Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Die DSGVO -Artikel in einfacher deutscher Sprache

Geschrieben von Michael Buckbee | Nov 29, 2018 5:50:00 AM


Sie wollen wissen: Was muss ich für die DSGVO tun?

Vielleicht haben Sie sich durch unsere Online-Quizfragen gearbeitet und Ihre DSGVO Bereitschaft getestet, oder Sie haben den einen oder anderen Artikel überflogen und vage Ideen bekommen.

Oder Sie haben versucht, die Quellen des Europäischen Parlaments zur Allgemeinen Datenschutzverordnung 4.5.2016 L 119/1 zu lesen, um dann festzustellen, dass die verwendete Sprache für Nicht-Rechtsgelehrte zu juristisch und für Juristen of zu technisch daherkommt

Deshalb haben wir jedes Kapitel und jeden Artikel der DSGVO in etwas übersetzt, das eine Person vernünftig verstehen und umsetzen kann. Wenn Sie sofortige Unterstützung bei Ihrer DSGVO-Konformität benötigen, fordern Sie eine 1:1-Demo an, und sehen Sie, wie Varonis Ihnen helfen kann.

Beginnen Sie gleich hier:

 

Kapitel 1 – DSGVO-Grundlagen

 

Artikel 1 – Für wen gilt die DSGVO?

Was der Text aussagt

Die Daten von EU-Bürgern unterliegen jetzt mehreren Schutzbestimmungen. Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern besitzt, gelten diese für sie.

Sie müssen daher

Wenn Sie sich in der EU befinden, lesen Sie den Rest dieses Dokumentes und beginnen Sie, Ihre Datenschutzverfahren zu überarbeiten.

 

 

Sie sitzen an einem anderen Ort? Ja, die DSGVO hat Folgen für Sie

 

 

Sie glauben mir nicht? Abseits aller aufsichtsrechtlichen Regelungen bietet die DSGVO einen sehr praxisbezogenen Ansatz zur Handhabung der unterschiedlichen Aspekte des Datenschutzes.

 

 

Selbst wenn Sie mit aller Kraft daran glauben, dass sie die Vorgaben der Verordnung nicht einhalten müssen, sind Sie auf jeden Fall zum Schutz der Daten Ihrer Benutzer verpflichtet. Und die Umsetzung des DSGVO-Leitfadens wird Sie dabei unterstützen.

 

Artikel 2 – Für welche Daten gilt die DSGVO?

Was der Text aussagt

Sie betrifft alle Dateien oder Datenbanken, die den Namen oder Identitätsdaten einer Person enthalten.

Sie müssen daher

Beginnen Sie, alle Datenspeicher zu beobachten, die in Ihrem Unternehmen im Marketing, der Forschung, dem Kundendienst, der Supportabteilung usw. verwendet werden.

 

 

DSGVO-Überblick

 

Artikel 3 – Für welche Länder gilt die DSGVO?

Was der Text aussagt

Es spielt keine Rolle, in welchem Land sich das Laufwerk befindet, dass die Daten enthält. Wenn ein EU-Bürger betroffen ist, gilt auch die DSGVO.

Sie müssen daher

Sie müssen wissen, wo Ihre Daten liegen und wo Ihr Marketing aktiv ist. Ist Ihre mobile App (auch wenn es eine kostenfreie Version ist) im europäischen App-Markt erhältlich? Geben Sie Geld für Anzeigen aus, die zufällig auch in einem EU-Land angezeigt wird?

 

 

Erfahren Sie mehr über den räumlichen Anwendungsbereich der DSGVO

 

 

 

Artikel 4 – Was bedeuten diese neuen Begriffe eigentlich?

Was der Text aussagt

Personenbezogene Daten: Alles, woran eine Person innerhalb einer größeren Gruppe identifiziert werden könnte. Das umfasst wahrscheinlich mehr, als Sie denken, weil auch Kombinationen von Daten als personenbezogen eingestuft werden. Beispielsweise gilt es nicht notwendigerweise als identifizierbar, wenn jemand Linkshänder ist – ein linkshändiger Mann jedoch, der zwischen 30 und 60 Tausend Euro verdient und in Friedrichsdorf lebt, möglicherweise schon.

 

 

Profiling: Etwas über die Vorlieben oder Neigungen einer Person zu erfahren. Hat vor allem mit der Vorhersage von Verhalten oder zukünftigen Handlungen zu tun.

 

 

Datenverantwortlicher: Wenn Sie das hier lesen, gilt diese Bezeichnung höchstwahrscheinlich für Sie. Es ist die Person, die entscheidet, was mit den gesammelten Daten geschehen soll. Wenn Sie eine Website betreiben, die Marketing- oder Analysedienste nutzt, sind Sie ein Datenverantwortlicher.

 

 

Verarbeiter: Üblicherweise ein Unternehmen, das vom Datenverantwortlichen Anweisungen erhält, seine Daten für einen bestimmten Zweck zu verarbeiten. Wenn Sie eine Website betreiben und Google Analytics verwenden, ist Google der Verarbeiter, der auf Ihre Anweisungen hin handelt.

 

 

 

Sie müssen daher

Beginnen Sie, eine Liste aller externen Einheiten, die Sie für Analysen, Marketing oder andere Zwecke in Ihrem Unternehmen verwenden, zu erstellen. Hinweis: Weil alle Menschen gerne digitale Dateien anhäufen, stellen Sie sicher, dass Sie Speicher wie Box, Dropbox, GDrive und lokale Speichersysteme berücksichtigen, weil diese unweigerlich Dateien wie „Die 10 häufigsten Supportprobleme 2015“ enthalten, die bis zum Rand mit Namen und IDs gefüllt sind.

 

 

Sie sollten auch anfangen, alle externen Dienste zu erfassen, die auf Ihrer Website, Ihrem Web-Host usw. verwendet werden. Hoffentlich finden Sie dabei nicht heraus, dass die Sicherungskopien Ihrer Site auf einem internetfähigen Pentium-PC gespeichert werden, der am Arbeitsplatz eines IT-Mitarbeiters läuft.

 

 

Paypal bietet ein gutes Beispiel, wie Kategorie, Partei, Zweck und die Art der Daten, die an den jeweiligen Partner weitergegeben werden, anzugeben sind: Liste externer Parteien von Paypal

 

Kapitel 2 – Umsetzung der DSGVO

 

Artikel 5 – Der Umgang mit personenbezogenen Daten

Was der Text aussagt

Die folgenden Attribute sollten für gespeicherte personenbezogener Daten gelten:

 

– Sachlich richtig und aktuell

 

– Geschützt

 

– Transparent bezüglich der Verwendungszwecke

 

– Beschränkt auf das für den Zweck erforderliche Ausmaß

Sie müssen daher

  • Überprüfen Sie, was mit allen gesammelten Daten geschieht- Halten Sie fest, wo und wie Sie die Daten erhalten haben- Holen Sie die Zustimmung für ihre Verwendung ein- Implementieren Sie einen Plan für das Löschen von veralteten, nicht mehr aktuellen DatenFür die Behandlung unstrukturierter veralteter Dateien können Sie eine Automatisierungslösung wie die Data Transport Engine einsetzen, um gefährliche Daten fortlaufend zu bereinigen.

 

Artikel 6 – Holen Sie sich für diese Daten Einwilligungen ein

Was der Text aussagt

Teilen Sie den Leuten mit, was Sie mit ihren Daten machen werden. Und tun sie auch nur das. Verwenden Sie die Daten für keine anderen Zwecke.

Sie müssen daher

Klären Sie Ihr gesamtes Personal darüber auf, für welche Zwecke die gesammelten Daten verwendet werden dürfen – und für welche Zwecke nicht.

 

 

Stellen Sie einen Ansprechpartner und ein Verfahren für Fälle bereit, in denen ein Verstoß gegen diese Regeln gefunden wird.

 

Artikel 7 – Der Nachweis der Einwilligung

Was der Text aussagt

– Sie müssen in der Lage sein, die Einwilligung zur Verarbeitung von Daten nachweisen zu können.

 

– Verstecken Sie die Einwilligungs- und Verwendungsinformationen nicht.

 

– Benutzen Sie einfache Formulierungen und seien Sie genau.

 

– Und benutzen Sie die Daten auf keinen Fall für Zwecke, denen nicht zugestimmt wurde.

Sie müssen daher

  • Aktualisieren Sie alle E-Mail-Newsletter oder Kontaktformulare mit verbesserten Einwilligungstexten und Links zu Ihren Online-Datenschutzrichtlinien und Nutzungsbedingungen (AGB)- Erstellen Sie eine interne Dokumentation, in der die Daten mit den entsprechenden Einwilligungen verknüpft werden.- Bereiten Sie sich darauf vor, die Einwilligungen in Bezug auf die von Ihnen gesammelten Daten nachzuweisen.

 

Artikel 8 – Minderjährige können keine Einwilligung erteilen

Was der Text aussagt

– Nur Personen über 16 Jahre können ihre Einwilligung geben.

 

– Jünger als 16? Dann wird für die Einwilligung ein Elternteil oder Erziehungsberechtigter gebraucht.

 

– Das Formular zur Angabe des Geburtsdatums, wie es z. B. für alterbeschränkte Filmtrailer verwendet wird, reicht hier wahrscheinlich nicht aus.

Sie müssen daher

Fügen Sie Filter hinzu, um Kinder auszusortieren, und verfolgen Sie das Benutzerverhalten nicht, bis die Einwilligung erteilt wurde.

 

Artikel 9 – Datentypen, die als besonders sensibel gelten

Was der Text aussagt

Sofern es nicht durch ein anderes Gesetz (Arbeits- oder Immobilienrecht) vorgeschrieben ist, sammeln Sie keine Daten über ethnische Herkunft, politische Überzeugung, Glauben, Gewerkschaftsmitgliedschaften, Gesundheitsdaten, Sexualleben oder sexuelle Orientierung.

Sie müssen daher

Überprüfen Sie Ihren aktuellen Datenbestand und stellen Sie sicher, dass sie keine Daten dieser speziellen Datenkategorien haben und/oder aus den von Ihnen kontrollierten Daten ableiten können.

 

 

Dabei müssen Sie auch unbedingt scheinbar harmlose Datenfelder wie “Hobbys” und deren potenzielle Aussagekraft in Bezug auf eine Person berücksichtigen.

 

Artikel 10 – Umgang mit strafrechtlichen Daten

Was der Text aussagt

Sofern Sie nicht für eine juristische Organisation arbeiten, sollten Sie keine Daten über Verurteilungen oder Straftaten einer Person aufbewahren.

Sie müssen daher

Wenn Sie zu den Unternehmen gehören, die „Online-Strafregisterprüfungen“ anbieten, sollten Sie wahrscheinlich lieber Ihr Geschäft einstellen und anfangen, auf ebay mit Bandpostern zu handeln.

 

Artikel 11 – Umgang mit Daten ohne Identifikationsbedarf

Was der Text aussagt

Wenn Sie berechtigterweise behaupten können, dass Sie eine Person nicht anhand der jeweiligen Interaktion zurückverfolgen können, sollten Sie ihnen das mitteilen und dann auf eine Aktivitätsverfolgung verzichten.

Sie müssen daher

Denken Sie an einen anonymen Feedback-Kasten in einem Supermarkt.

 

 

Hier geht es um Daten. Sie werden gesammelt. Aber es gibt keinen Zusammenhang mit anderen Identifikationsquellen oder -methoden, es muss also kein Einwilligungsverfahren vorgesehen werden.

 

Kapitel 3 – Rechte der Betroffenen an ihren Daten

 

Abschnitt 1 – Verwirrung vermeiden

 

Artikel 12 – Für Transparenz bezüglich der Verwendung von Daten sorgen

Was der Text aussagt

Seien Sie ehrlich zu den Betroffenen und beschreiben Sie einfach und verständlich, wofür sie ihre gesammelten Daten verwenden.

 

 

Antworten Sie auf Fragen, was mit den Daten geschieht, auf jeden Fall innerhalb von 30 Tagen (ab dem Zeitpunkt der jeweiligen Anfrage).

 

 

Wenn Leute mit einer absurden Anzahl von Anfragen oder anderen missbräuchlichen Aktionen versuchen, ihre Abläufe zu stören, dürfen Sie (im vernünftigen Rahmen) die Anfrage ablehnen oder eine kleine Gebühr für die Bearbeitung erheben.

 

 

Wenn Sie der Meinung sind, dass jemand betrügerisch Anfrage im Namen einer legitimen Person stellt, dürfen Sie den Anfragenden bitten, seine Identität nachzuweisen.

 

 

Die Bereitstellung von Informationen in Verbindung mit standardisierten Symbolen kann schön sein, stellen Sie aber sicher, dass sie maschinenlesbar sind.

Sie müssen daher

Lassen Sie alle Texte, die Sie verfassen, von einer technisch nicht versierten Person (oder einem professionellen Texter) gegenlesen, um sie auf Verständlichkeit prüfen zu lassen.

 

 

Sie können sie auch mit einem Tool wie dem BlaBlaMeter oder WhiterRhino’s Marketing Detector Tool überprüfen.

 

 

Führen Sie ein Verfahren zur Bearbeitung von Anfragen zur Löschung oder Berichtigung personenbezogener Daten ein (achten Sie auf die 30-Tage-Frist).

 

 

 

Abschnitt 2 – Was Sie den Betroffenen über Ihre Aktivitäten mitteilen müssen

 

Artikel 13 – Wenn Sie Daten über Personen sammeln, müssen Sie ihnen unbedingt die folgenden Dinge mitteilen

Was der Text aussagt

Geben Sie in Ihren Online-Formularen (oder überall dort, wo Sie Daten von Personen sammeln) an:

 

 

– Kontaktdaten des Unternehmens (und im Idealfall des Datenschutzbeauftragten)

 

– Angabe des Verwendungszwecks der Daten

 

– Aufstellung der Kategorien der gesammelten Daten

 

– Aufbewahrungsdauer der Daten

 

– Möglichkeit der Kontaktaufnahme bei Problemen oder Löschwünschen

 

– Ob die Daten zum Profiling verwendet werden und eine allgemeine Beschreibung der verwendeten Logik

 

– All das muss beim ersten Mal angegeben werden. Wenn die Person das nächste Formular innerhalb von 30 Sekunden nach dem ersten ausfüllt, können wir davon ausgehen, dass sie die Informationen noch nicht vergessen hat.

Sie müssen daher

Geben Sie an jedem Zugriffspunkt auf Formulare die Links zu Ihrer Datenschutzrichtlinie, den Benutzungsbedingungen und der DSGVO-Informationsseite an (auf der die meisten dieser Punkte enthalten sein sollten).

 

 

Hier finden Sie einige gute Beispiele für DSGVO-Informationsseiten:

 

 

HotJar

 

Facebook

 

Abschnitt 14 – Was Sie den Betroffenen über Ihre Aktivitäten mitteilen müssen, selbst wenn Sie die personenbezogenen Daten nicht selbst sammeln.

Was der Text aussagt

Alle vorstehend genannten Elemente sollten selbst dann verfügbar sein, wenn Sie die personenbezogenen Daten nicht selbst sammeln.

Sie müssen daher

Wie oben

 

Artikel 15 – Welche Rechte Personen in Bezug auf ihre eigenen Daten haben

Was der Text aussagt

– Die Betroffenen haben das Recht nachzufragen, ob Sie Daten über sie haben und Sie müssen die Frage entsprechend beantworten.

 

– Wenn Sie über personenbezogenen Daten verfügen, müssen Sie auf Anfrage die folgenden Informationen liefern:

 

– Der Grund, warum Sie die Daten haben

 

– Welche Kategorien personenbezogener Daten Sie haben

 

– Wer in Ihrer Organisation und welche Dritte auf sie zugegriffen haben (insbesondere, wenn sie in einem anderen Land sitzen)

 

– Wie lange Sie ihre Daten aufbewahren möchten

 

– Dass es die Möglichkeit gibt, die Löschung oder Berichtigung der Daten zu verlangen

 

– Die Quelle, über welche die Daten gesammelt wurden

 

– Die Möglichkeit, bei der EU-Komission Beschwerde einzulegen, wenn sie mit Ihrer Antwort nicht zufrieden sind

 

– Liefern Sie diese Informationen digital, sofern Sie nichts Verdächtiges beobachtet haben

 

– Achten Sie darauf, dass bei diesen Aktionen die Daten anderer Personen geschützt bleiben.

Sie müssen daher

Sie müssen die hier aufgeführten Fragen zu Ihren Datenbeständen beantworten können. Insbesondere die Angaben zur Quelle, zur beabsichtigten Aufbewahrungsdauer und zu den erforderlichen Schritten bei Problemen, Fehlern oder wenn die Daten gelöscht werden sollen.

 

 

Wenn Sie es noch nicht getan haben, wählen Sie einen bestehenden Kunden aus und tun Sie so, als ob er Ihnen einen so genannten Albtraumbrief geschickt hätte, in dem er alle seine Rechte gemäß DSGVO vollständig ausübt.

 

Abschnitt 3 – Berichtigen und Löschen von Daten

 

Artikel 16 – Betroffene haben das Recht, die Berichtigung ihrer Daten zu verlangen

Was der Text aussagt

Wenn jemand entdeckt, dass Ihr Datenbestand nicht korrekt ist, müssen Sie diesen Umstand beheben.

Sie müssen daher

Richten Sie ein Verfahren für den Umgang mit Aufforderungen zur Aktualisierung von Informationen ein.

 

Artikel 17 – Betroffene haben das Recht, die Löschung ihrer Daten zu verlangen

Was der Text aussagt

Wenn einer der folgenden Umstände zutrifft, müssen Sie in der Lage sein, die entsprechenden Daten „unmittelbar“ aus Ihrem System zu entfernen, was wahrscheinlich innerhalb von 30 Tagen bedeutet, obwohl es nirgends explizit geregelt ist.

 

– Der Betroffene widerruft seine Einwilligung und es gibt keinen rechtlichen Grund, die Daten zu behalten.

 

– Die Daten wurden rechtswidrig verarbeitet (für einen anderen als den ursprünglich beabsichtigten Zweck verwendet).

 

Sie müssen daher

Richten Sie ein Verfahren für den Umgang mit Aufforderungen zum Löschen von Daten ein.

 

 

Die übliche Bezeichnung dafür ist das Recht auf Vergessenwerden.

 

Artikel 18 – Betroffene haben das Recht, eine Unterbrechung der Verarbeitung ihrer Daten zu verlangen

Was der Text aussagt

Betroffene Personen können verlangen, dass ihre Daten aufbewahrt aber nicht verarbeitet werden, wenn dies im Hinblick auf einen Rechtsanspruch oder bis zur Regelung bestimmter Sachverhalte sinnvoll ist.

 

 

Dem Prinzip nach ist das mit einer Arbeitsunterbrechung auf einer Baustelle vergleichbar. Niemand verlangt, dass Sie das ausgehobene Fundament zuschütten oder die Pfähle herausziehen, aber Sie können nicht mit dem Einbau neuer Böden oder der Verkabelung der Baustelle fortfahren.

Sie müssen daher

Richten Sie ein Verfahren für den Umgang mit Aufforderungen zur Unterbrechung der Datenverarbeitung ein.

 

Artikel 19 – Sie müssen betroffene Personen informieren, wenn sie ihre Daten im Rahmen von Massenkorrekturen ändern

Was der Text aussagt

Wenn Sie eine Massenberichtigung, -löschung oder -einschränkung (Verarbeitungsunterbrechung) der Benutzerdaten vornehmen müssen, sind Sie verpflichtet, ihn darüber zu informieren.

Sie müssen daher

Überlegen Sie sich, welche Szenarien zu dieser Notwendigkeit eskalieren könnten und eine Benachrichtigung erfordern würden. Wenn beispielsweise eine einzelne Person ein Problem mit der Datensammlung bei Ihnen reklamiert, das Sie dann für Ihren gesamten Datenbestand korrigieren müssen, sind Sie zur Benachrichtigung aller Betroffenen verpflichtet.

 

Artikel 20 – Betroffene haben das Recht, einen Export ihrer Daten in ein lesbares Format zu verlangen

Was der Text aussagt

Betroffene Personen können die Aushändigung ihrer Daten verlangen.

 

Die Daten sollten in einem maschinenlesbaren Format übergeben werden (CSV, XLS, XML, JSON).

 

Die Daten sollen strukturiert und der gesamte Prozess nach Möglichkeit automatisiert sein.

 

Sie müssen daher

Beginnen Sie mit der Arbeit an Datenexportfunktionen, um alle zugehörigen Daten eines Benutzers aus Ihrem System in ein Exportformat zu überführen.

 

 

Sie müssen sowohl unstrukturierte als auch in einer Datenbank gespeicherte Daten berücksichtigen.

 

 

Identifizieren von DSGVO-Daten in Word, Excel, Exchange und Sharepoint

 

 

 

 

 

Abschnitt 4 – Betroffene können verlangen, dass manuell in maschinell getroffene Entscheidungen eingegriffen wird und ihre Einwilligung zum Profiling verweigern

 

Artikel 21 – Betroffene können ihre Einwilligung zum Aufbau eines Profil über sie oder die Darstellung von gefilterten Informationen verweigern

Was der Text aussagt

Betroffene können dem Profiling, mit dem Inhalte oder Darstellungsformen auf sie zugeschnitten werden, widersprechen und verlangen, davon ausgenommen zu werden.

Sie müssen daher

Richten Sie ein Widerspruchssystem ein, mit dem Weitervermarktungskampagnen, Profiling usw. verhindert werden können.

 

Artikel 22 – Betroffene können verlangen, dass die auf sie selbst bezogenen Entscheidungen von einem Menschen getroffen werden

Was der Text aussagt

Betroffene können Widerspruch dagegen einlegen, dass auf sie bezogene Entscheidungen rein manuell getroffen werden.

Sie müssen daher

Richten Sie ein System für die manuelle Überprüfung von automatischen Prozessen und Benachrichtigungen ein.

 

Abschnitt 5 – Beschränkungen

 

Artikel 23 – Ausnahmen von diesen Regelungen

Was der Text aussagt

Einzelne Länder können Gesetze erlassen, die diese Vorschriften für eine Reihe von Fällen z. B. im Interesse der nationalen Sicherheit ändern.

Sie müssen daher

Sie müssen sich darüber wahrscheinlich keine Gedanken machen, solange Sie nicht den Titel „Minister für innere Sicherheit“ oder „Leiter Terrosismusbekämpfung“ tragen.

 

Kapitel 4 – Verantwortlicher und Verarbeiter

 

Abschnitt 1 – Was Sie tun müssen

 

Artikel 24 – Verpflichtungen des Verantwortlichen

Was der Text aussagt

Sie müssen dokumentieren, was Sie zur Einhaltung der DSGVO unternehmen und dies inachweisen können.

Sie müssen daher

Führen Sie Aufzeichnungen über DSGVO-Schulungen, Verfahren und eingeleitete Maßnahmen.

 

Artikel 25 – Berücksichtigen Sie Datenschutz und -sicherheit, bevor Sie handeln

Was der Text aussagt

Sammeln Sie nicht mehr Daten als notwendig und Pseudonymisieren Sie die gesammelten Daten.

Sie müssen daher

Bilden Sie Ihre Mitarbeiter im Hinblick auf Datenschutz durch Technikgestaltung fort.

 

 

Lesen Sie den Spickzettel für Datenschutz durch Technikgestaltung

 

 

und Pseudonymisierung als Alternative zu Verschlüsselung.

 

Artikel 26 – Umgang mit der Weitergabe von Daten

Was der Text aussagt

Wenn Sie Ihr Daten an eine andere Organisation weitergeben, müssen die jeweiligen Verantwortungsbereiche geklärt sein.

Sie müssen daher

Treffen Sie schriftliche Vereinbarungen über die Weitergabe von Daten und legen Sie die Verantwortlichkeiten eindeutig fest.

 

Artikel 27 – Müssen Sie jemanden einstellen, der in der EU lebt?

Was der Text aussagt

Wenn Sie routinemäßig Daten sammeln (und auf jeden Fall, wenn es sich um eine Sonderkategorie oder strafrechtliche Daten handelt), müssen Sie eine Person mit Sitz in der EU als Ihren Vertreter für diese Angelegenheiten einsetzen.

Sie müssen daher

Beauftragen Sie jemanden, der in einem EU-Land wohnt.

 

Artikel 28 – Verpflichtungen des Verarbeiters

Was der Text aussagt

Dienste (Verarbeiter), die Sie als Verantwortlciher nutzen, müssen DSGVO-konform sein.

 

 

Sie dürfen außerdem ohne Ihre Zustimmung personenbezogene Daten nicht in einem Rechenzentrum außerhalb der EU verarbeiten oder an Dritte weitergeben.

Sie müssen daher

Achte Sie darauf, dass alle Dienste, die Sie nutzen, DSGVO-konform sind.

 

 

Die meisten Dienste sollten jetzt eine Seite auf ihrer Website haben, die ihren Status in Bezug auf DSGVO-Konformität angibt. Uns Sie sollten diese auf Ihrer eigenen DSGVO-Compliance-Seite auflisten und verlinken.

 

Artikel 29 – Verarbeiter dürfen die Daten nur auf die vereinbarte Art und Weise verarbeiten.

Was der Text aussagt

Dienste, denen personenbezogene Daten zur Verarbeitung anvertraut wurden, dürfen diese nur den Anweisungen entsprechend bearbeiten.

Sie müssen daher

Wenn Sie kein Verarbeiter sind, gilt das für Sie nicht. Wenn Sie einer sind, dürfen Sie keine spekulativen kundenübergreifenden Analysen durchführen, die Daten für andere Zwecke verkaufen usw.

 

Artikel 30 – Behalten Sie im Blick, was Sie mit den Daten unternehmen

Was der Text aussagt

Sie müssen nachvollziehen können, was mit personenbezogenen Daten in Ihrem gesamten Unternehmen und in allen von Ihnen geleisteten Diensten geschieht. Das schließt auch den Verarbeitungszweck ein.

 

 

Wenn Sie weniger als 250 Mitarbeiter haben, nicht alltäglich Daten sammeln und sich nicht mit speziellen Kategorien oder strafrechtlichen Daten befassen, sind Sie davon ausgenommen.

Sie müssen daher

Führen Sie einer Liste aller Dienste (Verarbeiter), die Sie nutzen, mit den entsprechenden Kontaktdaten.

 

Artikel 31 – Sie müssen bei Aufforderungen mit den Behörden kooperieren

Was der Text aussagt

Wenn die Aufsichtsbehörde Ihres Landes sehen möchte, ob Sie Ihre DSGVO-Hausarbeiten gemacht haben, müssen Sie diese vorlegen.

 

Sie müssen daher

Dokumentieren Sie unbedingt alle Schritte, die Sie zur Erfüllung der DSGVO einleiten.

 

 

Noch wichtiger ist möglicherweise, dass Sie alle Beschwerden von Betroffenen im Hinblick auf ihre Daten ernst behandeln, weil derartige Vorgänge schnell zu Bußgeldern und Untersuchungen führen können.

 

Abschnitt 2 – Datensicherheit

 

Artikel 32 – Diese Maßnahmen zur Gewährleistung der Sicherheit Ihrer Daten sind das Minimum

Was der Text aussagt

Sie müssen für die Sicherheit Ihrer Daten sorgen.

 

– Verschlüsselung, wenn die Daten nicht benötigt werden

 

– Möglichkeit zur Wiederherstellung nach Vorfällen

 

– Regelmäßige Prüfung auf Sicherheitsprobleme

 

– Besonders sorgfältige Berücksichtigung von Datenschutzverletzungen und deren Folgen

Sie müssen daher

Führen Sie moderne Methoden zur digitalen Sicherung ein.

 

 

– Sichere Datenspeicher

 

– Anspruchsprüfungen

 

– Notfallplanungen für Datenschutzverletzungen

 

Artikel 33 – Bei einer Datenschutzverletzung müssen Sie die Aufsichtsbehörde informieren.

Was der Text aussagt

Sobald Sie Kenntnis von einer Datenschutzverletzung (einem Verlust der Kontrolle über die Daten) erlangen, haben Sie 72 Stunden zum Benachrichtigen der [Aufsichtsbehörde](https://blog.varonis.com/gdpr-data-protection-authority-supervisory-listing/).

Sie müssen daher

Führen Sie einen Reaktionsplan für Datenschutzverletzungen ein.

 

 

Richten Sie eine Methode für die interne Meldung von Sicherheitsproblemen ein.

 

 

 

Artikel 34 – Bei einer Datenschutzverletzung müssen Sie die Betroffenen informieren.

Was der Text aussagt

Bei einer Datenschutzverletzung müssen Sie die Betroffenen „unmittelbar“ über das Geschehen informieren.

 

 

Das wird voraussichtlich im Endeffekt bedeuten, dass die Benachrichtigung innerhalb von 72 Stunden erfolgen muss (wie bei der Aufsichtsbehörde).

Sie müssen daher

Sorgen Sie dafür, dass ein einsatzbereiter Notfallplan für Datenschutzverletzungen existiert.

 

 

Richten Sie eine Methode zur Benachrichtigung der Benutzer ein.

 

 

Lesen Sie den Leitfaden zur Regelung von Benachrichtigung bei Datenschutzverletzungen gemäß DSGVO.

 

Abschnitt 3 – Berücksichtigen und dokumentieren Sie die potenziellen Folgen Ihrer Handlungen für die Datensicherheit

 

Artikel 35 – Sie sollten vor neuen Projekten eine Datenschutz-Folgenabschätzung verfassen

Was der Text aussagt

Bevor Sie neue Dienste für den Umgang mit Daten einrichten, sollten Sie überlegen, welche Folgen dies für die Sicherheit unter Berücksichtigung der konkreten Absichten für die Daten hat. Das gilt insbesondere, wenn die Daten für Profiling/Filterfunktionen genutzt werden sollen.

Sie müssen daher

Dokumentieren Sie, welche Auswirkungen der jeweilige neue Dienst auf Ihre internen Datenschutzvorkehrungen haben könnte.

 

Artikel 36 – Sie können sich im Vorfeld beraten lassen oder Zustimmungen einholen.

Was der Text aussagt

Wenn Sie Daten auf eine Weise verarbeiten, bei der die Daten einem Risiko ausgesetzt werden, müssen Sie sich vorher mit der Aufsichtsbehörde beraten.

 

 

Sie wird Ihnen innerhalb von 8 Wochen eine schriftliche Stellungnahme zustellen. Das dürfte lustig werden.

Sie müssen daher

Wenn Sie z. B. vorhaben, einen „anonymisierten“ Datensatz freizugeben, der noch gewisse Auswirkungen auf den Datenschutz haben könnte, sollten Sie vorher die Zustimmung der Aufsichtsbehörde einholen.

 

Abschnitt 4 – Datenschutzbeauftragter

 

Artikel 37 – Sie sollten einen Datenschutzbeauftragten einsetzen

Was der Text aussagt

Es muss einen einzigen Ansprechpartner innerhalb Ihrer Organisation geben, der Anfragen zu DSGVO-relevanten Themen beantworten kann.

Sie müssen daher

Sie müssen einen Datenschutzbeauftragten einsetzen.

 

 

Er sollte ein kompetenter Fachmann für Datensicherheit sein, der auf Bedenken eingehen kann und über die notwendigen Hilfsmittel verfügt, um auf Anfragen reagieren zu können.

 

 

Weiterführende Lektüre:

 

 

Müssen Sie einen Datenschutzbeauftragten einstellen?

 

 

Anforderungen im Hinblick auf den Datenschutzbeauftragten

 

Artikel 38 – Aufgabenbereich des Datenschutzbeauftragten

Was der Text aussagt

Der Datenschutzbeauftragte muss in die Datenverarbeitung einbezogen und ernst genommen werden.

 

 

– Er kann auch andere Aufnahmen wahrnehmen, solange sich keine Interessenkonflikte ergeben.

Sie müssen daher

Viele Organisationen haben bereits einen CISO (Chief Information Security Officer), der wahrscheinlich auch die Aufgaben des Datenschutzbeauftragten übernehmen wird.

 

 

Wie auch immer der Titel lautet – wichtig ist, dass Datenschutz- und Sicherheitsaspekte bei allen Projekten in Ihrem Unternehmen berücksichtigt werden.

 

Artikel 39 – Was der Datenschutzbeauftragte tun soll

Was der Text aussagt

Der Datenschutzbeauftragte soll das Unternehmen laufend im Hinblick auf die Einhaltung der DSGVO beraten.

Sie müssen daher

Behandeln Sie Ihren Datenschutzbeauftragte nicht wie ein Kellerkind.

 

Abschnitt 5 – Branchenverbände können Verhaltensregeln und Zertifizierungen schaffen

 

Artikel 40 – Was ist eine Verhaltensregel?

Was der Text aussagt

Branchen sollten Verhaltensregeln ausarbeiten, in denen beschrieben wird, wie die Vorschriften der DSGVO in der jeweiligen Branche umzusetzen sind.

 

 

Zum Beispiel könnte die Pan European Game Information Association einen Verhaltenskodex herausgeben, der beschreibt, wie Spieleentwickler mit den Daten umgehen sollten, die sie über Spieler sammeln. Genauso wie sie Empfehlungen zu Videospielinhalten rund um Sprache, Gewalt und Altersbewertungen abgeben, könnten sie auch Empfehlungen geben, wie mit Benutzerdaten umgegangen werden sollte.

 

 

Das wäre auch insofern sinnvoll, da ihre Aktivitäten in einem ganz anderen Verhältnis zu personenbezogenen Daten stehen, als es in anderen Branchen wie Aluminiumhütten oder Autowerkstätten der Fall ist.

Sie müssen daher

Sie sollten überprüfen, ob Ihr Branchenverband Verhaltensregeln veröffentlicht hat.

 

 

Die Verhaltensregeln befinden sich noch in der Entwicklung und scheinen vorerst freiwillig zu sein. Es lohnt sich aber, sie im Auge zu behalten, da sich dieser Zustand ändern kann oder die Compliance mit anderen Branchenzertifizierungen oder -anforderungen verknüpft werden könnte.

 

 

Zum Beispiel sind PEGI-Einstufungen für neue Videospiele nicht obligatorisch, aber die überwiegende Mehrheit der Einzelhändler wird Ihr Spiel in ihrem Geschäft nicht ohne sie ins Sortiment nehmen.

 

 

Ebenso könnte es dazu kommen, dass PEGI einen Verhaltenskodex veröffentlicht, in dem die für die Zertifizierung erforderlichen Datenschutzstandards dargelegt werden.

 

Artikel 41 – Branchenverbände können die Einhaltung von Verhaltensregel überwachen

Was der Text aussagt

Verbände (wie PEGI im vorstehenden Beispiel) können Unternehmen überwachen, um festzustellen, ob sie die veröffentlichten Verhaltensregeln einhalten.

Sie müssen daher

Wenn es in Ihrer Branche einen Verhaltenskodex gibt, hat der Verband das letzte Wort darüber, ob Sie die Anforderungen erfüllen oder nicht.

 

Artikel 42 – Branchenverbände können die Konformität mit Verhaltensregel zertifizieren

Was der Text aussagt

Verbände können Zertifizierungen (Gütesiegel) für Unternehmen einführen, welche die Verhaltensregeln erfüllen.

Sie müssen daher

Überprüfen Sie, ob es Zertifizierungsmöglichkeiten für Ihr Unternehmen gibt.

 

Artikel 43 – Zertifikate müssen abgenommen werden

Was der Text aussagt

Die Zertifizierungsstellen müssen von der Aufsichtsbehörde zugelassen werden.

Sie müssen daher

Achten Sie darauf, ob die Zertifizierung, um die Sie sich bemühen von der Aufsichtsbehörde zugelassen ist.

 

Kapitel 5 – Handhabung der Übertragung von Daten in Länder außerhalb der EU und die DSGVO

 

Artikel 44 – Genehmigung einholen

Was der Text aussagt

Bevor Sie Daten übertragen, sollten Sie sich im Allgemeinen eine Genehmigung dafür einholen.

Sie müssen daher

Richten Sie ein Verfahren für die Dokumentierung von Abläufen und Vereinbarungen bezüglich der Datenübertragung ein.

 

Artikel 45 – Länder außerhalb der EU, die eigene Auflagen haben, die der DSGVO entsprechen

Was der Text aussagt

Wenn die EU-Kommission feststellt, dass ein anderes Land ihren Regeln entspricht, müssen Sie sich die Übertragung in diese Land nicht genehmigen lassen.

Sie müssen daher

Überprüfen Sie, welche Länder dazu gehören, bevor Sie die Übertragungsvereinbarungen abschließen.

 

Artikel 46 – Bei der Übertragung von Daten in ein anderes Land ist die Datensicherheit zu berücksichtigen

Was der Text aussagt

Wenn Sie Daten in ein andere Land übertragen, muss es dort angemessene Datenschutzgesetze und -gewährleistungen geben.

Sie müssen daher

Lesen Sie das Kleingedruckte im Ansatz des jeweiligen Landes zum Thema Datenschutz.

 

Artikel 47 – Unternehmen, die nicht aus der EU kommen, können eigene strenge Regeln für den Umgang mit Daten erstellen, um DSGVO-konform zu sein.

Was der Text aussagt

Wenn ein Unternehmen ohne Sitz in der EU mit EU-Daten umgehen will, kann es verbindliche Unternehmensregeln erstellen, die den DSGVO-Vorschriften entsprechen.

 

 

Wenn diese Regeln strikt eingehalten werden, könnte die Übertragung von Daten aus der EU an sie in Ordnung sein.

Sie müssen daher

Wenn Sie planen, mit einem Unternehmen außerhalb der EU/DSGVO-Anforderungen zusammenzuarbeiten, sollten Sie herausfinden, ob es über DSGVO-konforme Unternehmensregeln verfügt.

 

Artikel 48 – Umgang mit internationalen Streitigkeiten zum Datenschutz

Was der Text aussagt

Wenn ein Gericht die Übertragung von Daten anordnet, darf dieser Vorgang nicht gegen internationales Recht verstoßen.

Sie müssen daher

Es ist wirkt albern, das schreiben zu müssen: „Verstoßen Sie nicht gegen internationales Recht.“

 

Artikel 49 – Eine Alternative für Fälle, in denen das Land, in das Sie Daten übertragen möchten, keine Datenschutzvorschriften hat

Was der Text aussagt

Wenn es in dem Land, in das Sie Daten übertragen, keine entsprechenden Vorschriften hat, müssen Sie mindestens die Einwilligung des Benutzers einholen (oder einen anderen guten Grund haben).

Sie müssen daher

Wenn Sie anderen Anweisungen, vor jeder Aktivität die Einwilligung des Benutzers einzuholen, einhalten, sollten Sie auch in diesem Fall auf der sicheren Seite sein.

 

Artikel 50 – Wir möchten gerne mit Ländern außerhalb der EU zusammenarbeiten

Was der Text aussagt

Länder sollten ein gutes Verhältnis untereinander pflegen.

Sie müssen daher

Wenn sie gut miteinander auskommen, macht das uns allen das Leben leichter.

 

Kapitel 6 – Aufsichtsbehörden (die Stelle, die für die Überwachung der DSGVO in Ihrem Land zuständig ist)

 

Abschnitt 1 – Unabhängigkeit

 

Artikel 51 – Aufgaben der Aufsichtsbehörde

Was der Text aussagt

Die Länder sollen überwachen, ob Unternehmen sich an die Regelungen der DSGVO halten.

Sie müssen daher

Sie sollten sich erkundigen, welche Behörde oder Abteilung in Ihrem Land für die Durchsetzung der DSGVO zuständig ist.

 

Artikel 52 – Aufsichtsbehörden dürfen keinen Interessenkonflikten unterliegen

Was der Text aussagt

Aufsichtsbehörden dürfen keine Schmiergelder annehmen oder Interessenkonflikten unterliegen.

Sie müssen daher

Verzichten Sie auf Bestechungsversuche gegenüber den Behörden. Wir sind hier nicht bei der FIFA.

 

Artikel 53 – Wie man einen Job bei einer Aufsichtsbehörde bekommt

Was der Text aussagt

Die Mitglieder der Aufsichtsbehörden sollen von der Regierung eingesetzt werden.

Sie müssen daher

Es ist kein Wahlkampf erforderlich, die Besetzung erfolgt nicht durch demokratische Abstimmung.

 

Artikel 54 – Kernaufgaben der Aufsichtsbehörde

Was der Text aussagt

Die Aufgaben und Arbeitsbedingungen für die Mitglieder der Aufichtsbehörden unterliegen der Regelung durch die jeweiligen Länder.

Sie müssen daher

Polieren Sie Ihr LinkedInProfil und halten Sie Ausschau nach Stellenanzeigen im Economist, um sich auf eine aufregende neue Karriere in der behördlichen DSGVO-Aufsicht vorzubereiten.

 

Abschnitt 2 – Zuständigkeit, Aufgaben und Befugnisse

 

Artikel 55 – Zuständigkeit

Was der Text aussagt

In Verbindung mit der DSGVO sind eine Menge technischer Details zu beachten (Verschlüsselung, Datenspeicherung und Übertragung). Mit der Aufsicht Beauftragte sollten also in der Lage sein, die Konzepte im Bereich Datensicherheit zu verstehen.

Sie müssen daher

Werfen Sie einen Blick auf die Kurse von Troy Hunt über die Grundlagen der Sicherheit im Internet, den Schutz von Computern und den DSGVO-Angriffsplan.

 

Artikel 56 – Zuständigkeit der federführenden Aufsichtsbehörde

Was der Text aussagt

Aufsichtsbehörden sollen die Fälle handhaben, die sich vorwiegend in ihrem Land abspielen.

Sie müssen daher

Die DSGVO gilt zwar EU-weit, Sie werden bei entsprechenden Angelegenheiten aber höchstwahrscheinlich mit der Aufsichtsbehörde in Ihrem eigenen Land zu tun haben.

 

Artikel 57 – Aufgaben

Was der Text aussagt

Als Aufsichtsbehörde besteht Ihre Aufgabe darin, sich Beschwerden anzuhören, die Datensicherheit zu fördern und sich für die Datensicherheit einzusetzen.

Sie müssen daher

Es gibt nichts, was Sie direkt mit Bezug auf diesen Artikel tun müssen, aber ich finde es nett, dass es als erstrebenswert in die DSGVO aufgenommen wurde.

 

 

Das lässt mich zumindest hoffen, dass die Aufsichtsbehörden mehr tun werden, als drakonisch die DSGVO-Anforderungen durchzusetzen.

 

Artikel 58 – Befugnisse

Was der Text aussagt

Aufsichtsbehörden können Unternehmen verwarnen, sie zur Veröffentlichung von Benachrichtigungen über Datenschutzverletzungen zwingen, Zertifizierungen aufheben und die Unterbrechung von Datenübertragungen anordnen.

Sie müssen daher

Wenn sich Ihre Behörde bei Ihnen meldet, kann sie Ihrem Unternehmen erhebliche Probleme bereiten. Hören Sie darauf, was sie sagt.

Was der Text aussagt

Die Behörden sollen jährlich die Öffentlichkeit mit einem Bericht darüber informieren, welche Maßnahmen sie ergriffen haben.

Sie müssen daher

Versuchen Sie, dafür zu sorgen, dass Ihr Unternehmen nicht in diesem Bericht erwähnt wird.

 

Kapitel 7 – Zusammenarbeit und Kohärenz

 

Abschnitt 1 – Zusammenarbeit

 

Artikel 60 – Zusammenarbeit

Was der Text aussagt

Die Aufsichtsbehörden sollen sich gegenseitig unterstützen.

 

Artikel 61 – Gegenseitige Amtshilfe

Was der Text aussagt

Die Aufsichtsbehörden sollen ihre Informationen miteinander teilen und den Ersuchen anderer Behörden nachkommen.

 

Artikel 62 – Gemeinsame Maßnahmen der Aufsichtsbehörden

Was der Text aussagt

Sofern dies bei einem Ereignis oder einer Untersuchung notwendig ist, sollen die Aufsichtsbehörden gemeinsame Untersuchungen durchführen.

 

Abschnitt 2 – Kohärenz

 

Artikel 63 – Kohärenzverfahren

Was der Text aussagt

Hier wird geregelt, wie die Aufsichtsbehörden zusammenarbeiten sollen.

 

Artikel 64 – Stellungnahme des Auschusses

Was der Text aussagt

Bei bestimmten Themen wie neuen Anforderungen, Kriterien oder Unternehmensregularien ist eine Genehmigung durch den Ausschuss erforderlich.

 

Artikel 65 – Streitbeilegung durch den Ausschuss

Was der Text aussagt

Der Ausschuss ist für die Bearbeitung von Streitigkeiten zwischen Aufsichtsbehörden zuständig.

 

Artikel 66 – Dringlichkeitsverfahren

Was der Text aussagt

Wenn eine neue Technologie oder ein neues Verfahren entwickelt wird (z. B. die Quantenhirndatentelepathie), welche die Grenzen der geltenden Vorschriften überschreitet und zeitkritisch ist, können die Aufsichtsbehörden eine neue Regelung einführen, ohne den Ausschuss einzubeziehen.

Sie müssen daher

Unterlassen Sie es also lieber, Technologien zu erfinden, mit denen die sichere Kommunikationsinfrastruktur und Datenspeicherung der Weltwirtschaft gestört würde. Also keine praxisrelevanten Quantencomputer bitte.

 

Artikel 67 – Informationsaustausch

Was der Text aussagt

Die Kommission wird später ausarbeiten, wie sie die Aufsichtsbehörden dazu bringen kann, Informationen sicher miteinander auszutauschen.

Sie müssen daher

Ob sie inzwischen einen Weg gefunden hat, dabei für DSGVO-Konformität zu sorgen, erfahren Sie bei der Kommission.

 

Abschnitt 3 – Europäischer Datenschutzausschuss

 

Artikel 68 – Europäischer Datenschutzausschuss

Was der Text aussagt

Es gibt jetzt einen Europäischen Datenschutzrat. Jedes Land darf eine Person aus seiner Aufsichtsbehörde aussuchen, die mitmachen darf.

Sie müssen daher

Finden Sie heraus, wer Ihr Land vertritt, und wünschen Sie ihm Erfolg bei dieser neuen Aufgabe.

 

Artikel 69 – Unabhängigkeit

Was der Text aussagt

Der Ausschuss ist ein starker, unabhängiger Ausschuss, der sein Leben nach seinen eigenen Regeln lebt und sich von niemandem etwas gefallen lässt.

Sie müssen daher

Zollen Sie dem Ausschuss Respekt.

 

Artikel 70 – Aufgaben des Auschusses

Was der Text aussagt

Der Ausschuss erstellt die Richtlinien für die Richtlinien.

Sie müssen daher

Lesen Sie die Richtlinien.

 

Artikel 71 – Berichterstattung

Was der Text aussagt

In jedem Jahr veröffentlicht der Ausschuss einen Bericht über seine Aktivitäten, der praktische Vorschläge und bewährte Verfahren enthält.

Sie müssen daher

Achten Sie auf diesen Bericht, wenn er erscheint: Er könnte tatsächlich nützlich und informativ sein.

 

Artikel 72 – Verfahrensweise

Was der Text aussagt

Entscheidungen werden mit der Mehrheit der Stimmen gefällt, aber wer die Regeln ändern will, braucht eine 2/3-Mehrheit.

Sie müssen daher

Fangen Sie schon einmal an, die deutliche Mehrheit der Vertreter zu überzeugen, wenn Sie Änderungen an den Vorschriften der DSGVO einführen möchten.

 

Artikel 73 – Vorsitz

Was der Text aussagt

Es gibt einen Vorsitzenden und zwei stellvertretende Vorsitzende. Jeweils für 5 Jahre eingesetzt. Mit maximal zwei Amtszeiten.

Sie müssen daher

Finden Sie heraus, wer den Vorsitz im Ausschuss hat, und folgen Sie ihm auf Twitter.

 

Artikel 74 – Aufgaben des Vorsitzes

Was der Text aussagt

Besprechungen abhalten. Mit den führenden Aufsichtsbehörden sprechen.

 

Artikel 75 – Sekretariat

Was der Text aussagt

Das Sekretariat handhabt das Tagesgeschäft.

Sie müssen daher

Vergessen Sie nie, dass dies eine ernsthafte und verantwortungsvolle Position ist, die von einer angesehenen Person innerhalb einer ehrwürdigen Institution eingenommen wird und nicht von dem Pferd, das 1973 die Triple Crown gewann.

 

Artikel 76 – Vertraulichkeit

Was der Text aussagt

Die Geschäfte des Ausschusses können vertraulich sein, wenn es um sensible Themen geht.

Sie müssen daher

Versuchen Sie nicht, den Ausschuss zu hacken. Das wäre geschmacklos.

 

Kapitel 8 – Rechtsbehelfe, Haftung und Sanktionen

 

Artikel 77 – Das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen

Was der Text aussagt

Jede Person kann bei der Aufsichtsbehörde Beschwerde über ein Unternehmen einreichen, das Daten dieser Person besitzt.

 

 

Die Aufsichtsbehörde muss diese Beschwerde ernst nehmen und den Beschwerdeführer über ihre Untersuchung auf dem Laufenden halten.

Sie müssen daher

Sie brauchen keine direkten Maßnahmen in Bezug auf diesen Artikel zu ergreifen, aus ihm geht aber eine der wichtigsten Möglichkeiten hervor, wie Sie und Ihr Unternehmen zum Gegenstand der Aufmerksamkeit Ihrer Aufsichtsbehörde werden können.

 

 

Insbesondere sollten Sie beachten, dass es eine Anforderung Ihrer DSGVO-Compliance ist, dass Sie Personen über die Aufsichtsbehörde informieren, bei der sie eine Beschwerde einreichen können.

 

 

– Schlagen Sie die für Ihr Land zuständige Datenschutzbehörde nach und nehmen auch die anderen für den Fall zur Kenntnis, dass Sie einmal von ihnen kontaktiert werden.

 

Artikel 78 – Das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Was der Text aussagt

Natürliche Personen können die Aufsichtsbehörde verklagen, wenn sie das Gefühl haben, dass ihre Beschwerde nicht angemessen behandelt wurde.

Sie müssen daher

Dieser Artikel hat höchstwahrscheinlich keine Folgen für Sie (da ich mir nicht vorstellen kann, dass eine Aufsichtsbehörde diesen Text als Rechtsberatung heranzieht).

 

 

Er macht jedoch sehr deutlich, wie ernst es der Kommission mit der Umsetzung von GDPR ist.

 

 

Im Artikel wird explizit beschrieben, wie Menschen durch die Kette von Unternehmen > Aufsichtsbehörden > Rechtssystemen/Gerichte ihre Daten schützen und herausfinden können, wie ihre Daten verwendet werden.

 

Artikel 79 – Das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Was der Text aussagt

Benutzer haben das Recht aus einen „Rechtsbehelf“.

Sie müssen daher

Binden Sie Ihren Unternehmensjuristen ein, da Sie im Rahmen oder als Eskalation einer Beschwerde vor Gericht gebracht werden könnten.

 

Artikel 80 – Vertretung von betroffenen Personen

Was der Text aussagt

Benutzer können eine gemeinnützige juristische Person gründen, um Unternehmen (Verantwortliche und Auftragsverarbeiter) gemeinsam vor Gericht zu verklagen.

Sie müssen daher

Bereiten Sie sich darauf vor, zahlreiche E-Mails über Sammelklagen zu erhalten.

 

Artikel 81 – Aussetzung des Verfahrens

Was der Text aussagt

Wird ein Verantwortlicher in einem anderen Land verklagt, kann das Verfahren im Ausgangsland ausgesetzt werden.

Sie müssen daher

Ein herzliches Beileid gilt allen Verantwortlichen oder Auftragsverarbeitern, die in Verfahren verwickelt sind, die in mehreren Ländern parallel laufen.

 

Artikel 82 – Haftung und Recht auf Schadenersatz

Was der Text aussagt

1. Wer kann Schadenersatz erhalten?

 

Jeder, dessen Recht auf Datenschutz verletzt wurde (selbst wenn er keinen direkten Schaden erlitten hat)

 

 

2. Wer ist haftbar?

 

Jeder Verantwortliche oder Auftragsverarbeiter, dem ein Fehler unterlaufen ist.

 

 

 

3. Gibt es Auswege?

 

Wenn Sie nachweisen können, dass Sie nicht verantwortlich waren (einschließlich Fahrlässigkeit), sind Sie aus dem Schneider.

 

 

 

4. Wie wird der Schadenersatz verteilt?

 

Wenn mehrere Rechtsträger (Verantwortlicher und Auftragsverarbeiter) verantwortlich sind, haften sie alle für die Zahlung in voller Höhe.

 

 

 

5. Regress?

 

Nachdem der Auftragsverarbeiter/Verantwortliche den Benutzer entschädigt hat, können sie sich gegenseitig verklagen, um die endgültige Haftung zu klären.

 

 

 

6. Welches Recht gilt?

 

Das Recht Ihres Landes.

Sie müssen daher

In der DSGVO wurde viel Wert darauf gelegt, genau zu festzulegen, ob und wie Sie und Ihre Organisation Strafzahlungen zahlen müssen.

 

 

Das Verfahren begünstigt deutlich den einzelnen Beschwerdeführer, der gegen Sie vorgeht.

 

Artikel 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen

Was der Text aussagt

Geldbußen für Datenschutzverletzungen sollen „wirksam, verhältnismäßig und abschreckend“ sein.

 

 

Abhängig davon, wie gut Sie Ihre Daten geschützt haben und wie gewissenhaft Sie die Einwilligung Ihrer Benutzer eingeholt haben, kann sich das auf Millionen Euro oder 2 % Ihres Umsatzes erstrecken.

Sie müssen daher

Tun Sie alles, was Sie können, um die DSGVO-Vorschriften einzuhalten, denn die Verhängung von Bußgeldern ist keine Frage von einem reinen Ja oder Nein.

 

 

Die Summe orientiert sich an einer gleitenden Skala, die berücksichtigt, was Sie mit den Daten tun und welche Kontrollen, Dokumentation, Prozesse usw. vorhanden sind.

 

Artikel 84 – Sanktionen

Was der Text aussagt

Länder können Bußen verhängen, die über den hier geschilderten Rahmen hinausgehen.

Sie müssen daher

Sprechen Sie mit Ihrer Bank.

 

Kapitel 9 – Vorschriften für besondere Verarbeitungssituationen

 

Artikel 85 – Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Was der Text aussagt

Aufsichtsbehörden dürfen Journalisten, Akademiker oder Künstler mit ihren Regeln (im Allgemeinen) nicht behindern.

Sie müssen daher

Wenn Sie es mit Daten zu tun haben, die von allgemeinem öffentlichen Interesse sind, sollten Sie sich Ihre Datenverarbeitung genauer ansehen.

 

Artikel 86 – Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

Was der Text aussagt

Regierungen und Behörden müssen Ihre Informationen weiterhin aufbewahren, wenn dies im öffentlichen Interesse ist.

Sie müssen daher

Erwarten Sie nicht, dass Sie sich auf das Recht auf Vergessenwerden berufen können, um an einem Strafzettel vorbei zu kommen.

 

Artikel 87 – Verarbeitung der nationalen Kennziffer

Was der Text aussagt

Jede Regierung muss Regeln für die Behandlung ihrer nationalen Kennziffern aufstellen.

Sie müssen daher

Es genügt nicht, nur die Kennziffern Ihres eigene Landes als personenbezogen und sensibel zu behandeln. Sie müssen die Kennziffern aus allen EU-Ländern finden und im Blick behalten.

 

Artikel 88 – Datenverarbeitung im Beschäftigungskontext

Was der Text aussagt

Regierungen können genauere Gesetze für den Umgang mit Beschäftigungsdaten erlassen.

Sie müssen daher

Die Beschäftigungsdaten in der Personalabteilung Ihres Unternehmens werden möglicherweise in einem anderen System gespeichert als Ihre Benutzerdaten. Für sie gelten eigene Regeln für den Zugang und die Handhabung im Einklang mit der DSGVO.

 

Artikel 89 – Potenzielle Ausnahmen für im öffentlichen Interesse (zu wissenschaftlichen oder historischen Forschungszwecken) aufbewahrte Daten

Was der Text aussagt

Eine Archivierung im öffentlichen Interesse ist möglich, sie muss jedoch besonders gewissenhaft geschützt werden.

Sie müssen daher

Wo die Grenzen für die Archivierung im öfentlichen Interesse gezogen werden, ist noch unklar.

 

 

Wenn Sie jedoch in einem geschützten Bereich tätig sind, wird die Aufsichtsbehörde das voraussichtlich anerkennen.

 

Artikel 90 – Für Spione gelten eigene Regeln

Was der Text aussagt

Geheimdienste erhalten ihre eigenen Regeln.

Sie müssen daher

Auch dieser Artikel hat höchstwahrscheinlich keine Folgen für Sie.

 

 

Er macht jedoch sehr deutlich, wie ernst es der Kommission mit der Umsetzung der DSGVO ist.

 

 

Im Artikel wird beschrieben, wie Menschen durch die Kette von Organisationen > Aufsichtsbehörden > Rechtssystemen ihre Daten schützen und herausfinden können, wie ihre Daten verwendet werden.

 

Artikel 91 – Auf Glaubensrichtungen basierende Ausnahmen

Was der Text aussagt

Für religiöse Institutionen gelten besondere Ausnahmen.

Sie müssen daher

Wenn Sie eine Kirche, Moschee oder eine andere religiöse Organisation betreiben, gelten zusätzlich zur DSGVO die bestehenden Datenschutzgesetze für Ihre Tätigkeit.

 

Kapitel 10 – Büroktratisches Rechtschinesisch

 

Artikel 92 – Ausübung der Befugnisübertragung

Was der Text aussagt

Dies alles kann sich ändern, wenn es von uns verlangt wird.

 

Artikel 93 – Ausschussverfahren

Was der Text aussagt

Die Kommission unterhält einen Ausschuss.

 

Kapitel 11 – Schlussbestimmungen

 

Artikel 94 – Aufhebung der Richtlinie 95/46/EG

Was der Text aussagt

Die alten Datenschutzverordnungen sind out, die DSGVO ist in.

 

Artikel 95 – Verhältnis zur Richtlinie 2002/58/EG

Was der Text aussagt

Die DSGVO muss zu dieser alten Richtlinie passen.

 

Artikel 96 – Verhältnis zu bereits geschlossenen Übereinkünften

Was der Text aussagt

Alle auf Einzelebene geschlossenen internationalen Übereinkünfte sind tot. Lang lebe die DSGVO!

 

Artikel 97 – Berichte der Kommission

Was der Text aussagt

Die Kommission veröffentlicht alle 4 Jahre einen Bericht über den Status der DSGVO.

 

Artikel 98 – Überprüfung anderer Rechtsakte der Union zum Datenschutz

Was der Text aussagt

Es gibt möglicherweise andere Rechtsakte, die nicht mit der DSGVO kohärent sind. Die Kommission arbeitet daran, das zu ändern.

 

Artikel 99 – Inkrafttreten und Anwendung

Was der Text aussagt

25. Mai 2018.