Daten spielen in jedem Aspekt unseres Lebens eine zentrale Rolle, von der persönlichen Kommunikation bis hin zum Geschäftsbetrieb. Die steigende Bedeutung von Daten hat jedoch auch das Bewusstsein für Datenschutz und Sicherheit geweckt.
Die Datenschutz-Grundverordnung (DSGVO) entstand als umfassendes Datenschutzgesetz, um diesen Bedenken Rechnung zu tragen und die Privatsphäre des Einzelnen innerhalb der Europäischen Union (EU) zu schützen.
In diesem Blog werden wir Folgendes behandeln:
Was ist DSGVO?
Die DSGVO wurde am 25. Mai 2018 von der EU erlassen und ersetzt die Datenschutzrichtlinie 95/46/EG. Es wurde entwickelt, um die personenbezogenen Daten und die Privatsphäre von EU-Bürgern und Einwohnern zu schützen und gleichzeitig die Datenschutzgesetze in den EU-Mitgliedsländern zu harmonisieren.
Die DSGVO stellt einen Meilenstein in der Datenschutzgesetzgebung dar und setzt einen neuen Standard für den Schutz personenbezogener Daten innerhalb der EU und darüber hinaus. Sein Hauptziel besteht darin, Einzelpersonen mehr Kontrolle über ihre persönlichen Daten zu geben und gleichzeitig Organisationen, die solche Daten verarbeiten, stärker zur Rechenschaft zu ziehen.
Für wen gilt die DSGVO?
Die DSGVO gilt für alle 27 Mitglieder der EU. Sie gilt jedoch nicht nur für Unternehmen innerhalb der EU, sondern betrifft auch Unternehmen außerhalb der EU, die Daten von EU-Bürgern verarbeiten.
Jede Organisation, unabhängig von ihrem Standort, die personenbezogene Daten von EU-Bürgern verarbeitet, fällt in den Zuständigkeitsbereich der DSGVO, wenn sie die in Artikel 3 (Gebietsumfang) dargelegten Kriterien erfüllt. Dieser extraterritoriale Geltungsbereich soll sicherstellen, dass die Datenrechte des Einzelnen geschützt werden und Unternehmen weltweit den Datenschutz ernst nehmen.
Infolgedessen mussten viele Unternehmen außerhalb der EU ihre Datenverarbeitungspraktiken überprüfen, ihre Datenschutzrichtlinien aktualisieren und notwendige Maßnahmen ergreifen, um die Anforderungen der DSGVO zu erfüllen.
-
- stellt potenzielle Risiken für die Rechte und Freiheiten der betroffenen Personen dar,
- kommt nicht gelegentlich vor,
- es sich um besondere Datenkategorien gemäß Artikel 9 handelt,
- enthält personenbezogene Daten im Zusammenhang mit Strafregistern und Straftaten gemäß Artikel 10.
Was sind DSGVO-Grundsätze?
Die DSGVO umfasst mehrere Grundprinzipien, die Unternehmen bei der Verarbeitung personenbezogener Daten einhalten müssen. Diese Grundsätze spiegeln die Grundwerte des Datenschutzes wider und sind in Artikel 5 der Verordnung dargelegt.
-
Rechtmäßigkeit, Fairness und Transparenz
Organisationen sind verpflichtet, personenbezogene Daten rechtmäßig zu verarbeiten und sicherzustellen, dass sie über eine gültige Rechtsgrundlage dafür verfügen. Sie müssen über ihre Datenverarbeitungsaktivitäten transparent sein und die betroffenen Personen über die Zwecke und Rechtsgrundlagen der Verarbeitung ihrer Daten informieren.
-
Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Organisationen dürfen Daten nicht aus Gründen verarbeiten, die nicht mit dem ursprünglichen Zweck, für den sie erhoben wurden, vereinbar sind.
-
Datenminimierung
Die DSGVO befürwortet Datenminimierung, was bedeutet, dass Organisationen nur personenbezogene Daten erheben und verarbeiten sollten, die für den beabsichtigten Zweck relevant, angemessen und notwendig sind. Von unnötiger Datenerhebung wird abgeraten.
-
Genauigkeit
Organisationen müssen angemessene Maßnahmen ergreifen, um die Richtigkeit personenbezogener Daten sicherzustellen und diese bei Bedarf zu aktualisieren. Unrichtige Daten sollten unverzüglich berichtigt oder gelöscht werden.
-
Speicherbeschränkung
Personenbezogene Daten sollten nicht länger aufbewahrt werden, als es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist. Organisationen sind verpflichtet, Datenaufbewahrungsfristen auf der Grundlage spezifischer Kriterien und gesetzlicher Anforderungen festzulegen.
-
Integrität und Vertraulichkeit
Die DSGVO betont die Notwendigkeit, personenbezogene Daten vor unbefugtem Zugriff, unbefugter Änderung oder Offenlegung zu schützen. Organisationen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Datenintegrität und -vertraulichkeit zu gewährleisten.
-
Rechenschaftspflicht
Einer der vielleicht wichtigsten Grundsätze der DSGVO ist die Rechenschaftspflicht. Organisationen sind dafür verantwortlich, die Einhaltung der Grundsätze der Verordnung nachzuweisen und müssen Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen.
Was sind DSGVO-Anforderungen?
Die DSGVO umfasst 11 Kapitel, die Unternehmen bei der Verarbeitung personenbezogener Daten einhalten müssen. Diese Grundsätze spiegeln die Grundwerte des Datenschutzes wider.
Kapitel 1: Allgemeine Bestimmungen (Artikel 1-4)
- Das erste Kapitel beschreibt den Geltungsbereich und die Ziele der Verordnung sowie Definitionen zentraler Begriffe, die in der gesamten DSGVO verwendet werden.
Kapitel 2: Grundsätze (Artikel 5-11)
- Kapitel 2 beschreibt die Grundsätze, die die Verarbeitung personenbezogener Daten regeln sollten.
Kapitel 3: Rechte der betroffenen Personen (Artikel 12–23)
- Kapitel 3 legt die Rechte des Einzelnen in Bezug auf seine personenbezogenen Daten fest, einschließlich des Rechts auf Auskunft, Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
Kapitel 4: Verantwortlicher und Auftragsverarbeiter (Artikel 24–43)
- Kapitel 4 definiert die Verantwortlichkeiten der Datenverantwortlichen und Datenverarbeiter. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die Aufsichtsbehörde spätestens 72 Stunden nach Kenntniserlangung benachrichtigen. In diesem Kapitel geht es auch um die Umsetzung geeigneter Maßnahmen zur Gewährleistung des Datenschutzes und der Privatsphäre.
Kapitel 5: Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Artikel 44-50)
- Chapter 5 covers the conditions for transferring personal data outside the European Union to ensure an adequate level of protection.
Kapitel 6: Unabhängige Aufsichtsbehörden (Artikel 51–59)
- Kapitel 6 beschreibt die Rolle und Befugnisse unabhängiger Datenschutzbehörden in jedem EU-Mitgliedsland. Diese Behörden sind für die Überwachung und Durchsetzung der Anwendung der DSGVO in ihrem jeweiligen Zuständigkeitsbereich verantwortlich.
Kapitel 7: Zusammenarbeit und Konsistenz (Artikel 60–76)
- Kapitel 7 fördert die Zusammenarbeit zwischen Aufsichtsbehörden und gewährleistet eine einheitliche Durchsetzung des Datenschutzes, insbesondere in Fällen, an denen mehrere EU-Mitgliedstaaten beteiligt sind oder bei Datenverarbeitungsaktivitäten, die über nationale Grenzen hinausgehen.
Kapitel 8: Rechtsbehelfe, Haftung und Strafen (Artikel 77–84)
- Kapitel 8 beschreibt die Konsequenzen und Maßnahmen, die bei Nichteinhaltung der DSGVO ergriffen werden können, sowie die Rechte der betroffenen Personen, bei Verletzungen ihrer Datenschutzrechte Abhilfe und Schadensersatz zu verlangen.
Kapitel 9: Spezifische Datenverarbeitungssituationen (Artikel 85-91)
- Kapitel 9 befasst sich mit spezifischen Datenverarbeitungssituationen, einschließlich der Verarbeitung für journalistische Zwecke, Forschungs- und Archivierungszwecke sowie den Ausnahmeregelungen für bestimmte nationale Vorschriften.
Kapitel 10: Delegierte Rechtsakte und Durchführungsrechtsakte (Artikel 92-93)
- Kapitel 10 befasst sich mit der Möglichkeit, dass die Europäische Kommission delegierte Rechtsakte und Durchführungsrechtsakte zur Ergänzung der DSGVO erlässt.
Kapitel 11: Schlussbestimmungen (Artikel 94-99)
- Das letzte Kapitel enthält verschiedene Bestimmungen, wie die Befugnisübertragung an die Europäische Kommission, das Ausschussverfahren und die Befugnis für EU-Mitglieder, weitere Bedingungen für bestimmte Datenverarbeitungssituationen beizubehalten oder einzuführen.
Welche Folgen hat die Nichteinhaltung?
Die Bußgelder gemäß der DSGVO sind so strukturiert, dass sie erhebliche Auswirkungen auf die Nichteinhaltung haben. Diese Bußgelder werden je nach Schwere des Verstoßes in zwei Stufen eingeteilt.
-
1. Stufe
Bei milderen Verstößen kann die Strafe 10 Millionen Euro oder 2 % des Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.
-
2. Stufe
Bei schwerwiegenderen Verstößen kann das Bußgeld bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des Vorjahres betragen, je nachdem, welcher Betrag höher ist.
Höchste DSGVO-Bußgelder
Hier sind die drei mit Abstand höchsten DSGVO-Bußgelder. Sie unterstreichen die Bedeutung solider Datenschutzpraktiken, der proaktiven Einhaltung internationaler Datenschutzbestimmungen und die Notwendigkeit, dass Unternehmen beim Umgang mit Daten schutzbedürftiger Gruppen besonders wachsam sein müssen.
-
1,2 Milliarden Euro – Meta-DSGVO-Bußgeld
Die irische Datenschutzbehörde (IE DPA) hat nach einer Untersuchung ihres Facebook-Dienstes eine Geldstrafe von 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited (Meta IE) verhängt. Diese bisher schwerwiegendste Strafe im Rahmen der DSGVO betraf die Übermittlung personenbezogener Daten von Meta in die USA unter Verwendung von Standardvertragsklauseln (SCCs) ab dem 16. Juli 2020. Darüber hinaus ist Meta nun verpflichtet, seine Datenübertragungen an die DSGVO-Vorschriften anzupassen.
-
746 Millionen Euro – Amazon
Am 16. Juli 2021 erhielt Amazon.com von der luxemburgischen Datenschutzkommission (CNDP) eine Geldstrafe in Höhe von 746 Millionen Euro (888 Millionen US-Dollar) wegen Verstößen gegen die DSGVO. Diese Strafe erfolgte nach einer Sammelklage gegen Amazon, die im Mai 2018 von 10.000 Einzelpersonen über die französische Organisation für digitale Rechte, La Quadrature du Net, eingereicht wurde.
-
405 Millionen Euro – Meta-DSGVO-Bußgeld
Am 5. September 2022 wurde Meta nach einer zweijährigen Untersuchung durch die irische Datenaufsichtsbehörde zu einer Geldstrafe von 405 Millionen Euro verurteilt, weil sie Teenagern erlaubt hatte, Konten einzurichten, auf denen ihre Telefonnummern und E-Mail-Adressen öffentlich angezeigt wurden.
Erfüllen Sie die DSGVO in 8 Schritten
-
Bewusstsein
Stellen Sie sicher, dass Entscheidungsträger und Schlüsselpersonen sich der DSGVO und ihrer Auswirkungen bewusst sind.
-
Datenprüfung
Dokumentieren Sie, welche personenbezogenen Daten Sie besitzen, woher diese stammen und mit wem Sie sie teilen.
-
Datenschutzhinweise
Überprüfen und aktualisieren Sie Ihre Datenschutzhinweise sowie die Verfahren zur Bearbeitung von Anfragen.
-
Rechtsgrundlage für die Verarbeitung
Identifizieren Sie die Rechtsgrundlage für die Verarbeitung personenbezogener Daten und dokumentieren Sie diese.
-
Zustimmung
Überprüfen Sie, wie Sie die Einwilligung einholen, aufzeichnen und verwalten.
-
Datenschutzverletzungen
Stellen Sie sicher, dass Sie über die richtigen Verfahren verfügen, um Verstöße gegen den Schutz personenbezogener Daten zu erkennen, zu melden und zu untersuchen.
-
Datenschutzbeauftragte (DSB)
Ernennen Sie einen Datenschutzbeauftragten, um sicherzustellen, dass die Organisation die in der DSGVO dargelegten Grundsätze und Regeln einhält.
-
Internationale Überlegungen
Bestimmen Sie Ihre federführende Datenschutzaufsichtsbehörde, wenn Sie in mehr als einem EU-Mitgliedsland tätig sind.
Wie usecure Ihnen dabei helfen kann, das Bewusstsein Ihrer Mitarbeiter für die DSGVO zu schärfen
At usecure, we provide comprehensive cybersecurity awareness training and policy management tailored to the specific needs of your organisation. Our modules cover a wide range of topics, ensuring that staff are up-to-date with the latest GDPR requirements and best practices.
-
Interaktive Schulungsmodule
Das Security Awareness Training von usecure bietet Ihren Mitarbeitern interaktive Sitzungen, die nicht nur schulen, sondern auch ihr Verständnis der DSGVO-Prinzipien, Best Practices zum Schutz personenbezogener Daten sowie der Risiken der Nichteinhaltung testen. Wir stellen sicher, dass Ihre Mitarbeiter die DSGVO kennen und wissen, wie sie diese einhalten können.
-
Anpassbare Inhalte
Da wir wissen, dass jede Organisation einzigartig ist, bieten wir Anpassungsoptionen an, um sicherzustellen, dass die Schulung perfekt mit den unternehmensspezifischen Richtlinien und Richtlinien übereinstimmt.
-
Richtlinienverwaltung
uPolicy, das Richtlinienverwaltungstool von usecure, hilft Ihnen bei der Erstellung und Verwaltung von DSGVO-Richtlinien, die auf Ihre spezifischen Geschäftsanforderungen zugeschnitten sind. Wir stellen sicher, dass alle Ihre Mitarbeiter ihre Verantwortlichkeiten gemäß der DSGVO kennen.
-
Überwachung der Mitarbeitercompliance
Mit usecure können Sie die Compliance Ihrer Mitarbeiter überwachen, indem es die Aktivitäten der Mitarbeiter verfolgt und Audits durchführt. Auf diese Weise können Sie Bereiche identifizieren, in denen Mitarbeiter die Vorschriften möglicherweise nicht einhalten, und Maßnahmen ergreifen, um das Problem zu beheben.
-
Kontinuierliche Lernpfade
Da sich die Datenschutzlandschaft ständig verändert, werden unsere Kurse von Zeit zu Zeit aktualisiert. Mitarbeiter können Auffrischungskurse absolvieren oder tiefer in bestimmte Bereiche der DSGVO eintauchen.
-
Expertenunterstützung
Unser Team aus Datenschutz- und Cybersicherheitsexperten steht Ihnen mit Rat und Tat zur Seite, beantwortet Fragen und sorgt dafür, dass die Schulungen effektiv und informativ sind.
Bleiben Sie mit usecure DSGVO-konform
Mit der Schulungsplattform von usecure können Unternehmen sicher sein, dass ihre Teams über das Wissen und die Fähigkeiten verfügen, die zur Einhaltung der DSGVO-Standards erforderlich sind, wodurch das Risiko von Verstößen verringert und eine Datenschutzkultur gewährleistet wird. Buchen Sie eine Demo, um mehr zu erfahren, oder probieren Sie noch heute unsere 14-tägige kostenlose Testversion aus!