DSGVO-Blog verstehen

Ein praktischer Leitfaden zur Einhaltung des Datenschutzes: Verständnis und Anwendung der DSGVO-Grundsätze und -Anforderungen

Datenschutz hat für Unternehmen und Privatpersonen höchste Priorität. Bei komplexen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) kann die Einhaltung der Vorschriften eine Herausforderung darstellen. Tatsächlich, Bisher wurden über 359 Millionen Euro an erheblichen DSGVO-Bußgeldern verhängt. Sie müssen Ihre Verpflichtungen verstehen und diese Vorschriften einhalten und gleichzeitig die Privatsphäre Ihrer Kunden und Mitarbeiter schützen.

Und obwohl viele Organisationen behaupten, darauf vorbereitet zu sein Datenschutzbestimmungen, müssen sie möglicherweise noch alle erforderlichen Maßnahmen ergreifen, um solche Ansprüche zu rechtfertigen.

Laut einer Umfrage der Anwaltskanzlei Womble Bond Dickinson unter 205 Wirtschaftsführern in Großbritannien und den USA könnten viele Unternehmen nach außen gerichtete Maßnahmen ergreifen, wie etwa die Platzierung eines Cookie-Banners auf ihrer Website oder die Aktualisierung des Datenschutzes Politik durchzulesenNur 34 % aller Befragten geben an, dass sie Datenmapping durchgeführt haben und die Datenpraktiken im gesamten Unternehmen verstehen.

„Unternehmen sind oft nicht ausreichend ausgestattet und müssen sich auf kosmetische Veränderungen konzentrieren, indem sie öffentlich zugängliche Inhalte aktualisieren; Dies beseitigt jedoch nicht die unvermeidliche Notwendigkeit, Back-End-Anforderungen zu entwickeln, um die Compliance-Anforderungen tatsächlich umzusetzen“, sagt Tara Cho, Partnerin und Vorsitzende des Datenschutz- und Cybersicherheitsteams für Womble Bond Dickinson (USA).

Wie kommen Unternehmen also durch das Labyrinth der Datenschutzbestimmungen?

DSGVO-Grundsätze und Compliance

Das DSGVO beschreibt sieben wichtige Grundsätze der Datenverarbeitung: Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbeschränkung, Sicherheit (Integrität und Vertraulichkeit) und Rechenschaftspflicht. Diese Grundsätze bilden den Kern des Datenverarbeitungsansatzes einer Organisation. Personenbezogene Daten müssen rechtmäßig, fair und transparent erhoben und verarbeitet werden. Sie sollten für bestimmte, legitime Zwecke erlangt und nicht auf unvereinbare Weise verwendet werden. Die gesammelten Daten sollten relevant, begrenzt und genau sein. Es müssen Maßnahmen ergriffen werden, um Ungenauigkeiten zeitnah zu beheben.

Die Informationen der betroffenen Personen sollten nur so lange aufbewahrt werden, wie es für die Verarbeitungszwecke erforderlich ist. Es müssen Sicherheitsmaßnahmen zum Schutz vor unbefugter Verarbeitung, Verlust oder Beschädigung vorhanden sein. Organisationen müssen Compliance nachweisen.

Abgesehen von diesen Grundsätzen deckt die DSGVO verschiedene Aspekte ab, darunter besondere Verarbeitungsszenarien, Datenübermittlungen, Rechtsbehelfe, Haftung und Strafen.

Laut Louise Brooks, Leiterin der Beratung bei DQM GRCDie britische DSGVO basiert auf Grundsätzen, was bedeutet, dass es keine vorgeschriebene Liste von Geboten und Verboten gibt. 

„Eine Organisation muss den Rahmen berücksichtigen, den die britische DSGVO bietet, und ihn entsprechend dem Kontext ihres Geschäfts umsetzen. Wir stellen fest, dass Kunden mit diesem Konzept Schwierigkeiten haben können“, sagt sie.

„Außerdem kann es manchmal schwierig sein, eine positive Compliance-Kultur zu etablieren, die Unternehmen in die Lage versetzt, die richtigen Entscheidungen in Bezug auf den Datenschutz zu treffen. Wir stellen oft fest, dass Datenschutz eher ein Hindernis als ein Faktor ist, der die Verwirklichung von Geschäftszielen ermöglicht. Die richtige Kultur in einer Organisation erleichtert die Zusammenarbeit und stellt sicher, dass Datenschutz die Grundlage für alle Geschäftsaktivitäten ist, bei denen es um personenbezogene Daten geht.“

Individual Rechte

Die DSGVO gewährt Einzelpersonen mehrere Rechte, die ihnen bei der Kontrolle ihrer personenbezogenen Daten helfen sollen.

Diese Rechte umfassen das Recht auf Information, das Recht auf Zugang, das Recht auf Berichtigung, das Recht auf Löschung (auch bekannt als das Recht auf Vergessenwerden), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch.

Organisationen müssen klare Datendetails bereitstellen – was gesammelt wird, Nutzung, Weitergabe. Einzelpersonen können ihre verarbeiteten Daten anfordern für Richtigkeits- und Rechtmäßigkeitsprüfungen. Ungenauigkeiten können korrigiert werden. Anträge auf Datenlöschung gelten, wenn dies nicht erforderlich ist oder die Einwilligung widerrufen wird.

Die Nutzung personenbezogener Daten kann eingeschränkt sein, z. B. wegen bestrittener Richtigkeit oder unrechtmäßiger Verarbeitung. Einzelpersonen können ihre Daten wiederverwenden und sie sicher zwischen Organisationen übertragen. Einige Datenverarbeitungen, wie zum Beispiel Marketing, können abgelehnt werden. Diese Rechte verstärken die Kontrolle personenbezogener Daten und fördern Fairness und Transparenz.

Brooks sagt, wenn es um Anfragen zu Rechten betroffener Personen geht, „sollte eine Organisation zunächst verstehen, welche Rechte für welche ihrer Verarbeitungsaktivitäten gelten.“

„Dies ist wichtig, weil es Organisationen hilft zu verstehen, wo sich die Daten der einzelnen Personen innerhalb der Organisation befinden, zum Beispiel in welchen Systemen, von welchen Teams verwendet und wofür sie verwendet werden“, fügt sie hinzu.

Rechtsgrundlage für die Verarbeitung

Die DSGVO schreibt gültige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, die sechs Grundlagen umfassen: Einwilligung, Vertragserfüllung, berechtigtes Interesse, lebenswichtiges Interesse, rechtliche Anforderung und öffentliches Interesse.

Zustimmung beinhaltet die ausdrückliche Erlaubnis für eine bestimmte Datenverarbeitung, die sich durch Freiheit, Spezifität, Information und Klarheit auszeichnet.

Die Erfüllung eines Vertrags die Datenverarbeitung zur Erfüllung oder Anbahnung eines Vertrags auf Wunsch einer Person erforderlich ist.

Legitimes Interesse rechtfertigt die Datenverarbeitung für organisatorische Zwecke oder Zwecke Dritter, sofern dem nicht die Rechte des Einzelnen entgegenstehen.

Lebenswichtiges Interesse beinhaltet die Datenverarbeitung zum Schutz des Lebens einer Person oder einer anderen Person.

Gesetzliche Vorschrift fordert die Datenverarbeitung zur Einhaltung organisatorischer rechtlicher Verpflichtungen.

Öffentliches Interesse eine Datenverarbeitung zur Erfüllung öffentlicher Aufgaben oder zur Ausübung öffentlicher Gewalt erforderlich ist.

Vor der Verarbeitung personenbezogener Daten müssen Organisationen deren Daten ermitteln und dokumentieren Rechtsgrundlage. Diese Grundlage liegt in der DSGVO oder anderen relevanten Gesetzen innerhalb der Europäischen Union oder der Mitgliedstaaten.

Datensicherheit

Die DSGVO legt Wert auf Datensicherheit und schreibt strenge Verarbeitungsmaßnahmen vor. Diese gewährleisten durch geeignete technische und organisatorische Maßnahmen den Schutz vor unbefugter Verarbeitung, Verlust und Beschädigung.

Organisationen berücksichtigen Risikoanalysen, Richtlinien und physische/technische Maßnahmen für die Datensicherheit. Maßnahmen gewährleisten die Vertraulichkeit, Integrität und zeitnahe Wiederherstellung der Daten nach Vorfällen.

Beispiele: Zugangskontrollen, Verhinderung von Datenverlust, Verschlüsselung, Pläne zur Reaktion auf Vorfälle, Risikomanagement Dritter und physische/logische Maßnahmen.

Regelmäßige Überprüfungen und Tests sind für eine wirksame Sicherheit unerlässlich. Compliance fördert das Vertrauen der Stakeholder und schafft Vertrauen.

Rechenschaftspflicht und Governance

Der Grundsatz der Rechenschaftspflicht ist einer der entscheidenden Grundsätze der DSGVO. Organisationen müssen die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen und andere DSGVO-Grundsätze einhalten. Dazu gehört die Verpflichtung, die Einhaltung durch dokumentierte Verfahren und Routinen nachzuweisen.

Organisationen müssen für ihre Datenerhebungs-, Verarbeitungs- und Speicheraktivitäten verantwortlich sein und nachweisen können, dass sie die erforderlichen Maßnahmen zur Einhaltung der DSGVO-Verpflichtungen ergriffen haben. Dies kann durch geeignete technische und organisatorische Strategien realisiert werden. Diese Strategien umfassen:

  • Die Annahme und Umsetzung von Datenschutzrichtlinien
  • Umsetzung der Philosophie „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“.
  • Abschluss formeller Verträge mit Drittunternehmen, die personenbezogene Daten verarbeiten
  • Führung umfassender Aufzeichnungen über Verarbeitungstätigkeiten
  • Bereitstellung angemessener Sicherheitsprotokolle
  • Dokumentation und Kommunikation von Verstößen gegen den Schutz personenbezogener Daten nach Bedarf
  • Durchführung von Datenschutzfolgenabschätzungen für Situationen, die erhebliche Risiken für die Rechte des Einzelnen mit sich bringen
  • Benennung eines Bei Bedarf einen Datenschutzbeauftragten beauftragen
  • Einhaltung einschlägiger Verhaltenskodizes bei gleichzeitiger Anmeldung zu Zertifizierungsprogrammen.

 

Es bestehen fortlaufend Rechenschaftspflichten und Organisationen müssen ihre Maßnahmen in angemessenen Abständen überprüfen und aktualisieren. Implementierung eines Datenschutzmanagements Das Rahmenwerk kann Maßnahmen zur Rechenschaftspflicht einbetten und eine Kultur der Privatsphäre im gesamten Unternehmen schaffen. Rechenschaftspflicht kann dazu beitragen, Vertrauen bei Einzelpersonen aufzubauen und Durchsetzungsmaßnahmen zu erleichtern.

Internationale Datenübertragungen

Die DSGVO umfasst die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen. Übertragungen außerhalb des EWR sind eingeschränkt, sofern keine Schutz- oder Ausnahmeregelungen gelten.

Verantwortliche und Auftragsverarbeiter benötigen eine Vereinbarung mit definierten Kriterien gemäß DSGVO. Die Übermittlung personenbezogener Daten in Länder ohne angemessenen Schutz erfordert „angemessene Schutzmaßnahmen“, die durchsetzbare Rechte und Rechtsbehelfe für Einzelpersonen gewährleisten.

Angemessene Schutzmaßnahmen können Mechanismen wie Standardvertragsklauseln, verbindliche Unternehmensregeln oder genehmigte Verhaltenskodizes oder Zertifizierungsmechanismen umfassen. Darüber hinaus erlauben mehrere Ausnahmen die Übermittlung personenbezogener Daten außerhalb des EWR ohne angemessene Garantien, wie z. B. die ausdrückliche Einwilligung des Einzelnen, die Erfüllung eines Vertrags, wichtige Gründe des öffentlichen Interesses oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Mit dem Inkrafttreten des neuen EU-US-Datenschutzrahmens und der Abkehr einiger Organisationen Standardvertragsklauseln (SCCs) ist es wichtig zu beachten, dass ein neuer Mechanismus namens „Datenbrücke“ für die Übermittlung personenbezogener Daten zwischen der EU und den USA verwendet werden kann. Das Vereinigte Königreich und die USA haben sich grundsätzlich darauf geeinigt, eine zu schaffen „Datenbrücke“ zwischen den beiden Ländern. Dieser Mechanismus würde es rund 55,000 britischen Unternehmen erleichtern, Daten ohne umständliche Bürokratie oder Vorschriften frei an zertifizierte US-Organisationen zu übertragen.

Organisationen müssen sicherstellen, dass sie die Regeln für internationale Datenübertragungen einhalten und geeignete Mechanismen nutzen, um die Einhaltung sicherzustellen.

Ausnahmen

Die DSGVO sieht mehrere Ausnahmen vor, die unter bestimmten Umständen gelten können. Dazu gehören Ausnahmen für die nationale Sicherheit und Strafverfolgung, bestimmte Arten personenbezogener Daten, Journalismus und kreativen Ausdruck, wissenschaftliche oder historische Forschung, Aktivitäten außerhalb des Geltungsbereichs des EU-Rechts, Informationen, die nicht in einem „Ablagesystem“ gespeichert sind, Finanzen, Management und Verhandlungen. öffentliches Interesse und häusliche Nutzung.

Beispielsweise gilt die DSGVO nicht, wenn eine Organisation nicht innerhalb der EU tätig ist, keine personenbezogenen Daten verarbeitet oder wenn sie Daten nur für inländische Zwecke verarbeitet. Darüber hinaus bestehen Ausnahmen für die Verarbeitung personenbezogener Daten zu journalistischen Zwecken oder zur wissenschaftlichen, künstlerischen oder literarischen Äußerung Zwecke.

Organisationen müssen sorgfältig abwägen, ob Ausnahmen für ihre Verarbeitungstätigkeiten gelten, und alle anderen Anforderungen der DSGVO erfüllen, wenn keine Ausnahme gilt.

Einhaltung von ISO 27001 und DSGVO

ISO 27001 ist ein internationaler Standard für Informationssicherheit Managementsystem (ISMS), das einen hervorragenden Ausgangspunkt für die Erreichung der technischen und betrieblichen Anforderungen bietet, die zur Reduzierung des Risikos eines Verstoßes erforderlich sind. Die EU-Datenschutz-Grundverordnung (DSGVO) verpflichtet Organisationen zur Umsetzung technischer und organisatorischer Maßnahmen, einschließlich Richtlinien, Verfahren und Prozesse, um die von ihnen verwendeten personenbezogenen Daten zu schützen Verfahren. Durch die Anwendung beider Standards können Sie die Datenschutz- und Informationssicherheitsanforderungen der DSGVO erfüllen und nachweisen, dass Sie diese einhalten.

Implementierung eines ISO 27001-ausgerichteten ISMS kann Organisationen dabei helfen, die Einhaltung der DSGVO kostengünstig zu erreichen, indem es einen Rahmen für die Verwaltung von Informationssicherheitsrisiken bereitstellt und die Einhaltung der technischen und organisatorischen Anforderungen der DSGVO nachweist. Durch die Implementierung beider Standards können Unternehmen sicherstellen, dass sie die Datenschutz- und Informationssicherheitsanforderungen der DSGVO und anderer Datenschutzgesetze erfüllen und gleichzeitig die Kosten minimieren.

Es muss jedoch anerkannt werden, dass diese Standards nicht alle Aspekte der DSGVO abdecken, wie etwa Einwilligung, Datenübertragbarkeit, das Recht auf Vergessenwerden und internationale Datenübertragungen. Daher müssen Organisationen ihre ISO-Frameworks durch andere Maßnahmen ergänzen, um eine vollständige DSGVO-Konformität sicherzustellen.

Kernprinzipien und Anforderungen der DSGVO für den Erfolg

Datenschutzbestimmungen wie die DSGVO mögen komplex erscheinen, aber das Verständnis der Grundprinzipien ist von entscheidender Bedeutung. Auf diese Weise können Unternehmen Compliance gewährleisten und die Privatsphäre von Kunden und Mitarbeitern schützen.

Denken Sie an diese Aspekte:

  • Begreifen Sie die rechtmäßigen Grundlagen der Datenverarbeitung.
  • Sichere persönliche Daten.
  • Verantwortlichkeit wahren.
  • Befolgen Sie die Regeln für die internationale Datenübertragung.
  • Respektieren Sie die individuellen Rechte und Ausnahmen der DSGVO.

Zu den praktischen Schritten gehören:

  • Lang Risikobewertungen.
  • Robuste Sicherheitsmaßnahmen.
  • Dokumentierte Verarbeitungsaufzeichnungen.
  • Klare Kommunikation mit Einzelpersonen.
  • Konsistente Compliance-Updates.

 

Durch die proaktive Einhaltung wächst das Vertrauen der Beteiligten und minimiert die Durchsetzungsrisiken.

Autor

Rene Millman

Rene Millman ist ein vielseitiger freiberuflicher Autor und Rundfunksprecher, der sich auf Cybersicherheit, KI, IoT und Cloud-Technologien spezialisiert hat. Neben seiner Rolle als beitragender Analyst bei GigaOm bringt er umfangreiche Erfahrung als ehemaliger Gartner-Analyst mit Schwerpunkt auf dem Infrastrukturmarkt mit. Rene Millman ist für sein Fachwissen bekannt und trat häufig im Fernsehen auf, um Einblicke und Analysen zu Technologietrends und einflussreichen Unternehmen zu geben, die unser tägliches Leben prägen. Bleiben Sie über Rene Millmans Erkenntnisse auf dem Laufenden, indem Sie ihm auf Twitter folgen.

Alle Beiträge von Rene Millman anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren