihre Daten gespeichert bzw. abgelegt sind/werden, inwiefern Zugriffsrechte bzw. -möglichkeiten verteilt sind und über welche Geräte letzteres arrangiert ist. Identifizieren Sie eindeutig, an welchen Stellen personengebundene Daten verarbeitet werden, u. a. ggf. von welchen Dritten (Datenprozessoren). Dokumentieren Sie die rechtlichen Grundlagen für die gesetzeskonforme Datenverarbeitung und aktualisieren Sie Datenschutzrichtlinien.

3. Überprüfen Sie Ihre Service-Partner:

Gewährleisten Sie, dass Service-Partner (nämlich etwa Dienste Dritter auf Ihrer Webseite oder Software-as-a-Service-Anbieter) sich ebenfalls konform im Sinne der o. g. Verordnung verhalten oder sich in einem Rechtsprechungsgebiet befinden, in welchem Sanktionen zum Thema Datenverarbeitung gelten. Prüfen und orten Sie deren internationalen Datenverkehr.

4. Holen Sie Einverständniserklärungen ein:

Setzen Sie Methoden zur Einholung und Archivierung von Einverständniserklärungen zur Gewährleistung der Verordnungskonformität ein und um. Führen Sie eindeutig Buch über den Inhalt der einzelnen Einverständniserklärungen und ermöglichen Sie stets deren Widerruf/Änderung.

5. Gewähren Sie die Ergreifung von Datenrechten:

Setzen Sie Verfahren um, die Ihrem Unternehmen ermöglichen, Datenrechte zu gewähren (nämlich etwa: Datenzugriff, Korrekturen, Löschung). Dokumentieren Sie, wie solche Datenrechten von Kunden sowie von Arbeitnehmern ergriffen werden können.

6. Wappnen Sie sich gegen Katastrophen:

Gewährleisten Sie Verfahren zur Erkennung, Ermittlung und Meldung von Datenverstößen, so dass die Mitteilungsfrist (72 Stunden) eingehalten werden kann.

Konformität/Vorgaben


Kurse, Schulungen, Zertifizierungen

Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) - beide entsprechen der ISO 17024. Dies erfolgt über verschiedene Kurse, wie z. B.  IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit..

Software als Konformitätshilfsmittel:

Viele Toolkits, Rahmenwerke und Software-Programme helfen Ihnen, Konformität im o. g. Sinne zu erzielen, nämlich etwa der Nymity's GDPR Compliance ToolkitCookiebot kann Ihnen helfen, den Umgang mit Anwender-Einverständniserklärungen auf Ihrer Webseite zu automatisieren und Cookies sowie andere Nachverfolgungs-Tools zu dokumentieren.

Ressourcen


Download der Datenschutz-Verordnung
EU-Kommission Schutz personengebundener Daten
Thema: Im Sinne der Datenschutz-Verordnung „angemessene Länder“
Für Großbritannien relevante Informationen: Commissioner’s Office (ICO): Die Datenschutzreform in Großbritannien
Eingebauter Datenschutz - Sieben grundlegende Prinzipien (PDF)

Sorgen Sie noch heute für DSGVO-konforme Cookies und Tracking-Verfahren

Registrieren Sie sich gratis