Was sollte ich über die DSGVO-Gesetzgebung wissen?
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (AVG oder DSGVO auf Englisch). Das bedeutet, dass ab diesem Datum in der gesamten EU nur noch ein einziges Datenschutzgesetz gilt. Das Wbp gilt nicht mehr, aber die Grundprinzipien dieser Gesetzgebung bilden weiterhin den Kern der neuen DSGVO. Die niederländische Datenschutzbehörde überwacht die Einhaltung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten.
Datenschutzrecht
Datenschutzgesetze sind nicht neu. In der Europäischen Union (EU) hat derzeit jeder Mitgliedsstaat sein eigenes Datenschutzrecht. Diese nationalen Gesetze basieren alle auf der europäischen Datenschutzrichtlinie von 1995. In den Niederlanden ist die nationale Umsetzung dieser Richtlinie das Gesetz zum Schutz personenbezogener Daten (Wbp).
Ab dem 25. Mai 2018 gilt Datenschutz-Grundverordnung Das bedeutet, dass ab diesem Datum in der gesamten EU nur noch ein einziges Datenschutzgesetz gilt. Das Wbp gilt nicht mehr, aber die Grundprinzipien dieser Gesetzgebung bilden weiterhin den Kern der neuen DSGVO. Die niederländische Datenschutzbehörde überwacht die Einhaltung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten.
Was ist der allgemeine Zweck der DSGVO?
Der übergeordnete Zweck der Datenschutz-Grundverordnung besteht darin, EU-Bürger im Hinblick auf Datenschutzbestimmungen und personenbezogene Daten zu schützen. Die DSGVO gewährt Rechte in Bezug auf personenbezogene Daten, die an Organisationen weitergegeben werden, die solche personenbezogenen Daten erheben, speichern und verarbeiten.
Für wen gilt die DSGVO?
Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern sammelt. Eine Organisation muss nicht in der EU ansässig sein, um unter die Bestimmungen der DSGVO zu fallen. Wenn eine Organisation ihren Sitz außerhalb der EU hat und personenbezogene Daten aus der EU erhebt, gilt für diese Organisation die DSGVO.
Was wird sich ändern?
Das neue DSGVO-Gesetz verschärft die Regeln des aktuellen Datenschutzgesetzes.
Letztlich bleibt vieles beim Alten. Datensparsamkeit, das Recht auf Vergessenwerden, Informationspflichten und Auftragsverarbeiterverträge sind seit jeher Bestandteil des Gesetzes, wenn auch teilweise unter unterschiedlichen Bezeichnungen. Wichtig bleiben weiterhin eine gute Datenschutzerklärung, eine verständliche Datenschutzerklärung, gute Vereinbarungen zwischen Auftragsverarbeitern und Verantwortlichen sowie ein Vorgehen bei Datenlecks.
Viele bestehende Regeln wurden in der neuen DSGVO deutlich verschärft und eine Reihe neuer Pflichten hinzugefügt. Es wird mehr Wert auf die Verantwortung der Organisationen selbst gelegt, die Gesetze einzuhalten und nachweisen zu können, dass sie die Gesetze einhalten.
Was kann ich selbst tun?
Als Unternehmen können Sie jetzt Schritte unternehmen, um für die DSGVO gerüstet zu sein. Um Ihnen dabei zu helfen, hat die niederländische Datenschutzbehörde die 10 wichtigsten Schritte aufgelistet.
Was sind personenbezogene Daten?
Nach der DSGVO sind personenbezogene Daten alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Es gibt viele Arten personenbezogener Daten. Offensichtliche Daten sind Name, Adresse und Wohnort einer Person. Aber auch Telefonnummern und Postleitzahlen mit Hausnummern sind personenbezogene Daten. Sensible Daten wie die Rasse, Religion oder Gesundheit einer Person werden auch als besondere personenbezogene Daten bezeichnet. Diese sind gesetzlich besonders geschützt.
Was beinhaltet die Verarbeitung personenbezogener Daten?
Unter Verarbeitung versteht man alle Aktionen, die eine Organisation mit personenbezogenen Daten durchführen kann, von der Erhebung bis zur Vernichtung.
Als Verarbeitungsbeispiele nennt das Gesetz das Erheben, Erfassen, Ordnen, Speichern, Aktualisieren, Verändern, Abrufen, Abfragen, Verwenden, Bereitstellen durch Übermittlung, Verbreitung, Bereitstellen, Zusammenführen, Verknüpfen, Sperren, Löschen und Vernichten von Daten. Das Gesetz schreibt vor, dass eine Organisation personenbezogene Daten nur dann verarbeiten darf, wenn dies für einen bestimmten Zweck erforderlich ist.
Verarbeitungsgrundsätze
Die DSGVO führt Grundprinzipien ein, denen jede Verarbeitung personenbezogener Daten entsprechen muss:
- Personenbezogene Daten müssen auf faire, rechtmäßige und transparente Weise verarbeitet werden.
- Personenbezogene Daten dürfen nur für einen bestimmten, ausdrücklich beschriebenen Zweck verarbeitet werden;
- Es dürfen nur personenbezogene Daten verarbeitet werden, die für den Zweck erforderlich sind.
- Daten müssen korrekt und aktuell sein;
- ist eine Identifizierung für den Zweck nicht mehr erforderlich, müssen die personenbezogenen Daten gelöscht oder anonymisiert werden und;
- Die personenbezogenen Daten müssen durch technische und organisatorische Maßnahmen gesichert werden.
Controller-/Prozessor-Terminologie
Die DSGVO verwendet die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ anstelle der Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ aus dem Wbp. Die folgenden Definitionen sind in der niederländischen Übersetzung der DSGVO enthalten:
Verantwortlicher ist
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies sind die Kunden von Teqa, die i-Reserve erwerben
Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies sind wir als Organisation als Anbieter von i-Reserve und unser Serveradministrator im Hinblick auf das Hosting von i-Reserve .
Die betroffene Person
ist die Person, deren personenbezogene Daten eine Organisation verarbeitet. Dies ist die Person, auf die sich die personenbezogenen Daten beziehen. Das sind Ihre Kunden, die Endbenutzer.
Verarbeitung besonderer personenbezogener Daten
Neben gewöhnlichen personenbezogenen Daten erkennt das Gesetz auch besondere personenbezogene Daten an. Hierbei handelt es sich um Daten, die so sensibel sind, dass ihre Verarbeitung die Privatsphäre einer Person ernsthaft beeinträchtigen kann. Nach der DSGVO ist die Verarbeitung besonderer personenbezogener Daten verboten, sofern keine Ausnahmeregelung vorliegt.
Besondere personenbezogene Daten sind personenbezogene Daten über die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Daten über Gesundheit, Sexualverhalten oder sexuelle Orientierung. Daher dürfen solche Daten nur unter sehr strengen Voraussetzungen verarbeitet werden.
Was sind die wichtigsten Veränderungen für Organisationen?
Wenn die Datenschutz-Grundverordnung gilt, haben Organisationen, die personenbezogene Daten verarbeiten, mehr Pflichten.
Einwilligung
Neu ist, dass die Organisation nachweisen kann, dass sie eine gültige Einwilligung der Personen zur Verarbeitung ihrer personenbezogenen Daten erhalten hat.
Und dass es für Menschen genauso einfach sein sollte, ihre Einwilligung zu widerrufen wie sie zu erteilen. Dabei muss es sich um eine „eindeutige“ Willensäußerung handeln. Also keine vorab angekreuzten Kästchen mehr! Die Einwilligungsanfrage muss klar, verständlich und in einfacher Sprache erfolgen. Als Organisation müssen Sie letztlich nachweisen können, dass die betroffene Person ihre Einwilligung gegeben hat.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und muss hierüber informiert werden. BITTE BEACHTEN:
Es ist nicht immer notwendig, um Erlaubnis zur Aufzeichnung personenbezogener Daten zu bitten. Soweit beispielsweise die Datenerhebung auf das für die Durchführung des abgeschlossenen Vertrags erforderliche Maß beschränkt ist. In anderen Fällen müssen Sie um Erlaubnis fragen. Um herauszufinden, was für Sie gilt, finden Sie weitere Informationen .
Verwaltungspflicht
Die DSGVO schreibt eine Dokumentationspflicht vor, das heißt, es muss nachgewiesen werden können, dass die Organisation im Einklang mit der DSGVO handelt. Dazu gehören Einwilligungen, Auskunftserteilung, Betroffenenrechte, Datensicherheit, Minimierung der Verarbeitung und Vereinbarungen mit Auftragsverarbeitern. Also: Bilden Sie die Datenverarbeitung in der Organisation ab. Viele Organisationen werden ihre Datenschutzerklärung anpassen müssen und das ist nicht unwichtig. Für das Fehlen einer (vollständigen) Datenschutzerklärung droht demnächst ein hohes Bußgeld.
Mit Inkrafttreten der DSGVO erlischt die Meldepflicht der Wbp zur Datenverarbeitung gegenüber der Aufsichtsbehörde. Stattdessen müssen Organisationen selbst ein Verzeichnis der Verarbeitungstätigkeiten („Verarbeitungsregister“) führen, die in ihrer Verantwortung erfolgen.
Verarbeitungsvertrag
Der Abschluss eines Verarbeitungsvertrags ist an sich nichts Neues, denn er ist nach dem Wbp bereits verpflichtend. In Anlehnung an die DSGVO wird dies nun als Verarbeitungsvereinbarung bezeichnet und gilt zwischen dem Verantwortlichen für die personenbezogenen Daten und der Partei, die die personenbezogenen Daten für ihn verarbeitet (jetzt Auftragsverarbeiter, bald Auftragsverarbeiter). Was Neu ist jedoch, dass die DSGVO eine Reihe zwingender Vertragsbestandteile enthält. Vereinbarung, darunter:
- der Zweck der Verarbeitung;
- die Art der verarbeiteten personenbezogenen Daten;
- die Kategorien der betroffenen Personen;
- dass geeignete Sicherheitsmaßnahmen ergriffen werden;
- dass der Auftragsverarbeiter bei Audits mitwirkt, um zu überprüfen, ob der Auftragsverarbeiter allen Verpflichtungen nachkommt, und;
- nach Verarbeitung, Vernichtung oder Rückgabe der personenbezogenen Daten an den Verantwortlichen
Von nun an ist es dem Auftragsverarbeiter nicht mehr gestattet, ohne vorherige schriftliche Genehmigung des Verantwortlichen eine externe Partei mit der Verarbeitung personenbezogener Daten zu beauftragen.
Datenschutz-Folgenabschätzung (PIA)
Im Niederländischen bedeutet die PIA „Datenschutz-Folgenabschätzung“ und ist ein unverzichtbares Instrument für Organisationen, um die Auswirkungen auf den Datenschutz abzuschätzen oder zu bewerten. Durch den Einsatz der PIA kann der Schutz personenbezogener Daten strukturiert in die Interessenabwägung und Entscheidungsfindung innerhalb von Organisationen eingebunden werden.
Die PIA erfasst, warum, wie und wie lange personenbezogene Daten verarbeitet werden. Die Durchführung einer Datenschutz-Folgenabschätzung ist verpflichtend, wenn die Verarbeitung personenbezogener Daten, insbesondere unter Einsatz neuer Technologien, Risiken für die betroffene Person mit sich bringt.
Meldepflicht für Datenlecks
Das kennen wir bereits aus dem niederländischen Recht: Meldepflicht für Datenlecks. Dies wurde auch in die DSGVO übernommen und bleibt weitgehend unverändert bestehen. Die DSGVO stellt strengere Anforderungen an Ihre eigene Registrierung von Datenschutzverstößen, die in Ihrem Unternehmen aufgetreten sind. Sie müssen alle Datenschutzverstöße dokumentieren.
Vermeiden Sie Stress, indem Sie im Vorfeld überlegen, wie Sie sich verhalten, wenn ein Sicherheitsrisiko eintritt. Beispielsweise müssen Sie als Verantwortlicher in manchen Situationen eine Datenschutzverletzung innerhalb von 72 Stunden der niederländischen Datenschutzbehörde melden. Stellt der Verstoß voraussichtlich ein hohes Risiko für die Personen dar, auf die sich die Daten beziehen? Dann müssen sie auch über das Leck informiert werden. Legen Sie daher im Vorfeld einen Workflow für Sicherheitsvorfälle fest, in dem die richtigen Personen zeitnah über die zu ergreifenden Maßnahmen entscheiden können.
Die niederländische Datenschutzbehörde hat Richtlinienregeln zur Meldepflicht von Datenlecks veröffentlicht.
Möglicherweise benötigen Sie einen Datenschutzbeauftragten.
Ein Datenschutzbeauftragter (DPO) oder Datenschutzbeauftragter (FG) ist eine unabhängige Person innerhalb der Organisation, die über die Einhaltung der DSGVO berät und darüber berichtet. Der Datenschutzbeauftragte war im Rahmen des Wbp nicht verpflichtend, ist jedoch in manchen Situationen im Rahmen der DSGVO verpflichtend. Dies ist gesetzlich vorgeschrieben, wenn Sie sensible personenbezogene Daten wie Gesundheitsdaten in großem Umfang verarbeiten oder Personen strukturell (physisch oder digital) beobachten. Ein FG kann jemand sein, der intern ernannt wird, kann aber auch jemand sein, der extern ernannt wird.
Rechte der
betroffenen Person Personenbezogene Daten müssen in einer Weise verarbeitet werden, die gegenüber der betroffenen Person rechtmäßig, fair und transparent ist.
Transparenz ist oberstes Gebot: Der Betroffene muss darüber informiert werden, was mit seinen personenbezogenen Daten passiert. Alles muss in einfacher und klarer Sprache kommuniziert werden. Neben den bekannten Auskunfts-, Berichtigungs- und Widerspruchsrechten stehen der betroffenen Person nach der DSGVO auch folgende Rechte zu:
- das Recht, vergessen zu werden,
- das Recht auf Portabilität seiner Daten (auch bekannt als: Datenportabilität),
- das Recht auf Einschränkung der Verarbeitung und
- das Recht, einer bestimmten Verarbeitung zu widersprechen. Die betroffene Person hat jederzeit das Recht, der Verarbeitung ihrer Daten für Direktmarketingzwecke zu widersprechen. Legt die betroffene Person einen solchen Widerspruch ein, dürfen ihre Daten nicht mehr zu Marketingzwecken verarbeitet werden.
Auskunftsrecht
Eine betroffene Person hat das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, ob personenbezogene Daten über sie verarbeitet werden. Bei der Verarbeitung personenbezogener Daten hat die betroffene Person das Recht auf Auskunft über diese Daten. Die betroffene Person hat unter anderem das Recht auf Auskunft über:
- die Zwecke der Verarbeitung;
- die Kategorien der betroffenen personenbezogenen Daten;
- die Empfänger, denen die personenbezogenen Daten bereitgestellt werden;
- die Speicherdauer;
- die Tatsache, dass die betroffene Person das Recht hat, eine Berichtigung, Löschung oder Einschränkung der Daten sowie ein Widerspruchsrecht zu verlangen;
- die Tatsache, dass die betroffene Person eine Beschwerde einreichen kann.
Recht auf Berichtigung und Widerspruchsrecht
Eine betroffene Person hat das Recht, vom Verantwortlichen die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Dies muss ohne unangemessene Verzögerung erfolgen. Der Betroffene kann bestimmten Formen der Datenverarbeitung widersprechen, was dazu führen kann, dass die Verarbeitung seiner personenbezogenen Daten eingestellt werden muss. Stellen Sie sich eine Organisation vor, die personenbezogene Daten für Marketingzwecke verwendet. (Gegen Direktmarketing besteht derzeit ein absolutes Widerspruchsrecht. Macht eine betroffene Person davon Gebrauch, dürfen Sie diese nicht mehr zu Marketingzwecken kontaktieren.)
Recht auf Vergessenwerden
In bestimmten Situationen hat die betroffene Person das Recht auf vollständige Löschung der Daten. Die DSGVO hat zusätzliche Gründe für das letztgenannte Recht hinzugefügt. Die DSGVO führt das Recht auf Vergessenwerden ein. Das bedeutet, dass der Verantwortliche die personenbezogenen Daten unverzüglich löschen muss, beispielsweise wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder weiterverarbeitet wurden, nicht mehr erforderlich sind. Im Falle einer solchen Anfrage ist es auch obligatorisch, die Parteien zu informieren, mit denen Sie die Daten geteilt haben. Die Namen dieser Parteien müssen daher der betroffenen Person mitgeteilt werden. Der Verantwortliche muss angemessene Maßnahmen zur Löschung der Daten, aber auch zur Löschung aller Links, Kopien oder Reproduktionen ergreifen.
Schauen Sie sich auch die Option zur automatischen Anonymisierung in i-Reserve .
Recht auf Datenübertragbarkeit
Die DSGVO führt das Recht auf Datenübertragbarkeit bzw. auf die Übertragbarkeit personenbezogener Daten ein. Dies bedeutet, dass Sie möglicherweise Anfragen Ihrer Kunden erhalten, deren personenbezogene Daten zur Verfügung zu stellen. Dies betrifft alle digitalen Daten, die eine Organisation mit Einwilligung der betroffenen Person verarbeitet, sowie die Daten, die zur Vertragsabwicklung erforderlich sind. Auch Suchverlaufs- oder Standortdaten fallen unter das Recht auf Portabilität. Als Organisation sind Sie dann gesetzlich verpflichtet, die Daten in einem „strukturierten, gängigen und maschinenlesbaren“ Format bereitzustellen. Sie können sich darauf vorbereiten, indem Sie im Vorfeld darüber nachdenken, wie Sie die Daten zur Verfügung stellen. Zum Beispiel über ein Tool, das es Ihren Kunden ermöglicht, ihre Daten direkt und sicher herunterzuladen.
Sofern technisch möglich, muss der Verantwortliche die Daten direkt an einen anderen Verantwortlichen übermitteln.
Dies kann beispielsweise mit einem Application Programming Interface (API) erfolgen, das eine Verbindung zwischen Ihrem System und einer Anwendung und der einer anderen Partei ermöglicht. In i-Reserve ist es möglich, dass der Kunde herunterlädt , der Administrator exportiert API weiterleitet .
Privacy by Default und Privacy by Design
Die DSGVO führt eine Verpflichtung zum Datenschutz über Standardeinstellungen (Privacy by Default) und über anpassbare Funktionen (Privacy by Design) innerhalb der Software ein.
Die Pflicht zum Datenschutz bedeutet, dass Sie technische und organisatorische Maßnahmen ergreifen müssen, um sicherzustellen, dass Sie nur personenbezogene Daten verarbeiten, die für den konkreten Zweck, den Sie erreichen möchten, erforderlich sind. Sofern Nutzer ihre Datenschutzeinstellungen selbst anpassen können, sollten diese beispielsweise standardmäßig auf die höchste Stufe eingestellt sein.
Die Verpflichtung zum „Privacy by Design“ bedeutet, dass Sie bei der Gestaltung von Produkten, Dienstleistungen und Organisationsprozessen den Schutz personenbezogener Daten sicherstellen müssen.
Beispiele:
- Erlauben Sie Benutzern beim Anbieten einer App nicht, ihren Standort zu registrieren, wenn dies nicht erforderlich ist.
- Markieren Sie nicht vorab auf der Website das Kästchen „Ja, ich möchte Angebote erhalten“.
- Wenn jemand einen Newsletter abonnieren möchte, fordern Sie nicht mehr Informationen als nötig an.
Sehen Sie hier, was i-Reserve unternimmt, um personenbezogene Daten zu sichern und zu schützen .
Die Sicherheit muss in Ordnung sein – und bleiben
. Die Sicherheit personenbezogener Daten ist von entscheidender Bedeutung. Ohne Verschlüsselung, Zwei-Faktor-Authentifizierung und die Möglichkeit, persönliche Daten zu trennen und sicher zu löschen, gehen Sie als Unternehmen ein sehr hohes Risiko ein.
Verstöße und Sanktionen
Das maximale Bußgeld pro Verstoß gegen das aktuelle Datenschutzgesetz (Wbp) beträgt nun 900.000 Euro.
Die DSGVO gibt den nationalen Aufsichtsbehörden mehr Befugnisse, Verstöße gegen die DSGVO zu ahnden. Die Bußgelder sind hoch und können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, wenn eine Organisation die gesetzlichen Anforderungen nicht erfüllt. Bußgelder, die in den Niederlanden von der zuständigen Aufsichtsbehörde verhängt werden: Niederländische Datenschutzbehörde (AP). Suchen Sie nach Details? Antworten auf häufig gestellte Fragen finden Sie auch aufautoriteitpersoonsgegevens.nl.
Cookies, Spam, E-Mail, Telemarketing und die DSGVO
Regeln für den Umgang mit elektronischer Kommunikation wie Cookies, WiFi-Tracking, E-Mail usw. sind in der DSGVO nicht festgelegt. Dies finden Sie in der ePrivacy-Richtlinie – einer bestehenden europäischen Gesetzgebung, die 2018 aktualisiert wird. Die ePrivacy-Richtlinie wird auch als Cookie-Gesetz bezeichnet. Die Europäische Union hofft, die geänderten Regeln zusammen mit der DSGVO einzuführen, um den Bürgern mehr Schutz für ihre persönlichen Daten zu bieten. Im Allgemeinen legt dieser Gesetzestext die Regeln fest, die Organisationen befolgen müssen, um die Vertraulichkeit digitaler Kommunikation zu gewährleisten.