Was ist die DSGVO und wie schützt sie die Privatsphäre?

Im Original geschrieben von Patrick W. Dunne – freier Autor für Digital Privacy News  –  auf LinkedIn.

Im Jahr 2012 beschloss die Europäische Kommission, den Datenschutz in der Europäischen Union (EU) zu reformieren und an das Technologie-Zeitalter anzupassen. Nach jahrelangen Beratungen legte das Europäische Parlament die Allgemeine Datenschutz-Grundverordnung (DSGVO) vor, die veraltete Datenschutzgesetze aus dem Jahr 1995 ersetzen sollte. 2018 trat die DSGVO in Kraft.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die die digitalen Rechte der EU-Bürger in Bezug auf die Verarbeitung ihrer personenbezogenen Daten vereinheitlicht. Die Hauptziele der DSGVO sind folgende:

• Verbrauchern mehr Kontrolle über ihre privaten Daten geben
• Einblick in die Verarbeitung der persönlichen Daten durch Unternehmen erhalten
• Sicherstellen, dass Unternehmen diese Daten schützen
• Einheitliche Rechtlinien für alle EU-Staaten

Unternehmen, die gegen diese Verordnung verstoßen, müssen mit Strafen von bis zu 10 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens rechnen, je nachdem, welcher Betrag höher ist. Umsatzstarke Unternehmen erwarten empfindliche Strafen, wenn sie gegen die Vorschriften verstoßen.

Die bisher höchste Geldstrafe in Höhe von 50 Millionen Euro verhängte die französische Datenschutzbehörde CNIL, nachdem Google beschuldigt worden war, persönliche Daten zu Werbezwecken zu verarbeiten.

Für wen gilt die DSGVO? 

Die Datenschutz-Grundverordnung gilt für alle Unternehmen in der EU und für alle Unternehmen außerhalb der EU, die EU-Bürger als Kunden haben. Das bedeutet, dass Unternehmen mit globaler Reichweite – wie soziale Medien, Streaming-Plattformen, Online-Kaufhäuser und die meisten anderen Firmen, die im Internet aktiv sind – die DSGVO einhalten müssen.

In der DSGVO wird auch festgelegt, wer für die Verarbeitung von Daten innerhalb eines Unternehmens zuständig ist. Darunter fallen folgende Rollen:

• Die Datenverantwortlichen legen fest, wie und warum Daten verarbeitet werden. Zu ihren Aufgaben gehört auch, Datenpannen an Behörden zu melden, sicherzustellen das Drittparteien die DSGVO befolgen und Kunden auf Anfrage Dateneinsicht zu ermöglichen.
• Datenverarbeiter verarbeiten, wie der Name schon sagt, Daten. Sie unterstehen dem Datenverantwortlichen und melden Vorfälle. Die DSGVO verpflichtet die Datenverarbeiter zu hohen Standards und Verstöße fallen auf sie zurück.
• Die Datenschutzbeauftragten überwachen die Einhaltung der Datenschutz-Grundverordnung. Unternehmen müssen einen Datenschutzbeauftragten ernennen, wenn sie große Datenmengen verarbeiten, eine öffentliche Behörde sind oder Daten in einer Weise verarbeiten, die „eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“.

Einige Daten sind von der Verordnung nicht betroffen:

• Verarbeitete Daten in Bezug auf Haushalt und persönliche Angelegenheiten
• Datennutzung zur Bekämpfung oder Verhinderung von Straftaten
• Aktivitäten, die nicht unter EU-Recht fallen

Welche Daten werden durch die DSGVO geschützt?

Die DSGVO definitiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“

Diese Definition umfasst alle Identifizierungsmerkmale wie Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, aber auch IP-Adressen, genetische Daten, biometrische Daten, die politische Einstellung und Beiträge in sozialen Medien. Es spielt keine Rolle, ob die Daten öffentlich verfügbar sind und nur indirekte Bezüge hergestellt werden, die DSGVO gilt trotzdem.

Vor diesem Hintergrund schreibt die Datenschutz-Grundverordnung vor, dass Unternehmen Daten. mit „eingebautem Datenschutz“ verarbeiten müssen – alle Programme und Systeme müssen über einen eingebauten Datenschutz verfügen. So fördert die DSGVO beispielsweise die Pseudonymisierung. Bei der Pseudonymisierung wird der Name einer Person durch einen zufälligen Code aus Zeichen ersetzt. Auf diese Weise anonymisierte Daten sind im Falle eines Datenverlusts nicht ohne weiteres lesbar.

Unternehmen müssen Datenschutzverletzungen den zuständigen Behörden melden, sonst drohen hohe Geldstrafen. Verbraucher, die von solchen Verstößen betroffen sind, können von dem Unternehmen Schadenersatz verlangen. 

Welche individuellen Rechte entstehen aus der DSGVO?

Die DSGVO stärkt die Rechte der Nutzer, indem sie vorschreibt, wie Unternehmen sensible Datenschützen sollen. Zu diesen Rechten gehören das Recht auf Auskunft, das Recht auf Information und das Recht auf Vergessenwerden.

Recht auf Auskunft

Wie bereits erwähnt, können Verbraucher eine elektronische Kopie personenbezogener Daten von dem Datenverantwortlichen eines Unternehmens anfordern. Unternehmen müssen diese Daten innerhalb eines Monats zur Verfügung stellen. Wer das Auskunftsersuchen eines Nutzers ignoriert, dem drohen Geldstrafen.

Recht auf Information

Außerdem haben Kunden das Recht, zu erfahren

• wie Unternehmen Ihre Daten verarbeiten
• wie lange Daten gespeichert werden
• mit wem Daten geteilt werden

Unternehmen müssen diese Informationen so gestalten, dass sie klar, leicht auffindbar und einfach zu verstehen sind.

Das Recht auf Vergessenwerden

Eine der wichtigsten Regelungen ist das Recht auf Vergessenwerden. Dies gibt Menschen das Recht, die Löschung ihrer Daten zu verlangen. Nutzer können dieses Recht unter verschiedenen Umständen ausüben:

• Die Daten werden von dem Unternehmen nicht mehr benötigt.
• Das Unternehmen benötigt eine fortlaufende Zustimmung zur Nutzung der Daten
• Das Unternehmen verwendet die Daten für Marketingzwecke ohne die Zustimmung des Nutzers
• Das Unternehmen hat die Daten unrechtmäßig verarbeitet
• Das Unternehmen muss die Daten löschen, um geltendem Recht zu folgen.

Anträge können abgewiesen werden, z. B. bei der Verwendung von Daten aus öffentlichem Interesse oder aus rechtlichen Gründen.

Wie stellen Unternehmen sicher, die DSGVO einzuhalten?

Die Vorschriften der Datenschutz-Grundverordnung sind sehr umfassend, weswegen einige Unternehmen Schwierigkeiten bei der Einhaltung der Vorgaben haben könnten. Daher sollten Unternehmen die folgenden Maßnahmen ergreifen:

• Datenschutzbeauftragten ernennen. Die Position des Datenschutzbeauftragten muss nicht unbedingt neu ausgeschrieben werden. Es kann auch ein bereits angestellter Mitarbeiter ernannt werden. Externe Datenschutzbeauftragte haben unter Umständen eine bessere Kenntnis der DSGVO.
• Datenschutz planen. Die grundsärtzliche Idee dürfte jedem klar sein. Es ist aber wichtig, einem festen Plan zu folgen.
• Regelmäßige Überprüfung der Maßnahmen. Stellen Sie sicher, keine Sicherheitslücken offen zu lassen. Überprüfen Sie Ihr System regelmäßig auf Schwachpunkte.
• „Null Vertrauen“-Policy. Niemand sollte mit der Verarbeitung von Daten betraut werden. Ziel davon ist es, nur nach vorhergehender Überprüfung des Mitarbeiters sollte Zugang zu sensiblen Daten gewährt werden.
• Zugang nur zu benötigten Informationen. Eine gute Methode zur Vermeidung von Datenpannen ist es, Mitarbeitern gar nicht erst Zugriff auf unbenötigte Daten zu gewähren. Laut dem Varonis Report besitzen 53 % aller Unternehmen über 1.000 Dateien, auf die jeder Mitarbeiter zugreifen kann.

Als die DSGVO 2018 in Kraft trat, hatten Unternehmen alle Hände voll zu tun, ihre Datenschutzrichtlinien zu ändern. Kunden und Nutzer erhielten Berge an E-Mails mit Hinweisen auf Aktualisierungen der Datenschutzrichtlinien. StartMail hat damals keine E-Mails verschickt, weil unsere Richtlinien nicht aktualisiert werden mussten. StartMail hat Ihre persönlichen Daten von Anfang an korrekt geschützt! Klicken Sie hier, um mehr über die Datenschutzrichtlinien von StartMail zu erfahren.

Der Hauptsitz von StartMail befindet sich in den Niederlanden. Alle Nutzer (nicht nur aus der EU) sind durch strenge niederländische und europäische Datenschutzgesetze geschützt, einschließlich der DSGVO!

Holen Sie sich Ihre Privatsphäre zurück – mit StartMail. Jetzt 7 Tage kostenlos testen!