Sie wollen wissen: Was muss ich für die DSGVO tun?
Vielleicht haben Sie sich durch unsere Online-Quizfragen gearbeitet und Ihre DSGVO Bereitschaft getestet, oder Sie haben den einen oder anderen Artikel überflogen und vage Ideen bekommen.
Oder Sie haben versucht, die Quellen des Europäischen Parlaments zur Allgemeinen Datenschutzverordnung 4.5.2016 L 119/1 zu lesen, um dann festzustellen, dass die verwendete Sprache für Nicht-Rechtsgelehrte zu juristisch und für Juristen of zu technisch daherkommt
Deshalb haben wir jedes Kapitel und jeden Artikel der DSGVO in etwas übersetzt, das eine Person vernünftig verstehen und umsetzen kann. Wenn Sie sofortige Unterstützung bei Ihrer DSGVO-Konformität benötigen, fordern Sie eine 1:1-Demo an, und sehen Sie, wie Varonis Ihnen helfen kann.
Beginnen Sie gleich hier:
Was der Text aussagt
Die Daten von EU-Bürgern unterliegen jetzt mehreren Schutzbestimmungen. Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern besitzt, gelten diese für sie.
Sie müssen daher
Wenn Sie sich in der EU befinden, lesen Sie den Rest dieses Dokumentes und beginnen Sie, Ihre Datenschutzverfahren zu überarbeiten.
Sie sitzen an einem anderen Ort? Ja, die DSGVO hat Folgen für Sie
Sie glauben mir nicht? Abseits aller aufsichtsrechtlichen Regelungen bietet die DSGVO einen sehr praxisbezogenen Ansatz zur Handhabung der unterschiedlichen Aspekte des Datenschutzes.
Selbst wenn Sie mit aller Kraft daran glauben, dass sie die Vorgaben der Verordnung nicht einhalten müssen, sind Sie auf jeden Fall zum Schutz der Daten Ihrer Benutzer verpflichtet. Und die Umsetzung des DSGVO-Leitfadens wird Sie dabei unterstützen.
Was der Text aussagt
Sie betrifft alle Dateien oder Datenbanken, die den Namen oder Identitätsdaten einer Person enthalten.
Sie müssen daher
Beginnen Sie, alle Datenspeicher zu beobachten, die in Ihrem Unternehmen im Marketing, der Forschung, dem Kundendienst, der Supportabteilung usw. verwendet werden.
Was der Text aussagt
Es spielt keine Rolle, in welchem Land sich das Laufwerk befindet, dass die Daten enthält. Wenn ein EU-Bürger betroffen ist, gilt auch die DSGVO.
Sie müssen daher
Sie müssen wissen, wo Ihre Daten liegen und wo Ihr Marketing aktiv ist. Ist Ihre mobile App (auch wenn es eine kostenfreie Version ist) im europäischen App-Markt erhältlich? Geben Sie Geld für Anzeigen aus, die zufällig auch in einem EU-Land angezeigt wird?
Erfahren Sie mehr über den räumlichen Anwendungsbereich der DSGVO
Was der Text aussagt
Personenbezogene Daten: Alles, woran eine Person innerhalb einer größeren Gruppe identifiziert werden könnte. Das umfasst wahrscheinlich mehr, als Sie denken, weil auch Kombinationen von Daten als personenbezogen eingestuft werden. Beispielsweise gilt es nicht notwendigerweise als identifizierbar, wenn jemand Linkshänder ist – ein linkshändiger Mann jedoch, der zwischen 30 und 60 Tausend Euro verdient und in Friedrichsdorf lebt, möglicherweise schon.
Profiling: Etwas über die Vorlieben oder Neigungen einer Person zu erfahren. Hat vor allem mit der Vorhersage von Verhalten oder zukünftigen Handlungen zu tun.
Datenverantwortlicher: Wenn Sie das hier lesen, gilt diese Bezeichnung höchstwahrscheinlich für Sie. Es ist die Person, die entscheidet, was mit den gesammelten Daten geschehen soll. Wenn Sie eine Website betreiben, die Marketing- oder Analysedienste nutzt, sind Sie ein Datenverantwortlicher.
Verarbeiter: Üblicherweise ein Unternehmen, das vom Datenverantwortlichen Anweisungen erhält, seine Daten für einen bestimmten Zweck zu verarbeiten. Wenn Sie eine Website betreiben und Google Analytics verwenden, ist Google der Verarbeiter, der auf Ihre Anweisungen hin handelt.
Sie müssen daher
Beginnen Sie, eine Liste aller externen Einheiten, die Sie für Analysen, Marketing oder andere Zwecke in Ihrem Unternehmen verwenden, zu erstellen. Hinweis: Weil alle Menschen gerne digitale Dateien anhäufen, stellen Sie sicher, dass Sie Speicher wie Box, Dropbox, GDrive und lokale Speichersysteme berücksichtigen, weil diese unweigerlich Dateien wie „Die 10 häufigsten Supportprobleme 2015“ enthalten, die bis zum Rand mit Namen und IDs gefüllt sind.
Sie sollten auch anfangen, alle externen Dienste zu erfassen, die auf Ihrer Website, Ihrem Web-Host usw. verwendet werden. Hoffentlich finden Sie dabei nicht heraus, dass die Sicherungskopien Ihrer Site auf einem internetfähigen Pentium-PC gespeichert werden, der am Arbeitsplatz eines IT-Mitarbeiters läuft.
Paypal bietet ein gutes Beispiel, wie Kategorie, Partei, Zweck und die Art der Daten, die an den jeweiligen Partner weitergegeben werden, anzugeben sind: Liste externer Parteien von Paypal
Was der Text aussagt
Die folgenden Attribute sollten für gespeicherte personenbezogener Daten gelten:
– Sachlich richtig und aktuell
– Geschützt
– Transparent bezüglich der Verwendungszwecke
– Beschränkt auf das für den Zweck erforderliche Ausmaß
Sie müssen daher
Was der Text aussagt
Teilen Sie den Leuten mit, was Sie mit ihren Daten machen werden. Und tun sie auch nur das. Verwenden Sie die Daten für keine anderen Zwecke.
Sie müssen daher
Klären Sie Ihr gesamtes Personal darüber auf, für welche Zwecke die gesammelten Daten verwendet werden dürfen – und für welche Zwecke nicht.
Stellen Sie einen Ansprechpartner und ein Verfahren für Fälle bereit, in denen ein Verstoß gegen diese Regeln gefunden wird.
Was der Text aussagt
– Sie müssen in der Lage sein, die Einwilligung zur Verarbeitung von Daten nachweisen zu können.
– Verstecken Sie die Einwilligungs- und Verwendungsinformationen nicht.
– Benutzen Sie einfache Formulierungen und seien Sie genau.
– Und benutzen Sie die Daten auf keinen Fall für Zwecke, denen nicht zugestimmt wurde.
Sie müssen daher
Was der Text aussagt
– Nur Personen über 16 Jahre können ihre Einwilligung geben.
– Jünger als 16? Dann wird für die Einwilligung ein Elternteil oder Erziehungsberechtigter gebraucht.
– Das Formular zur Angabe des Geburtsdatums, wie es z. B. für alterbeschränkte Filmtrailer verwendet wird, reicht hier wahrscheinlich nicht aus.
Sie müssen daher
Fügen Sie Filter hinzu, um Kinder auszusortieren, und verfolgen Sie das Benutzerverhalten nicht, bis die Einwilligung erteilt wurde.
Was der Text aussagt
Sofern es nicht durch ein anderes Gesetz (Arbeits- oder Immobilienrecht) vorgeschrieben ist, sammeln Sie keine Daten über ethnische Herkunft, politische Überzeugung, Glauben, Gewerkschaftsmitgliedschaften, Gesundheitsdaten, Sexualleben oder sexuelle Orientierung.
Sie müssen daher
Überprüfen Sie Ihren aktuellen Datenbestand und stellen Sie sicher, dass sie keine Daten dieser speziellen Datenkategorien haben und/oder aus den von Ihnen kontrollierten Daten ableiten können.
Dabei müssen Sie auch unbedingt scheinbar harmlose Datenfelder wie “Hobbys” und deren potenzielle Aussagekraft in Bezug auf eine Person berücksichtigen.
Was der Text aussagt
Sofern Sie nicht für eine juristische Organisation arbeiten, sollten Sie keine Daten über Verurteilungen oder Straftaten einer Person aufbewahren.
Sie müssen daher
Wenn Sie zu den Unternehmen gehören, die „Online-Strafregisterprüfungen“ anbieten, sollten Sie wahrscheinlich lieber Ihr Geschäft einstellen und anfangen, auf ebay mit Bandpostern zu handeln.
Was der Text aussagt
Wenn Sie berechtigterweise behaupten können, dass Sie eine Person nicht anhand der jeweiligen Interaktion zurückverfolgen können, sollten Sie ihnen das mitteilen und dann auf eine Aktivitätsverfolgung verzichten.
Sie müssen daher
Denken Sie an einen anonymen Feedback-Kasten in einem Supermarkt.
Hier geht es um Daten. Sie werden gesammelt. Aber es gibt keinen Zusammenhang mit anderen Identifikationsquellen oder -methoden, es muss also kein Einwilligungsverfahren vorgesehen werden.
Was der Text aussagt
Seien Sie ehrlich zu den Betroffenen und beschreiben Sie einfach und verständlich, wofür sie ihre gesammelten Daten verwenden.
Antworten Sie auf Fragen, was mit den Daten geschieht, auf jeden Fall innerhalb von 30 Tagen (ab dem Zeitpunkt der jeweiligen Anfrage).
Wenn Leute mit einer absurden Anzahl von Anfragen oder anderen missbräuchlichen Aktionen versuchen, ihre Abläufe zu stören, dürfen Sie (im vernünftigen Rahmen) die Anfrage ablehnen oder eine kleine Gebühr für die Bearbeitung erheben.
Wenn Sie der Meinung sind, dass jemand betrügerisch Anfrage im Namen einer legitimen Person stellt, dürfen Sie den Anfragenden bitten, seine Identität nachzuweisen.
Die Bereitstellung von Informationen in Verbindung mit standardisierten Symbolen kann schön sein, stellen Sie aber sicher, dass sie maschinenlesbar sind.
Sie müssen daher
Lassen Sie alle Texte, die Sie verfassen, von einer technisch nicht versierten Person (oder einem professionellen Texter) gegenlesen, um sie auf Verständlichkeit prüfen zu lassen.
Sie können sie auch mit einem Tool wie dem BlaBlaMeter oder WhiterRhino’s Marketing Detector Tool überprüfen.
Führen Sie ein Verfahren zur Bearbeitung von Anfragen zur Löschung oder Berichtigung personenbezogener Daten ein (achten Sie auf die 30-Tage-Frist).
Was der Text aussagt
Geben Sie in Ihren Online-Formularen (oder überall dort, wo Sie Daten von Personen sammeln) an:
– Kontaktdaten des Unternehmens (und im Idealfall des Datenschutzbeauftragten)
– Angabe des Verwendungszwecks der Daten
– Aufstellung der Kategorien der gesammelten Daten
– Aufbewahrungsdauer der Daten
– Möglichkeit der Kontaktaufnahme bei Problemen oder Löschwünschen
– Ob die Daten zum Profiling verwendet werden und eine allgemeine Beschreibung der verwendeten Logik
– All das muss beim ersten Mal angegeben werden. Wenn die Person das nächste Formular innerhalb von 30 Sekunden nach dem ersten ausfüllt, können wir davon ausgehen, dass sie die Informationen noch nicht vergessen hat.
Sie müssen daher
Geben Sie an jedem Zugriffspunkt auf Formulare die Links zu Ihrer Datenschutzrichtlinie, den Benutzungsbedingungen und der DSGVO-Informationsseite an (auf der die meisten dieser Punkte enthalten sein sollten).
Hier finden Sie einige gute Beispiele für DSGVO-Informationsseiten:
Was der Text aussagt
Alle vorstehend genannten Elemente sollten selbst dann verfügbar sein, wenn Sie die personenbezogenen Daten nicht selbst sammeln.
Sie müssen daher
Wie oben
Was der Text aussagt
– Die Betroffenen haben das Recht nachzufragen, ob Sie Daten über sie haben und Sie müssen die Frage entsprechend beantworten.
– Wenn Sie über personenbezogenen Daten verfügen, müssen Sie auf Anfrage die folgenden Informationen liefern:
– Der Grund, warum Sie die Daten haben
– Welche Kategorien personenbezogener Daten Sie haben
– Wer in Ihrer Organisation und welche Dritte auf sie zugegriffen haben (insbesondere, wenn sie in einem anderen Land sitzen)
– Wie lange Sie ihre Daten aufbewahren möchten
– Dass es die Möglichkeit gibt, die Löschung oder Berichtigung der Daten zu verlangen
– Die Quelle, über welche die Daten gesammelt wurden
– Die Möglichkeit, bei der EU-Komission Beschwerde einzulegen, wenn sie mit Ihrer Antwort nicht zufrieden sind
– Liefern Sie diese Informationen digital, sofern Sie nichts Verdächtiges beobachtet haben
– Achten Sie darauf, dass bei diesen Aktionen die Daten anderer Personen geschützt bleiben.
Sie müssen daher
Sie müssen die hier aufgeführten Fragen zu Ihren Datenbeständen beantworten können. Insbesondere die Angaben zur Quelle, zur beabsichtigten Aufbewahrungsdauer und zu den erforderlichen Schritten bei Problemen, Fehlern oder wenn die Daten gelöscht werden sollen.
Wenn Sie es noch nicht getan haben, wählen Sie einen bestehenden Kunden aus und tun Sie so, als ob er Ihnen einen so genannten Albtraumbrief geschickt hätte, in dem er alle seine Rechte gemäß DSGVO vollständig ausübt.
Was der Text aussagt
Wenn jemand entdeckt, dass Ihr Datenbestand nicht korrekt ist, müssen Sie diesen Umstand beheben.
Sie müssen daher
Richten Sie ein Verfahren für den Umgang mit Aufforderungen zur Aktualisierung von Informationen ein.
Was der Text aussagt
Wenn einer der folgenden Umstände zutrifft, müssen Sie in der Lage sein, die entsprechenden Daten „unmittelbar“ aus Ihrem System zu entfernen, was wahrscheinlich innerhalb von 30 Tagen bedeutet, obwohl es nirgends explizit geregelt ist.
– Der Betroffene widerruft seine Einwilligung und es gibt keinen rechtlichen Grund, die Daten zu behalten.
– Die Daten wurden rechtswidrig verarbeitet (für einen anderen als den ursprünglich beabsichtigten Zweck verwendet).
Sie müssen daher
Richten Sie ein Verfahren für den Umgang mit Aufforderungen zum Löschen von Daten ein.
Die übliche Bezeichnung dafür ist das Recht auf Vergessenwerden.
Was der Text aussagt
Betroffene Personen können verlangen, dass ihre Daten aufbewahrt aber nicht verarbeitet werden, wenn dies im Hinblick auf einen Rechtsanspruch oder bis zur Regelung bestimmter Sachverhalte sinnvoll ist.
Dem Prinzip nach ist das mit einer Arbeitsunterbrechung auf einer Baustelle vergleichbar. Niemand verlangt, dass Sie das ausgehobene Fundament zuschütten oder die Pfähle herausziehen, aber Sie können nicht mit dem Einbau neuer Böden oder der Verkabelung der Baustelle fortfahren.
Sie müssen daher
Richten Sie ein Verfahren für den Umgang mit Aufforderungen zur Unterbrechung der Datenverarbeitung ein.
Was der Text aussagt
Wenn Sie eine Massenberichtigung, -löschung oder -einschränkung (Verarbeitungsunterbrechung) der Benutzerdaten vornehmen müssen, sind Sie verpflichtet, ihn darüber zu informieren.
Sie müssen daher
Überlegen Sie sich, welche Szenarien zu dieser Notwendigkeit eskalieren könnten und eine Benachrichtigung erfordern würden. Wenn beispielsweise eine einzelne Person ein Problem mit der Datensammlung bei Ihnen reklamiert, das Sie dann für Ihren gesamten Datenbestand korrigieren müssen, sind Sie zur Benachrichtigung aller Betroffenen verpflichtet.
Was der Text aussagt
Betroffene Personen können die Aushändigung ihrer Daten verlangen.
Die Daten sollten in einem maschinenlesbaren Format übergeben werden (CSV, XLS, XML, JSON).
Die Daten sollen strukturiert und der gesamte Prozess nach Möglichkeit automatisiert sein.
Sie müssen daher
Beginnen Sie mit der Arbeit an Datenexportfunktionen, um alle zugehörigen Daten eines Benutzers aus Ihrem System in ein Exportformat zu überführen.
Sie müssen sowohl unstrukturierte als auch in einer Datenbank gespeicherte Daten berücksichtigen.
Identifizieren von DSGVO-Daten in Word, Excel, Exchange und Sharepoint
Was der Text aussagt
Betroffene können dem Profiling, mit dem Inhalte oder Darstellungsformen auf sie zugeschnitten werden, widersprechen und verlangen, davon ausgenommen zu werden.
Sie müssen daher
Richten Sie ein Widerspruchssystem ein, mit dem Weitervermarktungskampagnen, Profiling usw. verhindert werden können.
Was der Text aussagt
Betroffene können Widerspruch dagegen einlegen, dass auf sie bezogene Entscheidungen rein manuell getroffen werden.
Sie müssen daher
Richten Sie ein System für die manuelle Überprüfung von automatischen Prozessen und Benachrichtigungen ein.
Was der Text aussagt
Einzelne Länder können Gesetze erlassen, die diese Vorschriften für eine Reihe von Fällen z. B. im Interesse der nationalen Sicherheit ändern.
Sie müssen daher
Sie müssen sich darüber wahrscheinlich keine Gedanken machen, solange Sie nicht den Titel „Minister für innere Sicherheit“ oder „Leiter Terrosismusbekämpfung“ tragen.
Was der Text aussagt
Sie müssen dokumentieren, was Sie zur Einhaltung der DSGVO unternehmen und dies inachweisen können.
Sie müssen daher
Führen Sie Aufzeichnungen über DSGVO-Schulungen, Verfahren und eingeleitete Maßnahmen.
Was der Text aussagt
Sammeln Sie nicht mehr Daten als notwendig und Pseudonymisieren Sie die gesammelten Daten.
Sie müssen daher
Bilden Sie Ihre Mitarbeiter im Hinblick auf Datenschutz durch Technikgestaltung fort.
Lesen Sie den Spickzettel für Datenschutz durch Technikgestaltung
Was der Text aussagt
Wenn Sie Ihr Daten an eine andere Organisation weitergeben, müssen die jeweiligen Verantwortungsbereiche geklärt sein.
Sie müssen daher
Treffen Sie schriftliche Vereinbarungen über die Weitergabe von Daten und legen Sie die Verantwortlichkeiten eindeutig fest.
Was der Text aussagt
Wenn Sie routinemäßig Daten sammeln (und auf jeden Fall, wenn es sich um eine Sonderkategorie oder strafrechtliche Daten handelt), müssen Sie eine Person mit Sitz in der EU als Ihren Vertreter für diese Angelegenheiten einsetzen.
Sie müssen daher
Beauftragen Sie jemanden, der in einem EU-Land wohnt.
Was der Text aussagt
Dienste (Verarbeiter), die Sie als Verantwortlciher nutzen, müssen DSGVO-konform sein.
Sie dürfen außerdem ohne Ihre Zustimmung personenbezogene Daten nicht in einem Rechenzentrum außerhalb der EU verarbeiten oder an Dritte weitergeben.
Sie müssen daher
Achte Sie darauf, dass alle Dienste, die Sie nutzen, DSGVO-konform sind.
Die meisten Dienste sollten jetzt eine Seite auf ihrer Website haben, die ihren Status in Bezug auf DSGVO-Konformität angibt. Uns Sie sollten diese auf Ihrer eigenen DSGVO-Compliance-Seite auflisten und verlinken.
Was der Text aussagt
Dienste, denen personenbezogene Daten zur Verarbeitung anvertraut wurden, dürfen diese nur den Anweisungen entsprechend bearbeiten.
Sie müssen daher
Wenn Sie kein Verarbeiter sind, gilt das für Sie nicht. Wenn Sie einer sind, dürfen Sie keine spekulativen kundenübergreifenden Analysen durchführen, die Daten für andere Zwecke verkaufen usw.
Was der Text aussagt
Sie müssen nachvollziehen können, was mit personenbezogenen Daten in Ihrem gesamten Unternehmen und in allen von Ihnen geleisteten Diensten geschieht. Das schließt auch den Verarbeitungszweck ein.
Wenn Sie weniger als 250 Mitarbeiter haben, nicht alltäglich Daten sammeln und sich nicht mit speziellen Kategorien oder strafrechtlichen Daten befassen, sind Sie davon ausgenommen.
Sie müssen daher
Führen Sie einer Liste aller Dienste (Verarbeiter), die Sie nutzen, mit den entsprechenden Kontaktdaten.
Was der Text aussagt
Wenn die Aufsichtsbehörde Ihres Landes sehen möchte, ob Sie Ihre DSGVO-Hausarbeiten gemacht haben, müssen Sie diese vorlegen.
Sie müssen daher
Dokumentieren Sie unbedingt alle Schritte, die Sie zur Erfüllung der DSGVO einleiten.
Noch wichtiger ist möglicherweise, dass Sie alle Beschwerden von Betroffenen im Hinblick auf ihre Daten ernst behandeln, weil derartige Vorgänge schnell zu Bußgeldern und Untersuchungen führen können.
Was der Text aussagt
Sie müssen für die Sicherheit Ihrer Daten sorgen.
– Verschlüsselung, wenn die Daten nicht benötigt werden
– Möglichkeit zur Wiederherstellung nach Vorfällen
– Regelmäßige Prüfung auf Sicherheitsprobleme
– Besonders sorgfältige Berücksichtigung von Datenschutzverletzungen und deren Folgen
Sie müssen daher
Führen Sie moderne Methoden zur digitalen Sicherung ein.
– Sichere Datenspeicher
– Anspruchsprüfungen
– Notfallplanungen für Datenschutzverletzungen
Was der Text aussagt
Sobald Sie Kenntnis von einer Datenschutzverletzung (einem Verlust der Kontrolle über die Daten) erlangen, haben Sie 72 Stunden zum Benachrichtigen der [Aufsichtsbehörde](https://blog.varonis.com/gdpr-data-protection-authority-supervisory-listing/).
Sie müssen daher
Führen Sie einen Reaktionsplan für Datenschutzverletzungen ein.
Richten Sie eine Methode für die interne Meldung von Sicherheitsproblemen ein.
Was der Text aussagt
Bei einer Datenschutzverletzung müssen Sie die Betroffenen „unmittelbar“ über das Geschehen informieren.
Das wird voraussichtlich im Endeffekt bedeuten, dass die Benachrichtigung innerhalb von 72 Stunden erfolgen muss (wie bei der Aufsichtsbehörde).
Sie müssen daher
Sorgen Sie dafür, dass ein einsatzbereiter Notfallplan für Datenschutzverletzungen existiert.
Richten Sie eine Methode zur Benachrichtigung der Benutzer ein.
Lesen Sie den Leitfaden zur Regelung von Benachrichtigung bei Datenschutzverletzungen gemäß DSGVO.
Was der Text aussagt
Bevor Sie neue Dienste für den Umgang mit Daten einrichten, sollten Sie überlegen, welche Folgen dies für die Sicherheit unter Berücksichtigung der konkreten Absichten für die Daten hat. Das gilt insbesondere, wenn die Daten für Profiling/Filterfunktionen genutzt werden sollen.
Sie müssen daher
Dokumentieren Sie, welche Auswirkungen der jeweilige neue Dienst auf Ihre internen Datenschutzvorkehrungen haben könnte.
Was der Text aussagt
Wenn Sie Daten auf eine Weise verarbeiten, bei der die Daten einem Risiko ausgesetzt werden, müssen Sie sich vorher mit der Aufsichtsbehörde beraten.
Sie wird Ihnen innerhalb von 8 Wochen eine schriftliche Stellungnahme zustellen. Das dürfte lustig werden.
Sie müssen daher
Wenn Sie z. B. vorhaben, einen „anonymisierten“ Datensatz freizugeben, der noch gewisse Auswirkungen auf den Datenschutz haben könnte, sollten Sie vorher die Zustimmung der Aufsichtsbehörde einholen.
Was der Text aussagt
Es muss einen einzigen Ansprechpartner innerhalb Ihrer Organisation geben, der Anfragen zu DSGVO-relevanten Themen beantworten kann.
Sie müssen daher
Sie müssen einen Datenschutzbeauftragten einsetzen.
Er sollte ein kompetenter Fachmann für Datensicherheit sein, der auf Bedenken eingehen kann und über die notwendigen Hilfsmittel verfügt, um auf Anfragen reagieren zu können.
Weiterführende Lektüre:
Müssen Sie einen Datenschutzbeauftragten einstellen?
Was der Text aussagt
Der Datenschutzbeauftragte muss in die Datenverarbeitung einbezogen und ernst genommen werden.
– Er kann auch andere Aufnahmen wahrnehmen, solange sich keine Interessenkonflikte ergeben.
Sie müssen daher
Viele Organisationen haben bereits einen CISO (Chief Information Security Officer), der wahrscheinlich auch die Aufgaben des Datenschutzbeauftragten übernehmen wird.
Wie auch immer der Titel lautet – wichtig ist, dass Datenschutz- und Sicherheitsaspekte bei allen Projekten in Ihrem Unternehmen berücksichtigt werden.
Was der Text aussagt
Der Datenschutzbeauftragte soll das Unternehmen laufend im Hinblick auf die Einhaltung der DSGVO beraten.
Sie müssen daher
Behandeln Sie Ihren Datenschutzbeauftragte nicht wie ein Kellerkind.
Was der Text aussagt
Branchen sollten Verhaltensregeln ausarbeiten, in denen beschrieben wird, wie die Vorschriften der DSGVO in der jeweiligen Branche umzusetzen sind.
Zum Beispiel könnte die Pan European Game Information Association einen Verhaltenskodex herausgeben, der beschreibt, wie Spieleentwickler mit den Daten umgehen sollten, die sie über Spieler sammeln. Genauso wie sie Empfehlungen zu Videospielinhalten rund um Sprache, Gewalt und Altersbewertungen abgeben, könnten sie auch Empfehlungen geben, wie mit Benutzerdaten umgegangen werden sollte.
Das wäre auch insofern sinnvoll, da ihre Aktivitäten in einem ganz anderen Verhältnis zu personenbezogenen Daten stehen, als es in anderen Branchen wie Aluminiumhütten oder Autowerkstätten der Fall ist.
Sie müssen daher
Sie sollten überprüfen, ob Ihr Branchenverband Verhaltensregeln veröffentlicht hat.
Die Verhaltensregeln befinden sich noch in der Entwicklung und scheinen vorerst freiwillig zu sein. Es lohnt sich aber, sie im Auge zu behalten, da sich dieser Zustand ändern kann oder die Compliance mit anderen Branchenzertifizierungen oder -anforderungen verknüpft werden könnte.
Zum Beispiel sind PEGI-Einstufungen für neue Videospiele nicht obligatorisch, aber die überwiegende Mehrheit der Einzelhändler wird Ihr Spiel in ihrem Geschäft nicht ohne sie ins Sortiment nehmen.
Ebenso könnte es dazu kommen, dass PEGI einen Verhaltenskodex veröffentlicht, in dem die für die Zertifizierung erforderlichen Datenschutzstandards dargelegt werden.
Was der Text aussagt
Verbände (wie PEGI im vorstehenden Beispiel) können Unternehmen überwachen, um festzustellen, ob sie die veröffentlichten Verhaltensregeln einhalten.
Sie müssen daher
Wenn es in Ihrer Branche einen Verhaltenskodex gibt, hat der Verband das letzte Wort darüber, ob Sie die Anforderungen erfüllen oder nicht.
Was der Text aussagt
Verbände können Zertifizierungen (Gütesiegel) für Unternehmen einführen, welche die Verhaltensregeln erfüllen.
Sie müssen daher
Überprüfen Sie, ob es Zertifizierungsmöglichkeiten für Ihr Unternehmen gibt.
Was der Text aussagt
Die Zertifizierungsstellen müssen von der Aufsichtsbehörde zugelassen werden.
Sie müssen daher
Achten Sie darauf, ob die Zertifizierung, um die Sie sich bemühen von der Aufsichtsbehörde zugelassen ist.
Was der Text aussagt
Bevor Sie Daten übertragen, sollten Sie sich im Allgemeinen eine Genehmigung dafür einholen.
Sie müssen daher
Richten Sie ein Verfahren für die Dokumentierung von Abläufen und Vereinbarungen bezüglich der Datenübertragung ein.
Was der Text aussagt
Wenn die EU-Kommission feststellt, dass ein anderes Land ihren Regeln entspricht, müssen Sie sich die Übertragung in diese Land nicht genehmigen lassen.
Sie müssen daher
Überprüfen Sie, welche Länder dazu gehören, bevor Sie die Übertragungsvereinbarungen abschließen.
Was der Text aussagt
Wenn Sie Daten in ein andere Land übertragen, muss es dort angemessene Datenschutzgesetze und -gewährleistungen geben.
Sie müssen daher
Lesen Sie das Kleingedruckte im Ansatz des jeweiligen Landes zum Thema Datenschutz.
Was der Text aussagt
Wenn ein Unternehmen ohne Sitz in der EU mit EU-Daten umgehen will, kann es verbindliche Unternehmensregeln erstellen, die den DSGVO-Vorschriften entsprechen.
Wenn diese Regeln strikt eingehalten werden, könnte die Übertragung von Daten aus der EU an sie in Ordnung sein.
Sie müssen daher
Wenn Sie planen, mit einem Unternehmen außerhalb der EU/DSGVO-Anforderungen zusammenzuarbeiten, sollten Sie herausfinden, ob es über DSGVO-konforme Unternehmensregeln verfügt.
Was der Text aussagt
Wenn ein Gericht die Übertragung von Daten anordnet, darf dieser Vorgang nicht gegen internationales Recht verstoßen.
Sie müssen daher
Es ist wirkt albern, das schreiben zu müssen: „Verstoßen Sie nicht gegen internationales Recht.“
Was der Text aussagt
Wenn es in dem Land, in das Sie Daten übertragen, keine entsprechenden Vorschriften hat, müssen Sie mindestens die Einwilligung des Benutzers einholen (oder einen anderen guten Grund haben).
Sie müssen daher
Wenn Sie anderen Anweisungen, vor jeder Aktivität die Einwilligung des Benutzers einzuholen, einhalten, sollten Sie auch in diesem Fall auf der sicheren Seite sein.
Was der Text aussagt
Länder sollten ein gutes Verhältnis untereinander pflegen.
Sie müssen daher
Wenn sie gut miteinander auskommen, macht das uns allen das Leben leichter.
Was der Text aussagt
Die Länder sollen überwachen, ob Unternehmen sich an die Regelungen der DSGVO halten.
Sie müssen daher
Sie sollten sich erkundigen, welche Behörde oder Abteilung in Ihrem Land für die Durchsetzung der DSGVO zuständig ist.
Was der Text aussagt
Aufsichtsbehörden dürfen keine Schmiergelder annehmen oder Interessenkonflikten unterliegen.
Sie müssen daher
Verzichten Sie auf Bestechungsversuche gegenüber den Behörden. Wir sind hier nicht bei der FIFA.
Was der Text aussagt
Die Mitglieder der Aufsichtsbehörden sollen von der Regierung eingesetzt werden.
Sie müssen daher
Es ist kein Wahlkampf erforderlich, die Besetzung erfolgt nicht durch demokratische Abstimmung.
Was der Text aussagt
Die Aufgaben und Arbeitsbedingungen für die Mitglieder der Aufichtsbehörden unterliegen der Regelung durch die jeweiligen Länder.
Sie müssen daher
Polieren Sie Ihr LinkedInProfil und halten Sie Ausschau nach Stellenanzeigen im Economist, um sich auf eine aufregende neue Karriere in der behördlichen DSGVO-Aufsicht vorzubereiten.
Was der Text aussagt
In Verbindung mit der DSGVO sind eine Menge technischer Details zu beachten (Verschlüsselung, Datenspeicherung und Übertragung). Mit der Aufsicht Beauftragte sollten also in der Lage sein, die Konzepte im Bereich Datensicherheit zu verstehen.
Sie müssen daher
Werfen Sie einen Blick auf die Kurse von Troy Hunt über die Grundlagen der Sicherheit im Internet, den Schutz von Computern und den DSGVO-Angriffsplan.
Was der Text aussagt
Aufsichtsbehörden sollen die Fälle handhaben, die sich vorwiegend in ihrem Land abspielen.
Sie müssen daher
Die DSGVO gilt zwar EU-weit, Sie werden bei entsprechenden Angelegenheiten aber höchstwahrscheinlich mit der Aufsichtsbehörde in Ihrem eigenen Land zu tun haben.
Was der Text aussagt
Als Aufsichtsbehörde besteht Ihre Aufgabe darin, sich Beschwerden anzuhören, die Datensicherheit zu fördern und sich für die Datensicherheit einzusetzen.
Sie müssen daher
Es gibt nichts, was Sie direkt mit Bezug auf diesen Artikel tun müssen, aber ich finde es nett, dass es als erstrebenswert in die DSGVO aufgenommen wurde.
Das lässt mich zumindest hoffen, dass die Aufsichtsbehörden mehr tun werden, als drakonisch die DSGVO-Anforderungen durchzusetzen.
Was der Text aussagt
Aufsichtsbehörden können Unternehmen verwarnen, sie zur Veröffentlichung von Benachrichtigungen über Datenschutzverletzungen zwingen, Zertifizierungen aufheben und die Unterbrechung von Datenübertragungen anordnen.
Sie müssen daher
Wenn sich Ihre Behörde bei Ihnen meldet, kann sie Ihrem Unternehmen erhebliche Probleme bereiten. Hören Sie darauf, was sie sagt.
Was der Text aussagt
Die Behörden sollen jährlich die Öffentlichkeit mit einem Bericht darüber informieren, welche Maßnahmen sie ergriffen haben.
Sie müssen daher
Versuchen Sie, dafür zu sorgen, dass Ihr Unternehmen nicht in diesem Bericht erwähnt wird.
Was der Text aussagt
Die Aufsichtsbehörden sollen sich gegenseitig unterstützen.
Was der Text aussagt
Die Aufsichtsbehörden sollen ihre Informationen miteinander teilen und den Ersuchen anderer Behörden nachkommen.
Was der Text aussagt
Sofern dies bei einem Ereignis oder einer Untersuchung notwendig ist, sollen die Aufsichtsbehörden gemeinsame Untersuchungen durchführen.
Was der Text aussagt
Hier wird geregelt, wie die Aufsichtsbehörden zusammenarbeiten sollen.
Was der Text aussagt
Bei bestimmten Themen wie neuen Anforderungen, Kriterien oder Unternehmensregularien ist eine Genehmigung durch den Ausschuss erforderlich.
Was der Text aussagt
Der Ausschuss ist für die Bearbeitung von Streitigkeiten zwischen Aufsichtsbehörden zuständig.
Was der Text aussagt
Wenn eine neue Technologie oder ein neues Verfahren entwickelt wird (z. B. die Quantenhirndatentelepathie), welche die Grenzen der geltenden Vorschriften überschreitet und zeitkritisch ist, können die Aufsichtsbehörden eine neue Regelung einführen, ohne den Ausschuss einzubeziehen.
Sie müssen daher
Unterlassen Sie es also lieber, Technologien zu erfinden, mit denen die sichere Kommunikationsinfrastruktur und Datenspeicherung der Weltwirtschaft gestört würde. Also keine praxisrelevanten Quantencomputer bitte.
Was der Text aussagt
Die Kommission wird später ausarbeiten, wie sie die Aufsichtsbehörden dazu bringen kann, Informationen sicher miteinander auszutauschen.
Sie müssen daher
Ob sie inzwischen einen Weg gefunden hat, dabei für DSGVO-Konformität zu sorgen, erfahren Sie bei der Kommission.
Was der Text aussagt
Es gibt jetzt einen Europäischen Datenschutzrat. Jedes Land darf eine Person aus seiner Aufsichtsbehörde aussuchen, die mitmachen darf.
Sie müssen daher
Finden Sie heraus, wer Ihr Land vertritt, und wünschen Sie ihm Erfolg bei dieser neuen Aufgabe.
Was der Text aussagt
Der Ausschuss ist ein starker, unabhängiger Ausschuss, der sein Leben nach seinen eigenen Regeln lebt und sich von niemandem etwas gefallen lässt.
Sie müssen daher
Zollen Sie dem Ausschuss Respekt.
Was der Text aussagt
Der Ausschuss erstellt die Richtlinien für die Richtlinien.
Sie müssen daher
Lesen Sie die Richtlinien.
Was der Text aussagt
In jedem Jahr veröffentlicht der Ausschuss einen Bericht über seine Aktivitäten, der praktische Vorschläge und bewährte Verfahren enthält.
Sie müssen daher
Achten Sie auf diesen Bericht, wenn er erscheint: Er könnte tatsächlich nützlich und informativ sein.
Was der Text aussagt
Entscheidungen werden mit der Mehrheit der Stimmen gefällt, aber wer die Regeln ändern will, braucht eine 2/3-Mehrheit.
Sie müssen daher
Fangen Sie schon einmal an, die deutliche Mehrheit der Vertreter zu überzeugen, wenn Sie Änderungen an den Vorschriften der DSGVO einführen möchten.
Was der Text aussagt
Es gibt einen Vorsitzenden und zwei stellvertretende Vorsitzende. Jeweils für 5 Jahre eingesetzt. Mit maximal zwei Amtszeiten.
Sie müssen daher
Finden Sie heraus, wer den Vorsitz im Ausschuss hat, und folgen Sie ihm auf Twitter.
Was der Text aussagt
Besprechungen abhalten. Mit den führenden Aufsichtsbehörden sprechen.
Was der Text aussagt
Das Sekretariat handhabt das Tagesgeschäft.
Sie müssen daher
Vergessen Sie nie, dass dies eine ernsthafte und verantwortungsvolle Position ist, die von einer angesehenen Person innerhalb einer ehrwürdigen Institution eingenommen wird und nicht von dem Pferd, das 1973 die Triple Crown gewann.
Was der Text aussagt
Die Geschäfte des Ausschusses können vertraulich sein, wenn es um sensible Themen geht.
Sie müssen daher
Versuchen Sie nicht, den Ausschuss zu hacken. Das wäre geschmacklos.
Was der Text aussagt
Jede Person kann bei der Aufsichtsbehörde Beschwerde über ein Unternehmen einreichen, das Daten dieser Person besitzt.
Die Aufsichtsbehörde muss diese Beschwerde ernst nehmen und den Beschwerdeführer über ihre Untersuchung auf dem Laufenden halten.
Sie müssen daher
Sie brauchen keine direkten Maßnahmen in Bezug auf diesen Artikel zu ergreifen, aus ihm geht aber eine der wichtigsten Möglichkeiten hervor, wie Sie und Ihr Unternehmen zum Gegenstand der Aufmerksamkeit Ihrer Aufsichtsbehörde werden können.
Insbesondere sollten Sie beachten, dass es eine Anforderung Ihrer DSGVO-Compliance ist, dass Sie Personen über die Aufsichtsbehörde informieren, bei der sie eine Beschwerde einreichen können.
– Schlagen Sie die für Ihr Land zuständige Datenschutzbehörde nach und nehmen auch die anderen für den Fall zur Kenntnis, dass Sie einmal von ihnen kontaktiert werden.
Was der Text aussagt
Natürliche Personen können die Aufsichtsbehörde verklagen, wenn sie das Gefühl haben, dass ihre Beschwerde nicht angemessen behandelt wurde.
Sie müssen daher
Dieser Artikel hat höchstwahrscheinlich keine Folgen für Sie (da ich mir nicht vorstellen kann, dass eine Aufsichtsbehörde diesen Text als Rechtsberatung heranzieht).
Er macht jedoch sehr deutlich, wie ernst es der Kommission mit der Umsetzung von GDPR ist.
Im Artikel wird explizit beschrieben, wie Menschen durch die Kette von Unternehmen > Aufsichtsbehörden > Rechtssystemen/Gerichte ihre Daten schützen und herausfinden können, wie ihre Daten verwendet werden.
Was der Text aussagt
Benutzer haben das Recht aus einen „Rechtsbehelf“.
Sie müssen daher
Binden Sie Ihren Unternehmensjuristen ein, da Sie im Rahmen oder als Eskalation einer Beschwerde vor Gericht gebracht werden könnten.
Was der Text aussagt
Benutzer können eine gemeinnützige juristische Person gründen, um Unternehmen (Verantwortliche und Auftragsverarbeiter) gemeinsam vor Gericht zu verklagen.
Sie müssen daher
Bereiten Sie sich darauf vor, zahlreiche E-Mails über Sammelklagen zu erhalten.
Was der Text aussagt
Wird ein Verantwortlicher in einem anderen Land verklagt, kann das Verfahren im Ausgangsland ausgesetzt werden.
Sie müssen daher
Ein herzliches Beileid gilt allen Verantwortlichen oder Auftragsverarbeitern, die in Verfahren verwickelt sind, die in mehreren Ländern parallel laufen.
Was der Text aussagt
1. Wer kann Schadenersatz erhalten?
Jeder, dessen Recht auf Datenschutz verletzt wurde (selbst wenn er keinen direkten Schaden erlitten hat)
2. Wer ist haftbar?
Jeder Verantwortliche oder Auftragsverarbeiter, dem ein Fehler unterlaufen ist.
3. Gibt es Auswege?
Wenn Sie nachweisen können, dass Sie nicht verantwortlich waren (einschließlich Fahrlässigkeit), sind Sie aus dem Schneider.
4. Wie wird der Schadenersatz verteilt?
Wenn mehrere Rechtsträger (Verantwortlicher und Auftragsverarbeiter) verantwortlich sind, haften sie alle für die Zahlung in voller Höhe.
5. Regress?
Nachdem der Auftragsverarbeiter/Verantwortliche den Benutzer entschädigt hat, können sie sich gegenseitig verklagen, um die endgültige Haftung zu klären.
6. Welches Recht gilt?
Das Recht Ihres Landes.
Sie müssen daher
In der DSGVO wurde viel Wert darauf gelegt, genau zu festzulegen, ob und wie Sie und Ihre Organisation Strafzahlungen zahlen müssen.
Das Verfahren begünstigt deutlich den einzelnen Beschwerdeführer, der gegen Sie vorgeht.
Was der Text aussagt
Geldbußen für Datenschutzverletzungen sollen „wirksam, verhältnismäßig und abschreckend“ sein.
Abhängig davon, wie gut Sie Ihre Daten geschützt haben und wie gewissenhaft Sie die Einwilligung Ihrer Benutzer eingeholt haben, kann sich das auf Millionen Euro oder 2 % Ihres Umsatzes erstrecken.
Sie müssen daher
Tun Sie alles, was Sie können, um die DSGVO-Vorschriften einzuhalten, denn die Verhängung von Bußgeldern ist keine Frage von einem reinen Ja oder Nein.
Die Summe orientiert sich an einer gleitenden Skala, die berücksichtigt, was Sie mit den Daten tun und welche Kontrollen, Dokumentation, Prozesse usw. vorhanden sind.
Was der Text aussagt
Länder können Bußen verhängen, die über den hier geschilderten Rahmen hinausgehen.
Sie müssen daher
Sprechen Sie mit Ihrer Bank.
Was der Text aussagt
Aufsichtsbehörden dürfen Journalisten, Akademiker oder Künstler mit ihren Regeln (im Allgemeinen) nicht behindern.
Sie müssen daher
Wenn Sie es mit Daten zu tun haben, die von allgemeinem öffentlichen Interesse sind, sollten Sie sich Ihre Datenverarbeitung genauer ansehen.
Was der Text aussagt
Regierungen und Behörden müssen Ihre Informationen weiterhin aufbewahren, wenn dies im öffentlichen Interesse ist.
Sie müssen daher
Erwarten Sie nicht, dass Sie sich auf das Recht auf Vergessenwerden berufen können, um an einem Strafzettel vorbei zu kommen.
Was der Text aussagt
Jede Regierung muss Regeln für die Behandlung ihrer nationalen Kennziffern aufstellen.
Sie müssen daher
Es genügt nicht, nur die Kennziffern Ihres eigene Landes als personenbezogen und sensibel zu behandeln. Sie müssen die Kennziffern aus allen EU-Ländern finden und im Blick behalten.
Was der Text aussagt
Regierungen können genauere Gesetze für den Umgang mit Beschäftigungsdaten erlassen.
Sie müssen daher
Die Beschäftigungsdaten in der Personalabteilung Ihres Unternehmens werden möglicherweise in einem anderen System gespeichert als Ihre Benutzerdaten. Für sie gelten eigene Regeln für den Zugang und die Handhabung im Einklang mit der DSGVO.
Was der Text aussagt
Eine Archivierung im öffentlichen Interesse ist möglich, sie muss jedoch besonders gewissenhaft geschützt werden.
Sie müssen daher
Wo die Grenzen für die Archivierung im öfentlichen Interesse gezogen werden, ist noch unklar.
Wenn Sie jedoch in einem geschützten Bereich tätig sind, wird die Aufsichtsbehörde das voraussichtlich anerkennen.
Was der Text aussagt
Geheimdienste erhalten ihre eigenen Regeln.
Sie müssen daher
Auch dieser Artikel hat höchstwahrscheinlich keine Folgen für Sie.
Er macht jedoch sehr deutlich, wie ernst es der Kommission mit der Umsetzung der DSGVO ist.
Im Artikel wird beschrieben, wie Menschen durch die Kette von Organisationen > Aufsichtsbehörden > Rechtssystemen ihre Daten schützen und herausfinden können, wie ihre Daten verwendet werden.
Was der Text aussagt
Für religiöse Institutionen gelten besondere Ausnahmen.
Sie müssen daher
Wenn Sie eine Kirche, Moschee oder eine andere religiöse Organisation betreiben, gelten zusätzlich zur DSGVO die bestehenden Datenschutzgesetze für Ihre Tätigkeit.
Was der Text aussagt
Dies alles kann sich ändern, wenn es von uns verlangt wird.
Was der Text aussagt
Die Kommission unterhält einen Ausschuss.
Was der Text aussagt
Die alten Datenschutzverordnungen sind out, die DSGVO ist in.
Was der Text aussagt
Die DSGVO muss zu dieser alten Richtlinie passen.
Was der Text aussagt
Alle auf Einzelebene geschlossenen internationalen Übereinkünfte sind tot. Lang lebe die DSGVO!
Was der Text aussagt
Die Kommission veröffentlicht alle 4 Jahre einen Bericht über den Status der DSGVO.
Was der Text aussagt
Es gibt möglicherweise andere Rechtsakte, die nicht mit der DSGVO kohärent sind. Die Kommission arbeitet daran, das zu ändern.
Was der Text aussagt
25. Mai 2018.