Was ist GDPR? Zusammenfassender Leitfaden zur Einhaltung der GDPR

Was ist GDPR? Zusammenfassender Leitfaden zur Einhaltung der GDPR

Die Allgemeine Datenschutzverordnung (GDPR) hat die Art und Weise, wie Unternehmen Daten verarbeiten und verwalten, überarbeitet. In unserem Leitfaden zur Datenschutz-Grundverordnung erfahren Sie, was die Änderungen für Sie bedeuten. 

Am 25. Mai 2018 endeten die jahrelangen Vorbereitungen. In ganz Europa wurden die lange geplanten Datenschutzreformen in Kraft gesetzt. Die gemeinsam vereinbarte Datenschutz-Grundverordnung (GDPR) ist nun seit rund zwei Jahren in Kraft und hat die Gesetze zum Schutz der personenbezogenen Daten von Einzelpersonen modernisiert. 

Die GDPR hat die früheren Datenschutzvorschriften in ganz Europa ersetzt, die fast zwei Jahrzehnte alt waren - einige von ihnen wurden bereits in den 1990er Jahren entworfen. Seitdem hat sich unser datenintensiver Lebensstil entwickelt, bei dem die Menschen routinemäßig ihre persönlichen Daten frei online teilen. 

Die EU sagt, dass die Datenschutz-Grundverordnung (GDPR) dazu dient, die Datenschutzgesetze in allen Mitgliedsländern zu "harmonisieren" und dem Einzelnen mehr Schutz und Rechte zu gewähren. Die GDPR wurde auch geschaffen, um zu ändern, wie Unternehmen und andere Organisationen mit den Daten derjenigen umgehen können, die mit ihnen interagieren. Denjenigen, die gegen die Vorschriften verstoßen, drohen hohe Geldstrafen und Rufschädigung. 

Die Verordnung bringt große Veränderungen mit sich, baut aber auf früheren Datenschutzgrundsätzen auf. Dies hat dazu geführt, dass viele Datenschützer, darunter auch die britische Datenschutzbeauftragte Elizabeth Denham, die DSGVO eher als eine Weiterentwicklung denn als eine vollständige Überarbeitung der Rechte bezeichnen. Für Unternehmen, die sich bereits an die Vorschriften vor der DSGVO hielten, sollte die Verordnung eine "schrittweise Änderung" sein, so Denham. 

Trotz einer Übergangsfrist vor der Datenschutz-Grundverordnung, die Unternehmen und Organisationen Zeit gab, ihre Richtlinien zu ändern, gab es immer noch viel Verwirrung um die Vorschriften. Hier ist unser Leitfaden, was GDPR wirklich bedeutet. 

 

Was genau ist GDPR?  

Die Datenschutz-Grundverordnung kann als das weltweit strengste Regelwerk zum Datenschutz betrachtet werden, das den Zugang der Bürger zu ihren Daten verbessert und den Umgang von Unternehmen mit personenbezogenen Daten einschränkt. Der vollständige Text der Datenschutz-Grundverordnung ist ein unhandliches Ungetüm, das 99 einzelne Artikel enthält.  

Die Verordnung dient als Rahmen für Gesetze auf dem gesamten Kontinent und ersetzt die frühere Datenschutzrichtlinie von 1995. Die endgültige Form der DSGVO entstand nach mehr als vier Jahren der Diskussion und Verhandlungen - sie wurde im April 2016 sowohl vom Europäischen Parlament als auch vom Europäischen Rat angenommen. Die zugrundeliegende Verordnung und die Richtlinie wurden Ende desselben Monats veröffentlicht.  

Die GDPR trat am 25. Mai 2018 in Kraft. Den europäischen Ländern wurde die Möglichkeit eingeräumt, ihre eigenen kleinen Änderungen vorzunehmen, um sie an ihre eigenen Bedürfnisse anzupassen. Im Vereinigten Königreich führte diese Flexibilität zur Schaffung des Data Protection Act (2018), der den vorherigen Data Protection Act von 1998 ablöste.  

Die GDPR wird als fortschrittlicher Ansatz für den Umgang mit personenbezogenen Daten gelobt, und es wurden Vergleiche mit dem kalifornischen Consumer Privacy Act angestellt.  

  

   

  

Für wen gilt die GDPR?  

Im Mittelpunkt der GDPR stehen die personenbezogenen Daten. Im Großen und Ganzen handelt es sich dabei um Informationen, die eine direkte oder indirekte Identifizierung einer lebenden Person anhand der verfügbaren Daten ermöglichen. Dabei kann es sich um etwas Offensichtliches handeln, wie den Namen einer Person, Standortdaten oder einen eindeutigen Online-Benutzernamen, oder um etwas weniger Offensichtliches: IP-Adressen und Cookie-Kennungen können als personenbezogene Daten betrachtet werden.  

Unter der DSGVO gibt es auch einige besondere Kategorien sensibler personenbezogener Daten, die stärker geschützt sind. Zu diesen personenbezogenen Daten gehören Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische und biometrische Daten, Gesundheitsinformationen und Daten über das Sexualleben oder die sexuelle Orientierung einer Person.  

Entscheidend für die Definition personenbezogener Daten ist, dass sie die Identifizierung einer Person ermöglichen - pseudonymisierte Daten können dennoch unter die Definition personenbezogener Daten fallen. Personenbezogene Daten sind im Rahmen der DSGVO deshalb so wichtig, weil Einzelpersonen, Organisationen und Unternehmen, die entweder für die Verarbeitung Verantwortliche" oder Auftragsverarbeiter" sind, unter das Gesetz fallen.  

"Die für die Verarbeitung Verantwortlichen sind die Hauptentscheidungsträger - sie üben die Gesamtkontrolle über die Zwecke und Mittel der Verarbeitung personenbezogener Daten aus", sagt die britische Datenschutzbehörde, das Information Commissioner's Office (ICO). Es ist auch möglich, dass es gemeinsame für die Verarbeitung personenbezogener Daten Verantwortliche gibt, bei denen zwei oder mehr Gruppen bestimmen, wie die Daten verarbeitet werden. "Auftragsverarbeiter handeln im Namen und nur auf Anweisung des jeweiligen für die Verarbeitung Verantwortlichen", so das ICO. Die für die Verarbeitung Verantwortlichen haben im Rahmen der DSGVO strengere Verpflichtungen als die Auftragsverarbeiter.  

Obwohl die GDPR aus der EU stammt, kann sie auch für Unternehmen gelten, die außerhalb der Region ansässig sind. Wenn zum Beispiel ein Unternehmen in den USA in der EU tätig ist, kann die Datenschutz-Grundverordnung (GDPR) Anwendung finden, und zwar auch dann, wenn es ein für die Verarbeitung Verantwortlicher von EU-Bürgern ist. 

 

Was sind die wichtigsten Grundsätze der GDPR?  

Das Kernstück der DSGVO sind sieben Grundprinzipien, die in Artikel 5 der Rechtsvorschrift niedergelegt sind und die den Umgang mit personenbezogenen Daten regeln sollen. Es handelt sich dabei nicht um strenge Regeln, sondern um einen übergreifenden Rahmen, der dazu dient, die allgemeinen Ziele der Datenschutz-Grundverordnung festzulegen. Die Grundsätze sind weitgehend dieselben, die auch unter den früheren Datenschutzgesetzen galten.  

Die sieben Grundsätze der DSGVO lauten: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit (Sicherheit) sowie Rechenschaftspflicht. In Wirklichkeit ist nur einer dieser Grundsätze - die Rechenschaftspflicht - neu in den Datenschutzvorschriften. Im Vereinigten Königreich ähneln alle anderen Grundsätze denen, die bereits unter dem Data Protection Act von 1998 galten.  

Der ICO-Leitfaden zur GDPR enthält eine vollständige Auflistung der Grundsätze, aber wir werden hier nur einige von ihnen hervorheben.  

  

Datenminimierung  

Der Grundsatz der Datenminimierung ist nicht neu, aber er ist in einer Zeit, in der wir mehr Informationen als je zuvor erzeugen, weiterhin wichtig. Organisationen sollten nicht mehr personenbezogene Daten von ihren Nutzern erheben, als sie benötigen. "Sie sollten die Mindestmenge an personenbezogenen Daten ermitteln, die Sie benötigen, um Ihren Zweck zu erfüllen", sagt das ICO. "Sie sollten so viele Informationen speichern, aber nicht mehr.  

Dieser Grundsatz soll sicherstellen, dass Organisationen nicht zu viele Daten über Personen sammeln. So ist es zum Beispiel sehr unwahrscheinlich, dass ein Online-Händler die politischen Meinungen von Personen erfassen muss, wenn diese sich in die E-Mail-Verteilerliste des Händlers eintragen, um über Verkaufstermine informiert zu werden.  

  

Integrität und Vertraulichkeit (Sicherheit)  

In den Datenschutzgesetzen von 1998 wurde die Sicherheit als siebter Grundsatz festgelegt. Im Laufe von 20 Jahren hat sich eine Reihe von bewährten Praktiken zum Schutz von Informationen herausgebildet, von denen nun viele in den Text der Datenschutz-Grundverordnung aufgenommen wurden.  

Personenbezogene Daten müssen gegen "unbefugte oder unrechtmäßige Verarbeitung" sowie gegen zufälligen Verlust, Zerstörung oder Beschädigung geschützt werden. Im Klartext bedeutet dies, dass angemessene Sicherheitsvorkehrungen getroffen werden müssen, um zu verhindern, dass Hacker auf die Daten zugreifen oder sie versehentlich im Rahmen einer Datenschutzverletzung weitergegeben werden.   

Die Datenschutz-Grundverordnung sagt nicht, wie gute Sicherheitspraktiken aussehen müssen, da dies für jede Organisation anders ist. Eine Bank muss ihre Daten auf eine robustere Weise schützen als Ihr Zahnarzt. Im Großen und Ganzen sollten jedoch angemessene Zugangskontrollen für Informationen eingerichtet werden, Websites sollten verschlüsselt werden, und die Pseudonymisierung wird empfohlen.  

"Ihre Cybersicherheitsmaßnahmen müssen der Größe und Nutzung Ihres Netzwerks und Ihrer Informationssysteme angemessen sein", so die ICO. Kommt es zu einem Datenschutzverstoß, werden die Datenschutzbehörden bei der Festsetzung möglicher Bußgelder die Informationssicherheitsvorkehrungen eines Unternehmens berücksichtigen. Cathay Pacific Airways wurde unter den vor der DSGVO geltenden Gesetzen zu einer Geldstrafe von 500.000 Pfund verurteilt, weil 111.578 personenbezogene Daten ihrer britischen Kunden offengelegt wurden. Der Fluggesellschaft wurde vorgeworfen, "grundlegende Sicherheitsmängel" in ihrem System zu haben.  

Die Rechenschaftspflicht ist der einzige neue Grundsatz im Rahmen der Datenschutz-Grundverordnung - er wurde hinzugefügt, um sicherzustellen, dass die Unternehmen nachweisen können, dass sie die anderen Grundsätze der Verordnung einhalten. Im einfachsten Fall bedeutet Rechenschaftspflicht, dass dokumentiert wird, wie personenbezogene Daten gehandhabt werden und welche Schritte unternommen werden, um sicherzustellen, dass nur Personen, die auf bestimmte Informationen zugreifen müssen, dies auch können. Rechenschaftspflicht kann auch bedeuten, dass die Mitarbeiter in Datenschutzmaßnahmen geschult und die Datenverarbeitungsprozesse regelmäßig bewertet werden.  

Die "Zerstörung, der Verlust, die Veränderung, die unbefugte Weitergabe von oder der Zugriff auf" personenbezogene Daten muss der Datenschutzbehörde eines Landes gemeldet werden, wenn dies nachteilige Auswirkungen auf die Betroffenen haben könnte. Dazu gehören unter anderem finanzielle Verluste, Verletzung der Vertraulichkeit, Rufschädigung und vieles mehr. Im Vereinigten Königreich muss die ICO innerhalb von 72 Stunden, nachdem eine Organisation von einer Datenschutzverletzung erfahren hat, darüber informiert werden. Ein Unternehmen muss auch die Personen informieren, die von der Verletzung betroffen sind.  

Unternehmen mit mehr als 250 Mitarbeitern müssen dokumentieren, warum die Daten von Personen gesammelt und verarbeitet werden, welche Informationen gespeichert werden, wie lange sie aufbewahrt werden und welche technischen Sicherheitsmaßnahmen ergriffen werden. Artikel 30 der DSGVO legt fest, dass die meisten Organisationen Aufzeichnungen über ihre Datenverarbeitung, die Weitergabe und die Speicherung von Daten führen müssen. 

Darüber hinaus müssen Organisationen, die eine "regelmäßige und systematische Überwachung" von Personen in großem Umfang durchführen oder viele sensible personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten (DSB) einstellen. Für viele Organisationen, die unter die DSGVO fallen, kann dies bedeuten, dass sie einen neuen Mitarbeiter einstellen müssen - obwohl größere Unternehmen und Behörden möglicherweise bereits Mitarbeiter in dieser Funktion haben. In dieser Funktion muss die Person den leitenden Mitarbeitern Bericht erstatten, die Einhaltung der DSGVO überwachen und ein Ansprechpartner für Mitarbeiter und Kunden sein.  

Der Grundsatz der Rechenschaftspflicht kann auch entscheidend sein, wenn gegen eine Organisation wegen eines möglichen Verstoßes gegen einen der Grundsätze der DSGVO ermittelt wird. Eine genaue Aufzeichnung aller vorhandenen Systeme, der Art und Weise der Datenverarbeitung und der Schritte, die zur Fehlervermeidung unternommen wurden, wird einer Organisation helfen, den Aufsichtsbehörden zu beweisen, dass sie ihre Verpflichtungen im Rahmen der DSGVO ernst nimmt.  

  

Welche Rechte habe ich nach der DSGVO?  

Während die DSGVO den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern wohl die größten Lasten aufbürdet, sollen die Rechtsvorschriften auch die Rechte des Einzelnen schützen. So sind in der DSGVO acht Rechte festgelegt. Diese reichen von der Erleichterung des Zugangs zu den Daten, die Unternehmen über sie gespeichert haben, bis hin zur Löschung der Daten in bestimmten Fällen.  

Die vollständigen GDPR-Rechte für Einzelpersonen sind: das Recht auf Information, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht und auch Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung.  

Wie bei den Grundsätzen der Datenschutz-Grundverordnung gehen wir hier nur auf einige der Rechte im Detail ein. Weitere Informationen finden Sie auf der Website des ICO.  

  

Zugang zu Ihren Daten  

Wenn Sie herausfinden möchten, was ein Unternehmen oder eine Organisation über Sie weiß, benötigen Sie einen Antrag auf Zugang zu Ihren Daten (Subject Access Request, SAR). Früher kosteten diese Anträge 10 Pfund, aber die Datenschutzgrundverordnung hebt diese Kosten auf und macht die Anfrage nach Ihren Daten kostenlos. Sie können keinen Antrag auf die Daten einer anderen Person stellen, obwohl jemand, z. B. ein Rechtsanwalt, einen Antrag im Namen einer anderen Person stellen kann.  

Wenn eine Person einen Antrag stellt, hat sie einen gesetzlichen Anspruch darauf, dass ihr bestätigt wird, dass eine Organisation ihre personenbezogenen Daten verarbeitet, dass sie eine Kopie dieser personenbezogenen Daten erhält (es sei denn, es gelten Ausnahmeregelungen) und dass ihr alle weiteren Informationen zur Verfügung gestellt werden, die für ihren Antrag relevant sind. Eine Anfrage muss innerhalb eines Monats beantwortet werden.  

Menschen haben bereits erfolgreich SARs genutzt, um herauszufinden, welche Informationen Technologieunternehmen über sie gespeichert haben. Tinder schickte einer Person 800 Seiten mit Informationen über die Nutzung der App, darunter Angaben zur Ausbildung, zum Alter der Personen, für die sie sich interessierte, und zum Ort, an dem jedes Match stattfand. In anderen Fällen wurden die Höhe der Ausgaben für die FIFA und jeder Klick beim Einkauf auf der Amazon-Website offengelegt.  

Verdachtsmeldungen können entweder schriftlich oder mündlich erfolgen. Das bedeutet, dass eine Organisation feststellen muss, ob das, worum sie gebeten wurde, als personenbezogene Daten im Sinne der Datenschutz-Grundverordnung einzustufen ist. Eine Meldung muss nicht als solche gekennzeichnet sein und kann an jede beliebige Person in einem Unternehmen gerichtet werden - sie kann sogar über soziale Medien versandt werden, obwohl eine E-Mail für die meisten Menschen das gebräuchlichste Format sein wird. Neben den angeforderten Informationen muss ein Unternehmen auch Angaben dazu machen, warum es die personenbezogenen Daten verarbeitet, wie die Daten verwendet werden und wie lange sie aufbewahrt werden sollen.  

Viele große Technologieunternehmen haben ihre eigenen Datenportale, von denen Sie einige Ihrer Daten herunterladen können. Facebook beispielsweise bietet seinen Nutzern die Möglichkeit, alle alten Bilder, Beiträge und Pokes herunterzuladen, während Twitter und Google ebenfalls den Zugriff auf die mit den Konten verbundenen Informationen ermöglichen, ohne dass eine Meldung erforderlich ist. In manchen Fällen enthalten diese Möglichkeiten des Informationszugangs nicht alles, was eine Person wünscht. Wenn ein Antrag auf Zugang zu den Daten nicht die vom Antragsteller gewünschten Ergebnisse liefert, kann er beim ICO angefochten werden.   

  

Automatisierte Verarbeitung, Löschung und Datenübertragbarkeit  

Die Datenschutz-Grundverordnung stärkt auch die Rechte einer Person im Zusammenhang mit der automatisierten Verarbeitung von Daten. Das ICO sagt, dass Personen das Recht haben, keiner Entscheidung unterworfen zu werden", wenn diese automatisch erfolgt und eine erhebliche Auswirkung auf eine Person hat. Es gibt bestimmte Ausnahmen, aber im Allgemeinen müssen die Betroffenen eine Erklärung zu einer Entscheidung erhalten, die sie betrifft.  

Die Verordnung gibt Personen auch die Möglichkeit, unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten zu verlangen. Dazu gehören Fälle, in denen die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, wenn die Einwilligung zurückgezogen wurde, kein berechtigtes Interesse besteht und wenn sie unrechtmäßig verarbeitet wurden. 

Datenübertragbarkeit ist eines der großen Schlagworte der Datenschutz-Grundverordnung - aber eines, das am wenigsten umgesetzt wurde. Die Theorie besagt, dass es möglich sein sollte, Informationen von einem Dienst zu einem anderen zu übertragen. Eines der besten Beispiele für die gemeinsame Nutzung von Daten ist die Möglichkeit von Facebook, Ihre Fotos automatisch an ein Google Fotos-Konto zu übertragen. Dies wurde vom Data Transfer Project entwickelt, dem Apple, Google, Facebook, Twitter und Microsoft angehören.  

  

Verstöße gegen die Datenschutzgrundverordnung und Geldbußen  

Eines der größten und meistdiskutierten Elemente der Datenschutz-Grundverordnung ist die Möglichkeit der Aufsichtsbehörden, Unternehmen, die sich nicht an die Vorschriften halten, mit hohen Geldbußen zu belegen. Wenn ein Unternehmen die Daten einer Person nicht auf korrekte Weise verarbeitet, kann es mit einer Geldstrafe belegt werden. Wenn ein Unternehmen einen Datenschutzbeauftragten benötigt, aber nicht hat, kann es mit einem Bußgeld belegt werden. Bei einem Sicherheitsverstoß kann ein Bußgeld verhängt werden.  

Im Vereinigten Königreich werden diese Geldstrafen von der ICO verhängt, und alle wiedereingezogenen Gelder werden über das Finanzministerium zurückgeleitet. Die DSGVO besagt, dass kleinere Verstöße zu Geldstrafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes eines Unternehmens führen können (je nachdem, welcher Betrag höher ist). Die schwerwiegendsten Verstöße gegen die DSGVO können schwerwiegendere Konsequenzen nach sich ziehen: Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist). Unter der vorherigen Datenschutzregelung konnte das ICO nur Geldstrafen von bis zu 500.000 £ verhängen.  

Vor der Einführung der DSGVO gab es viele Spekulationen darüber, dass die Datenschutzaufsichtsbehörden Unternehmen, die gegen die Vorschriften verstoßen, mit hohen Geldstrafen belegen würden. Dies ist nicht geschehen. Datenschutzuntersuchungen können langwierig und komplex sein - wenn sie falsch sind, können sie vor Gericht angefochten werden.  

 Eine der bisher höchsten Geldstrafen im Rahmen der DSGVO wurde gegen Google verhängt: Die französische Datenschutzbehörde CNIL verhängte gegen das Unternehmen eine Geldstrafe in Höhe von 50 Millionen Euro (43 Millionen Pfund). Laut CNIL wurde die Geldstrafe aus zwei Hauptgründen verhängt: Google hat die Nutzer nicht ausreichend darüber informiert, wie es die Daten verwendet, die es von 20 verschiedenen Diensten erhält, und hat auch keine ordnungsgemäße Zustimmung zur Verarbeitung von Nutzerdaten eingeholt.  

Weitere Bußgelder wurden gegen die App von La Liga verhängt, die Personen ausspionierte, die sie heruntergeladen hatten, gegen die bulgarische DSK Bank, weil sie versehentlich Kundendaten weitergegeben hatte, und gegen Schulen, die Schüler überwachte.  

Die höchsten Bußgelder könnten jedoch aus dem Vereinigten Königreich kommen. Das ICO hat sowohl der Fluggesellschaft British Airways als auch der Hotelkette Marriott eine "Absichtserklärung" wegen Verstoßes gegen die Datenschutzgrundverordnung zugestellt. Es wurde gemutmaßt, dass BA mit einer Geldstrafe von 183 Millionen Pfund und die Hotelkette mit einer Geldstrafe von 99 Millionen Pfund belegt werden soll. Da es sich jedoch in beiden Fällen um Absichtserklärungen handelt, handelt es sich nicht um offizielle Geldbußen, und beide Unternehmen haben noch nichts gezahlt. Beide Unternehmen fechten die Bescheide des ICO sogar an.  

Dieser Artikel wurde ursprünglich 2017 veröffentlicht, also noch vor der Umsetzung der DSGVO. Er wurde inzwischen aktualisiert und enthält nun die neuesten Informationen.