DSGVO (GDPR)

TL; DR

Die Allgemeine Datenschutzverordnung (GDPR) ist eine der strengsten Datenschutz- und Sicherheitsvorschriften der Welt. Obwohl sie von der Europäischen Union ausgearbeitet und verabschiedet wurde, erlegt die Verordnung Organisationen unabhängig von ihrem Standort Verpflichtungen auf, solange sie auf Menschen in der EU abzielen oder Daten über sie sammeln. Die Verordnung ist am 25. Mai 2018 in Kraft getreten. Die GDPR sieht Geldstrafen für Verstöße gegen die Datenschutz- und Sicherheitsstandards vor, die sich auf mehrere zehn Millionen Euro belaufen können.

Was ist die GDPR?

Die GDPR (General Data Protection Regulation) ist ein Gesetz der Europäischen Union für den Datenschutz und den Schutz der Privatsphäre in der EU und dem EWR sowie für die Übermittlung personenbezogener Daten außerhalb der EU und des EWR. Der Hauptzweck der GDPR besteht darin , dem Einzelnen die Kontrolle über seine personenbezogenen Daten zu geben und das regulatorische Umfeld für internationale Angelegenheiten durch die Vereinheitlichung der Datenschutzgesetze in der Europäischen Union zu vereinfachen. Die Verordnung ist verbindlich, und alle Organisationen, die personenbezogene Daten speichern oder verarbeiten, müssen sie einhalten.

Die Regeln sind am 25. Mai 2018 in Kraft getreten und wurden in das Datenschutzgesetz 2018 aufgenommen. Die Verordnung gilt sowohl für "Betreiber" als auch für "Datenverarbeiter" und umfasst alte Vorschriften, die konsolidiert wurden, sowie eine Reihe von neuen Rechten für betroffene Personen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Daten, die sich auf eine Person beziehen, die direkt oder indirekt identifiziert werden kann, und die:

  • elektronisch verarbeitet werden;
  • in Archiven aufbewahrt werden;
  • Teil eines zugänglichen Informationspakets sind, z. B. Bildungsinformationen;
  • von einer Behörde aufbewahrt werden;
  • die nicht unbedingt personenbezogen sind, aber zu ihrer Identifizierung führen;
  • Beispiele: Name, E-Mail-Adressen, Standort, Religion, ethnische Zugehörigkeit, Geschlecht, in Web-Cookies gespeicherte Daten, IPs, politische Meinungen, biometrische Daten usw.

GDPR-Grundsätze

Personenbezogene Daten sollten auf faire, legale und transparente Weise verarbeitet werden.

  • Die Daten sollten für festgelegte und rechtmäßige Zwecke erhoben werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
  • Die Daten dürfen nicht übermäßig sein, d. h. es dürfen nur so viele Daten verarbeitet werden, wie unbedingt notwendig sind.
  • Die Daten müssen korrekt sein und, falls erforderlich, aktualisiert werden.
  • Die Daten sollten nicht länger als nötig gespeichert werden.
  • Die Daten müssen sicher aufbewahrt werden.
  • Die Führungskräfte sind dafür verantwortlich, welche Art von personenbezogenen Daten sie sammeln und wie sie diese verwenden. Mitarbeiter sollten personenbezogene Daten nicht außerhalb der Verfahren der Organisation offenlegen oder personenbezogene Daten anderer für ihre eigenen Zwecke verwenden.

Für wen gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung gilt für alle Organisationen, die in der EU tätig sind, sowie für alle Nicht-EU-Organisationen, die Waren oder Dienstleistungen für Kunden oder Unternehmen in der EU anbieten. Dies schließt jede Website ein, die direkt für eigene Zwecke oder indirekt für Anwendungen und Tools von Dritten (z. B. Google Analytics) Daten über ihre Besucher sammelt.

Eine Person, die Daten über eine andere Person auf einer persönlichen Ebene hat, wie zum Beispiel die Telefonnummer eines Familienmitglieds, die in einem Telefon gespeichert ist, muss die DSGVO für diese Daten nicht berücksichtigen.

up-arrow.svg