Die neue EU-Datenschutzgrundverordnung (DSGVO)

Wie Sie Datenschutz am besten in die Praxis umsetzen – und wie ESET Sie unterstützt

COMPLIANCE CHECK MACHEN KOSTENLOSE INFORMATIONEN

Ist Ihr Unternehmen für die DSGVO gewappnet?

Im Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft.

Die DSGVO wird die Datenschutzrichtlinie 95/46/EG ersetzen, mit dem Ziel, das europäische Datenschutzrecht zu vereinheitlichen. Die Regelungen betreffen alle europäischen Unternehmen und Behörden, die personenbezogene Daten jeglicher Art verarbeiten. Aber auch Organisationen ohne Niederlassung in Europa müssen sich an die Vorgaben halten, sofern sie Geschäfte in der EU tätigen. Die Regelungen sind sehr komplex und bei Nichteinhaltung drohen erhebliche Strafen.

Doch keine Sorge, wir machen Sie fit für die DSGVO. Auf dieser Webseite geben wir Ihnen das richtige Rüstzeug sowie hilfreiche Tipps und Tricks an die Hand, wie Sie die neuen An- und Herausforderungen sicher angehen.

https://encryption.eset.com/de/wp-content/themes/twentysixteen/img/images/calendar.png

Erhalten Sie kostenlos umfangreiche Informationen zur DSGVO

Gemeinsam mit Rechtsberatern haben die ESET-Experten einen Quick Guide und ausführlichen Leitfaden erstellt. Darin geben wir Ihnen einen verständlichen Überblick über den Einfluss und die Folgen des neuen Datenschutzrechts sowie alltagstaugliche Tipps. In unserem aufgezeichneten Webinar erfahren Sie, wie Sie sich optimal auf die DSGVO vorbereiten und das Thema Datenschutz als Chance nutzen.

https://encryption.eset.com/de/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Besuchen Sie unser Webinar zum Thema
Schutzziele der DSGVO – Raketenwissenschaft versus Risikominimierung

Viele Organisationen würden das neue Datenschutzrecht (DSGVO) gern zum Mond befördern. Dabei müssen Entscheider und IT-Verantwortliche keine Raketenwissenschaft betreiben, um in naher Zukunft datenschutzkonform zu arbeiten. Die Lösung heißt Technologie.
Unser „Rocket Scientist“ Michael Schröder, Business Development Manager New Technologies bei ESET, bringt Unternehmen beim Thema DSGVO mit alltagstauglichen Praxistipps in sicher geregelte Bahnen.

In Kürze finden Sie hier neue Termine für 2018

Wo fangen Unternehmen am besten mit der Umsetzung an?

Die Vorgaben der DSGVO bereiten Unternehmen derzeit Kopfzerbrechen. Es gibt in dem Sinne keine Musterlösung, denn verschiedene Geschäftsmodelle erfordern unterschiedliche Datenverarbeitungsvorgänge. Anbieter von Fitness-Apps werden sich mit Vorgaben zu Gesundheitsdaten auseinandersetzen müssen, ein Cloud Provider eher mit den neuen Haftungsregeln. Für alle ist es entscheidend, die eigene bisherige Datenschutzpraxis zunächst auf den Prüfstand zu stellen und an die neuen Vorgaben anzupassen.

Wir zeigen Ihnen, wie Sie sich Schritt für Schritt DSGVO-konform absichern. Klicken Sie sich einfach durch die einzelnen Balken, um mehr über die jeweiligen Themengebiete zu erfahren.

+Zusammenfassung

Teile der Regelungen in der DSGVO sind eine Fortführung der bereits bestehenden Datenschutzrichtlinien wie: Verarbeitung nach Treu und Glauben, Rechtmäßigkeit und Transparenz; Zweckbindung; Datensparsamkeit; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.

Allerdings wird die Rechenschaftspflicht für Verantwortliche verschärft, die Einhaltung der Grundsätze nachweisen zu können. Darüber hinaus werden die derzeitigen Vorgaben in der DSGVO erweitert:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Personenbezogene Daten müssen nun ausdrücklich so verarbeitetet werden, dass es für die betroffene Person nachvollziehbar ist.

Zweckbindung – Mit Einschränkungen ist die Weiterverarbeitung personenbezogener Daten für Archivzwecke, die im öffentlichen Interesse stehen, nicht unvereinbar mit dem ursprünglichen Zweck der Verarbeitung.

Speicherung – Personenbezogene Daten müssen so gespeichert werden, dass die Identifizierung der betroffenen Person nur so lange ermöglicht wird, wie es für die Zwecke der Verarbeitung notwendig ist.

Rechenschaftspflicht – Der Verantwortliche ist für die Einhaltung der Grundsätze und den Nachweis der Einhaltung verantwortlich.

+Organisatorische Strukturanforderungen

Nach Vorgaben der DSGVO müssen Sie eine Reihe an Maßnahmen umsetzen, um die Risiken einer Datenschutzverletzung zu minimieren und nachzuweisen, dass Sie Daten-Management ernst nehmen. Zu den erforderlichen Maßnahmen im Rahmen der Rechenschaftspflicht zählen: Datenschutz-Folgenabschätzung, Überprüfungen, Tätigkeitsberichte und (gegebenenfalls) Benennung eines Datenschutzbeauftragten.

Laut DSGVO sind bestimmte Organisationen nun verpflichtet, einen Datenschutzbeauftragten zu benennen, zum Beispiel einen Mitarbeiter oder externen Dienstleister.

Besitzt Ihr Unternehmen beispielsweise eine große Kundendatenbank, kommen Sie nicht umhin, einen Datenschutzbeauftragten zu ernennen. Entsprechendes Fachwissen wird dabei vorausgesetzt.

Zu den Aufgaben des Datenschutzbeauftragten gehört die Überwachung der Einhaltung der Verordnung, Aufklärung über Pflichten und Handlungsempfehlungen bezüglich der Datenschutz-Folgenabschätzung. Darüber hinaus fungiert er als Anlaufstelle für die Aufsichtsbehörde und Einzelpersonen.”

Das One-Stop-Shop-Prinzip ermöglicht einer Organisation mit mehreren Niederlassungen in der EU, im Bedarfsfall nur eine nationale Aufsichtsbehörde adressieren zu müssen. Die Regeln zur Bestimmung dieser Aufsichtsbehörde und zum Umgang mit Beschwerden sind teilweise jedoch sehr komplex.

+Verarbeitungen, Verfahren und Maßnahmen

In der DSGVO wird die Verletzung des Schutzes personenbezogener Daten neu definiert als die “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zu Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugriff zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurde”.

Diese Definition ist weiter gefasst als zuvor und berücksichtigt nicht, ob die betroffene Person durch die Verletzung geschädigt wurde. Kommt es in Ihrem Unternehmen zu einer Datenschutzverletzung, müssen Sie Ihre nationale Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren.

Wurden angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten implementiert – wie z.B. Verschlüsselung – müssen Sie betroffene Personen allerdings nicht informieren.

Ein wichtiger Bestandteil zur Erfüllung der DSGVO ist Datenschutz durch Technikgestaltung, d.h. die Berücksichtigung der Datenschutzanforderungen bei der Entwicklung neuer Verarbeitungstätigkeiten und Produkte. Galt dieser Ansatz zuvor als Best Practice, ist er nun ausdrückliche Vorschrift.

Bei Verarbeitungsvorgängen, die wahrscheinlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen, mit der Ursache, Art, Besonderheit und Schwere des Risikos evaluiert wird.

Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, die das Risiko eindämmen.

Sind Sie international tätig, sollten Sie Ihre Vorschriften und Prozesse für die Datenübermittlung
an Drittländer prüfen. Die Strafen für eine Nichteinhaltung der Verordnung oder für eine Datenübermittlung in Rechtssysteme, deren Richtlinien von der Europäischen Kommission als unzureichend angesehen werden, sind sehr hoch.

+Sensibilisierung für Datenschutz

Es ist höchste Zeit, Ihre Mitarbeiter für die Vorschriften der DSGVO zu sensibilisieren. Darüber hinaus ist es entscheidend, Ihre Verfahren entsprechend der neuen Transparenzforderungen und persönlichen Rechte von Betroffenen zu überarbeiten. Dies kann erhebliche Auswirkungen auf Ihre Finanzen, IT und Schulungen haben.

+Rechenschaftspflicht – technische Maßnahmen

Die DSGVO nimmt Verantwortliche in die Pflicht, die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen zu können. Sie müssen bei möglichen Anfragen einer nationalen Aufsichtsbehörde klare Richtlinien vorweisen, die den geforderten Standard einhalten. Dies betrifft die Überwachung, Prüfung und Bewertung Ihrer Datenverarbeitungsprozesse, die Umsetzung von Schutzmaßnahmen und umfassende Schulungen der Mitarbeiter zu ihren Pflichten.

+Datenschutzverletzung – technische Maßnahmen

Beugen Sie unter Einsatz von angemessenen Maßnahmen und getesteten Verfahren Datenschutzverletzungen vor (definiert als “eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden”), um schnell reagieren und einen Vorfall gemäß der Vorschriften umgehend melden zu können.

Erfolgt die Schadensmeldung nicht im geforderten Zeitraum, sieht das Gesetz hohe Strafen und Bußgelder vor.

+Gewährleistung der Rechte betroffener Personen

Die DSGVO stärkt die Rechte betroffener Personen , zum Beispiel mit dem Recht auf Auskunft zu ihren erhobenen Daten, dem Recht auf Zugang unter bestimmten Umständen sowie dem Recht auf Berichtigung der Informationen.

Eines der Hauptziele der DSGVO besteht darin, die Rechte und Freiheiten natürlicher Personen zu stärken. Damit ändern sich auch die Regeln für den Umgang mit Anträgen zur Einsichtnahme. Achten Sie darauf, dass Sie die Änderungen in Ihren Prozessen abbilden.

So haben Personen das Recht auf Angabe seitens des Verantwortlichen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben sie ein Recht auf Auskunft über diese Daten und verschiedene weitere Informationen.

Das Recht auf Vergessenwerden erlaubt Personen, von Verantwortlichen unter gewissen Umständen die Löschung sie betreffender personenbezogener Daten zu verlangen, zum Beispiel wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Betroffene ihre Einwilligung widerrufen.

Wurden die Daten mit Dritten geteilt, müssen auch sie davon in Kenntnis gesetzt werden, dass die betroffene Person die Löschung verlangt hat.

In der DSGVO wird Profiling definiert als “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen”. Betroffene Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung – einschließlich Profiling – unterworfen zu werden. Wie genau dieses Recht durchgesetzt werden soll, ist allerdings nicht ganz klar.

In der DSGVO wird das Recht auf Datenübertragbarkeit eingeführt, das über das Auskunftsrecht hinausgeht. Betroffene Personen können von Verantwortlichen die Bereitstellung sie betreffender personenbezogener Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.

Diese Regelung gilt allerdings nur für Informationen, deren Verarbeitung mithilfe automatisierter Verfahren erfolgte.

Die Europäische Kommission räumt Personen ein Widerspruchsrecht auf die Verarbeitung personenbezogener Daten ein. Werden die Daten beispielsweise verarbeitet, um Direktwerbung zu betreiben, können betroffene Personen jederzeit Widerspruch dagegen einlegen. Das gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so dürfen Sie die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Organisationen müssen betroffene Personen ausdrücklich auf ihr Widerspruchsrecht hinweisen; dieser Hinweis muss verständlich sein und in einer von anderen Informationen getrennten Form erfolgen.

+Vermittlung von Datenschutz-Informationen (Einwilligung, Aufklärung über Verarbeitung)

Unter Umständen müssen Sie Ihre Prozesse prüfen, wie Sie die Einwilligung zur Datenerhebung von betroffenen Personen einholen und speichern. Einwilligung und Widerspruch müssen gleichermaßen einfach vorgenommen werden können und aus einer eindeutig nachweisbaren Handlung bestehen – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung in diesem Sinne dar.

Hat ein Kind das sechzehnte Lebensjahr noch nicht vollendet, ist die Verarbeitung personenbezogener Daten nur mit Zustimmung der Erziehungsberechtigten rechtmäßig. Die Mitgliedstaaten können eine niedrigere Altersgrenze festlegen, die allerdings nicht unter 13 Jahren liegen darf. Verantwortliche müssen angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass tatsächlich eine Zustimmung der Erziehungsberechtigten vorliegt.

Von dieser Verpflichtung ausgenommen sind Onlinedienste, die in Zusammenhang mit Präventions- oder Beratungsleistungen stehen, die einem Kind unmittelbar angeboten werden.

Nach Vorgaben der DSGVO stehen Sie in der Pflicht, betroffenen Personen zum Zeitpunkt der Datenerhebung ausführlicher als bisher zu informieren. Dazu gehören zum Beispiel Informationen zur Rechtsgrundlage für die Datenverarbeitung, zum Speicherzeitraum und zum Beschwerderecht bei einer Aufsichtsbehörde, sollte es seitens der betroffenen Personen Bedenken im Umgang mit den Daten geben. Beachten Sie zudem, dass diese Informationen präzise und verständlich bereitgestellt werden müssen.

+Datensicherheit (Integrität und Vertraulichkeit)

In der DSGVO wird ein Teil der Datenschutzregeln aus den bestehenden Vorgaben beibehalten, wie z.B.: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.

Sie müssen sicherstellen, dass die Verarbeitung personenbezogener Daten stets angemessen geschützt ist, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigter Zerstörung, Schädigung oder unbeabsichtigtem Verlust: “der Verantwortliche und der Auftragsverarbeiter [treffen] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten”.

In der Verordnung werden eine Reihe an Maßnahmen genannt, mit denen die Datensicherheit gewährleistet werden soll, einschließlich: Pseudonymisierung und Verschlüsselung; Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, wie wirksam die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit in der Informationsverarbeitung sind.

Die DSGVO nennt ausdrücklich Verschlüsselung als eine Methode zur Einhaltung einiger Regelungen.

Artikel 32 – Sicherheit der Verarbeitung:

“1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten (…)”.

Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person:

“3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (…)”.

+Datendokumentation, Rechtmäßigkeit und Überprüfungen

Sie sollten dokumentieren, über welche personenbezogenen Daten Sie verfügen, woher sie kommen und mit wem Sie sie teilen.

Verfügen Sie über unrichtige personenbezogene Daten und haben Sie sie darüber hinaus mit einer anderen Organisation geteilt, so fordert die DSGVO, dass Sie die andere Organisation über die Fehlerhaftigkeit der Daten informieren, damit sie ihre Datensätze korrigieren kann. Hierfür sollten Sie unter Umständen eine unternehmensübergreifende, alle Geschäftsbereiche einbeziehende Informationsprüfung durchführen. Damit tragen Sie auch zur Einhaltung der Rechenschaftspflicht bei.

Sie sollten noch vor Mai 2018 prüfen, wie personenbezogene Daten in Ihrem Unternehmen verarbeitet werden und ob die Verarbeitung dem Prinzip der Rechtmäßigkeit entspricht.

Denn je nach Rechtsgrundlage für die Verarbeitung personenbezogener Daten ändern sich mit Inkrafttreten der DSGVO bestimmte Rechte des Einzelnen. So haben Personen ein stärkeres Recht auf Datenlöschung, wenn Sie die Einwilligung als Rechtsgrundlage für Verarbeitung verwenden. Einwilligung ist einer von vielen Wegen, die Rechtmäßigkeit der Verarbeitung zu gewährleisten, aber nicht immer der beste (siehe Widerspruchsrecht).

Bei den Informationen auf dieser Webseite handelt es sich um kein juristisches Gutachten. ESET übernimmt keine Gewähr und Haftung für die Vollständigkeit, Aktualität und Richtigkeit der Angaben. Die Nutzung der Inhalte erfolgt auf eigene Gefahr. Konsultieren Sie eine unabhängige Rechtsberatung.

Online compliance check

Does your organization comply with the regulation?

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Nearly 80% of companies are not ready for GDPR

A new survey conducted by independent analysts IDC has found that most European SMBs are unprepared for the GDPR. IDC surveyed IT professionals at more than 700 businesses. It found that understanding of the new regulation remains low.

For more details- and to find out more about the GDPR for yourself – get the full IDC report, courtesy of ESET:

Understanding of GDPR impact

25% none | 52% limited | 22% full

Wir nutzen Cookies, damit Sie auf unserer Webseite bestmögliche Erfahrungen machen können. Mehr Information.

OK