Für ein besseres Verständnis der Fachsprache können Sie unser Glossar zu Rate ziehen.
Was versteht die DSGVO unter personenbezogenen Daten?
Die EU-DSGVO gilt nur für personenbezogene Daten, d. h. für alle Informationen, die sich auf eine identifizierbare Person beziehen. Alles, was Ihre physische Anwesenheit an einem bestimmten Ort bestätigen kann, wird nach der Datenschutz-Grundverordnung ebenfalls als personenbezogene Daten eingestuft - dazu gehören z. B. Videoaufzeichnungen und Fingerabdrücke.
Was versteht die DSGVO unter sensiblen personenbezogenen Daten?
Die Datenschutz-Grundverordnung stuft bestimmte Arten sensibler personenbezogener Daten in eine "besondere Kategorie" ein, die mit besonderer Sicherheit behandelt werden muss. Dazu gehören Informationen über:
- Politische Meinungen
- Rasse oder ethnische Zugehörigkeit
- Religion oder philosophische Überzeugungen
- Sexualität oder das Sexualleben einer Person
- Mitgliedschaft in einer Gewerkschaft
- Genetische Informationen
- Biometrische Daten - wenn sie zur Identifizierung einer Person verarbeitet werden
Was sind die Strafen für die Nichteinhaltung der DSGVO?
Die DSGVO-Anforderungen werden von den nationalen Datenschutzbehörden der EU- und EWR-Mitgliedstaaten und durch private Klagen durchgesetzt - wie bei Max Schrems und seiner NYOB-Lobbygruppe.
Es wurde ein zweistufiges Sanktionssystem eingeführt. Unternehmen, denen ein Datenmissbrauch im Sinne der DSGVO nachgewiesen wird, können mit einer Geldstrafe belegt werden:
- bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes des Vorjahres - je nachdem, welcher Betrag höher ist
- bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist.
Für wen gilt die DSGVO?
Nach Angaben der Europäischen Kommission gilt die DSGVO für:
- ein Unternehmen oder eine Einrichtung, das/die personenbezogene Daten als Teil der Aktivitäten einer seiner/ihrer in der EU ansässigen Niederlassungen verarbeitet, unabhängig davon, wo die Daten verarbeitet werden oder,
- ein Unternehmen, das außerhalb der EU ansässig ist und (entgeltliche oder unentgeltliche) Waren/Dienstleistungen anbietet oder das Verhalten von Personen in der EU überwacht
Die Datenschutz-Grundverordnung gilt für Unternehmen, die Daten aus der Europäischen Union erheben oder in der Europäischen Union vermarkten oder die bereit sind, Bürger und Einwohner der Europäischen Union zu bedienen.
In der Praxis ist die Einhaltung der Vorschriften für jedes Unternehmen verpflichtend, das seine Webseite oder seine Dienste für EU-Bürger zugänglich macht.
Sie ist sogar für Unternehmen verpflichtend, die personenbezogene Daten von nur einer in der EU lebenden Person speichern - selbst wenn das Unternehmen keinen Sitz in der Union hat.
Für wen gilt die DSGVO nicht?
Da die DSGVO über den territorialen Geltungsbereich der Europäischen Union hinausreicht, ist die Zahl der formellen Ausnahmen von der DSGVO sehr gering:
- Unternehmen, die aktiv von der Verarbeitung von Daten von EU-Bürgern absehen
- Unternehmen, die Daten von EU-Bürgern verarbeiten, ohne die Betroffenen direkt anzusprechen oder ihr Verhalten zu überwachen
Die Europäische Kommission gibt an, dass einige Verpflichtungen der DSGVO nicht für Unternehmen gelten, bei denen die Verarbeitung personenbezogener Daten nicht zum Kerngeschäft gehört - wie etwa die Ernennung eines Datenschutzbeauftragten.
Informelle Ausnahmen von der DSGVO
Es gibt eine Reihe von Szenarien, die Unternehmen von der Aufsicht über die DSGVO befreien.
Wenn Sie nicht in der EU tätig sind, können Sie von der Datenschutz-Grundverordnung befreit werden, wenn Sie keine EU-Sprache oder -Währung verwenden oder sich nicht auf EU-Verbraucher beziehen - was angesichts der Verwendung einiger dieser Sprachen auf der ganzen Welt schwierig ist.
Außerdem müssen Sie sicherstellen, dass sich in der EU ansässige Personen nicht für ein Konto registrieren oder etwas kaufen können.
Wenn Ihr Unternehmen Daten erhebt, sind Sie möglicherweise ausgenommen, wenn Sie keine personenbezogenen Daten verarbeiten, d. h. alles, was zur Identifizierung einer Person verwendet werden kann. Anonyme Daten fallen ebenfalls nicht unter die Datenschutz-Grundverordnung.
Es gibt noch einige spezifische Szenarien, die nicht in den Geltungsbereich der DSGVO fallen - sie gelten nicht für viele Privatunternehmen und sind von EU-Land zu EU-Land unterschiedlich.
Insgesamt beziehen sie sich auf sehr spezifische Teile der Datenschutz-Grundverordnung. Es kann sein, dass bestimmte Unternehmen die gespeicherten personenbezogenen Daten nicht zur Verfügung stellen müssen oder dass sie bestimmte Informationen in ihrem Datenschutzhinweis nicht mitteilen müssen. Hier einige Beispiele:
- Die Strafverfolgung ist in bestimmten Situationen von der DSGVO ausgenommen.
- Der Journalismus ist von der DSGVO ausgenommen, wenn die Einhaltung der Vorschriften die Unterdrückung der Pressefreiheit bedeutet.
- Universitäten sind in bestimmten Fällen davon befreit, Studenten Zugang zu Prüfungsunterlagen zu gewähren.
Was sind die wichtigsten Grundsätze der DSGVO?
Artikel 5 legt sieben Grundsätze fest, die als übergreifender Rahmen für den Umgang mit personenbezogenen Daten dienen. Die für die Datenverarbeitung Verantwortlichen müssen diese Grundsätze einhalten und jederzeit in der Lage sein, ihre Einhaltung nachzuweisen.
1. Rechtmäßigkeit, Fairness und Transparenz
Rechtmäßigkeit bedeutet, dass Sie einen guten Grund für die Erhebung und Verarbeitung von Daten haben sollten.
Fairness bedeutet, dass Sie niemals absichtlich den Grund für die Erhebung und Verarbeitung von Daten verschweigen sollten, und bedeutet, dass Sie die Daten nicht falsch handhaben oder missbrauchen werden.
Transparenz bedeutet, dass Sie gegenüber den betroffenen Personen offen, klar und ehrlich darüber sind, wer Sie sind und was Sie mit den personenbezogenen Daten tun werden.
2. Zweckbindung
Die DSGVO besagt, dass personenbezogene Daten "für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden".
Sie müssen den Zweck der Datenerhebung klar festlegen, dies den Nutzern in einem Datenschutzhinweis mitteilen und sicherstellen, dass Ihre Aktivitäten innerhalb der festgelegten Grenzen bleiben. Ist dies nicht der Fall, müssen Sie die Zustimmung der Nutzer einholen, es sei denn, es gibt einen rechtlichen Präzedenzfall.
3. Datenminimierung
Dies bedeutet, dass Sie so wenig Daten wie möglich sammeln, um Ihr Ziel zu erreichen.
4. Korrektheit
Dies bedeutet, dass alle von Ihnen erfassten und gespeicherten Daten korrekt sind. Dies erfordert die Einrichtung von Systemen und regelmäßige Überprüfungen, um sicherzustellen, dass falsche Daten korrigiert, aktualisiert oder gelöscht werden.
5. Begrenzung der Speicherung
Die DSGVO zwingt Sie dazu, zu begründen, wie lange Sie personenbezogene Daten speichern. Dies kann durch die Festlegung einer Richtlinie zur Speicherbegrenzung und die Anonymisierung der Daten nach Ablauf des festgelegten Zeitraums geschehen.
6. Integrität und Vertraulichkeit (Sicherheit)
Dies bedeutet, dass Sie verpflichtet sind, personenbezogene Daten vor internen und externen Risiken zu schützen und sie vor unbefugter Verarbeitung sowie vor versehentlichem Verlust oder Beschädigung zu bewahren.
7. Rechenschaftspflicht
Unternehmen müssen über geeignete Prozesse, Verfahren und Unterlagen verfügen, um die Einhaltung der Datenverarbeitungsgrundsätze nachzuweisen, und die Aufsichtsbehörden sind befugt, jederzeit einen entsprechenden Nachweis zu verlangen.
Verständnis der DSGVO-Konformität
Die DSGVO hat einen neuen Standard für den Datenschutz von EU-Bürgern und -Einwohnern geschaffen und stellt eine Herausforderung für Unternehmen dar, die bei Nichteinhaltung hohe Geldstrafen riskieren.
Die DSGVO legt bestimmte Verpflichtungen fest, denen Unternehmen nachkommen müssen und die die Verwendung personenbezogener Daten einschränken.
Darüber hinaus werden acht Rechte für die betroffenen Personen definiert, die ihnen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten garantieren und ihnen letztlich mehr Autonomie über ihre personenbezogenen Daten und deren Verwendung geben.
Es reicht jedoch nicht aus, die DSGVO-Anforderungen zu befolgen. Sie fragen sich vielleicht, was die Einhaltung der DSGVO bedeutet?