EU-DSGVO
Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung
Überblick
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen und stärkt die Rechte der betroffenen Personen. Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten, unabhängig davon, wo sich die Organisation befindet. Sie ist direkt anwendbar in allen EU-Mitgliedstaaten und hat Vorrang vor nationalem Recht.
Zielsetzung der EU-DSGVO
Schutz personenbezogener Daten
Gewährleistung eines hohen Schutzniveaus für personenbezogene Daten und Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
Harmonisierung
Vereinheitlichung des Datenschutzrechts in der gesamten EU und Beseitigung von Handelshemmnissen
Stärkung der Betroffenenrechte
Erweiterte Rechte für betroffene Personen, einschließlich Auskunftsrecht, Recht auf Löschung und Datenübertragbarkeit
Rechenschaftspflicht
Verpflichtung von Organisationen, die Einhaltung der DSGVO nachzuweisen und angemessene technische und organisatorische Maßnahmen zu implementieren
Transparenz
Pflicht zur transparenten Information über die Verarbeitung personenbezogener Daten
Datenminimierung
Grundsatz der Datenminimierung: Nur so viele Daten verarbeiten, wie für den Zweck erforderlich sind
Wesentliche Grundsätze der DSGVO (Art. 5)
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
Speicherbegrenzung
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.
Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss diese nachweisen können.
Rechte der betroffenen Person (Art. 15-22)
| Recht | Artikel | Beschreibung |
|---|---|---|
| Auskunftsrecht | Art. 15 | Betroffene Personen haben das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden, sowie Zugang zu diesen Daten zu erhalten. |
| Recht auf Berichtigung | Art. 16 | Betroffene Personen haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen und unvollständige Daten zu vervollständigen. |
| Recht auf Löschung ("Recht auf Vergessenwerden") | Art. 17 | Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. |
| Recht auf Einschränkung der Verarbeitung | Art. 18 | Betroffene Personen haben das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. |
| Recht auf Datenübertragbarkeit | Art. 20 | Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln. |
| Widerspruchsrecht | Art. 21 | Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, insbesondere bei Direktwerbung. |
| Recht auf Entscheidung ohne automatisierte Verarbeitung | Art. 22 | Betroffene Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. |
Technische und organisatorische Maßnahmen (Art. 32)
Die DSGVO verlangt die Implementierung angemessener technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen:
Pseudonymisierung und Verschlüsselung
Verwendung von Pseudonymisierung und Verschlüsselung personenbezogener Daten, um die Identifizierbarkeit zu reduzieren und Daten zu schützen.
Vertraulichkeit
Gewährleistung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Verarbeitung personenbezogener Daten.
Verfügbarkeit
Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Regelmäßige Überprüfung
Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Zugriffskontrolle
Kontrolle des Zugangs zu personenbezogenen Daten, einschließlich Authentifizierung, Autorisierung und Protokollierung von Zugriffen.
Datenintegrität
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.
Meldepflichten bei Datenschutzverletzungen (Art. 33, 34)
Meldung an Aufsichtsbehörde (Art. 33)
Bei einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese Verletzung unverzüglich, möglichst binnen 72 Stunden, der zuständigen Aufsichtsbehörde melden. Die Meldung muss die Art der Verletzung, die betroffenen Kategorien von Personen, die voraussichtlichen Folgen und die ergriffenen Maßnahmen enthalten.
Benachrichtigung der betroffenen Person (Art. 34)
Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss der Verantwortliche die betroffene Person unverzüglich benachrichtigen. Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen.
Dokumentation
Alle Datenschutzverletzungen müssen dokumentiert werden, einschließlich der Umstände der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.
Auftragsverarbeitung (Art. 28)
Wenn ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt, muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Dieser Vertrag muss folgende Elemente enthalten:
Gegenstand und Dauer
Klare Definition des Gegenstands und der Dauer der Verarbeitung
Art und Zweck
Beschreibung der Art und des Zwecks der Verarbeitung
Kategorien betroffener Personen
Angabe der Kategorien betroffener Personen und der Arten personenbezogener Daten
Pflichten des Auftragsverarbeiters
Verpflichtung zur Einhaltung der DSGVO, zur Vertraulichkeit und zur Unterstützung des Verantwortlichen
Technische und organisatorische Maßnahmen
Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
Unterauftragsverarbeiter
Regelungen für die Beauftragung von Unterauftragsverarbeitern
Datenschutz-Folgenabschätzung (Art. 35)
Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist insbesondere der Fall bei:
Systematische und umfassende Bewertung
Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung beruht
Umfangreiche Verarbeitung
Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, biometrische Daten)
Systematische Überwachung
Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
Inhalt der DSFA
Die DSFA muss eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung und die geplanten Abhilfemaßnahmen enthalten.
Datenschutzbeauftragter (Art. 37-39)
Ein Datenschutzbeauftragter (DSB) muss bestellt werden, wenn:
| Kriterium | Beschreibung |
|---|---|
| Öffentliche Stellen | Öffentliche Stellen und Behörden müssen grundsätzlich einen DSB bestellen (außer Gerichte bei ihrer justiziellen Tätigkeit). |
| Kernaktivität: Verarbeitung | Wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen regelmäßigen und systematischen Überwachung betroffener Personen besteht. |
| Kernaktivität: Besondere Kategorien | Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10) besteht. |
| Aufgaben des DSB | Der DSB informiert und berät den Verantwortlichen, überwacht die Einhaltung der DSGVO, berät bei der DSFA und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen. |
Bußgelder und Sanktionen (Art. 83)
Bei Verstößen gegen die DSGVO können erhebliche Bußgelder verhängt werden:
Verstöße gegen Grundsätze
Bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist
Verstöße gegen Verarbeitungsgrundsätze
Bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist
Schadensersatzansprüche
Betroffene Personen haben Anspruch auf Schadensersatz bei Verstößen gegen die DSGVO (Art. 82)
Rufschädigung
Verstöße können zu erheblichen Reputationsschäden und Vertrauensverlust bei Kunden führen
Zusammenhang mit Informationssicherheit
Die DSGVO hat erhebliche Auswirkungen auf das Informationssicherheits-Management:
- Technische Maßnahmen: Die DSGVO erfordert angemessene technische Maßnahmen (Art. 32), die eng mit ISO 27001-Kontrollen verknüpft sind, insbesondere Verschlüsselung, Zugriffskontrolle und Verfügbarkeit.
- Risikomanagement: Die DSGVO erfordert eine risikobasierte Herangehensweise, die mit dem Risikomanagement nach ISO 27001 kompatibel ist.
- Incident Management: Die Meldepflichten bei Datenschutzverletzungen (Art. 33, 34) erfordern strukturierte Incident-Management-Prozesse.
- Asset Management: Die Inventarisierung und Klassifizierung personenbezogener Daten ist Teil des Asset Managements.
- Zugriffskontrolle: Die DSGVO erfordert angemessene Zugriffskontrollen, die mit ISO 27001 Kontrolle A.9 übereinstimmen.
- Verschlüsselung: Die DSGVO empfiehlt Verschlüsselung als technische Maßnahme, was mit ISO 27001 Kontrolle A.10 übereinstimmt.
- Protokollierung: Die Nachweisbarkeit der Einhaltung erfordert umfassende Protokollierung, die mit ISO 27001 Kontrolle A.12 übereinstimmt.
- Lieferantenmanagement: Auftragsverarbeitungsverträge (AVV) sind Teil des Lieferantenmanagements und erfordern Überwachung der Auftragsverarbeiter.
- Schulungen: Die DSGVO erfordert Schulungen für Mitarbeiter, die mit personenbezogenen Daten arbeiten.
- Dokumentation: Die Rechenschaftspflicht erfordert umfassende Dokumentation aller Verarbeitungsvorgänge und Maßnahmen.
Praktische Umsetzung
Für die praktische Umsetzung der DSGVO-Anforderungen sollten Organisationen:
Verarbeitungsverzeichnis erstellen
Dokumentation aller Verarbeitungsvorgänge personenbezogener Daten gemäß Art. 30 DSGVO, einschließlich Zweck, Kategorien betroffener Personen, Empfänger und Löschfristen.
Technische und organisatorische Maßnahmen implementieren
Umsetzung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32, einschließlich Verschlüsselung, Zugriffskontrolle, Backup und Notfallplanung.
Auftragsverarbeitungsverträge abschließen
Abschluss von AVV mit allen Auftragsverarbeitern gemäß Art. 28, einschließlich Regelungen für Unterauftragsverarbeiter und technische Maßnahmen.
Datenschutz-Folgenabschätzungen durchführen
Durchführung von DSFA für Verarbeitungsvorgänge mit hohem Risiko gemäß Art. 35, einschließlich Risikobewertung und Abhilfemaßnahmen.
Incident-Response-Prozess etablieren
Etablierung eines strukturierten Prozesses für die Erkennung, Meldung und Behandlung von Datenschutzverletzungen gemäß Art. 33 und 34.
Betroffenenrechte umsetzen
Implementierung von Prozessen zur Bearbeitung von Anfragen betroffener Personen, einschließlich Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
Zusammenfassung
Die EU-DSGVO ist eine umfassende Verordnung, die den Schutz personenbezogener Daten in der gesamten EU regelt. Sie erfordert von Organisationen:
- Rechtmäßige Verarbeitung: Einhaltung der Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Speicherbegrenzung
- Technische Sicherheit: Implementierung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit
- Transparenz: Transparente Information der betroffenen Personen über die Verarbeitung ihrer Daten
- Betroffenenrechte: Gewährleistung der Rechte betroffener Personen, einschließlich Auskunft, Berichtigung, Löschung und Datenübertragbarkeit
- Rechenschaftspflicht: Nachweis der Einhaltung der DSGVO durch Dokumentation und angemessene Maßnahmen
- Meldepflichten: Unverzügliche Meldung von Datenschutzverletzungen an Aufsichtsbehörden und betroffene Personen
- Auftragsverarbeitung: Abschluss von Auftragsverarbeitungsverträgen und Überwachung von Auftragsverarbeitern
Die DSGVO ist eng mit Informationssicherheits-Managementsystemen wie ISO 27001 verknüpft, da viele technische Maßnahmen zur Einhaltung der DSGVO auch Teil eines ISMS sind. Eine erfolgreiche Umsetzung erfordert eine ganzheitliche Herangehensweise, die Datenschutz und Informationssicherheit integriert.