Für wen gilt die DSGVO?
Grundsätzlich gilt die DSGVO für alle Unternehmen/Privatpersonen in der europäischen Union sowie der EWR, die personenbezogene Daten verarbeiten. Ebenso sind Unternehmen/Privatpersonen betroffen, die außerhalb der EU sitzen, aber dennoch Produkte und Dienstleistungen in diesem Bereich anbieten.
Was sind personenbezogene, pseudonymisierte und anonymisierte Daten?
Nach der DSGVO geht man grundsätzlich und insbesondere im Zweifelsfall davon aus, dass alle Daten einen Personenbezug haben.
- Personenbezogene Daten:
Daten, die auf eine Person zurückzuführen sind.
- Pseudonymisierte Daten:
Daten werden durch ein Pseudonym ersetzt.
- Anonymisierte Daten:
Daten sind komplett anonym.
Was muss ein Unternehmen bzw. die Agentur leisten?
Bis zum 25. Mai verbleibt nicht viel Zeit, um notwendige technische sowie organisatorische Maßnahmen umzusetzen, die sicherstellen und nachweislich belegen, dass die Verarbeitung von personenbezogenen Daten entsprechend der Datenschutzgrundverordnung erfolgt.
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Wenn die Eingabe von Daten erforderlich ist, sollten nur so viele Daten wie nötig abgefragt werden. Bei einer Newsletter-Anmeldung ist beispielsweise nur die Email-Adresse des Users erforderlich. Darüber hinaus soll betroffenen Personen die Möglichkeit gegeben werden, die Verarbeitung personenbezogener Daten zu überwachen.
- Benennung eines Datenschutzbeauftragten
Die Benennung eines internen oder externen Datenschutzbeauftragten ist für Unternehmen verpflichtend ab 10 Mitarbeiter, die mit personenbezogenen Daten umgehen oder wenn hohe Risiken der Datenverarbeitung vorliegen. Diese Risiken liegen vor, wenn Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabschätzung unterliegen.
- Führen eines Verarbeitungsverzeichnisses
Zu Kontrollzwecken is jedes Unternehmen verpflichtet seine Verarbeitungstätigkeiten zu identifizieren, deren Zulässigkeit zu prüfen und diese in ein Verzeichnis aufzunehmen.
- Auftragsdatenverarbeitungsverträge prüfen oder aktualisieren
Auftragsdatenverarbeitungsverträge regeln die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer, z. B. einer Agentur, gemäß den Weisungen des Auftraggebers.
- Technische und organisatorische Maßnahmen prüfen und umsetzen
Technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung erfolgt – z. B. durch Benennung eines Datenschutzbeauftragten.
• führen von Protokollen, die nachträglich geprüft werden können und Eingaben, Änderungen oder Löschungen personenbezogener Daten nachvollziehbar machen
• Sensibilisierung und Schulung von Mitarbeitern
• Zugangsbeschränkung zu den personenbezogenen Daten
• Pseudonymisierung personenbezogener Daten
• Verschlüsselung personenbezogener Daten Einführung eines Monitorings und Reportings zur Bewertung und Evaluierung der Wirksamkeit der Maßnahmen
- Durchführung von Datenschutzfolgeabschätzungen
Sollen neue Technologien verwendet werden oder stellt die Verarbeitung personenbezogener Daten eine erhebliche Gefahr der Interessen betroffener Personen dar, so ist unter Hinzunahme eines Datenschutzbeauftragten eine Abschätzung der Folgen für die betroffenen Personen zu erstellen.
- Über welche Rechte verfügen betroffenen Personen?
Betroffenen Personen muss in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache Auskunft über die Verarbeitung personenbezogener Daten gewährleistet werden. Die kann z. B. in Form einer Webseite mit der Datenschutzerklärung erfolgen. Darüber hinaus steht betroffenen Personen das Recht zu, noch vor Erhebung personenbezogenen Daten informiert zu werden. Zu diesen Rechten zählen u. a. Korrektur, Löschung bzw. Vergessenwerden, Einschränkung der Verarbeitung, Mitteilungspflicht über Vollzug der Korrektur, Löschung oder Einschränkung der Verarbeitung und Widerruf.
- Was tun bei einer Datenpanne?
Die DSGVO geht davon aus, dass es zu Datenpannen kommen wird. Daher ist in ihr definiert, dass grundsätzliche jede Panne, innerhalb von 72 Stunden, gegenüber der zuständigen Aufsichtsbehörde zu melden ist. Welche Gefahren resultieren aus der Nichteinhaltung der DSGVO? Die Datenschutzgrundverordnung sieht Bußgelder zwischen 10.000.000/20.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 oder 4 % des gesamten weltweit erzielten Jahresumsatzes vor.