Was muss ich über die DSGVO-Gesetzgebung wissen?

Datenschutzgesetzgebung

Datenschutzgesetze sind nicht neu. Innerhalb der Europäischen Union (EU) hat jeder Mitgliedstaat derzeit sein eigenes Datenschutzgesetz. Diese nationalen Gesetze basieren alle auf der Europäischen Datenschutzrichtlinie von 1995. In den Niederlanden ist die nationale Umsetzung dieser Richtlinie das Datenschutzgesetz (Wbp).

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass ab diesem Datum in der gesamten EU nur noch ein einziges Datenschutzgesetz gilt. Das Wbp ist nicht mehr anwendbar, aber seine Grundprinzipien bilden weiterhin den Kern der neuen DSGVO. Die niederländische Datenschutzbehörde überwacht die Einhaltung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten.

Was ist der allgemeine Zweck der DSGVO?

Das übergeordnete Ziel der Datenschutz-Grundverordnung (DSGVO) ist der Schutz der EU-Bürger im Bereich der Datenschutzbestimmungen und personenbezogenen Daten. Die DSGVO gewährt Rechte hinsichtlich personenbezogener Daten, die mit Organisationen geteilt werden, welche diese Daten erheben, speichern und verarbeiten.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern erheben. Eine Organisation muss nicht in der EU ansässig sein, um der DSGVO zu unterliegen. Auch Organisationen mit Sitz außerhalb der EU, die personenbezogene Daten aus der EU erheben, unterliegen der DSGVO.

Was wird sich ändern?

Die neue DSGVO verschärft die Bestimmungen des geltenden Datenschutzgesetzes. Im Wesentlichen bleibt jedoch vieles beim Alten. Datenminimierung, das Recht auf Vergessenwerden, Informationspflichten und Auftragsverarbeitungsverträge waren schon immer Bestandteil des Gesetzes, wenn auch teilweise unter anderen Bezeichnungen.
Eine solide Datenschutzerklärung, eine verständliche Datenschutzerklärung, rechtssichere Vereinbarungen zwischen Auftragsverarbeitern und Verantwortlichen sowie ein Verfahren bei Datenschutzverletzungen bleiben weiterhin wichtig.

Viele bestehende Regeln wurden in der neuen DSGVO deutlich verschärft, und es wurden mehrere neue Pflichten hinzugefügt. Der Schwerpunkt liegt nun stärker auf der Verantwortung der Organisationen selbst, das Gesetz einzuhalten und dies nachweisen zu können.

Was kann ich selbst tun?

Als Organisation können Sie bereits jetzt Maßnahmen ergreifen, um die Anforderungen der DSGVO zu erfüllen. Die niederländische Datenschutzbehörde die zehn wichtigsten Schritte aufgelistet.

Was sind personenbezogene Daten?

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es gibt viele Arten von personenbezogenen Daten. Offensichtliche Daten sind beispielsweise Name, Adresse und Wohnort. Aber auch Telefonnummern und Postleitzahlen mit Hausnummern zählen zu den personenbezogenen Daten. Sensible Daten wie die ethnische Herkunft, die Religion oder der Gesundheitszustand einer Person werden als besondere Kategorien personenbezogener Daten bezeichnet. Diese genießen durch das Gesetz zusätzlichen Schutz.

Was umfasst die Verarbeitung personenbezogener Daten?

Die Verarbeitung personenbezogener Daten umfasst alle Handlungen, die eine Organisation mit diesen Daten vornehmen kann, von der Erhebung bis zur Löschung. Das Gesetz nennt folgende Beispiele für die Verarbeitung: Erhebung, Erfassung, Organisation, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung und Vernichtung von Daten.
Das Gesetz legt fest, dass eine Organisation personenbezogene Daten nur dann verarbeiten darf, wenn dies für einen bestimmten Zweck erforderlich ist.

Verarbeitungsprinzipien

Die DSGVO führt Kernprinzipien ein, die bei jeder Verarbeitung personenbezogener Daten eingehalten werden müssen:

• Personenbezogene Daten müssen auf faire, rechtmäßige und transparente Weise verarbeitet werden;
• Personenbezogene Daten dürfen nur für einen bestimmten, eindeutigen Zweck verarbeitet werden;
• Es dürfen nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind
• Die Daten müssen korrekt und aktuell sein;
• Wenn die Identifizierung für den Zweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder anonymisiert werden;
• Die personenbezogenen Daten müssen durch technische und organisatorische Maßnahmen geschützt werden.

Controller-/Prozessor-Terminologie

Die DSGVO verwendet die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ anstelle der Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ aus dem Datenschutzgesetz (Wbp). Die niederländische Übersetzung der DSGVO enthält folgende Definitionen:

Verantwortlicher für die Datenverarbeitung:
Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies sind die Kunden von Teqa, die i-Reserve erwerben

Auftragsverarbeiter:
Eine natürliche oder juristische Person, eine Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies sind wir als Organisation, die als Anbieter von i-Reservei-Reservei-Reserve i-Reservei-Reservei-Reservei-Reserve i-Reservei-Reserve.

Die betroffene
Person ist diejenige, deren personenbezogene Daten von einer Organisation verarbeitet werden. Das heißt, die Person, auf die sich die personenbezogenen Daten beziehen. Dies sind Ihre Kunden, die Endnutzer.

Verarbeitung besonderer Kategorien personenbezogener Daten.
Neben den üblichen personenbezogenen Daten gibt es laut Gesetz auch besondere Kategorien personenbezogener Daten. Dies sind Daten, die so sensibel sind, dass ihre Verarbeitung die Privatsphäre einer Person ernsthaft gefährden könnte. Gemäß der DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten verboten, sofern keine Ausnahme vorliegt.

Besondere Kategorien personenbezogener Daten sind Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung hervorgehen. Solche Daten dürfen daher nur unter sehr strengen Bedingungen verarbeitet werden.

Was sind die wichtigsten Veränderungen für Organisationen?

Wenn die Datenschutz-Grundverordnung Anwendung findet, haben Organisationen, die personenbezogene Daten verarbeiten, mehr Pflichten.

Einwilligung:
Eine neue Anforderung ist, dass die Organisation nachweisen kann, dass sie die gültige Einwilligung von Einzelpersonen zur Verarbeitung ihrer personenbezogenen Daten eingeholt hat. Darüber hinaus muss es für Betroffene genauso einfach sein, ihre Einwilligung zu widerrufen, wie sie zu erteilen. Es muss sich um eine eindeutige Willenserklärung handeln. Vorab angekreuzte Kästchen sind daher nicht mehr zulässig! Die Einwilligungsanfrage muss klar, verständlich und in einfacher Sprache formuliert sein.
Letztendlich müssen Sie als Organisation nachweisen können, dass die betroffene Person ihre Einwilligung erteilt hat. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und muss über dieses Recht informiert werden.

HINWEIS:
Die Einholung einer Einwilligung zur Speicherung personenbezogener Daten ist nicht immer erforderlich. Beispielsweise, solange die gespeicherten Daten auf das für die Durchführung des abgeschlossenen Vertrags Notwendige beschränkt sind. In anderen Fällen ist eine Einwilligung erforderlich. Weitere Informationen.

Administrative Pflicht:
Die DSGVO verpflichtet Organisationen zur Dokumentation. Das bedeutet, dass sie nachweisen müssen, dass sie DSGVO-konform handeln. Dies umfasst Einwilligungen, bereitgestellte Informationen, Rechte der betroffenen Personen, Datensicherheit, Datenminimierung und Vereinbarungen mit Auftragsverarbeitern. Daher: Erfassen Sie alle Datenverarbeitungsaktivitäten in Ihrer Organisation. Viele Organisationen müssen ihre Datenschutzerklärungen aktualisieren – dies ist wichtig. Fehlende (vollständige) Datenschutzerklärungen können bald zu hohen Bußgeldern führen.

Sobald die DSGVO Anwendung findet, entfällt die Meldepflicht für Datenverarbeitungsvorgänge an die Aufsichtsbehörde gemäß dem Wbp. Stattdessen müssen Organisationen selbst ein Verzeichnis der in ihrer Verantwortung liegenden Verarbeitungstätigkeiten („Verarbeitungsregister“) führen.

Auftragsverarbeitungsvertrag:
Der Abschluss eines Auftragsverarbeitungsvertrags ist nichts Neues, da er bereits nach dem niederländischen Datenschutzgesetz (Wbp) vorgeschrieben ist. Gemäß der DSGVO wird dieser Vertrag nun als Auftragsverarbeitungsvertrag bezeichnet und gilt zwischen dem Verantwortlichen für die personenbezogenen Daten und demjenigen, der diese Daten in seinem Auftrag verarbeitet (derzeit Auftragsverarbeiter). Neu ist jedoch, dass die DSGVO mehrere obligatorische Elemente dieses Vertrags festlegt, darunter:

• Zweck der Verarbeitung;
• die Art der verarbeiteten personenbezogenen Daten;
• die Kategorien der betroffenen Personen;
• dass geeignete Sicherheitsmaßnahmen ergriffen werden;
• dass der Auftragsverarbeiter bei Prüfungen mitwirkt, um zu überprüfen, ob er alle seine Verpflichtungen erfüllt;
• nach der Verarbeitung, Vernichtung oder Rückgabe der personenbezogenen Daten an den Verantwortlichen

Ab sofort ist es dem Auftragsverarbeiter nicht mehr gestattet, ohne vorherige schriftliche Zustimmung des Verantwortlichen einen externen Dritten mit der Verarbeitung personenbezogener Daten zu beauftragen.

Datenschutz-Folgenabschätzung (DSFA)
, im Niederländischen „gegevensbeschermingseffectbeoordeling“, ist ein unverzichtbares Instrument für Organisationen, um die Auswirkungen auf den Datenschutz abzuschätzen oder zu bewerten. Mithilfe der DSFA kann der Schutz personenbezogener Daten strukturiert in die Interessenabwägung und Entscheidungsfindung innerhalb von Organisationen einbezogen werden.

Das Datenschutzgesetz (DSG) legt fest, warum, wie und wie lange personenbezogene Daten verarbeitet werden. Eine Datenschutz-Folgenabschätzung ist obligatorisch, wenn die Verarbeitung personenbezogener Daten, insbesondere mithilfe neuer Technologien, Risiken für die betroffenen Personen birgt.

Meldepflichten bei Datenschutzverletzungen:
In den Niederlanden besteht bereits eine Meldepflicht für Datenschutzverletzungen. Diese Pflicht ist auch in der DSGVO verankert und bleibt weitgehend unverändert. Die DSGVO stellt jedoch strengere Anforderungen an Ihre Dokumentation von Datenschutzverletzungen in Ihrem Unternehmen. Sie sind verpflichtet, alle Datenschutzverletzungen zu dokumentieren.

Vermeiden Sie Stress, indem Sie im Voraus planen, wie Sie im Falle eines Sicherheitsrisikos reagieren. Beispielsweise müssen Sie als Verantwortlicher für die Datenverarbeitung in bestimmten Fällen eine Datenschutzverletzung innerhalb von 72 Stunden der niederländischen Datenschutzbehörde melden. Besteht durch die Verletzung ein hohes Risiko für die betroffenen Personen, müssen diese ebenfalls benachrichtigt werden. Definieren Sie daher im Voraus einen Workflow für Sicherheitsvorfälle, damit die zuständigen Personen zeitnah über die zu ergreifenden Maßnahmen entscheiden können.

Die niederländische Datenschutzbehörde hat Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht.

Möglicherweise benötigen Sie einen Datenschutzbeauftragten.
Ein Datenschutzbeauftragter (DSB) ist eine unabhängige Person innerhalb der Organisation, die berät und über die Einhaltung der DSGVO berichtet. Während der DSB nach dem niederländischen Datenschutzgesetz (Wbp) nicht verpflichtend war, ist er nach der DSGVO in bestimmten Fällen erforderlich. Das Gesetz schreibt einen DSB vor, wenn Sie sensible personenbezogene Daten wie Gesundheitsdaten in großem Umfang verarbeiten oder Personen regelmäßig (physisch oder digital) überwachen. Ein DSB kann intern oder extern bestellt werden.

Rechte der betroffenen Person:
Personenbezogene Daten müssen rechtmäßig, fair und transparent gegenüber der betroffenen Person verarbeitet werden. Transparenz ist von größter Bedeutung: Die betroffene Person muss darüber informiert werden, was mit ihren personenbezogenen Daten geschieht. Alles muss in einfacher und verständlicher Sprache kommuniziert werden.
Neben dem bekannten Recht auf Auskunft, Berichtigung und Widerspruch hat die betroffene Person gemäß der DSGVO auch folgende Rechte:

• das Recht, vergessen zu werden,
• das Recht auf Datenübertragbarkeit (auch bekannt als Datenportabilität),
• das Recht auf Einschränkung der Verarbeitung und
• Widerspruchsrecht gegen bestimmte Datenverarbeitungen. Die betroffene Person hat das Recht, jederzeit der Verarbeitung ihrer Daten für Direktmarketingzwecke zu widersprechen. Legt die betroffene Person einen solchen Widerspruch ein, dürfen ihre Daten nicht mehr für Marketingzwecke verarbeitet werden.

Auskunftsrecht:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Werden personenbezogene Daten verarbeitet, hat die betroffene Person ein Recht auf Auskunft über diese Daten. Die betroffene Person hat unter anderem ein Recht auf Auskunft über:

• die Zwecke der Verarbeitung;
• die Kategorien der betroffenen personenbezogenen Daten;
• die Empfänger, denen die personenbezogenen Daten zur Verfügung gestellt werden;
• die Lagerdauer;
• die Tatsache, dass die betroffene Person das Recht hat, Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen und Widerspruch einzulegen;
• die Tatsache, dass die betroffene Person eine Beschwerde einreichen kann.

Recht auf Berichtigung und Widerspruchsrecht:
Eine betroffene Person hat das Recht, vom Verantwortlichen die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Dies muss unverzüglich erfolgen. Die betroffene Person kann bestimmten Arten der Datenverarbeitung widersprechen, wodurch die Verarbeitung ihrer personenbezogenen Daten gegebenenfalls eingestellt werden muss. Nehmen wir beispielsweise ein Unternehmen, das personenbezogene Daten für Marketingzwecke nutzt. (Derzeit besteht bereits ein absolutes Widerspruchsrecht gegen Direktmarketing. Übt eine betroffene Person dieses Recht aus, dürfen Sie sie nicht mehr zu Marketingzwecken kontaktieren.)

Recht auf Vergessenwerden:
In bestimmten Fällen hat die betroffene Person das Recht auf vollständige Löschung ihrer Daten. Die DSGVO ergänzt dieses Recht um weitere Gründe. Sie führt das Recht auf Vergessenwerden ein. Das bedeutet, dass der Verantwortliche personenbezogene Daten unverzüglich löschen muss, beispielsweise wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder weiterverarbeitet werden. Auf eine solche Anfrage hin ist der Verantwortliche verpflichtet, die Empfänger der Daten zu informieren. Die Namen dieser Empfänger müssen der betroffenen Person mitgeteilt werden. Der Verantwortliche muss angemessene Maßnahmen ergreifen, um die Daten sowie alle Links, Kopien und Reproduktionen zu löschen.

Schauen Sie sich auch die Option zur automatischen Anonymisierung in i-Reserve.

Recht auf Datenübertragbarkeit
Die DSGVO führt das Recht auf Datenübertragbarkeit ein, also die Übertragbarkeit personenbezogener Daten. Das bedeutet, dass Sie Anfragen von Ihren Kunden erhalten können, ihre personenbezogenen Daten zur Verfügung zu stellen. Dies betrifft alle digitalen Daten, die ein Unternehmen mit Einwilligung der betroffenen Person verarbeitet, sowie die Daten, die zur Vertragserfüllung erforderlich sind. Auch Suchverlauf und Standortdaten fallen unter das Recht auf Datenübertragbarkeit. Als Unternehmen sind Sie dann rechtlich verpflichtet, die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen. Sie können sich darauf vorbereiten, indem Sie sich bereits jetzt Gedanken darüber machen, wie Sie die Daten zur Verfügung stellen werden. Beispielsweise über ein Tool, mit dem Ihre Kunden ihre Daten direkt und sicher herunterladen können.

Sofern technisch möglich, muss der Verantwortliche die Daten direkt an einen anderen Verantwortlichen weiterleiten. Dies kann beispielsweise über eine Programmierschnittstelle (API) erfolgen, die eine Verbindung zwischen Ihrem System und einer Anwendung sowie der eines Drittanbieters ermöglicht.

In i-Reserve ihre eigenen Daten herunterladen, Administratoren exportieren oder Daten über eine API .

Datenschutz durch Standardeinstellungen und Datenschutz durch Technikgestaltung
Die DSGVO führt eine Verpflichtung zum Schutz von Daten durch Standardeinstellungen (Datenschutz durch Standardeinstellungen) und durch anpassbare Funktionalität (Datenschutz durch Technikgestaltung) innerhalb der Software ein.

Die Vorgabe „Datenschutz durch Standardeinstellungen“ bedeutet, dass Sie technische und organisatorische Maßnahmen ergreifen müssen, um sicherzustellen, dass Sie standardmäßig nur personenbezogene Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind. Wenn Nutzer beispielsweise ihre Datenschutzeinstellungen selbst anpassen können, sollten diese standardmäßig auf die höchste Stufe eingestellt sein.

Die Verpflichtung zum Datenschutz durch Technikgestaltung bedeutet, dass Sie sicherstellen müssen, dass personenbezogene Daten bei der Gestaltung von Produkten, Dienstleistungen und organisatorischen Prozessen geschützt werden.

Beispiele:

• Wenn Sie eine App anbieten, sollten Sie den Nutzern nicht erlauben, ihren Standort zu registrieren, wenn dies nicht erforderlich ist
• Markieren Sie auf der Website nicht im Voraus das Kästchen „Ja, ich möchte Angebote erhalten“
• Wenn jemand einen Newsletter abonnieren möchte, fragen Sie nicht nach mehr Daten als nötig.

Klicken Sie hier, um zu sehen, was i-Reserve unternimmt, um personenbezogene Daten zu sichern und zu schützen.

Die Sicherheit muss gewährleistet sein – und es auch bleiben
. Der Schutz personenbezogener Daten ist von entscheidender Bedeutung. Ohne Verschlüsselung, Zwei-Faktor-Authentifizierung und die Möglichkeit, personenbezogene Daten zu trennen und sicher zu löschen, geht Ihr Unternehmen ein erhebliches Risiko ein.

Verstöße und Sanktionen:
Die Höchststrafe pro Verstoß gegen das geltende Datenschutzgesetz (Wbp) beträgt derzeit 900.000 €. Die DSGVO räumt den nationalen Aufsichtsbehörden erweiterte Befugnisse zur Ahndung von Verstößen gegen die DSGVO ein. Die Strafen sind erheblich und können bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes betragen, wenn ein Unternehmen die gesetzlichen Bestimmungen nicht einhält. In den Niederlanden werden Strafen von der zuständigen Aufsichtsbehörde, der niederländischen Datenschutzbehörde (AP), verhängt.
Weitere Informationen finden Sie in den häufig gestellten Fragen unter autoriteitpersoonsgegevens.nl.

Cookies, Spam, E-Mail, Telefonmarketing und die DSGVO-
Regeln für den Umgang mit elektronischer Kommunikation wie Cookies, WLAN-Tracking, E-Mails usw. sind nicht in der DSGVO geregelt. Diese finden sich in der ePrivacy-Richtlinie – einer bestehenden europäischen Gesetzgebung, die 2018 aktualisiert wurde. Die ePrivacy-Richtlinie ist auch als Cookie-Richtlinie bekannt. Die Europäische Union beabsichtigt, die aktualisierten Regeln zusammen mit der DSGVO einzuführen, um den Bürgern mit einem Schlag einen besseren Schutz ihrer persönlichen Daten zu bieten. Allgemeiner gesagt legt dieser Rechtstext die Regeln fest, die Organisationen befolgen müssen, um die Vertraulichkeit digitaler Kommunikation zu gewährleisten.