Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Regelung, die den Umgang von Unternehmen und anderen Organisationen mit personenbezogenen Daten regelt. Sie ist die bedeutendste Initiative zum Datenschutz seit 20 Jahren und hat große Auswirkungen auf jede Organisation in der Welt, die Dienste an Einzelpersonen aus der Europäischen Union anbietet.Um den Nutzern die Kontrolle darüber zu geben, wie ihre Daten verwendet werden, und um die “Grundrechte und -freiheiten natürlicher Personen” zu schützen, legt die Gesetzgebung strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und die Zustimmung der Nutzer fest.
Jedes Unternehmen ist verpflichtet, die Abwicklung personengebundener Daten aufzuzeichnen und zu überwachen.
Als für die Datenverarbeitung Verantwortlicher muss jede Organisation Aufzeichnungen über die Aktivitäten zur Verarbeitung personenbezogener Daten führen und diese kontrollieren. Dazu gehören persönliche Daten, die innerhalb der Organisation, aber auch von Dritten – so genannten Datenverarbeitern – verwendet werden.
Datenverarbeiter können alles sein, von Software-as-a-Service-Anbietern bis hin zu eingebetteten Dienstleistungen Dritter, die Besucher auf der Website der Organisation tracken und Profile erstellen.
Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Verarbeiter müssen in der Lage sein, Rechenschaft darüber abzulegen, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.
Wenn personenbezogene Daten an Organisationen oder Rechtsgebiete gesendet werden, die außerhalb der Reichweite der DSGVO liegen oder die von der DSGVO als nicht “angemessen” erachtet werden, muss man den Benutzer speziell darüber und über die damit verbundenen Risiken informieren.
Alle Einverständniserklärungen müssen als Beweis dafür festgehalten werden, dass die Zustimmung erteilt wurde.
Am 4. Mai 2020 verabschiedete das European Data Protection Board (EDPB) (dt. Europäischer Datenschutzausschuss) Richtlinien zur gültigen Zustimmung gemäß DSGVO.
Eine gültige Zustimmung muss eine frei gegebene, spezifische, informierte und unmissverständliche Angabe der Wünsche des Nutzers sein, d.h. eine klare und bestätigende Handlung des Nutzers.
Die EDPB-Guidelines stellen klar, dass das Scrollen oder fortgesetzte Browsen auf einer Website keine gültige Zustimmung darstellt und dass Cookie-Banner keine vorgekreuzten Kontrollkästchen haben dürfen.
Auch so genannte Cookie-Walls (erzwungene Zustimmung) werden als nicht konform eingestuft.
Das EDPB ist die höchste Aufsichtsbehörde, die für die Anwendung der DSGVO in der gesamten EU zuständig ist, und setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammen. Ihre Richtlinien und Entscheidungen bilden die Grundlage für die Durchsetzung der DSGVO auf nationaler Ebene.
Erfahren Sie mehr über die EDPB-Guidelines zur gültigen Zustimmung vom Mai 2020.
Einzelpersonen haben nun das “Recht auf Datenübertragbarkeit”, das “Recht auf Datenzugriff” zusammen mit dem “Recht, vergessen zu werden” und können ihre Zustimmung jederzeit zurückziehen. In einem solchen Fall muss der für die Datenverarbeitung Verantwortliche die persönlichen Daten der Person löschen, wenn sie für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind.
Bei Datenschutzverletzungen muss das Unternehmen die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.
Weiterhin verpflichtet die DSGVO öffentliche Behörden und Unternehmen, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten (kurz: DSB) einzusetzen. Der DSB muss Maßnahmen ergreifen, um die Einhaltung der DSGVO in der gesamten Organisation sicherzustellen.
Was bedeutet die DSGVO für meine Website?
Sofern Ihre Website Besucher aus der EU hat und Sie – bzw. integrierte Dienste Dritter (z. B. Facebook, Google) – personengebundene Daten verarbeiten, sind Sie zur vorherigen Einholung des Einverständnisses der Nutzer verpflichtet.
Um eine gültige Zustimmung zu erhalten, müssen Sie dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache beschreiben.
Informationen dieser Art müssen dem Website-Besucher gegenüber jederzeit sichtbar bleiben, z.B. als Bestandteil Ihrer Datenschutzrichtlinien. Des Weiteren sind Sie verpflichtet, dem Website-Besucher benutzerfreundlich die Änderung oder den Widerruf seines Einverständnisses zu ermöglichen.
Sämtliche Einverständniserklärungen müssen als Nachweis protokolliert und jegliche Nachverfolgung personengebundener Daten, auch durch die integrierten Dienste Dritter, müssen dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.
Informieren Sie sich auf der EU-Infopage über die Reform der Datenschutzgesetze.
Beachten Sie auch die Infografik Datenschutz – Bessere Regeln für kleine Unternehmen.
Wie Cookiebot™️ helfen kann
Wenn Sie die Cookiebot Consent Management-Plattform (CMP) verwenden, können Sie die Konformität Ihrer Website mit den Vorgaben der Datenschutz-Grundverordnung zu Tracking und Zustimmung abgleichen.
Cookiebot CMP ermöglicht es Ihnen, sämtliches Tracking auf Ihrer Website zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Website-Besuchern gegenüber anzuzeigen. Ebenfalls werden sämtliche User-Einverständniserklärungen automatisch eingeholt und protokolliert.
Begriffserklärungen
Was meint personenbezogene Daten in der DSGVO?
Die Datenschutzverordnung definiert persönliche Daten als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.
Online-Identifizierungsmerkmale, wie etwa IP-Adressen, gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden.
Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der DSGVO, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.
Was sind sensible personenbezogene Daten in der DSGVO?
Zu den sensiblen personenbezogenen Daten gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.
Eine IP-Adresse oder ein Name gelten als persönliche Daten, aber NICHT als sensible persönliche Daten. (siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).
Liste personenbezogener Daten vs. sensibler personenbezogene Daten
Persönlich Identifizierbare Informationen (PII):
Name, Adresse, Telefon, E-Mail
Geschlecht, Alter etc.
Bewerbung, Lebenslauf, Position
Kaufhistorie und Kundeninformationen
Kreditinformationen, Schulden etc.
IP-Nummer
Sensible PII
Herkunft und ethnischer Hintergrund (nicht Nationalität)
Genetische und biometrische Daten
Politische oder religiöse Überzeugung
Gewerkschaftliche Bedingungen
Gesundheit und sexuelle Beziehungen
Was bedeutet Datenverarbeitung?
Daten zu verarbeiten bedeutet, jede Art von Operation an persönlichen Daten durchzuführen, ob automatisiert oder nicht. Beispiele für Datenoperationen, die in der DSGVO erwähnt werden, sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.
Was ist ein für die Datenverarbeitung Verantwortlicher in der DSGVO?
Ein für die Datenverarbeitung Verantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Zusammenhang mit z.B. einem Unternehmen oder einer Website und deren Kunden und Nutzern ist der für die Datenverarbeitung Verantwortliche das Unternehmen oder die Website, das/die die Daten seiner/ihrer Kunden und Nutzer verarbeitet, um seine/ihre Dienstleistungen zu optimieren oder was immer das Unternehmen/die Website mit Hilfe der Datenverarbeitung erreichen will.
Was ist ein Auftragsverarbeiter in der DSGVO?
Ein Auftragsverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchführt. Wenn es um Websites geht, sind Datenverarbeiter typischerweise Werkzeuge und integrierte Dritte wie z.B. Google Analytics, Hotjar, Social Media Buttons etc.
Was ist ein Datenempfänger im Zusammenhang mit der DSGVO?
Der Empfänger ist die Partei, mit der die Daten geteilt werden.
Wer wird in der DSGVO als dritte Partei betrachtet?
Eine dritte Partei ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, die unter der direkten Autorität des für die Verarbeitung Verantwortlichen oder des Verarbeiters befugt ist, persönliche Daten zu verarbeiten.
Im Zusammenhang mit einer Website sind Dritte typischerweise die Cookie-Setz-Agenten, die nicht die Website selbst sind, und die Berechtigung entsteht dadurch, dass sie als Werkzeuge, eingebettete Inhalte oder Dienste in die Website integriert werden.
Was ist mit Einwilligung in der DSGVO gemeint?
Die Einwilligung der Person, deren Daten verarbeitet werden, bedeutet die freie, informierte und eindeutige Angabe ihres Wunsches, durch die sie durch eine Erklärung oder eine klare positive Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden persönlichen Daten gibt.
Worin besteht eine Verletzung von personenbezogenen Daten im Rahmen der DSGVO?
Eine Verletzung der Sicherheit persönlicher Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unberechtigten Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten führt.
Was bedeutet Datenportabilität in der DSGVO?
Datenportabilität ist das Recht, die eigenen personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und das Recht, diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der Erstere dies verhindern kann (siehe Artikel 20 der DSGVO).
Rechtswirksamkeit der Datenschutz-Grundverordnung: 25.05.2018
Eine EU-Gesetzgebung dieser Größe und Bedeutung ist das Ergebnis eines langwierigen Prozesses.
Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform der Datenschutzbestimmungen aus dem Jahr 1995 vor (RICHTLINIE 95/46/EG), um Europa mit dem digitalen Zeitalter auf den neuesten Stand zu bringen.
Am 4. Mai 2016 wurden die offiziellen Texte der Verordnung und der Richtlinie im Amtsblatt der EU in allen Amtssprachen veröffentlicht.
Die Verordnung wurde am 25. Mai 2018 in Kraft gesetzt.
Bußgelder und Strafen nach DSGVO
Seit Inkrafttreten der Datenschutz-Grundverordnung riskieren Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.
DSGVO-Checkliste: Datenschutz-Konformität in 6 Schritten
1. Bereiten Sie Ihr Unternehmen vor:
Unterrichten Sie die Stakeholder Ihrer gesamten Organisation über die Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Ernennen Sie einen Datenschutzbeauftragten (DSB), falls erforderlich, d.h. wenn Sie mehr als 250 Mitarbeiter beschäftigen.
2. Prüfen Sie Ihre Daten:
Stellen Sie sicher, dass Sie wissen, wo sich all Ihre Daten befinden, wer Zugriff hat und auf welchen Geräten. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden, auch durch Drittverarbeiter. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie die aktuellen Datenschutzrichtlinien.
3. Überprüfen Sie Ihre Service-Partner:
Stellen Sie sicher, dass Servicepartner, d.h. auf Ihrer Website eingebettete Dienste Dritter oder Software-as-a-Service-Anbieter, ebenfalls DSGVO-konform sind oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Überprüfen Sie ihre internationalen Datenflüsse und bilden Sie diese ab.
4. Holen Sie Einverständniserklärungen ein:
Implementieren Sie Methoden zur Einholung, Erlangung und Aufzeichnung von Zustimmungen, um Konformität zu gewährleisten. Halten Sie klar fest, wozu jeder einzelne Betroffene seine Einwilligung gegeben hat, und geben Sie dem Betroffenen die Möglichkeit, eine Einwilligung zu widerrufen oder zu ändern.
5. Beachten Sie die Datenrechte:
Verwenden Sie Verfahren, die es Ihrer Organisation ermöglichen, auf die Rechte der betroffenen Personen zu reagieren, d.h. auf Datenzugriff, -berichtigung und -löschung. Dokumentieren Sie, wie sie sowohl im Kunden- als auch im Mitarbeiterkontext ausgeübt werden.
6. Bereiten Sie sich auf Datenschutzverletzungen vor:
Stellen Sie sicher, dass Verfahren zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen vorhanden sind, um die 72-Stunden-Frist der DSGVO für die Benachrichtigung einzuhalten.
DSGVO-Anforderungen erfüllen
Kurse, Schulungen, Zertifizierungen
Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) – beide entsprechen der ISO 17024. Dies erfolgt über verschiedene Kurse, wie z. B. IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.
DSGVO Konformitäts-Software:
Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Sie dabei unterstützen können, DSGVO-konform zu werden, z.B. DPOrganizer, der Ihnen hilft, Ihre persönliche Datenverarbeitung konform zu gestalten.
Cookiebot CMP kann Ihnen helfen, die Handhabung von Benutzerzustimmungen auf Ihrer Website zu automatisieren und Cookies und andere verwendete Tracker zu dokumentieren.
Alternativ: service@manfred-moschner.de