DSGVO - Datenschutz-Grundverordnung
DSGVO steht für die Datenschutz-Grundverordnung, genauer gesagt für die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Sinn der DSGVO ist es, die rechtlichen Rahmenbedingungen zum Datenschutz innerhalb der EU zu vereinheitlichen. Das hat auch den Zweck, dass personenbezogenen Daten im Rahmen dieser Verordnung überall in Europa verarbeitet werden können und eine Wettbewerbsgleichheit zwischen den einzelnen europäischen Ländern hergestellt wird.
Die DSGVO regelt die datenschutzrechtlichen Grundsätze zur Verarbeitung personenbezogener Daten durch Unternehmen und Behörden in der Europäischen Union, aber auch die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, auch wenn der Verarbeiter sich nicht direkt in der Union befindet.
Die Verordnung enthält verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Teilbereiche des Datenschutzes auch im nationalen Alleingang zu regeln. In allen anderen Bereichen gilt die Datenschutz-Grundverordnung unmittelbar – Anpassungen durch den nationalen Gesetzgeber sind nicht möglich.
Die DSGVO gilt seit dem 25. Mai 2018, in allen Mitgliedsstaaten der Europäischen Union nach einer zweijährigen Übergangsfrist, endgültig.
Die Rechte des Nutzers
- Durch die Datenschutz- Grundverordnung stehen den betroffenen Personen mannigfaltige Rechte zur Verfügung
- Zuerst einmal ist jedes Unternehmen, welches Daten von einem Betroffenen verarbeitet, verpflichtet, diesen über die Datenverarbeitung und die wichtigsten Eckpunkte gemäß den Art. 13 und 14 transparent zu informieren
- Ebenfalls hat der Betroffene jederzeit die Möglichkeit, Auskunft über die Datenverarbeitung durch den Verantwortlichen zu verlangen, seine Daten berichtigen oder löschen zu lassen
- Außerdem kann der Betroffene sich jederzeit gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde für den Datenschutz über Verantwortliche beschweren – Aufsichtsbehörden sind verpflichtet, eingehende Beschwerden zu prüfen und zu bearbeiten
Die DSGVO im Alltag
1. Daten werden auf Webseiten mit TLS verschlüsselt übertragen
Die Standardtechnologie TLS („Transport Layer Security“) dient zur Sicherung von Verbindungen im Internet und den Schutz sensibler Daten, die zwischen zwei Systemen gesendet werden. Umgangssprachlich wird dies häufig immer noch als „SSL“ bezeichnet. SSL steht für „Secure Sockets Layer“ und ist der Vorgänger von TLS. Der Standard SSL wurde 1996 eingeführt und ist seit 2015 gemäß Spezifikation nicht mehr zu verwenden.
Ist eine Webseite per TLS abgesichert, wird dies mit der Kennung HTTPS (Hyper Text Transfer Protocol Secure) in der URL angezeigt.
Durch Klicken auf das in der Browserleiste angezeigte Vorhängeschloss werden Angaben zum Zertifikat wie die ausstellende Zertifizierungsstelle und der Firmenname des Website-Inhabers angezeigt.
2. E-Mail - Kommunikation - Echte Ende-zu-Ende-Verschlüsselung
Eine Ende-zu-Ende-Verschlüsselung („end-to-end encryption“, „E2EE“) bezeichnet die Verschlüsselung von Daten, die über alle Übertragungsstationen hinweg gesendet werden. Nur die jeweiligen Endpunkte der Kommunikation können die Nachricht entschlüsseln.
3. Schutz der gespeicherten Daten
Die Datenschutz-Grundverordnung möchte die Risiken für die Rechte und Freiheiten der Betroffenen durch die Datenverarbeitung minimieren. Im Bereich des technischen Datenschutzes stehen hier vor allem zwei Aspekte im Fokus:
In Abhängigkeit der Risiken, die eine Verletzung des Schutzes personenbezogener Daten für den Betroffenen zur Folge haben, hat der Verantwortliche Schutzmaßnahmen zu treffen. Die Risiken sind hierbei aus Sicht des Betroffenen zu betrachten, während im Bereich der Informationssicherheit Risiken aus Sicht des Unternehmens betrachtet werden.
Die andere Dimension des technischen Datenschutzes wird vor allem von den Prinzipien „privacy by design“ und „privacy by default“ bestimmt. Bereits bei dem Design von Datenverarbeitungssystemen muss darauf geachtet werden, dass in der „Standardeinstellung“ nur die erforderlichen Verarbeitungen stattfinden. Ebenso hat das Unternehmen darauf zu achten, bei dem Einsatz von Software diese so zu konfigurieren, dass diese nur die Daten sammelt und verarbeitet, welche zur Erreichung des Zwecks erforderlich sind.
Die Umsetzung der DSGVO
Um die DSGVO in einem Unternehmen umzusetzen, müssen viele Teilaspekte beachtet werden:
- Erstellung eines Verarbeitungsverzeichnisses nach Anforderungen der DSGVO
- Erteilung von Informationen zu den durchgeführten Datenverarbeitungen
- Implementierung von Prozessen zur Umsetzung der Betroffenenrechte
- Implementierung von technischen Maßnahmen zum Schutz der Daten auf Stand der Technik
- Erstellung von organisatorischen Anweisungen, um die Mitarbeiter dabei zu unterstützen, Daten gemäß der Datenschutzgrundsätze des Unternehmens zu verarbeiten
- Erstellung von organisatorischen Anweisungen um die Mitarbeiter dabei zu unterstützen, die Sicherheit des Unternehmens bei der Nutzung von IT-Systemen zu gewährleisten
- Schaffung von Awareness zu Datenschutz und IT-Sicherheit im Unternehmen, um mögliche Sicherheits- und Datenschutzvorfälle zu erkennen
- Implementierung eines Prozesses zur Erfassung, Analyse und Bewertung eines Datenschutzvorfalls innerhalb der gesetzlich vorgegebenen Frist von 72 Stunden
- Umsetzung eines zentralen Vertragsmanagements zur effizienten Übersicht über benötigte und vorhandene Auftragsverarbeitungsverträge
- Implementierung eines Löschkonzeptes, um eine rechtzeitige und datenschutzkonforme Datenlöschung sicherzustellen
- Implementierung von Prozessen, die gewährleisten, dass die vorhandene Dokumentation auf aktuellem Stand bleibt
- Mechanismen zur regelmäßigen Kontrolle und Evaluierung der implementierten Prozesse und Maßnahmen zur Sicherstellung der Angemessenheit und Wirksamkeit
Ein externer Datenschutzbeauftragter kann Sie bei der Implementierung der oben genannten Maßnahmen unterstützen und dabei auf einen reichen Erfahrungsschatz zurückgreifen.