DS-GVO

Die DSGVO ist eine Verordnung, die das Europäische Parlament erstmals 2016 zum Schutz der persönlichen Daten von EU-Bürgern eingeführt hat. Sie wird von allen 27 Mitgliedsstaaten der Europäischen Union umgesetzt. Ähnliche Regeln hat auch das ehemalige EU-Mitglied Großbritannien eingeführt. Die DSGVO ist ein Versuch, die Datenschutzgesetze in der EU zu vereinheitlichen und sie besser mit dem modernen Verständnis von Privatsphäre und Sicherheit in Einklang zu bringen. In den meisten Ländern der Welt gibt es Datenschutzgesetze, aber die meisten sind nicht so streng wie die DSGVO.

Die DSGVO ist eine Verordnung, die dazu beitragen soll, die Menschen in der EU vor Verletzungen der Privatsphäre und Daten zu schützen. Sie betrifft jede Organisation, die personenbezogene Daten von EU-Bürgern sammelt und speichert, unabhängig davon, wo die Organisation ihren Sitz hat. Die DSGVO wird die aktuelle Datenschutzrichtlinie 95/46/EG ersetzen und am 25. Mai 2018 in Kraft treten. Die General Data Protection Regulation (GDPR) ist ein Regelwerk, das enorme Auswirkungen darauf hat, wie Unternehmen mit personenbezogenen Daten und persönlich identifizierbaren Informationen (PII) umgehen.

Die DSGVO verbessert den Datenschutz für Einzelpersonen in der EU, indem sie die Möglichkeiten der Aufsichtsbehörden stärkt, bei Verstößen Geldstrafen zu verhängen. Sie wurde mit einem mehrstufigen Ansatz für den Datenschutz entwickelt, der in jedem Land angewendet werden soll.

Alle Formen von PII werden von der DSGVO abgedeckt, einschließlich genetischer Daten, biometrischer Daten und Daten in Bezug auf Geschlecht, Rasse, ethnische Zugehörigkeit, religiöse Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheit oder sexuelle Orientierung.

Jede Organisation, die Kontrolle über die PII von EU-Bürgern hat, ist für die Einhaltung der DSGVO verantwortlich. Dazu gehören nicht nur Unternehmen, die in der EU ansässig sind, sondern auch diejenigen, die Daten von EU-Bürgern verarbeiten. Selbst wenn ein Unternehmen keine Niederlassungen in der EU hat, ist es dennoch für die Einhaltung der DSGVO verantwortlich, wenn es personenbezogene Daten von EU-Bürgern sammelt.

Sekundäre PII sind Informationen, die von den ursprünglichen PII abgeleitet sind. Dazu gehören auch Informationen, die anonymisiert oder pseudonymisiert wurden. Wenn Sie beispielsweise einen Lebensmittelladen besitzen und personenbezogene Daten wie die Namen, Adressen und Telefonnummern Ihrer Kunden sammeln, verfügen Sie über primäre personenbezogene Daten. Wenn Sie jedoch feststellen, dass eine bestimmte Person in einer bestimmten Straße in einem bestimmten Viertel wohnt, verfügen Sie über sekundäre PII. Die DSGVO weitet ihren Schutz auf “sekundäre personenbezogene Daten” aus, d.h. auf alle Informationen, die mit personenbezogenen Daten kombiniert werden können, um eine Person zu identifizieren. Dies sind Beispiele für die Arten von sekundären PII, die durch die DSGVO geschützt werden:

– Standortdaten (z.B. IP-Adresse).

– Geräteinformationen.

– Mathematische Technik.

– Geografischer Standort.

– Online-Kennung.

– Verbindungsstatus.

– Cookies oder ähnliche Technologien.

– Client-Kennung.

– Geräte-Kennung.

Je nach Schwere des Verstoßes gegen die DSGVO können die Bußgelder zwischen 2 % und 4 % des Jahresumsatzes des Unternehmens liegen. Es ist wichtig zu wissen, dass die Bußgelder nicht auf der Höhe des Schadens basieren, den die betroffenen Personen erlitten haben, sondern auf dem Ausmaß, in dem gegen die DSGVO verstoßen wurde.

Ein Datenschutzplan (Data Protection Plan, DPP) soll sicherstellen, dass Ihr Unternehmen auf die Einhaltung der DSGVO vorbereitet ist. Der DPP sollte Einzelheiten über die Datenverarbeitungsaktivitäten Ihres Unternehmens und die davon betroffenen Personen enthalten. Der DPP sollte auch Informationen über die Sicherheitsmaßnahmen zum Schutz von PII sowie über Ihre internen Richtlinien für die Verwaltung von PII enthalten.

Es gibt ein paar Dinge, die Sie tun können, um sich auf die Einhaltung der DSGVO vorzubereiten. Vergewissern Sie sich, dass Sie ein klares Verständnis für Ihre Datenerfassungs- und -verarbeitungsaktivitäten haben. Überprüfen Sie Ihre bestehenden Datenschutzrichtlinien, um festzustellen, ob sie aktualisiert werden müssen, um die Anforderungen der DSGVO zu erfüllen. Informieren Sie sich über die DSGVO-Compliance-Services, die Sie durch den Prozess begleiten können.

Der Grund für die Verarbeitung von PII ist ein Schlüsselelement der DSGVO-Compliance. Wenn die betroffene Person ihre Zustimmung zur Verwendung ihrer personenbezogenen Daten gegeben hat, müssen Sie keine zusätzliche Zustimmung einholen, wenn Sie Änderungen an der Verarbeitung vornehmen. Wenn Sie jedoch beabsichtigen, die PII für einen anderen Zweck zu verwenden, müssen Sie die Zustimmung der betroffenen Person einholen.

Rechtmäßigkeit bedeutet, dass Ihre Datenverarbeitungsaktivitäten rechtmäßig sind und Sie über eine ordnungsgemäße Genehmigung zur Verarbeitung von PII verfügen. Wenn Sie z.B. PII über eine Website sammeln, müssen Sie dafür eine rechtmäßige Grundlage haben. Auch für die Speicherung von PII, die Verarbeitung von PII und die Übermittlung von PII müssen Sie eine rechtmäßige Grundlage haben. Wenn Sie keine gesetzliche Grundlage für die Verarbeitung von PII haben, betrachtet die DSGVO Ihre Handlungen als rechtswidrig. Wenn Sie gegen die Anforderungen der DSGVO an die Rechtmäßigkeit verstoßen, können Sie mit Strafen belegt werden. End Privacy Now ist ein authentischer und vertrauenswürdiger Beratungsdienst für den Datenschutz. Wir sind darauf spezialisiert, Unternehmen in verschiedenen Branchen bei der Vorbereitung auf die DSGVO zu helfen. Wenn Sie weitere Informationen über unsere Dienstleistungen zur Einhaltung der DSGVO wünschen, besuchen Sie bitte unsere Website.

Sie müssen nachweisen können, dass Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gemäß der DSGVO haben, bevor Sie überhaupt mit der Verarbeitung von Daten beginnen. Das heißt, wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern erhebt, müssen Sie nachweisen können, dass Ihr Unternehmen eine Rechtsgrundlage dafür hat, bevor Sie mit der Erhebung dieser Daten beginnen. Dies gilt unabhängig davon, ob Ihre Organisation beabsichtigt, diese Daten zu verwenden.