DSGVO Prinzipien, Rechte und Strafen

DSGVO Prinzipien, Rechte und Strafen

Header for GDPR ebook
default avatar
VonTassos Koutlas
April 19, 2018

Es ist an der Zeit und der Countdown läuft! Nur noch knapp 1 Monat bis zur DSGVO: Am 28. Mai gilt die neue Gesetzgebung zum Datenschutz.

Es ist an der Zeit und der Countdown läuft! Nur noch knapp 1 Monat bis zur DSGVO: Am 25. Mai gilt die neue Gesetzgebung zum Datenschutz.

Wir haben bereits in vorigen Blogposts erklärt, worum es sich bei der DSGVO handelt und haben die neue Gesetzgebung im Detail erklärt. Dieser Blogpost beschäftigt sich genauer mit den Prinzipien und Rechten, um sicherzugehen, dass diese eingehalten werden und mögliche Strafen vermieden werden können.

Eingebauter und standardmäßiger Datenschutz

Die DSGVO macht den eingebauten wie standardmäßigen Datenschutz zur Pflicht. Das bedeutet, dass Unternehmen und Organisationen einige Datenschutzprinzipien bei der Verarbeitung von persönlichen Daten einhalten müssen.

Hier sind die Prinzipien, die Sie gemäß der DSGVO einhalten müssen:

  • Daten müssen rechtmäßig, fair und auf transparente Weise verarbeitet werden
  • Daten müssen für spezifische, explizite und legitime Zwecke gesammelt werden
  • Daten müssen auf das Nötigste beschränkt werden
  • Daten müssen auf dem neuesten Stand gehalten werden
  • Daten sollten nicht länger als nötig die Identifikation von Personen ermöglichen
  • Daten sollten auf sichere Weise verarbeitet werden

Im Gesetzestext wird eindeutig erwähnt, dass Unternehmen einerseits für die Einhaltung der Verordnung verantwortlich sind und andererseits aufzeigen müssen, dass diese Prinzipien tatsächlich eingehalten werden. Doch wie lässt sich das umsetzen?

Die Antwort zu dieser Frage hängt ganz davon ab, welche persönlichen Daten und wie viele Daten insgesamt verarbeitet werden. Doch einiges lässt sich anhand der oben erwähnten Prinzipien in jedem Fall sagen: Der 6. Punkt etwa stärkt die Verschlüsselung von Daten und des Traffics einer Website. Angenommen Sie bitten Kunden um ihr Feedback und sammeln auf diese Weise deren E-Mail-Adressen, diese Aktion fällt unter die Gesetzgebung der DSGVO, weil E-Mail-Adressen identifizierbare Informationen sind. Sie können die Einhaltung der Verordnung demonstrieren, indem Sie den HTTPS Traffic auf Ihrer Website durchsetzen.

Die Rechtmäßigkeit der Datenverarbeitung ist an sich schon ein großer Themenbereich. Wie können Sie also beweisen, dass Sie persönliche Daten rechtmäßig verarbeiten? Dies geht am einfachsten, indem Sie die Einwilligung der Person erhalten. Wenn Sie danach fragen, müssen Sie Folgendes beweisen:

  • Die Einwilligung wurde von der Person gegeben
  • Die Bitte zum Einwilligung wurde der Person eindeutig mitgeteilt
  • Die Person kann die Einwilligung widerrufen

Bei dieser Vorgehensweise müssen Personen in einem eindeutigen Formular ihre Einwilligung geben, das unverständlich als solches formuliert ist und die Informationen unmissverständlich beschreibt. Registriert sich ein Nutzer mit einer E-Mail-Adresse, Telefonnummer oder mit einem Profil eines sozialen Netzwerks für einen Service, muss dieser Nutzer zunächst ein Häkchen in einem Kontrollkästchen setzen. Die Zeiten der Annahme von Einwilligung und cleveren Formulierungen sind vorbei. Nutzer haben das Recht auf klar und deutlich formulierte Angaben.

Nutzerrechte

Unter der DSGVO genießen Nutzer bestimmte Nutzerrechte im Bezug ihrer persönlichen Daten. Diese sind:

  • Das Recht auf Information
  • Das Zugangsrecht
  • Das Recht auf Berichtigung
  • Das Recht zur Löschung (das Recht auf Vergessenwerden)
  • Das Recht, Verarbeitungen einzuschränken
  • Das Recht zur Datenübertragbarkeit
  • Das Widerspruchsrecht
  • Das Recht, nicht automatisierten Entscheidungsprozessen zu unterliegen (inkl. Profiling

Organisationen und Unternehmen müssen entsprechende Maßnahmen treffen, um den Nutzern diese Rechte zu gewährleisten. Das Gesetz besagt explizit, dass sämtliche Kommunikationskanäle klar und deutlich formuliert sowie leicht zugänglich sein müssen. Das heißt auch, dass rechtliche Inhalte überprüft werden müssen, um deren Sprache zugänglicher zu machen, damit die breite Masse sie versteht.

Das wohl bekannteste Recht ist wohl das Recht auf Vergessenwerden. Der Europäische Gerichtshof hat vor einigen Jahren ein Verfahren gegen Google eingeleitet. Das Gericht hat bestimmt, dass Suchmaschinen für die Inhalte verantwortlich sind, auf die in den Suchergebnissen verlinkt wird. Dementsprechend musste Google den Datenschutzgesetzen der Europäischen Union entsprechen. Um diese Gesetze einzuhalten, musste Google ein Rahmenwerk einrichten, das Links vom EU-Index entfernt und Nutzern die Möglichkeit gibt Suchergebnisse entfernen zu können.

Unternehmen und Organisationen müssen sicherstellen, dass diese Verfahren eingerichtet sind und dass Mitarbeiter entsprechend trainiert sind, um die Nutzerrechte zu gewährleisten. Jede Anfrage muss innerhalb eines Monats nach dem Einsenden ohne zusätzliche Kosten verarbeitet werden, ansonsten drohen hohe Strafen.

Strafen

Doch was passiert, wenn Unternehmen oder Organisationen sich nicht an diese Prinzipien halten und die Nutzerrechte nicht gewährleisten? Im Gesetz werden zwei verschiedene Strafen bestimmt:

  1. Geldstrafe bis zu 10.000.000€ oder 2% des weltweiten Umsatzes (je nachdem, was mehr ist).
  2. Geldstrafe bis zu 20.000.000€ oder 4% des weltweiten Umsatzes (je nachdem, was mehr ist).

Der eingebaute und standardmäßige Datenschutz fällt unter die 1. Strafe, während die Einwilligung oder Datenübertragungen an Dritte unter die 2. Strafe fallen. Das Gesetz bestimmt weiterhin, dass jede Person, die materielle oder immaterielle Schäden davongetragen hat, das Recht auf Schadenersatz hat.

Selbst wenn Sie sich gar nicht sicher sind, ob die neue DSGVO für Sie gilt oder nicht, sollten Sie dieser dennoch entsprechen. Denn sicher ist sicher. Eine Vorbereitung auf die neue Gesetzgebung ist wesentlich einfacher und kostengünstiger als ein Verstoß der DSGVO. Lesen Sie mehr darüber in unserem E-Book.

Themen:
digital strategy
Sicherheit
data

Weiterlesen:

Blog
Art of a man wearing an apron cooking in a pot labeled "Digital Centre of Excellence"

Im DMEXCO-Talk auf englischer Sprache hat FFW die Lessons-Learned der Erfolgsgeschichten unserer Kunden teilen und Impulse geben einen digitalen Center of Excellence in einem multi-market Set-Up umzusetzen.

Blog
Teaser of 7 Things Before Starting a Drupal Project blog

7 Dinge, die Sie vor dem Start eines neuen Web-Projekts wissen sollten

Blog
Teaser of Drupal and Sitecore blog

Vergleich zwischen Drupal und Sitecore

Blog
Teaser of Audubon Society & Drupal blog

National Audubon Society & Drupal: Datenvisualisierung für eine bessere Welt