Die Allgemeine Datenschutzverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz des Grundrechts der Menschen auf Privatsphäre gewährleistet. Die DSGVO schreibt vor, dass Unternehmen die Privatsphäre und personenbezogenen Daten von EU-Bürgern bei Transaktionen innerhalb oder außerhalb der Europäischen Union schützen.
In Großbritannien führte diese Verordnung zur Weiterentwicklung des Datenschutzgesetzes (2018), das regelt, wie Regierung, Unternehmen und Organisationen personenbezogene Daten verwenden, die von Subjekten stammen. Aufgrund der hohen Geldstrafe muss jedes Unternehmen, das Kundendaten hält und verarbeitet, den Inhalt des Gesetzes kennen. Dieser Artikel entmystifiziert den Inhalt der DSGVO der EU, die Regeln für die Datenverarbeitung und enthält eine kurze Checkliste, mit deren Hilfe Sie die Einhaltung der Vorschriften erreichen.
Geschichte, Bedeutung und Mission der Allgemeinen Datenschutzverordnung (DSGVO)
Die Allgemeine Datenschutzverordnung ist eine der wichtigsten Bestimmungen in der Liste der Compliance-Rahmenbedingungen, die jeder Website-Eigentümer oder jede Organisation, die personenbezogene Daten sammelt und verarbeitet, einhalten muss. Ziel ist es, Einzelpersonen die Kontrolle über ihre Daten zu geben und die Nutzung auf rechtliche Zwecke zu beschränken und zu minimieren.
Das Recht auf Privatsphäre ist ein grundlegendes Menschenrecht. In Artikel 8 der Europäischen Menschenrechtskonvention heißt es: „Jeder hat das Recht, sein Privat- und Familienleben, sein Zuhause und seine Korrespondenz zu respektieren.“ Aufgrund seiner großen Bedeutung hatte die EU verschiedene Vorschriften erlassen, um die Privatsphäre ihrer Bürger zu schützen.
Die Allgemeine Datenschutzverordnung ersetzte die 1995 erlassene Datenschutzrichtlinie (offiziell Richtlinie 95/46/EG). Obwohl sie im April 2016 geschaffen wurde, trat die neue Datenschutzverordnung erst am 25 Mai 2018 in Kraft Originalform, der Allgemeine Datenschutz (auch als Verordnung (EU) 2016/679 verfasst) enthält 99 Artikel unter 11 Kapitelüberschriften.
Wichtige efinition in der DSGVO
Bevor wir weiter gehen, ist es wichtig, bestimmte Schlüsselbegriffe zu verstehen, die in Artikel 4 der Allgemeinen Datenschutzverordnung verwendet und enthalten sind.
- Personenbezogene Daten: Dies bezieht sich auf alle Informationen, die sich auf eine identifizierabre natürliche Person eziehen (die technisch als ,,betroffene Person´´ bezeichnet wird). Zu den personenbezogenen Daten gehören Name, Identifikationsnummer und Standortdaten. Es umfasst auch die Online-Identifizierung, einschließlich IP-Adresse, Cookie-Daten und anderer Webseiten.
- Verarbeitung: bezieht sich auf alle Vorgänge, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten ausgeführt werden. Die (Daten-) Verarbeitung umfasst das Sammeln, Aufzeichnen, Sortieren oder Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Offenlegen (durch Übertragung), Verbreiten, Ausrichten, Kombinieren, Einschränken oder Löschen von Daten.
- Controller: bezieht sich auf eine Person, Agentur oder Behörde, die den Zweck und das Verfahren der Datenverarbeitung festlegt.
- Prozessor: Ein Prozessor ist eine Einzelperson oder Gruppe, die Daten im Auftrag und auf Anforderung des Controllers verarbeitet.
- Zustimmung: bezieht sich auf eine informierte, frei gegebene und eindeutige Angabe der Zustimmung zur Verarbeitung personenbezogener Daten. Gemäß der Verordnung kann die betroffene Person die Zustimmung zur Verarbeitung ihrer Daten durch eine klare, positive Erklärung oder Handlung angeben.
- Verletzung personenbezogener Daten: bezeichnet eine Sicherheitsverletzung, die zu unbefugter Offenlegung, rechtswidriger Zerstörung, Verlust oder Zugriff auf personenbezogene Daten führt.
Welche Art von Daten schützt die DSGVO?
Nicht alle Daten fallen in den Geltungsbereich der EU- Datenschutzverordnung. Die Verordnung deckt jedoch wichtige Datensätze ab. Als Datencontroller oder-prozessor sollten Sie sich überdie folgenden Informationskategorien Gedanken machen.
- Primäre Identitätsinformationen wie Name, Adresse und ID-Nr
- Biometrische Daten, z. B. Gesichtsbilder
- IP-Adresse, Speicherort, Cookie-Daten und einige andere webbezogene Daten
- Gesundheitsdaten (Offenlegung des Zustands der körperlichen oder geistigen Gesundheit sowie der Erbringung von Gesundheitsdiensten)
- Genetische Daten
- Rasseninformationen
- Sexuelle Orientierung
- Politische Orientierung
Was sind die Grundsätze des Datenschutzes?
Die Allgemeine Datenschutzverordnung enthält sechs Grundprinzupien für die rechtmäßige Verarbeitung personenbezogener Daten. Sie sind:
1. Prinzip
Die Daten werden zu einem expliziten, festgelegten und legitimen Zweck erhoben. Nach der Menschenrechtskonvention der Europäischen Union ist die Privatsphäre ein grundlegendes Menschenrecht. Personenbezogene Daten stellen eine Erweiterung dieses Datenschutzes dar und sollten mit einem hohen Verantwortungsbewusstsein behandelt werden. Aus diesem Grund besteht ein Grundsatz des Datenschutzes darin, dass Datensammler personenbezogene Daten für legale und spezifizierte Zwecke abrufen müssen.
Bevor Sie Daten extrahieren, sollten Sie den Kunden daher mitteilen, wofür Ihre Organisation die Informationen verwenden wird, und sicherstellen, dass ein solcher Zweck legal ist. das heißt, nach dem Gesetz haltbar. Es ist wichtig zu wissen, dass Sie nicht berechtigt sind, Daten für einen anderen Zweck als den zum Zeitpunkt der Datenerfassung angegebenen zu verarbeiten. Die DSGVO legt fest, dass Daten auf den Zweck beschränkt werden sollten, für den sie gesammelt werden.
2. Prinzip
Daten sollten rechtmäßig, fair und transparent verarbeitet werden. Ein zentrales Prinzip des Datenschutzes ist Transparenz. Als Grundsatz des Datenschutzes besagt Transparenz, dass alle Informationen, die an die betroffene Person oder die breite Öffentlichkeit gerichtet sind, klar, präzise und leicht zugänglich sein sollten. Solche Informationen könnten von einer Visualisierung begleitet werden, wenn dies das Verständnis erleichtert.
Als transparenter Datensammler sollten Sie potenzielle betroffene Personen darauf aufmerksam machen, dass Sie Daten von ihnen sammeln. Neben der Offenlegung der Datenerfassung sollten Sie die Rechtsgrundlage für die Erlangung und Verarbeitung der so erhaltenen Daten klar formulieren. Um mit betroffenen Personen fair zu sein, müssen Sie ihnen Regeln, Risiken und Schutzmaßnahmen im Zusammenhang mit diesem Prozess und den Rechten, die sie an ihren Daten haben, vermitteln.
3. Prinzip
Die Daten müssen relevant, angemessen und auf das beschränkt sein, was ausreicht, um den Zweck zu erreichen, für den die Daten verarbeitet werden. Sobald dieser Zweck erreicht ist, ist es aus anderen Gründen unethisch, Daten zu verarbeiten.
4. Prinzip
Die Daten müssen korrekt und aktuell sein. Daten, deren Verarbeitung ungenau ist, sind unverzüglich zu korrigieren oder zu löschen.
5. Prinzip
Die Daten sind so lange wie nötig und in einer Form aufzubewahren, die die Identifizierung von Personen für beabsichtigte Zwecke ermöglicht.
6. Prinzip
Die Daten sind so zu verarbeiten, dass die Sicherheit gegen unbefugte Verarbeitung und versehentlichen Verlust oder Beschädigung gewährleistet ist.
Eine kurze Checkliste zur Einhaltung der DSGVO
An dieser Stelle sollten Sie sich fragen: “Wie halte ich mich an die DSGVO?” Sie können einige Dinge einrichten, um die übermäßige Geldstrafe zu vermeiden, die ein Verstoß gegen die DSGVO nach sich zieht. Im Folgenden sind jedoch die wichtigsten Tipps zur Erreichung der DSGVO aufgeführt.
1. Identifizieren Sie Daten und zeichnen Sie Datenaktivitäten auf
Ihr erster Schritt zur Einhaltung der DSGVO besteht darin, die Art der von Ihnen gespeicherten personenbezogenen Daten zu ermitteln, zu dokumentieren und einen genauen Katalog der Daten zu führen. Die anfängliche Katalogisierung hilft Ihnen dabei, vertrauliche Daten unter Ihrer Kontrolle zu bestimmen, wo diese Daten gespeichert sind, aus welcher Quelle sie stammen, welche Verarbeitung Sie darauf ausführen und wer Zugriff darauf hat. In Übereinstimmung mit Artikel 30 der Allgemeinen Datenschutzverordnung empfehlen wir dringend, dass Sie Aufzeichnungen über Datenverarbeitungsaktivitäten führen, die den Behörden auf Anfrage zur Verfügung gestellt werden müssen. In dieser Aufzeichnung der Verarbeitungsaktivitäten müssen die Datenkategorien, die Gruppe der betroffenen Personen, der Zweck der Datenverarbeitung und die Empfänger der verarbeiteten Daten aufgeführt sein. Wenn keine Aufzeichnungen über Verarbeitungsaktivitäten geführt werden, kann dies Kosten verursachen bis zu 10 Millionen Euro in einer Geldstrafe oder 2% des Jahresumsatzes Ihres Unternehmens.
2. Vereinfachen Sie das Zustimmungsverfahren
Sie müssen den betroffenen Personen mitteilen, dass Sie ihre Daten sammeln, und ihre Zustimmung einholen, bevor Sie dies tun. Ein Teil der Offenlegung der Datenerhebung besteht darin, die Rechtsgrundlage für die Erhebung und Verarbeitung von Daten anzugeben. Außerdem sollten Sie den betroffenen Personen verständlich machen, wie Sie ihre Daten verarbeiten, langfristig aufbewahren und ob Sie Kundendaten an Dritte weitergeben oder nicht. Die DSGVO verlangt, dass die Zustimmung zur Datenverarbeitung angegeben, klar formuliert und frei gegeben wird. Ihre Organisation muss nicht nur das Verständnis der Einwilligung vereinfachen, sondern auch sicherstellen, dass der Widerruf der Einwilligung leicht zu befolgen ist.
3. Richten Sie ein Informationssystem für den Datenschutz ein
Um sicherzustellen, dass die Daten der Menschen gut geschützt sind, sind die für die Verarbeitung Verantwortlichen und Verarbeiter verpflichtet, Maßnahmen zu ergreifen, um die Umsetzung der Datenschutzgrundsätze zu unterstützen. Das Entwerfen eines Informationssystems unter Berücksichtigung der Privatsphäre ist ein praktikabler Weg. Ein guter Weg, dies zu tun, besteht darin, sicherzustellen, dass Datensätze standardmäßig nicht öffentlich zugänglich sind und nicht zur Identifizierung betroffener Personen verwendet werden können.
4. Ernennen Sie einen „Datenschutzbeauftragten“ (DPO).
Ein Datenschutzbeauftragter, der professionelle Kenntnisse des Datenschutzrechts und der IT-Sicherheit nachweist, ist eine rechtliche Verpflichtung gemäß der DSGVO. Dies ist obligatorisch, wenn ein Unternehmen sensible personenbezogene Daten in großem Umfang verarbeitet. Zu den Aufgaben des Datenschutzbeauftragten gehören das Streben nach Einhaltung der einschlägigen Datenschutzgesetze, die Überwachung der Folgenabschätzungen zum Datenschutz, die Schulung der Mitarbeiter zum Datenschutz und die Sensibilisierung der Mitarbeiter sowie die Zusammenarbeit mit Aufsichtsbehörden.
Fazit
Die Allgemeine Datenschutzverordnung ist ein kritischer Datenschutz- und Sicherheitsrahmen. Für jede Organisation, die diese Daten in der Europäischen Union sammelt oder Daten außerhalb der EU verarbeitet oder überträgt, ist es wichtig, ihre Vor- und Nachteile zu verstehen. Obwohl dieser Artikel einer der einfachsten Artikel in der DSGVO ist, verstehen Sie, dass er keinen Ersatz für Rechtsberatung darstellt. Möglicherweise benötigen Sie einen ausgebildeten Anwalt, um die rechtliche Seite der Dinge zu verstehen und die wenigen Informationen zu ergänzen, die Sie aus diesem Artikel erhalten haben.