GDPR-Verordnung und Anforderungen

Die GDPR-Verordnung trat im Mai 2018 in Kraft und gilt für alle Organisationen, die Waren oder Dienstleistungen auf dem EU-Markt anbieten. Die Datenschutz-Grundverordnung gilt auch dann, wenn Ihr Unternehmen nicht in der EU ansässig ist, Ihre Website aber Kunden aus der EU hat. Bevor wir uns mit den Einzelheiten der DSGVO und ihren Anforderungen befassen, sollten wir zunächst einmal klären, was die DSGVO bezweckt und warum sie für Sie wichtig ist. Seien Sie versichert, dass dies sehr wohl von Bedeutung ist. Wussten Sie, dass die Privatsphäre ein Menschenrecht ist?

GDPR-Verordnung und Anforderungen erklärt

Inhaltsübersicht

Was soll mit der DSGVO-Verordnung erreicht werden?

Die GDPR-Verordnung will, dass alle Organisationen, ob groß oder klein, einschließlich der Ihren, über die von ihnen verwendeten personenbezogenen Daten nachdenken. Außerdem sollten Sie sehr bewusst und rücksichtsvoll damit umgehen, warum und wie sie es verwenden. Die Datenschutz-Grundverordnung verlangt daher von Ihnen einen achtsameren Umgang mit den personenbezogenen Daten Ihrer Kunden, Mitarbeiter, Lieferanten usw. Das ist doch sicher eine gute Sache, etwas, das man sich aneignen kann, oder?

Anders ausgedrückt: Die GDPR-Verordnung will verhindern, dass Organisationen Daten über Einzelpersonen sammeln, nur weil sie es können. Möglicherweise denken sie, dass sie jetzt oder in Zukunft davon profitieren könnten, und tun dies ohne große Überlegung und ohne Sie zu informieren.

Wie Sie in den nachstehenden Regeln und Anforderungen sehen werden, verbietet die DSGVO nicht wirklich viel. Sie können also weiterhin E-Mail-Marketing und -Werbung betreiben. Sie können jedoch weiterhin Daten usw. verkaufen , solange Sie transparent darlegen, wie Sie die Privatsphäre des Einzelnen respektieren.

Warum ist das für Sie wichtig?

Dies ist für Sie als Organisation von Bedeutung, da Sie verpflichtet sind, die GDPR-Verordnung einzuhalten. Unser beruflicher und privater Kontakt findet zunehmend digital statt, so dass es nur richtig ist, auf die Privatsphäre des Einzelnen Rücksicht zu nehmen. Die Kunden erwarten von ihren geliebten Geschäften, dass sie mit den von ihnen bereitgestellten personenbezogenen Daten sorgfältig umgehen. Wenn Sie also Ihre GDPR in Ordnung halten, können Sie stolz darauf sein, und Ihre Kunden werden Sie dafür lieben.

Als Einzelperson gibt die DSGVO Ihnen die Kontrolle über die personenbezogenen Daten, die Sie Organisationen zur Verfügung stellen. Zunächst einmal gibt die DSGVO Ihnen das Recht, darüber informiert zu werden, welche personenbezogenen Daten Organisationen verwenden und warum. Gleichzeitig haben Sie das Recht, darüber informiert zu werden, wie sie Ihre Privatsphäre schützen. Darüber hinaus können Sie der Nutzung Ihrer Daten widersprechen, die Löschung Ihrer Daten verlangen oder sogar die Übertragung Ihrer Daten an einen konkurrierenden Dienst beantragen.

Werfen wir also einen Blick auf die wichtigsten Anforderungen der DSGVO.

1. Minimieren Sie Ihre Datennutzung

Sie als Organisation müssen sicherstellen, dass Sie nur das Minimum an Datenelementen sammeln, das möglich ist, um einen bestimmten Zweck zu erreichen. Wenn Sie z. B. online verkaufen, brauchen Sie in der Regel nur eine E-Mail-Adresse und ein Passwort, um einen funktionierenden Registrierungsprozess zu haben. Es ist nicht nötig, die Nutzer bei der Registrierung nach ihrem Geschlecht, ihrem Geburtsort oder sogar ihrer Adresse zu fragen. Wenn die Nutzer weiterhin einen Artikel erwerben und diesen versendet haben möchten, müssen Sie in diesem Stadium nach der Adresse des Nutzers fragen, da dies eine wesentliche Information für den Versandvorgang ist.

Wenn Sie also die Zahl der erfassten Daten auf ein Minimum reduzieren, minimieren Sie auch die Auswirkungen möglicher Datenschutz- oder Sicherheitsvorfälle. Die Datenminimierung ist eine Kernanforderung der Datenschutz-Grundverordnung (DSGVO) und hat den größten Effekt auf den Schutz der Privatsphäre Ihrer Nutzer.

2. Nennen Sie Ihren Zweck und Ihre Rechtsgrundlage

Aufbauend auf dem Gebot der Datenminimierung schreibt die DSGVO vor, dass Sie personenbezogene Daten nur für einen angegebenen und dokumentierten Geschäftszweck verwenden dürfen. Dies wird durch eine der 6 verfügbaren GDPR-Rechtsgrundlagen untermauert. Mit anderen Worten: Ihre Verwendung personenbezogener Daten ist auf einen bestimmten Zweck und eine bestimmte Rechtsgrundlage beschränkt. Jede Verarbeitung personenbezogener Daten, die Sie vornehmen, sollte in einem GDPR-Register dokumentiert werden, zusammen mit dem Zweck und der Rechtsgrundlage. Zum Beispiel:

  • Prozessname: Benutzerregistrierung
  • Beschreibung: Verfahren, mit dem sich der Nutzer auf der Website registrieren und ein Konto einrichten kann
  • Zweck: den Nutzern zu ermöglichen, ein Konto zu haben, um ihre Präferenzen zu speichern und Artikel zu bestellen
  • Rechtsgrundlage: Vertrag

Diese Dokumentation zwingt Sie dazu, über jede Verarbeitungstätigkeit nachzudenken und ihren Zweck und die Rechtsgrundlage sorgfältig zu prüfen.

GDPR erlaubt 6 Rechtsgrundlagen:

1.Vertrag

Die Verarbeitung ist für einen Vertrag erforderlich, den Sie mit der betreffenden Person geschlossen haben, oder weil die Person Sie gebeten hat, bestimmte Schritte zu unternehmen, bevor sie einen Vertrag abschließt.

2. Rechtliche Verpflichtung

Die Verarbeitung ist für Sie erforderlich, um die gesetzlichen Vorschriften zu erfüllen (ausgenommen vertragliche Verpflichtungen).

3. Legitimes Interesse

Sie oder ein Dritter haben ein berechtigtes Interesse, das die Verarbeitung der Daten erforderlich macht. Es gibt auch keine Interessen, Rechte oder Freiheiten einer anderen Person, die wichtiger sind als Ihre Interessen. Sie könnten zum Beispiel ein berechtigtes Interesse daran haben, Ihre Waren an bestehende Kunden zu vermarkten, um den Umsatz zu steigern.

4. Zustimmung

Die betreffende Person hat eindeutig zugestimmt, dass Sie ihre personenbezogenen Daten für einen bestimmten Zweck verarbeiten dürfen.

5. Lebenswichtiges Interesse

Die Verarbeitung ist notwendig, um das Leben einer Person zu schützen, z. B. in einer Notsituation.

6. Öffentliches Interesse

Die Verarbeitung ist für Sie erforderlich, um eine Aufgabe im öffentlichen Interesse zu erfüllen. Außerdem kann es sich um Ihre offizielle Funktion handeln, und die Aufgabe oder Funktion hat eine klare gesetzliche Grundlage.

 

GDPR-Beispiel

Wenn Sie eine Dienstleistung eines Unternehmens in Anspruch nehmen (z. B. einen Online-Einzelhandelsdienst), sind die Kernaktivitäten, die diese Dienstleistung ausmachen, z. B. die Bezahlung der Artikel und der Versand der Artikel, für die Erbringung der Dienstleistung unerlässlich. Daher kann die Verarbeitung Ihrer personenbezogenen Daten zu diesen Zwecken in der Regel unter die Rechtsgrundlage des GDPR-Vertrags fallen. Mit anderen Worten: Die Organisation gibt an, dass sie diese Tätigkeiten mit Ihren personenbezogenen Daten durchführt, um den Vertrag, den Sie mit ihr haben, zu erfüllen. Sie erwarten von ihnen, dass sie diese Tätigkeiten ausführen, damit Sie ihre Dienste in Anspruch nehmen können, wie Sie es vertraglich vereinbart haben. In der Folge führt die Organisation einige Tätigkeiten aus, um ihren gesetzlichen Verpflichtungen nachzukommen, z. B. Ihnen Rechnungen zu stellen und beschädigte Waren zurückzunehmen. Und auch hier erwarten Sie, dass sie dies tun.

Für die meisten Unternehmen werden die Dinge jenseits von Vertrag und gesetzlicher Verpflichtung immer schwächer. Als dritte Möglichkeit können sich Organisationen auf ihre berechtigten Interessen berufen, um die personenbezogenen Daten einer Person zu verarbeiten, z. B. um E-Mails über neue Produkte und Dienstleistungen zu versenden. Die Nutzer haben jedoch das Recht, gegen diese Art der Verarbeitung Einspruch zu erheben und zu verlangen, dass sie eingestellt wird.

Eine letzte Option für die meisten Organisationen, was die Rechtsgrundlage angeht, ist die Einwilligung. Dies bedeutet, dass sich die Organisation nicht auf einen Vertrag, eine rechtliche Verpflichtung oder ein berechtigtes Interesse berufen kann und es ihr überlassen bleibt, die Einwilligung des Nutzers zur Verarbeitung der personenbezogenen Daten einzuholen. Die Einwilligung hat als Teil des Cookie-Popups viel Aufmerksamkeit erhalten, aber jetzt, wo man ihre Rechtsgrundlage versteht, ist sie eigentlich ziemlich schwach und sollte wirklich nur als letztes Mittel betrachtet werden. Weiter unten in diesem Dokument finden Sie einen eigenen Abschnitt zum Thema Einwilligung. Der Vollständigkeit halber sei darauf hingewiesen, dass ein vitales Interesse als Rechtsgrundlage gilt. Für die Ärzteschaft beispielsweise gilt die Rechtsgrundlage, für öffentliche Einrichtungen das öffentliche Interesse.

Die Erstellung eines solchen GDPR-Registers, in dem alle Verarbeitungen personenbezogener Daten in Ihrem Unternehmen aufgelistet sind, mag eine Herausforderung sein, aber genau dabei kann GDPRWise helfen. Für über 30 Branchen haben wir ein solches Register erstellt, das Sie nutzen können. Sie müssen sie nur noch überprüfen und bei Bedarf verfeinern. Schauen Sie sich unsere GDPRWise Seite an , wie es funktioniert.

3. Pflegen Sie Ihr GDPR-Register

In der Erstellung einer einfachen Liste liegt eine große Kraft. Wahrscheinlich erstellen Sie ständig Listen: Ihre Aufgabenliste, Ihre Einkaufsliste, eine Liste mit potenziellen Kunden, die Sie kontaktieren müssen, eine Liste mit zu begleichenden Rechnungen usw. Die Erstellung einer Liste zwingt Sie dazu, über das Thema nachzudenken und zu überlegen, welche Punkte auf die Liste gehören und welche nicht. Eine Liste bedeutet vor allem, dass Sie nun über eine Basisdokumentation verfügen, die später genutzt und erweitert werden kann. Sie können die Liste jetzt sogar mit einem Kollegen teilen, so dass Sie den Inhalt kommunizieren und bei Bedarf gemeinsam verbessern können.

Die Datenschutz-Grundverordnung verlangt, dass eine Organisation ein Register der Verarbeitungstätigkeiten führt. Wenn Ihre nationale Aufsichtsbehörde an Ihre Tür klopft, wird das GDPR-Register höchstwahrscheinlich das erste Dokument sein, das sie verlangt. Ihr GDPR-Register muss alle Verarbeitungen personenbezogener Daten auflisten, die Sie vornehmen, sowie einige zentrale Informationselemente:

  • Beschreibung der Datenverarbeitung
  • Verantwortlicher für die Datenverarbeitung
  • Geschäftszweck
  • Rechtsgrundlage
  • Art der betroffenen Datenelemente
  • Dauer der Datenspeicherung
  • Sicherheitsvorkehrungen getroffen
  • Parteien, an die die Daten weitergegeben werden
  • Wo werden die Daten verarbeitet?

Die Erstellung eines solchen GDPR-Registers, in dem alle Verarbeitungen personenbezogener Daten in Ihrem Unternehmen aufgeführt sind, mag eine Herausforderung darstellen. Doch genau hier kann GDPRWise helfen. Für über 30 Branchen haben wir ein solches Register erstellt, das Sie nutzen können. Sie müssen sie nur noch überprüfen und bei Bedarf verfeinern. Schauen Sie sich unsere GDPRWise Seite an , wie es funktioniert.

4. Veröffentlichen Sie Ihre Datenschutzrichtlinie

Die Datenschutz-Grundverordnung verpflichtet alle Organisationen, ihre Nutzer zu informieren und Transparenz über ihre Datenschutzpraktiken herzustellen. Kurz gesagt, Ihre Organisation muss eine Datenschutzrichtlinie veröffentlichen. So können sich Einzelpersonen über die von Ihnen gesammelten Daten und Ihre Datenschutzmaßnahmen informieren, bevor sie Ihren Dienst nutzen.

Bevor Sie anfangen zu googeln, um schnell einen Text aus dem Internet zu kopieren und einzufügen, sollten Sie wissen, dass Ihre Datenschutzrichtlinie den Datenbestand Ihres Unternehmens widerspiegeln muss. Außerdem müssen die von Ihnen getroffenen Datenschutzmaßnahmen korrekt sein. Alles andere birgt die Gefahr, dass Ihre Kunden falsch informiert werden, und setzt Sie Anfechtungen und Geldstrafen aus.

In ihrem Bestreben, die Transparenz zu erhöhen, verlangt die Datenschutz-Grundverordnung, dass Ihre Datenschutzrichtlinien prägnant und spezifisch sind und eine klare und einfache Sprache verwenden. Eine Politik, die viele allgemeine Aussagen enthält oder mit juristischem Fachjargon gefüllt ist, ist einfach nicht akzeptabel.

In der DSGVO sind auch die Informationselemente festgelegt, die mindestens enthalten sein sollten:

  • Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen und seines Vertreters
  • Beschreibung der Datenverarbeitungstätigkeiten
  • Beschreibung der Geschäftszwecke und der zugehörigen Rechtsgrundlage
  • Art der betroffenen Datenelemente
  • Dauer der Datenspeicherung
  • Die Quelle der Daten, wenn der Nutzer die Informationen nicht zur Verfügung gestellt hat
  • Alle Parteien, an die die Daten weitergegeben werden
  • Jegliche Datenübermittlung außerhalb der EU
  • Informieren Sie die Nutzer über ihre Rechte als Datensubjekt gemäß GDPR
  • Schließlich sollten die Nutzer darüber informiert werden, wie sie eine Beschwerde bei einer Aufsichtsbehörde einreichen können.

Wie Sie sehen, sind die meisten Informationen, die in Ihrer Datenschutzrichtlinie enthalten sein müssen, auch Teil Ihres GDPR-Registers. So können Ihre Bemühungen zur Erstellung eines GDPR-Registers genutzt werden. Wir von GDPRWise können Ihre Datenschutzrichtlinie mit einem einzigen Klick aus dem Inhalt Ihres Registers erstellen. Wie bereits erwähnt, haben wir ein ausgefülltes GDPR-Register für mehr als 30 Sektoren erstellt, damit Sie im Handumdrehen Ihr eigenes erstellen können. Sehen Sie sich an, wie es funktioniert.

Beachten Sie bitte, dass Sie, wenn Ihre Organisation Mitarbeiter beschäftigt, auch deren personenbezogene Daten verarbeiten werden. Ihre Informations- und Transparenzpflicht erstreckt sich auf alle Personen, über die Sie personenbezogene Daten verarbeiten. Daher ist eine Datenschutzpolitik, insbesondere zur Information Ihres Personals, unerlässlich.

5. Erfassen Sie Ihre Aktivitäten zum Datenaustausch

Bis jetzt haben Sie vielleicht noch nicht viel darüber nachgedacht, aber es ist gut möglich, dass Ihr Unternehmen bereits eine ganze Reihe personenbezogener Daten mit einer Reihe von Dritten austauscht. Überrascht?

  • Erstens: Jede Organisation hat einen Buchhalter. Die Rechnungen und Kontoauszüge, die Sie an Ihren Buchhalter weitergeben, enthalten personenbezogene Daten über Ihre Kunden, Lieferanten und Mitarbeiter.
  • Wenn Sie Personal haben, ist die Berechnung von Löhnen und Sozialleistungen in der Regel komplex und wird oft an einen Personaldienstleister ausgelagert. Infolgedessen geben Sie personenbezogene Daten über Ihre Mitarbeiter an diese dritte Partei weiter.
  • Wenn Sie Cloud- oder gehostete Software verwenden, um den Betrieb Ihres Unternehmens zu unterstützen, z. B. Software zur Verwaltung von Kundenbeziehungen, Verkaufsplattform (Booking.com, AirBnB usw.), Buchhaltungssoftware, Marketingplattform (Mailchimp, Hubspot usw.). Der Softwareanbieter hat möglicherweise Zugang zu einigen der Daten in dieser Software, um Sie unterstützen zu können.
  • Liefer-, Versand- und Transportdienste wie DHL, UPS, Uber usw., denen Sie Namen und Adressen mitteilen.
  • Soziale Medienplattformen wie Facebook, Instagram, Pinterest, Linkedin, Youtube usw.

Wie Sie sehen, werden Sie wahrscheinlich einige Daten mit Dritten teilen, auch wenn Ihr Unternehmen nicht in sozialen Medien vertreten ist. Die Datenschutz-Grundverordnung verbietet diese Interaktionen nicht, stellt jedoch folgende Anforderungen:

  1. Sie sind verpflichtet, Personen über die Weitergabe ihrer personenbezogenen Daten zu informieren und darzulegen, an wen ihre Daten weitergegeben werden. Geben Sie auch an, zu welchem Zweck und auf welcher Rechtsgrundlage. Kurz gesagt, Ihre Datenschutzrichtlinie und Ihr GDPR-Register müssen die Übermittlung korrekt dokumentieren.
  2. Jede Übermittlung personenbezogener Daten darf von der empfangenden dritten Partei nur für den dokumentierten Zweck verwendet werden.
  3. Wenn die Rechtsgrundlage für die Weitergabe das berechtigte Interesse Ihrer Organisation ist, hat der Nutzer das Recht, Einspruch zu erheben, und Sie müssen höchstwahrscheinlich jede Weitergabe stoppen und rückgängig machen.
  4. Daten einer besonderen Kategorie (medizinische Daten, Rasse und ethnische Zugehörigkeit usw., siehe Artikel 9 GDPR) können niemals auf der Grundlage eines berechtigten Interesses weitergegeben werden.
  5. Daher unterliegt jede Übermittlung personenbezogener Daten in Länder außerhalb der EU zusätzlichen Anforderungen. Es wäre ratsam, sich zu vergewissern, dass die empfangende Partei in einem Land ansässig ist, das von der EU als Land mit gleichwertigen Sicherheitspraktiken und -vorkehrungen eingestuft wurde. Wenn Sie Daten in ein nicht-äquivalentes Land übermitteln wollen, lassen Sie sich bitte rechtlich beraten.

6. Wahrung der Rechte der betroffenen Person

Die DSGVO gibt uns allen die Kontrolle über unsere personenbezogenen Daten, was einer der großen Vorteile der Verordnung ist. Wann immer Organisationen unsere personenbezogenen Daten verarbeiten, gibt uns die DSGVO eine Reihe von Rechten, auf die wir uns berufen können. Beispiele dafür sind: das Recht auf Information, das Recht auf Widerruf der Zustimmung, das Recht auf Zugang zu Ihren Daten, das Recht auf Vergessenwerden usw. Sie sind nicht mehr machtlos, Sie können diese Rechte jederzeit ausüben.

Aus der Sicht der Organisationen, die personenbezogene Daten von Einzelpersonen verwenden, müssen Sie als erstes sicherstellen, dass Sie die Personen über ihre Rechte informieren. Mit anderen Worten: Ihre Datenschutzpolitik sollte die Rechte der betroffenen Personen darlegen und aufzeigen, wie die Nutzer diese ausüben können. Außerdem sollten Sie darlegen, wie die Nutzer eine Beschwerde bei der Aufsichtsbehörde einreichen können, wenn sie dies wünschen. Wir von GDPRWise wollen sicherstellen, dass die Datenschutzrichtlinien, die Sie mit uns erstellen, die richtige Klausel für die betroffenen Personen enthalten, also sehen Sie sich an , wie das funktioniert.

So müssen Sie beispielsweise nicht nur Ihre Nutzer informieren, sondern auch die entsprechenden Verfahren innerhalb Ihrer Organisation einführen, um sicherzustellen, dass Sie auf Anfragen von Einzelpersonen schnell reagieren können. Die Datenschutzgrundverordnung räumt den Unternehmen in der Regel einen Monat Reaktionszeit ein. Schließlich raten wir Ihnen, ein spezielles Datenschutzpostfach einzurichten, damit keine Anfrage der betroffenen Person übersehen wird. Falls gewünscht, können Sie diese Aufgaben auch an Parteien auslagern, die Dienstleistungen in der Art von Datenbeauftragten und DSB anbieten.

7. Zustimmung

Die Einwilligung ist wahrscheinlich das am wenigsten geliebte GDPR-Thema, da fast jede Website Sie zwingt, sich an einem Cookie-Einwilligungs-Popup vorbeizuwinden. Dies muss geschehen, bevor Sie auf die eigentliche Website zugreifen können. Bevor wir auf den Teil mit den Cookies eingehen, wissen Sie bereits, dass die Einwilligung eine der sechs Rechtsgrundlagen ist, die die DSGVO für jede Verarbeitung personenbezogener Daten zulässt.

Es gibt eine Reihe von Anforderungen an die Erfassung der Zustimmung. Die Zustimmung sollte…

1. Frei gegeben

Der Einzelne sollte eine echte Wahlmöglichkeit haben, ohne dass er unter Druck gesetzt wird, sein Einverständnis zu geben, indem er zum Beispiel auf negative Auswirkungen hinweist. Folglich wird ein Arbeitgeber, der von seinem Arbeitnehmer die Zustimmung zu einer bestimmten Verarbeitung verlangt, nur selten als freiwillig erteilt angesehen. Eine Quiz-App bittet Sie beispielsweise um Ihr Einverständnis, Ihren Standort zu verfolgen. Obwohl die Standortverfolgung für das Spiel nicht unbedingt erforderlich ist, funktioniert die App nicht ohne Ihre Zustimmung, und auch hier gilt die Zustimmung nicht als freiwillig erteilt.

2. Spezifische

Für jeden spezifischen Zweck sollte die Zustimmung eingeholt werden. Mit anderen Worten: Wenn die Verarbeitung mehrere Zwecke verfolgt, sollte die Einwilligung für alle Zwecke getrennt erteilt werden. Daher können Sie z. B. nicht gleichzeitig die Zustimmung für einen Newsletter, eine Funktion und die Weitergabe von Daten an Geschäftspartner anfordern. Die Nutzer sollten die Möglichkeit haben, ihre Zustimmung zu einem bestimmten Verarbeitungszweck zu erteilen bzw. zu widerrufen.

3. Informiert

Das Ersuchen muss klar, prägnant und in einfacher Sprache formuliert sein, bevor die Verarbeitung stattfindet. Gleichzeitig sollten Sie Ihre Nutzer darüber informieren, dass sie ihre Einwilligung jederzeit widerrufen können und wie sie dies tun können. Alle Informationen, die sich auf die Einwilligung beziehen, sollten klar und verständlich sein und auf keinen Fall in anderen rechtlichen oder vertraglichen Klauseln versteckt werden.

4. Auf der Grundlage einer eindeutigen bestätigenden Handlung

Schweigen, angekreuzte Kästchen oder Untätigkeit gelten nicht als Zustimmung. Sie können auf Ihrer Website ein leeres Kästchen zum Ankreuzen einrichten. Wichtig ist, dass Sie natürlich auch die anderen Zustimmungserfordernisse abdecken.

5. Nachvollziehbar

Der für die Verarbeitung Verantwortliche, d. h. der Hauptverantwortliche für die Verarbeitung, sollte jederzeit in der Lage sein, nachzuweisen, dass der Nutzer seine Einwilligung zu der Verarbeitung gegeben hat.

6. Ebenso leicht widerrufbar wie gegeben

Wenn das Anklicken eines Kontrollkästchens auf einer Website ausreicht, um eine Einwilligung zu erteilen, dann sollte der Widerruf der Einwilligung auch so einfach sein. Klassische Beispiele: Einzelhändler erschweren die Abbestellung. Sie bestehen zum Beispiel darauf, dass Sie eine Nummer anrufen, um sich abzumelden. Dies entspricht nicht den Vorschriften, und Sie können dies problemlos anfechten und sogar Ihrer Aufsichtsbehörde melden.

Bitte beachten Sie, dass bei besonderen Datenkategorien(Art. 9 DSGVO), wie z. B. medizinischen Daten, die Zustimmung ausdrücklich erfolgen muss. Eine ausdrückliche Zustimmung geht über die normale Zustimmung hinaus und erfordert beispielsweise eine Unterschrift oder eine zusätzliche Bestätigung per E-Mail.

Aha, ja! Und was ist mit den gefürchteten Cookie-Einwilligungen?

Ein Cookie (auch Web-Cookie, Internet-Cookie, Browser-Cookie genannt) ist ein kleiner Datensatz, der von einer Website gesendet wird. Diese wird also vom Webbrowser des Nutzers auf dessen Computer gespeichert, wenn dieser die Website besucht. Die Datenschutz-Grundverordnung hat Cookies ins Rampenlicht gerückt, da diese beim Besuch einer Website in der Regel ohne Ihr Wissen persönliche Daten speichern. In Wirklichkeit könnte man öffentliche Internet-Websites mit öffentlichen Bereichen in der realen Welt vergleichen. Wie würden Sie sich fühlen, wenn in der realen Welt jemand damit beginnen würde, persönliche Daten über Sie zu sammeln, ohne dass Sie es merken oder sich dessen bewusst sind?

Cookies wurden für Websites entwickelt, um Informationen zu speichern, die der Benutzer zuvor auf der Website eingegeben hat, z. B. Namen, Adressen, Kreditkartennummern usw. Sie merken sich auch, ob Sie sich anmelden, oder speichern Ihre Einstellungen und Präferenzen auf der Website. Cookies, die personenbezogene Daten enthalten, sollten verschlüsselt werden, um zu verhindern, dass Hacker die darin enthaltenen Informationen lesen oder sogar (mit den Anmeldedaten des Nutzers) Zugang zu der Website erhalten, zu der der Cookie gehört. Erkundigen Sie sich also bei Ihrem Software-Anbieter und Ihren IT-Support-Teams, welche Art von Cookies Ihre Website oder Internet-Software setzt und ob die Inhalte verschlüsselt sind.

Eine besondere Kategorie von Cookies sind daher die Tracking-Cookies, die in der Regel dazu verwendet werden, langfristige Aufzeichnungen über den Browserverlauf von Personen zu erstellen. Da es sich bei dieser Praxis ganz klar um die Erhebung personenbezogener Daten handelt, die in den Anwendungsbereich der DSGVO fällt. Die Datenschutz-Grundverordnung verlangt, dass die Erhebung personenbezogener Daten auf ein Mindestmaß beschränkt und begründet ist, d. h. eine Rechtsgrundlage hat.

In Anbetracht ihrer oft fragwürdigen Motive und ohne wirklichen Bezug zu der vom Kunden gewünschten Dienstleistung bleibt nur die freundliche Frage an den Nutzer, ob er sie in Anspruch nehmen möchte. Mit anderen Worten, die Bitte um Zustimmung im Einklang mit dem oben genannten Erfordernis der Zustimmung.

 

8. Umsetzung geeigneter Sicherheitsmaßnahmen

Keine Privatsphäre ohne gute Sicherheit. Man kann noch so gute Datenschutzvorkehrungen treffen, wenn die Sicherheitsvorkehrungen nicht auf dem neuesten Stand sind, führt dies unweigerlich zu unbefugten Offenlegungen.

Wichtig ist, dass es sich bei der Sicherheit nicht um eine einzige Sache handelt, sondern um eine Sammlung von Ansätzen, Praktiken und Maßnahmen, die nur so stark sind wie ihr schwächstes Glied. Wir haben eine Wissensdatenbank zum Thema Datensicherheit erstellt – was Sie zu Ihrem Vorteil beachten sollten. Die zugehörigen Wissensdatenbankeinträge enthalten auch praktische Tipps, z. B. eine Liste mit Fragen, die Sie Ihrem IT-Supportpartner stellen können.

Wenn Sie mit den Grundlagen der Datensicherheit vertraut sind, sollten Sie und Ihr IT-Supportpartner Ihr GDPR-Register nutzen und die Liste der verwendeten Systeme abarbeiten. Zumindest sollten Sie die folgenden Aspekte überprüfen:

    • Ist die physische Sicherheit angemessen?

Befindet sich das System an einem physischen Ort, der angemessen sicher ist? Für alle Systeme, die weltbekannte Cloud-Systeme sind (z. B. Microsoft.com, Shopify.com), lautet die Antwort meist Ja, was durch die von ihnen erlangten und veröffentlichten Sicherheitszertifizierungen belegt wird. Bei allen Systemen, die in Ihrem Unternehmen gehostet werden, müssen Sie sicherstellen, dass nur bestimmte Personen Zugang zu den Räumlichkeiten, dem Büro, dem Serverraum des Geschäfts, dem Aktenschrank usw. haben. Für die unvermeidlichen Papierdokumente, die in den meisten Unternehmen immer noch vorhanden sind, haben wir einen speziellen Artikel in der Wissensdatenbank erstellt: Datensicherheit für Papierdokumente.

    • Ist die System- und Softwaresicherheit angemessen?

Schauen Sie sich unser spezielles Wissensthema, Sicherheit für Systeme und Software – Prinzipien, an, um dieses Thema weiter zu vertiefen. Es gibt eine Reihe von Aspekten, die Sie überprüfen sollten, und Maßnahmen, die Sie anwenden können. Hier einige Beispiele: Sind auf allen Systemen die neuesten Sicherheits-Patches installiert? Wird für alle Systeme eine angemessene Zugangskontrolle durchgeführt? Haben Sie, wenn möglich, die Zwei-Faktor-Authentifizierung aktiviert? Erzwingt das System sichere Passwörter? Können wir Daten, die wir nicht verwenden, im Einklang mit dem Grundsatz der Datenminimierung der DSGVO entfernen oder ausblenden?

    • Ist die Datensicherheit angemessen?

Für KMU gibt es zum Beispiel zwei zentrale Aspekte, die hier zu prüfen sind: Backups und Datenverschlüsselung. Vergewissern Sie sich, dass die Systeme gesichert sind und dass diese Sicherungen an einem sicheren Ort aufbewahrt werden. Gleichzeitig wollen Sie von Zeit zu Zeit testen, ob eine Wiederherstellung erfolgreich durchgeführt werden kann. Was die Datenverschlüsselung angeht, so sollten Sie sicherstellen, dass alle personenbezogenen Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind. Weitere Informationen finden Sie in unserer Wissensdatenbank unter dem Titel Datensicherheit – was ist zu beachten?

    • Werden alle Maßnahmen regelmäßig überprüft?

Ihre Sicherheitsvorkehrungen müssen regelmäßig überprüft und aktualisiert werden. Dies gilt nicht nur für Ihre Ausrüstung und Infrastruktur, sondern auch für die Menschen, die diese bedienen und nutzen. Wir möchten betonen, wie wichtig es ist, den menschlichen Faktor nicht zu vernachlässigen, denn es hat sich immer wieder gezeigt, dass er das schwächste Glied in der Verteidigung der Sicherheit und des Datenschutzes ist. Darüber hinaus müssen Sie sicherstellen, dass die richtigen Sicherheits- und Datenschutzgewohnheiten vermittelt und im Tagesgeschäft angewendet werden. Es gibt viele Online-Lernplattformen, die Schulungen zum Sicherheitsbewusstsein und zum Datenschutz zu sehr günstigen Preisen anbieten. Es muss sichergestellt werden, dass alle neuen Mitarbeiter und das gesamte Personal mindestens einmal im Jahr an diesen Schulungen teilnehmen. Dies ist für die Durchführung eines sicheren und datenschutzkonformen Betriebs unerlässlich. Es wird empfohlen, dass Sie einen Verhaltenskodex einführen, der Sicherheit und Datenschutz sowie andere ethische Geschäftspraktiken umfasst.

9. Umsetzung der Überwachung von und Berichterstattung über Verstöße

Die DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit. Dies könnte zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf personenbezogene Daten führen, unabhängig davon, ob diese gespeichert, übermittelt oder anderweitig verarbeitet werden.

Die Datenschutz-Grundverordnung soll sicherstellen, dass alle Unternehmen personenbezogene Daten ernst nehmen und mit großer Sorgfalt behandeln. Eine Datenschutzverletzung ist ein äußerst schwerwiegendes Ereignis mit potenziell schwerwiegenden Auswirkungen sowohl für das Unternehmen als auch für die betroffenen Personen.

Daher sind Sie verpflichtet, ein Protokoll über alle Verstöße zu führen, selbst über die kleinsten Vorfälle. Das Protokoll sollte den Vorfall selbst, die Ursache, die Auswirkungen, das Risiko künftiger Schäden, die betroffenen Daten und die Maßnahmen, die zur Minderung des Risikos weiterer Schäden getroffen wurden, beschreiben. Sie können unsere Vorlage für ein solches Ereignisprotokoll hier einsehen.

Verstöße, die sich wahrscheinlich auf die Rechte und Freiheiten von Personen auswirken, müssen der Aufsichtsbehörde und möglicherweise den betroffenen Personen gemeldet werden.

Es ist von entscheidender Bedeutung, dass die Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um mögliche Datenschutzverletzungen zu vermeiden. Gleichzeitig müssen die Unternehmen dafür sorgen, dass ihre Systeme auf Datenschutzverletzungen überwacht werden. Man kann nicht über mögliche Verletzungen des Schutzes personenbezogener Daten berichten, wenn man keine Möglichkeit hat, eine solche Verletzung zu erkennen. Es gibt spezielle Software zur Erkennung von Systemeinbrüchen, und Sie sollten sich bei Ihren Softwareanbietern und IT-Teams vergewissern, dass diese für Ihre Verarbeitung eingesetzt werden.

Nicht alle Datenschutzverletzungen werden durch böswillige Dritte, wie Hacker, verursacht. Es gibt viele Beispiele für versehentlichen Verlust oder versehentlichen unbefugten Zugriff:

  • Zum einen verlor ein Mitarbeiter einen USB-Stick/Laufwerk, auf dem sich persönliche Daten befanden, wobei weder das Laufwerk noch die Daten verschlüsselt waren.
  • Eine Person/ein Mitglied des Verkaufspersonals stellt versehentlich einen Umsatzbericht mit Namen und finanziellen Details von Kunden auf die öffentliche Website und nicht auf die Intranet-Teamsite.
  • Ein Mitarbeiter hängt die falsche Datei an eine E-Mail an, wodurch versehentlich personenbezogene Daten weitergegeben werden.
  • Und schließlich löscht ein Mitarbeiter versehentlich Kundendatensätze, was zum Verlust personenbezogener Daten führt.

Eine Unternehmenskultur, in der Datensicherheit und Datenschutz einen zentralen Stellenwert haben, trägt nicht nur dazu bei, solche Unfälle zu verhindern, sondern oft auch dazu, die Auswirkungen zu minimieren. Der menschliche Faktor und die Sicherstellung, dass alle Mitarbeiter regelmäßig an Schulungen zum Thema Sicherheit und Datenschutz teilnehmen, sind der Schlüssel zur Schaffung einer richtigen Sicherheits- und Datenschutzkultur.

10. Datenschutz durch Technik

Das Ziel der Datenschutz-Grundverordnung ist es, sicherzustellen, dass der Datenschutz für Sie und alle Organisationen bei allen ihren Aktivitäten an erster Stelle steht. Bereits in der Phase neuer Ideen und Pläne sollten Sie über den Reflex verfügen, die Privatsphäre so wenig wie möglich zu nutzen. Beschränken Sie den Zweck, erfassen Sie die Rechtsgrundlage, beachten Sie die Rechte der Nutzer, seien Sie achtsam bei der Weitergabe, überlegen Sie, wie Sie die Nutzer informieren und sorgen Sie für angemessene Sicherheitsmaßnahmen. Es sollte für Sie und Ihr Unternehmen eine Selbstverständlichkeit sein, den Schutz der Privatsphäre in den Mittelpunkt zu stellen. Die Privatsphäre ist ein Menschenrecht. Ihre Nutzer vertrauen darauf, dass Sie ihre persönlichen Daten mit der gebührenden Sorgfalt behandeln.

 

Wir haben auch eine Reihe von Schulungsvideos erstellt, die Sie vielleicht nützlich finden. Zum Beispiel dieses Video über das Wesen der GDPR. Das Video ist in mehreren Sprachen verfügbar.

 

GDPR-Verordnung und Anforderungen erklärt