Der wilde Westen des Internets ist vorbei, würde manch einer behaupten. Am 25.05.2018 trat die DSGVO (Datenschutz Grundverordung) in Kraft. Das Europaparlament hat beschlossen rund 100 neue Gesetzesartikel zum Thema Datenschutz rechtsgültig zu machen. Ein Verstoss gegen die DSGVO kann mit einer Busse von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes eines Unternehmens bestraft werden. Keine Panik, es gilt immer noch das Gesetz der Verhältnismässigkeit.

Warum betrifft das uns in der Schweiz?

Die DSGVO regelt den Besitz der Daten von EU-Bürgern. Insofern ist jedes Unternehmen, welches Daten von EU-Bürgern besitzt, von der DSGVO betroffen.

Wie kann man sich dagegen schützen?

Alle Webseiten von Gantrischweb werden bei der Erstellung mit einer Datenschutzerklärung ausgerüstet. Dabei handelt es sich um eine Standardvorlage, welche die wichtigsten Punkte abdeckt. Diese ist jedoch nicht als eine vollends rechtsgültige Datenschutzerklärung zu betrachten. Wir raten Ihnen einen Datenschutz-Beauftragten (einen Juristen) zu konsultieren um umfassende Sicherheit zu garantieren.

Mehr dazu finden Sie beim Bayrischen Landesamt für Datenschutzaufsicht.

Was regelt die DSGVO genau?

Verarbeitung nach Rechtmäßigkeit, Treu und Glauben und Transparenz

Von Unternehmen, die personenbezogene Daten verarbeiten wird verlangt personenbezogene Daten nach Rechtmäßigkeit, Treu und Glauben und Transparenz zu verarbeiten. Nun, was bedeutet dies? Lassen Sie uns folgendes verstehen:

  • Rechtmäßig bedeutet, dass die gesamte Verarbeitung auf einem legitimen Zweck beruhen muss.
  • Verarbeitung nach Treu und Glauben bedeutet, dass Unternehmen sich verantwortlich zeigen und Daten nicht über den legitimen Zweck hinaus verarbeiten.
  • Transparent bedeutet, dass Unternehmen die betroffenen Personen über die Verarbeitungstätigkeiten bezüglich ihrer personenbezogenen Daten informieren müssen.

Zweckbindung, Daten- und Aufbewahrungsdauerbegrenzung

Von Unternehmen wird erwartet, dass sie die Verarbeitung begrenzen, nur notwendige Daten erheben und keine personenbezogene Daten aufbewahren, nachdem der Verarbeitungszweck erfüllt ist. Dies würde effektiv die folgenden Anforderungen bringen:

  • personenbezogene Daten dürfen nicht für andere Zwecke als für den legitimen Zweck für den die personenbezogenen Daten erhoben wurden, verarbeitet werden
  • Verpflichtung, dass nur die notwendigen personenbezogenen Daten eingeholt werden
  • Aufforderung, dass personenbezogene Daten gelöscht werden, sobald der legitime Zweck, für den sie erhoben wurden, erfüllt ist.

Rechte betroffener Personen

Den betroffenen Personen wurde das Recht eingeräumt, beim Unternehmen nachzufragen, welche Informationen es über sie besitzt und was das Unternehmen mit diesen Informationen unternimmt. Darüber hinaus hat die betroffene Person das Recht, eine Berichtigung zu verlangen, der Verarbeitung zu widersprechen, eine Beschwerde einzureichen und sogar die Löschung oder Übertragung ihrer oder seiner personenbezogenen Daten zu verlangen.

Einwilligung

Wenn das Unternehmen beabsichtigt, personenbezogene Daten über den legitimen Zweck hinaus, für den diese Daten erhoben wurden, zu verarbeiten, muss eine klare und ausdrückliche Einwilligung der betroffenen Person eingeholt werden. Nach der Erfassung muss diese Einwilligung dokumentiert werden und die betroffene Person hat das Recht ihre Einwilligung jederzeit zu widerrufen.

Schutzverletzung personenbezogener Daten

Die Organisationen müssen ein Verzeichnis der Schutzverletzung personenbezogener Daten führen und die Aufsichtsbehörde und die betroffene Person müssen je nach Schweregrad innerhalb von 72 Stunden nach Feststellung der Schutzverletzung davon informiert werden.

Eingebauter Datenschutz

Unternehmen sollten bei der Entwicklung neuer Systeme und Prozesse, organisatorische und technische Mechanismen einbinden, um personenbezogene Daten zu schützen; Das heißt, Privatsphäre und Schutzaspekte sollten durch den Einbau standardmäßig gewährleistet sein.

Datenschutz-Folgenabschätzung

Um die Auswirkungen von Änderungen oder neuen Maßnahmen abschätzen zu können, sollte eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn ein neues Projekt, eine neue Änderung oder ein neues Produkt eingeführt wird. Die Datenschutz-Folgenabschätzung ist ein Verfahren, das durchgeführt werden muss, wenn bei der Verarbeitung personenbezogener Daten eine wesentliche Änderung vorgenommen wird. Diese Änderung kann ein neues Verfahren oder eine Änderung an einem vorhandenen Verfahren sein, das die Art, wie die Verarbeitung personenbezogener Daten stattfindet, abwandelt.

Datenübertragungen

Der für die Verarbeitung personenbezogener Daten Verantwortliche hat die Rechenschaftspflicht zu gewährleisten, dass personenbezogene Daten geschützt und die DSGVO-Anforderungen eingehalten werden, auch wenn die Verarbeitung von Dritten erfolgt. Dies bedeutet, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, den Schutz und die Vertraulichkeit personenbezogener Daten zu gewährleisten, wenn diese Daten außerhalb des Unternehmens an Dritte und/oder andere Stellen im selben Unternehmen übertragen werden.

Datenschutzbeauftragter

Wenn in einer Organisation eine erhebliche Verarbeitung personenbezogener Daten stattfindet, sollte die Organisation einen Datenschutzbeauftragten ernennen. Nachdem er beauftragt wurde, ist der Datenschutzbeauftragte dafür verantwortlich, das Unternehmen über die Einhaltung der Anforderungen der EU DSGVO zu informieren.

Bewusstsein und Schulung

Organisationen müssen das Bewusstsein der Mitarbeiter für die wichtigsten DSGVO-Anforderungen schaffen und regelmäßige Schulungen durchführen, um sicherzustellen, dass sich die Mitarbeiter so schnell wie möglich ihrer Verantwortung in Bezug auf den Schutz personenbezogener Daten und der Erkennung von Schutzverletzungen personenbezogener Daten bewusst werden.

Hinterlassen Sie einen Kommentar