Noch Fragen?
-
Die Ziele der europäischen Datenschutz-Grundverordnung (DSGVO) sind "der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten", "der freie Verkehr personenbezogener Daten" und "der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen sowie der personenbezogenen Daten natürlicher Personen" (Artikel 1 DSGVO).
Der eigentliche Zweck des Schutzes personenbezogener Daten ist also nicht der Schutz der personenbezogenen Daten, sondern der Schutz der Menschenrechte der von der Verarbeitung betroffenen Personen. Es soll verhindert werden, dass Personen unwissentlich durch die falsche Verwendung oder gar den Missbrauch ihrer personenbezogenen Daten diskriminiert oder benachteiligt werden.
-
Die DSGVO stellt in Artikel 5 sieben Grundsätze auf, die auf den acht Grundsätzen für den Schutz der Privatsphäre und die internationale Verbreitung personenbezogener Daten der OECD basieren.
Diese Grundsätze sind:
- Rechtmäßigkeit, Fairness und Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht (auch als Beweislastumkehr gesehen)
-
Die DSGVO gilt für alle Unternehmen mit einer Niederlassung innerhalb der EU.
Unternehmen ohne Niederlassung in der EU oder dem Europäischen Wirtschaftsraum (EWR) fallen unter die DSGVO, wenn
- sie Produkte oder Dienstleistungen für Personen in der EU anbieten
- sie das Verhalten von Personen in der EU beobachten
Gängige Beispiele hierfür sind das Betreiben von Spielen, Apps und IT-Dienstleistungen in der EU, der Umgang mit Personal- oder Kundendaten von EU-Tochtergesellschaften oder die Verhaltensanalyse von Website-Besuchern und Kunden.
-
Die Europäische Datenschutzgrundverordnung (DSGVO) ist das EU-Gesetz zum Schutz personenbezogener Daten, das für Unternehmen gilt, die Daten von Personen in der EU verarbeiten.
Der Grad der notwendigen Maßnahmen unter der DSGVO hängt von der Geschäftstätigkeit und der Größe des Unternehmens, der Anzahl der verarbeiteten Daten, der Anzahl der Mitarbeiter und dem Risiko für betroffene Personen ab. So wird beispielsweise ein großes globales Unternehmen, welches das Verhalten von mehreren Millionen Menschen überwacht und analysiert und Profile von Personen erstellt, strengere Maßnahmen einhalten müssen als ein mittelgroßes Unternehmen, das in der EU außer den Namen und Kontaktangaben seiner Geschäftspartner keine personenbezogenen Daten verarbeitet, und somit weniger Umsetzungsaufwand haben wird.Enobyte bietet maßgeschneiderte Ansätze, die es Unternehmen ermöglichen, für sich passende Maßnahmen für die Einhaltung der DSGVO zu ergreifen.
Dabei gehen wir wie folgt vor:
- Fragebogen zur Abschätzung der Größe Ihres Unternehmens
- DSGVO Assessment als Lückenanalyse zwischen den Anforderungen der DSGVO und den aktuellen Praktiken in Ihrem Unternehmen
- Konkrete Handlungsempfehlungen
- Begleitung der Umsetzung in regelmäßigen Treffen, um die DSGVO Compliance effektiv voranzutreiben
Wir können außerdem auf einen reichen Erfahrungsschatz zurückgreifen, um Sie bei der Zusammenstellung eines für die Anforderungen Ihres Unternehmens geeigneten Plans zu unterstützen. Bei Bedarf stellen wir einen qualifizierten Datenschutzbeauftragten, einen Vertreter in der Union, oder einen Vertreter im Vereinigten Königreich bereit.
-
Die Europäische Datenschutzgrundverordnung (DSGVO) legt einige Verpflichtungen für die Verantwortlichen für die Verarbeitung (Unternehmen, die die Zwecke und Mittel der Verarbeitung festlegen, der Auftraggeber) und Auftragsverarbeiter (Unternehmen, die als Auftragnehmer personenbezogene Daten nur im Auftrag des Verantwortlichen verarbeiten) fest.
Die dem Verantwortlichen auferlegten Pflichten sind im Allgemeinen folgende:
- Genaue Definition des Zwecks (abstrakte Zwecke wie "für Marketingzwecke" sind nicht zulässig)
- Ausschließliche Verarbeitung von Daten, die für die gesetzten Zwecke notwendig sind
- Betroffene Personen sind im Voraus über die Verarbeitung zu informieren
- Grundsätzlich sind die Daten zu löschen, sobald der Zweck erfüllt ist
- Ermöglichen des Wahrnehmens von Rechten, die betroffene Personen in Bezug auf eine Verarbeitung haben
- Sicherstellung der Richtigkeit und Aktualität von personenbezogenen Daten
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM)
- Ggf. Benennung eines qualifizierten Datenschutzbeauftragten (Artikel 37 DSGVO)
- Auswahl von DSGVO-konformen Auftragsverarbeitern für die Verarbeitung personenbezogener Daten und Unterzeichnung eines Auftragsverarbeitungsvertrages (Artikel 28 DSGVO)
- Durchführung einer Risikobewertung und Ergreifen geeigneter Maßnahmen im Vorfeld jeder Handhabung, die voraussichtlich ein hohes Risiko für Personen in der EU darstellt
- Meldung von Datenschutzverletzungen (Data Breaches) an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden
- Benachrichtigen von Personen, wenn die Datenschutzverletzung ein hohes Risiko darstellt.
Die dem Auftragsverarbeiter auferlegten Verpflichtungen sind im Allgemeinen die folgenden:
- Verarbeitung personenbezogener Daten nur gemäß den Weisungen des Verantwortlichen (Auftraggeber)
- Einholen der vorherigen Genehmigung des Verantwortlichen vor der Auslagerung an einen anderen Auftragsverarbeiter (Unterauftragnehmer)
- Übernahme der vollen Verantwortung gegenüber dem Verantwortlichen für den Unterauftragnehmer
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM)
- Ggf. Benennung eines qualifizierten Datenschutzbeauftragten (Artikel 37 DSGVO)
- Unverzügliche Meldung von Datenverstößen an den Verantwortlichen
- Rückgabe oder Löschung personenbezogener Daten nach Ende der Beauftragung, nach Weisung des Verantwortlichen
Das Ausmaß der Verpflichtungen und Anforderungen, die Unternehmen im Zusammenhang mit der Einhaltung der DSGVO auferlegt werden, hängt von der Art ihres Geschäfts, der Größe des Unternehmens, der Anzahl der verarbeiteten Daten, der Anzahl der Mitarbeiter, der Höhe des Risikos für betroffene Personen usw. ab.
Enobyte prüft, welche konkreten Maßnahmen für jedes Unternehmen erforderlich sind und bietet umfassende Unterstützung bei der Umsetzung dieser Maßnahmen. Wir helfen Ihnen dabei sicherzustellen, dass Ihr Unternehmen auf die spezifischen Anforderungen vorbereitet ist.
-
Je nach Mitgliedsstaat können sich die Regeln für die verpflichtende Benennung eines Datenschutzbeauftragten (DSB) unterscheiden. In jedem Fall muss ein Datenschutzbeauftragter benannt werden, wenn ein Unternehmen eine regelmäßige und systematische Überwachung betroffener Personen vornimmt oder die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Als Daumenregel sollte ein Datenschutzbeauftragter benannt werden, wenn eine Datenschutzfolgenabschätzung notwendig ist.
In Deutschland muss ein DSB bereits benannt werden, wenn mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten. Da Datenschutzbeauftragte aufgrund ihrer umfangreichen Erfahrung mit verschiedensten Projekten wertvolle Erkenntnisse einbringen können, benennen viele Unternehmen freiwillig einen DSB.
Nähere Informationen haben wir in unserer Übersichtsseite zusammengetragen. -
Die Europäische Datenschutz-Grundverordnung gilt in allen Mitgliedsstaaten der EU und des Europäischen Wirtschaftsraums (EWR). Sie gilt allerdings auch extraterritorial für Unternehmen außerhalb der EU und des EWR, wenn diese gezielt Daten aus der EU oder dem EWR verarbeiten.
-
Die EU-Kommission kann Ländern außerhalb der EU (Drittländern) ein gleichwertiges Datenschutzniveau bescheinigen, wenn diese entsprechende Gesetze und Aufsichtsstrukturen eingerichtet haben (Artikel 45 DSGVO). Dies nennt sich Angemessenheitsbeschluss. Bei der Übermittlung von Daten aus der EU in ein Land mit einem solchen Angemessenheitsbeschluss sind keine weiteren Maßnahmen für die Übermittlung zu treffen. Die Übermittlung funktioniert wie innerhalb der EU.
Derzeit haben die folgenden 14 Nicht-EU-Länder von der EU-Kommission eine Angemessenheitsbescheinigung erhalten:
Angola, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Südkorea, Schweiz, Uruguay und das Vereinigte Königreich.
Dabei ist zu beachten, dass bei der Übermittlung von Daten nach Japan vier „zusätzliche Regeln“ zu beachten sind. -
Ein Vertreter in der Union ist ein Unternehmen oder eine Person, welche Organisationen ohne eigene Niederlassung in der EU als lokaler Ansprechpartner gegenüber betroffenen Personen oder Datenschutzaufsichtsbehörden vertritt.
Dieser Vertreter wird auch als „EU-Vertreter“ oder „EU-Representative“ bezeichnet.
Die Datenschutzgrundverordnung (DSGVO) sieht in Artikel 27 vor, dass Organisationen, die nicht in der EU ansässig sind, einen EU-Vertreter in einem der EU-Mitgliedstaaten, in dem sich ihr Hauptmarkt befindet, benennen müssen, wenn sie Produkte oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU beobachten.
Wenn beispielsweise eine Website in europäischen Sprachen (z. B. Deutsch, Französisch, Italienisch, Spanisch) verfügbar ist und Preise in Euro anzeigt werden, wird davon ausgegangen, dass sie sich auch an Personen in der EU richtet. Somit ist der Betreiber verpflichtet, einen EU-Vertreter zu benennen.Des Weiteren gibt es noch den sogenannten „Vertreter im Vereinigten Königreich“, den Unternehmer nach Artikel 27 des UK GDPR benennen müssen, wenn sie nach den gleichen Regeln wie oben unter das britische Datenschutzgesetz fallen.