Was muss ich über die DSGVO-Gesetzgebung wissen?
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO oder GDPR auf Englisch). Das bedeutet, dass ab diesem Datum nur noch ein einziges Datenschutzgesetz in der gesamten EU gilt. Die Wbp gilt dann nicht mehr, aber die Grundprinzipien dieser Gesetzgebung bilden weiterhin den Kern der neuen DSGVO. Die Datenschutzbehörde überwacht die Einhaltung der gesetzlichen Vorschriften zum Schutz personenbezogener Daten.
Datenschutzgesetzgebung
Datenschutzgesetzgebung ist nichts Neues. In der Europäischen Union (EU) hat derzeit noch jeder Mitgliedstaat ein eigenes Datenschutzgesetz. Diese nationalen Gesetze basieren jedoch alle auf der europäischen Datenschutzrichtlinie aus dem Jahr 1995. In den Niederlanden ist die nationale Umsetzung dieser Richtlinie das Gesetz zum Schutz personenbezogener Daten (Wbp).
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO oder GDPR auf Englisch). Das bedeutet, dass ab diesem Datum nur noch ein einziges Datenschutzgesetz in der gesamten EU gilt. Die Wbp gilt dann nicht mehr, aber die Grundprinzipien dieser Gesetzgebung bilden weiterhin den Kern der neuen DSGVO. Die Datenschutzbehörde überwacht die Einhaltung der gesetzlichen Vorschriften zum Schutz personenbezogener Daten.
Was ist das allgemeine Ziel der DSGVO?
Das allgemeine Ziel der Datenschutz-Grundverordnung ist es, EU-Bürger im Bereich der Datenschutzregelungen und personenbezogenen Daten zu schützen. Die DSGVO gewährt Rechte in Bezug auf personenbezogene Daten, die mit Organisationen geteilt werden, die solche personenbezogenen Daten erheben, speichern und verarbeiten.
Für wen gilt die DSGVO?
Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern erhebt. Eine Organisation muss nicht in der EU ansässig sein, um den Anforderungen der DSGVO zu unterliegen. Wenn eine Organisation außerhalb der EU ansässig ist und personenbezogene Daten aus der EU erhebt, gilt die DSGVO für diese Organisation.
Was wird sich ändern?
Das neue DSGVO-Gesetz verschärft die Regeln des aktuellen Gesetzes zum Schutz personenbezogener Daten. Letztendlich bleibt vieles gleich. Datenminiminierung, das Recht auf Vergessenwerden, Informationspflichten und Auftragsverarbeitungsverträge standen immer schon im Gesetz, wenn auch manchmal unter anderen Bezeichnungen.
Auch eine gute Datenschutzpolitik, eine verständliche Datenschutzerklärung, klare Vereinbarungen zwischen Bearbeitern und Verantwortlichen sowie ein Verfahren für Datenpannen bleiben wichtig.
Viele bestehende Regelungen wurden in der neuen DSGVO erheblich verschärft, und eine Reihe neuer Verpflichtungen wurde hinzugefügt. Es wird stärker betont, dass Organisationen selbst dafür verantwortlich sind, das Gesetz einzuhalten und nachweisen zu können, dass sie sich daran halten.
Was kann ich selbst unternehmen?
Als Organisation können Sie jetzt bereits Schritte unternehmen, um sich auf die DSGVO vorzubereiten. Um Ihnen dabei zu helfen, hat die Datenschutzbehörde die 10 wichtigsten Schritte zusammengestellt.
Was sind personenbezogene Daten?
Die DSGVO legt fest, dass ein personenbezogenes Datum jede Information über eine identifizierte oder identifizierbare natürliche Person ist. Es gibt viele Arten von personenbezogenen Daten. Offensichtliche Daten sind Name, Adresse und Wohnort einer Person. Aber auch Telefonnummern und Postleitzahlen mit Hausnummern sind personenbezogene Daten. Sensible Daten wie die Rasse, Religion oder Gesundheit einer Person werden auch als besondere personenbezogene Daten bezeichnet. Diese sind durch das Gesetz besonders geschützt.
Was beinhaltet die Verarbeitung personenbezogener Daten?
Unter Verarbeitung versteht man: alle Handlungen, die eine Organisation mit personenbezogenen Daten durchführen kann, vom Erheben bis zur Vernichtung. Das Gesetz nennt als Beispiele für die Verarbeitung: das Erheben, Erfassen, Ordnen, Speichern, Aktualisieren, Ändern, Abfragen, Einsehen, Verwenden, Übermitteln durch Weiterleitung, Verbreiten, Bereitstellen, Zusammenführen, Verknüpfen, Sperren, Löschen und Vernichten von Daten.
Das Gesetz bestimmt, dass eine Organisation personenbezogene Daten nur verarbeiten darf, wenn dies für einen bestimmten Zweck erforderlich ist.
Verarbeitungsgrundsätze
Die DSGVO führt Grundprinzipien ein, denen alle Verarbeitungen personenbezogener Daten entsprechen müssen:
- Personenbezogene Daten müssen auf rechtmäßige, faire und transparente Weise verarbeitet werden;
- Personenbezogene Daten dürfen nur für einen bestimmten, ausdrücklich festgelegten Zweck verarbeitet werden;
- Es dürfen nur personenbezogene Daten verarbeitet werden, die für den Zweck erforderlich sind;
- Daten müssen korrekt und aktuell sein;
- Wenn eine Identifizierung für den Zweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder anonymisiert werden, und;
- Die personenbezogenen Daten müssen durch technische und organisatorische Maßnahmen gesichert werden.
Terminologie Verantwortlicher/Auftragsverarbeiter
Die DSGVO verwendet die Begriffe „Verantwortlicher