Die Umsetzung der General Data Protection Regulation (Datenschutz-Grundverordnung) im Mai 2018 hat die Art und Weise revolutioniert, wie Unternehmen in der Europäischen Union (EU) und alle Unternehmen, die in die EU verkaufen, Nutzerdaten schützen und behandeln. Die Einhaltung der DSGVO ist nicht optional, und Unternehmen, die nicht korrekt mit personenbezogenen Daten umgehen, müssen mit hohen Geldstrafen rechnen.

Gleichzeitig wurde die DSGVO auch zu einem Leitbild für neu entwickelte Datenschutzgesetze weltweit.

Was ist die DSGVO?

Wie der Name schon sagt, handelt es sich bei der DSGVO um eine Reihe von Datenschutzbestimmungen. Die DSGVO ersetzt die bisherige EU-Datenschutzrichtlinie, die seit 1995 geltend war.

Die DSGVO konzentriert sich auf die Pflichten von Unternehmen zum Schutz personenbezogener Daten und der Privatsphäre und regelt auch den Datenexport außerhalb der EU.

Obwohl die DSGVO ein wichtiger Schritt zur Verbesserung des Datenschutzes und der Verbraucherrechte rund um den Schutz der Privatsphäre ist, hat die Verordnung einige Nachteile. Do werden sehr vage Begriffe verwendet, wie z.B. “angemessener Schutz”, was den Unternehmen keine konkrete Anleitung gibt, was sie tun müssen.

Bei der Einführung der DSGVO sagten die EU und die Behörden in den EU-Mitgliedsstaaten jedoch, dass sie den Unternehmen helfen würden, auf die Einhaltung der DSGVO hinzuarbeiten, anstatt sofort diejenigen zu finden, die es nicht tun.

Bislang gab es kaum nennenswerte Fälle von Verstößen gegen die DSGVO, die vor europäische Gerichte kamen. Es ist unwahrscheinlich, dass irgendjemand die Tragweite der DSGVO voll einschätzen wird, bis dies geschieht.

Wieso wurde die DSGVO entwickelt?

Kurz gesagt hat die EU die DSGVO entwickelt, weil die Datenschutzrichtlinie von 1995 nicht mehr zweckmäßig war. Die vorherige Verordnung wurde vor dem eCommerce-Boom und dem Wachstum der Internetnutzung im Allgemeinen verabschiedet und umgesetzt. Die Daten, die Unternehmen vor 25 Jahren sammelten, sind im Vergleich zu dem, was sie heute verwalten, verblasst. Darüber hinaus trieben Bedenken bezüglich der Speicherung und des Transfers von Daten die Entwicklung der DSGVO voran.

Die DSGVO zielte in erster Linie darauf ab, die Daten und die Privatsphäre der Verbraucher zu schützen. Die EU-Verantwortlichen hofften jedoch auch, dass sie dazu führen würde, dass Unternehmen im Allgemeinen sorgfältiger mit Daten umgehen, um Datenschutzverletzungen zu reduzieren.

Welche Arten von Daten schützt die DSGVO?

Die DSGVO gilt für die Mehrheit der personenbezogenen Daten, die Ihr Unternehmen über Ihre Kunden sammelt. Insbesondere alles, was potenziell eine Person eindeutig identifizieren kann. Die DSGVO-Compliance gilt unabhängig von der Plattform, die die Daten sammelt. Das bedeutet, dass Sie Daten, die Sie über ein handschriftliches Formular sammeln, genauso sichern müssen wie die Daten, die Sie über Ihre Website sammeln. Das Thema Datenschutz ist darum ganzheitlich im Rahmen der Datensicherheit zu betrachten.

Wenn Sie eines der folgenden Dinge tun, müssen Sie die DSGVO einhalten – Bitte beachten Sie, dass die folgende Liste nicht vollständig ist:

  • Sie sammeln E-Mail-Adressen zur Lead-Generierung oder zum Versand von E-Mail-Newslettern.
  • Sie pflegen selbst eine Kundendatenbank oder nutzen eine CRM-Plattform.
  • Sie fügen Adressen auf Rechnungen für Lieferanten, Kunden und andere Unternehmen oder Einzelpersonen ein, mit denen Sie zu tun haben.
  • Sie nutzen Website-Analyse-Tools, um Marketingdaten zu sammeln.
  • Sie nutzen eine Cloud-Speicherplattform wie Google Drive zum Speichern von Nutzerdaten.

Die DSGVO deckt insbesondere die folgenden Arten von Informationen ab, die Sie über Nutzer haben könnten:

  • Grundlegende Identitätsinformationen, die Namen, Adressen, E-Mail-Adressen, nutzergenerierte Daten wie Social-Media-Posts und alle anderen Informationen, die online geteilt werden, umfassen.
  • Metadaten, die über Websites gesammelt werden, einschließlich Nutzerstandorte, IP-Adressen, Cookie-Daten und RFID-Tags.
  • Gesundheitsdaten, genetische oder biometrische Daten, die Sie über Nutzer besitzen.
  • Rassenbezogene und ethnische Daten.
  • Politische Ansichten und Meinungen, einschließlich des Wahlverhaltens.
  • Sexuelle Orientierung und Geschlechtsidentität.
  • Alle anderen Informationen, die dazu verwendet werden können, eine lebende Person eindeutig zu identifizieren.

Ja, die DSGVO erwähnt ausdrücklich eine “lebende” Person. Die DSGVO gilt nicht mehr für identifizierbare Daten, wenn eine Person stirbt. Dennoch wird von Unternehmen erwartet, dass sie das Vertrauen einer Person bewahren, die vor ihrem Tod bestimmte Genehmigungen in Bezug auf ihre Daten erteilt hat.

In einigen EU-Ländern gelten zusätzliche Regeln und Vorschriften, die Dinge wie die Verwendung von Videoüberwachung regeln.

Wer ist von der DSGVO betroffen?

Die DSGVO ist eine EU-spezifische Richtlinie. Demnach ist die DSGVO grundsätzlich für alle in der EU-ansässigen Organisationen gelten. Allerdings bedeutet ihre Anwendung, dass sie effektiv eine globale Regelung ist, wenn Sie außerhalb der EU ansässig sind und an Kunden verkaufen, die in der EU leben.

Wenn Sie Kundendaten von EU-Bürgern, die in der EU leben, speichern, verarbeiten oder anderweitig nutzen und übertragen, müssen Sie DSGVO-konform sein, unabhängig von Ihrem Standort.

Die DSGVO umreißt die folgenden spezifischen Kriterien:

  • Unternehmen mit einer Präsenz in einem EU-Land. Zusätzlich zu Unternehmen, die ihren Hauptsitz in der EU haben, müssen Sie die Bestimmungen einhalten, wenn Sie ein globales Unternehmen mit Hauptsitz außerhalb der EU führen, aber ein Satellitenbüro in der EU haben.
  • Unternehmen, die keine Präsenz in der EU haben, aber Daten von EU-Bürgern verarbeiten. Wenn Sie zum Beispiel ein eCommerce-Händler mit Sitz außerhalb der EU sind und in die EU liefern, müssen Sie DSGVO-konform sein.

Wer ist für die Einhaltung der DSGVO in einem Unternehmen verantwortlich?

Die DSGVO definiert explizit drei Rollen, die Sie wahrnehmen müssen, um die Einhaltung der DSGVO zu gewährleisten.

  • Datenverantwortliche müssen definieren, wie Ihr Unternehmen personenbezogene Daten verarbeitet und wie Sie diese Daten nutzen. Ihr Datenverantwortlicher ist auch dafür verantwortlich, dass alle externen Auftragnehmer, mit denen Sie zusammenarbeiten, DSGVO-konform handeln.
  • Datenverarbeiter können eine interne Person oder Gruppe sein, die Daten und Aufzeichnungen pflegt und verarbeitet, oder ein Partner wie ein SaaS-Unternehmen, das Sie für die Datenverwaltung nutzen. Die DSGVO macht Datenverarbeiter ausdrücklich für Datenlecks oder die Nichteinhaltung der DSGVO verantwortlich. Sie müssen sich über die DSGVO-Compliance-Prozesse aller externen Partner im Klaren sein, denn wenn diese eines Verstoßes für schuldig befunden werden, können auch Sie bestraft werden.
  • Betriebliche Datenschutzbeauftragte (DSBs) sollten benannt werden, um Ihre Datensicherheitsstrategie zu verwalten und Ihre DSGVO-Compliance zu überwachen. Die DSGVO besagt, dass Sie einen Datenschutzbeauftragten haben müssen, wenn Sie bestimmte Bedingungen erfüllen, aber die Bedingungen bedeuten effektiv, dass jedes Unternehmen einen braucht.

Unternehmen müssen nicht unbedingt spezielle Einstellungen für diese Rollen vornehmen. Ein bestehendes Teammitglied kann jede Funktion ausüben, solange es sich seiner Verantwortung bewusst ist. Es ist jedoch üblich, dass Personen in leitenden Positionen oder bestehenden Abteilungen, wie z. B. Legal Compliance, diese Aufgaben übernehmen.

Welche Rechte gibt die DSGVO den Verbrauchern und Nutzern?

Die DSGVO nennt ausdrücklich acht Rechte, die für alle Nutzer in Bezug auf ihre Daten gelten. Wenn die DSGVO auf Ihr Unternehmen zutrifft, müssen Sie, basierend auf den zuvor beschriebenen Szenarien, diese Rechte respektieren und erfüllen, um DSGVO-konform zu handeln.

Die acht Rechte und was sie beinhalten sind:

1. Das Recht auf Zugang

Das Recht auf Zugang gibt Einzelpersonen das Recht, Sie um Zugang zu allen Daten zu bitten, die Sie über sie gespeichert haben. Einzelpersonen können auch fragen, wie Sie Daten verwenden, speichern oder verarbeiten und ob und wie Sie sie an andere Unternehmen weitergeben. Sie müssen jeder Person, die diese Daten anfordert, eine elektronische Kopie der von Ihnen gespeicherten Daten und alle zusätzlich angeforderten Informationen kostenlos zur Verfügung stellen.

2. Das Recht, informiert zu werden

Das Recht, informiert zu werden, bedeutet, dass Sie Personen darüber informieren müssen, dass Sie Daten sammeln und verarbeiten, bevor Sie dies tun. Dieses Recht bedeutet auch, dass Sie eine ausdrückliche Zustimmung einholen müssen, bevor Sie dies tun. Dies war eine besonders wichtige Änderung gegenüber der Datenschutzrichtlinie, in der eine stillschweigende Zustimmung als ausreichend angesehen wurde. Einzelpersonen mussten der Datenverarbeitung widersprechen, anstatt dass Sie sie fragen mussten, ob sie damit einverstanden sind.

3. Das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit gibt Nutzern das Recht, ihre Daten von einem Ort zu einem anderen zu übertragen, wann immer sie wollen.

4. Das Recht auf Vergessenwerden

Das Recht auf Vergessenwerden gibt Nutzern das Recht, die Zustimmung zur Speicherung und Verwendung ihrer Daten zu widerrufen und die Löschung der von Ihnen gespeicherten Daten zu verlangen.

5. Das Widerspruchsrecht

Das Widerspruchsrecht gibt Nutzern das Recht, der Verwendung ihrer Daten durch Sie zu widersprechen und Sie aufzufordern, diese sofort einzustellen. Seien Sie sich bewusst, dass es keine Ausnahmen von diesem Recht gibt. Es gibt keine Möglichkeit für Sie, die Daten weiter zu verwenden oder eine Einwilligung zu unterstellen. Sie müssen einer solchen Aufforderung sofort nachkommen.

6. Das Recht, die Verarbeitung einzuschränken

Das Recht, die Verarbeitung einzuschränken, ermöglicht es Nutzern, Sie aufzufordern, die gesamte Datenverarbeitung oder eine bestimmte Art der Datenverarbeitung zu stoppen, während Sie ihre Daten weiterhin speichern können, wenn sie damit einverstanden sind.

7. Das Recht, benachrichtigt zu werden

Das Recht, benachrichtigt zu werden, wenn eine Datenschutzverletzung vorliegt, die ihre Daten gefährdet. Dementsprechend müssen Sie die Nutzer innerhalb von 72 Stunden, nachdem Sie die Verletzung entdeckt haben, darüber informieren.

8. Das Recht auf Berichtigung

Das Recht auf Berichtigung erlaubt es den Nutzern, Sie zu bitten, alle Daten, die Sie über sie gespeichert haben, zu aktualisieren, zu korrigieren oder Lücken in ihren Datensätzen zu schließen.
Obwohl die Rechte den Verbrauchern die Möglichkeit geben, genau zu kontrollieren, wie Sie ihre Daten verwenden, muss keines der Rechte Ihr Unternehmen erheblich belasten.

Wie wird die DSGVO durchgesetzt, und was sind die Strafen für die Nichteinhaltung?

Obwohl die DSGVO eine EU-Richtlinie ist, wird die Durchsetzung von verschiedenen Aufsichtsbehörden auf der ganzen Welt gehandhabt. Die meisten Länder innerhalb der EU haben nationale Datenschutzbehörden, während Nicht-EU-Länder mit der EU zusammenarbeiten, um die Einhaltung zu gewährleisten.

Strafen für die Nichteinhaltung sind gestaffelt, wobei nur wiederholte oder schwerwiegende einmalige Verstöße voraussichtlich zu den maximalen Bußgeldern führen, die größer sind als:

  • 4% des weltweiten Umsatzes.
  • 24,4 Millionen Dollar.

Während Ihr Unternehmen möglicherweise investieren muss, um sicherzustellen, dass Sie DSGVO-konform agieren, ist es unwahrscheinlich, dass Sie auch nur annähernd so viel ausgeben werden, wie Sie an Strafen für die Nichteinhaltung zahlen müssten.

Sieben Best Practices für die Einhaltung der DSGVO 

Mit den vielen Richtlinien scheint es auf den ersten Blick recht unüberschaubar, wie Sie ihre Kundendaten DSGVO-konform verwalten können. Allerdings gibt es einige Möglichkeiten einer möglichen Datenschutzverletzung vorzubeugen.

Befolgen Sie diese sieben Best Practices, damit Sie DSGVO-konform bleiben:

1. Stellen Sie sicher, dass Ihre Datenschutzrichtlinien auf dem neuesten Stand sind

Die meisten Menschen werden sie nie lesen, und Sie hoffen, dass Sie sie nie verwenden müssen, um sich vor Gericht zu verteidigen. Dennoch ist es wichtig, Ihre Datenschutzrichtlinien auf dem neuesten Stand zu halten. Stellen Sie daher sicher, dass Sie regelmäßige Überprüfungen einplanen.

2. Führen Sie Team-Schulungen durch

Auch wenn Teammitglieder nicht direkt mit Daten arbeiten, die Sie von Kunden oder Website-Nutzern sammeln, stellen Sie sicher, dass sie sich der DSGVO bewusst sind und wissen, was Sie tun, um die Einhaltung der Vorschriften zu gewährleisten.

3. Erstellen Sie einen Plan für Datenschutzverletzungen und testen Sie ihn!

Sie testen regelmäßig Dinge wie Ihre Feueralarme, also stellen Sie sicher, dass Sie auch Ihren Plan für Datenschutzverletzungen testen. Wer ist für die Meldung von Datenschutzverletzungen verantwortlich, wem müssen sie gemeldet werden und wer sollte mit Personen kommunizieren, deren Daten beeinträchtigt wurden?

4. Halten Sie Ihr “Dateninventar” auf dem neuesten Stand

Wenn Sie nachweisen können, dass Sie die ausdrückliche Zustimmung zur Speicherung und Nutzung von Daten haben, sollte dies einfach sein. Wenn Sie Backups von Benutzerdaten aufbewahren, stellen Sie sicher, dass Sie auch mit diesen umgehen, wenn Personen Sie bitten, ihre Daten zu löschen. Sie wollen sich bestimmt keine Strafe einhandeln, nur weil Sie vergessen haben, Daten in einem Backup zu löschen, die Sie dann doch noch brauchen!

5. Behalten Sie Ihre Sicherheitsinfrastruktur im Auge

Am einfachsten ist es, Sicherheitssoftware und -plattformen zu finden, die DSGVO-konform sind, und diese in Ihrem Unternehmen zu verwenden.

6. Stellen Sie sicher, dass alle Partner DSGVO-konform sind

Erinnern Sie sich daran, dass Sie auch eine Strafe zahlen müssen, wenn Sie etwas wie eine CRM-Plattform zum Speichern von Daten verwenden und der Dienstleister gegen die DSGVO verstößt. Machen Sie Ihre Hausaufgaben und vergewissern Sie sich, dass Ihre Partner in jedem Vertrag angeben, dass sie DSGVO-konform sind.

7. Behalten Sie das gleiche Maß an Datenschutz bei, wenn Sie Daten außerhalb der EU übertragen oder verwenden

Dies ist ein wichtiges Anliegen für globale Unternehmen. Die DSGVO besagt, dass Sie das gleiche Datenschutzniveau für EU-Bürger aufrechterhalten müssen, auch wenn die Daten außerhalb der EU übertragen oder verwendet werden. In diesem Sinne ist es sinnvoll, die DSGVO in Ihrem gesamten Unternehmen zu befolgen. Vor allem, wenn Sie Daten von EU- und Nicht-EU-Kunden am gleichen Ort speichern.

Wie Sie LogPoint für die Einhaltung der DSGVO nutzen können

LogPoint macht es Ihrem Unternehmen leichter, die Anforderungen der DSGVO zu erfüllen und gibt sowohl Ihnen als auch Ihren Kunden Vertrauen in die Art und Weise, wie Sie personenbezogene Daten speichern und verwenden. Wir helfen Ihnen bei der Speicherung von Daten, zusammen mit der Überwachung Ihrer Netzwerke und Anwendungen, um sicherzustellen, dass Sie potenzielle Datenschutzverletzungen oder Versuche, auf Ihre Daten zuzugreifen, identifizieren können. Unsere Analysen ermöglichen es Ihrem Sicherheitsteam außerdem, alle potenziellen Probleme proaktiv zu überwachen, einschließlich der Erstellung und Änderung von Datendateien.

Erfahren Sie mehr darüber, wie wir Ihnen bei der Einhaltung der DSGVO helfen können oder schauen Sie sich unsere Anwendungsfälle für ein konkretes Beispiel an, wie Sie LogPoint in Ihrem Unternehmen einsetzen können.

Kontaktieren Sie LogPoint

Setzen Sie sich mit uns in Verbindung und erfahren Sie, warum sich führende Marken für LogPoint entscheiden: