Wo ist DSGVO anwendbar und muss meine Organisation konform sein?
Die Datenschutz-Grundverordnung (DSGVO) ersetzt die eigentliche Richtlinie (Datenschutzrichtlinie 95/46/EG). Sie wird nicht vor dem 25. Mai 2018 gelten, aber sie erfordert von Unternehmen sofort mit der Vorbereitung zu beginnen, unter der Berücksichtigung, dass die Umsetzung einiger Verpflichtungen langwierig und zeitaufwändig sein könnte.
Was sind personenbezogene Daten?
Auf der Grundlage der Definitionen in Artikel 2 der 95/46/EG Richtlinie, handelt es sich bei personenbezogenen Daten um Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); eine identifizierbare Person ist eine Person, die direkt oder indirekt, insbesondere unter Bezugnahme auf eine Identifikationsnummer oder einen oder mehrere Faktoren, die für ihre physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind, identifiziert werden kann.
Was ist die EU-Datenschutz-Grundverordnung (EU DSGVO)?
Seit 1995 hat die europäische Gesetzgebung die alte Richtlinie (Datenschutzrichtlinie 95/46/EG) nicht aktualisiert – diese Richtlinie wurde in den Mitgliedsländern umgewandelt, was zu einer Differenzierung der Regeln zwischen den verschiedenen Ländern der Europäischen Union führte.
Diese neue Verordnung (EU DSGVO) wurde am 14. April 2016 vom Europäischen Parlament und vom Europarat verabschiedet. Sie wird in jedem Land direkt angewandt, woraus hervorgeht, dass in allen EU-Ländern die Bürger die gleichen Rechte auf Privatsphäre haben.
Einige der wichtigsten Punkte der EU DSGVO sind:
- Unter Berücksichtigung der Art und des Zwecks der Datennutzung sind sowohl diejenigen, die den Zweck und die Mittel zur Verarbeitung personenbezogener Daten bestimmen (Datenverantwortlicher) und denjenigen die Daten verwalten (Auftragsverarbeiter) um die EU DSGVO einzuhalten, gezwungen organisatorische Maßnahmen und Techniken zu implementieren, um ein angemessenes Maß an Datensicherheit in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme, die sie unterstützen, sowie die regelmäßige Validierung der Wirksamkeit dieser Maßnahmen zu erreichen.
- Über die EU-Unternehmen hinaus deckt die EU DSGVO Unternehmen außerhalb der EU ab, die Waren und Dienstleistungen betroffenen Personen der EU anbieten („eine identifizierte oder identifizierbare Person, auf die sich die „personenbezogenen Daten“ beziehen), auch wenn der Service kostenlos angeboten wird, oder die Verhaltensweisen von betroffenen Personen innerhalb der EU überwachen.
- Durch die neue Verordnung müssen Organisationen die Datenerhebung und -speicherung minimieren und die Zustimmung von Konsumenten bei der Datenverarbeitung erhalten. Mit anderen Worten, sie müssen die Sammlung von Konsumentendaten minimieren, mit wem sie die Daten teilen und minimieren wie lange sie erhalten bleiben. Ziel ist es, dass Organisationen nur Informationen sammeln oder speichern, die sie für den vorgesehenen Zweck benötigen, insbesondere im Hinblick auf personenbezogene Daten.
- Die EU DSGVO hat die bisherige Richtlinie gestärkt, so dass das Recht, von den Eigentümern der personenbezogenen Daten vergessen zu werden und die Löschung ihrer Daten durch Organisationen, einschließlich veröffentlichter Daten im Internet zu verlangen erlaubt wird. In der EU DSGVO heißt es: „Der (…) Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, insbesondere in Bezug auf personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war und die betroffene Person hat das Recht, die Löschung personenbezogener Daten, die ihn betreffen, ohne unnötige Verzögerung bei dem zuständigen Verantwortlichen in Auftrag zu geben.“
- Im Falle einer Schutzverletzung der persönlichen Daten muss das Unternehmen die für diesen Zweck zuständige Organisation, die Datenschutzbehörde (DSB) („nationale Aufsichtsbehörde“, die in völliger Unabhängigkeit handelt und die Überwachung der Anwendung der Datenschutzvorschriften auf nationaler Ebene durchführt“) innerhalb von 72 Stunden nach Feststellung der Schutzverletzung benachrichtigen. Die obligatorische Benachrichtigung der betroffenen Personen hängt von der Möglichkeit des unbefugten Zugriffs auf Informationen ab. Eine Benachrichtigung muss nicht an die Datenschutzbehörde erfolgen, wenn es unwahrscheinlich ist, dass durch die Schutzverletzung ein Risiko für die Rechte und Freiheiten von Einzelpersonen entstanden ist.
- Wenn sich die Organisation in großem Umfang mit speziellen Kategorien personenbezogener Daten befasst, muss sie einen Datenschutzbeauftragten (DSB) als Teil ihres Vorstandes ernennen.
- Wenn diese Maßnahmen nicht erfüllt werden, drohen hohe Strafen – bis zu 20 Millionen Euro oder im Falle von Unternehmen bis zu 4% des Jahresumsatzes je nachdem welcher Betrag höher ist.
Muss meine Organisation die EU DSGVO einhalten?
Für den Schutz personenbezogener Daten gibt es zwei Arten von Zuständigkeiten: Daten „Verantwortlicher“ und Daten „Auftragsverarbeiter“.
Es ist auch darauf hinzuweisen, dass die personenbezogenen Daten von Arbeitnehmern im Geltungsbereich dieser Verordnung enthalten sind.
Die Organisationen, die die EU DSGVO einhalten müssen, sind:
- Unternehmen (Verantwortliche und Auftragsverarbeiter) mit Sitz in der EU, unabhängig davon, ob die Verarbeitung innerhalb der EU erfolgt oder nicht.
- Unternehmen (Verantwortliche und Auftragsverarbeiter), die nicht in der EU ansässig sind und Waren oder Dienstleistungen innerhalb der EU oder für EU-Bürger anbieten.
Wie können sich Organisationen vorbereiten?
Die Auswirkungen der EU DSGVO führen dazu, dass der Schutz personenbezogener Daten für das Top-Management von Organisationen eine zentrale Rolle spielen muss. Es ist von grundlegender Bedeutung, dass Richtlinien auf der Grundlage eines Rechenschaftsrahmens und transparenter Regeln vorbereitet werden, um eine rasche Reaktion auf Sicherheitsvorfälle und damit verbundene Datenverluste zu gewährleisten.
Die Einführung von Standards wie der ISO / IEC 27001 Informationssicherheit wird die Grundlage sein, um eine schnelle Einhaltung der EU DSGVO zu erzielen.
Um mehr darüber zu erfahren wie ISO 27001 Ihnen beim persönlichen Datenschutz helfen kann, lesen Sie unser kostenloses Whitepaper Privacy, cyber security, and ISO 27001 – How are they related?