DSGVO: Was ändert sich mit der neuen Verordnung? | Mailjet

Was sich mit der neuen DSGVO ändern wird

 

So definiert die DSGVO den Begriff “personenbezogene Daten”

Der Begriff “personenbezogen Daten” ist im Rechtsbereich ein wichtiger Begriff. Dieser rückt mit der neuen Datenschutz-Grundverordnung noch mehr in den Mittelpunkt. Ab 25. Mai 2018, versteht der Gesetzgeber unter dem Begriff “personenbezogene Daten”: Alles, was dazu beiträgt, eine Person eindeutig zu identifizieren, unabhängig davon ob es sich darum um sein privates, berufliches oder öffentliches Leben handelt. Identifizierbare Parameter können alles mögliche sein: Namen, Heimatadresse, Foto, E-Mail Adresse, Bankverbindung, Beiträgen zu Sozialen Netzwerken Webseiten, medizinischen Informationen, einer IP-Adresse eines Computers sowohl biometrische als auch genetische Daten etc.

 

Wie sind bei der DSGVO individuelle Rechte und Bedingungen geregelt?

Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:

  • Welche Daten gespeichert werden,
  • Wie lange die betreffenden Daten gespeichert werden,
  • Ob und wann welche Daten in welche Länder übertragen wurden,
  • Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.

Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.

 

Weitere Informationen zu Mailjet

Welche Haftung gilt bei der neuen Datenschutz-Grundversorgung?

Nehmen Sie die neue Gesetzgebung nicht auf die leichte Schulter. Datenverantwortliche (Unternehmen) und vor allem die Datenverarbeiter (Drittanbieter-Lösungsanbieter), sollen mit dem neuer EU Datenschutz-Grundverordnung bei rechtswidriger Handlung schneller zur Rechenschafts gezogen werden. Statt lascher Kontrollen ist das erklärte Ziel genauer hinzuschauen und bei nicht regelkonformes Verhalten stärker durchzugreifen.

Datenverantwortliche haben zukünftig die Kompetenz, Datenverarbeiter zu kontrollieren. Die Bußgelder für Verstöße gegen die Verordnung sind erheblich. Es drohen höhere Geldbußen für Nichteinhaltung bis zu 4 Prozent des weltweiten Umsatzes oder 20 Mio. €, je nachdem, welcher Wert höher ist.

Weitere Informationen erhalten Sie hier.

 

Die extraterritorialer Wirkung des DSGVO. Was genau heißt das?

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet (innerhalb oder außerhalb der EU). Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

Hierbei ist es unerheblich, welche Art Dienstleistung oder Produkte Unternehmen oder Organisationen anbieten. Entscheidend ist alleinig, ob hier personenbezogene Daten von EU-Bürgerinnen und Bürgern erhoben und verarbeitet werden.

 

Was ist unter risikobasierte Rechenschaftspflicht zu verstehen?

Die Datenschutz-Grundverordnung stellt Unternehmen vor neue Herausforderungen. Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein. Hiermit ist gemeint, dass der Verantwortliche dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“).

Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertung und Aufbewahrungsveranstaltungen aus.

 

 

Existiert bei DSGVO eine Verpflichtung einen Datenschutzbeauftragten zu ernennen?

Nach Artikel 37 DSGVO ist ein Datenschutzbeauftragten zu ernennen, sofern
1) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte ausgenommen),
2) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, bei dem eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich ist oder
3) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Diese Bestimmung einen Datenschutzbeauftragten zu ernennen gilt für Datenverantwortliche als auch für Datenverarbeiter, unabhängig von ihrer Größe. Die Verordnung erfordert die Ernennung eines Datenschutzbeauftragten in drei Einzelfällen (mehr Informationen über Wie bereite ich mich auf GDPR vor?).

Die Nichteinhaltung der DPO-Verpflichtung kann bis zu 2% des weltweiten Umsatzes oder 10 Mio. € / 8 Mio. € erhoben werden, je nachdem, welcher Wert höher ist. Wenn ein Unternehmen beschließt, keinen DPO zu ernennen, müssen die Gründe für diese Entscheidung aufgezeichnet werden, die zeigen, dass alle relevanten Faktoren berücksichtigt wurden.

 

Herrscht beim DSGVO strengere technische und organisatorische Maßnahmen?

Unternehmen sollten sich auf bestehende Best Practices und Empfehlungen, zum Beispiel die Leitlinien des britischen National Cyber ​​Security Center oder CIS Critical Security Controls. Im Folgenden werden einige Beispiele für Maßnahmen empfohlen:

 

Organisatorische Maßnahmen:

  • Rekrutieren, Trainieren und Ernennen Sie einen Datenschutzbeauftragten (siehe Datenschutzbeauftragten) oder einen externen Datenschutzbeauftragten von außerhalb Ihres Unternehmens
  • Eingebettetes Risikomanagement-Regime
  • Benutzerschulungen und Sensibilisierungsprogramme und Training
  • Entwickeln Sie Unternehmensrichtlinien sowie Arbeitsrichtlinien und trainieren Sie Ihre Mitarbeiter

 

Technische Maßnahmen:

  • Sichere Konfiguration aller Systeme (Sicherheits-Korrekturen, System-Inventuren und Grundlinien für alle Geräte)
  • Netzwerksicherheit (Monitor- und Test-Sicherheitskontrollen)
  • Benutzer Privilege Management (Überwachung von Benutzverhalten und niedrigsten Privilegien)
  • Kontinuierliche Überwachung und Kontrolle aller Systeme und Netzwerke
  • Verschlüsselungen
  • Tokensierung
  • Anonymisierung
  • Pseudonymisierung
  • Trennung von Daten von direkten Identifikatoren, so dass eine Verknüpfung zu einer Identität ohne zusätzliche Information, die separat gehalten wird, unmöglich ist)
  • Widerstandsfähigkeit von Systemen und Dienstleistungenverarbeitung
  • Erlaubnis, dass Unternehmen, die Verfügbarkeit und den Zugriff der Daten im Falle eines Verstoßes wiederherzustellen
  • Ständige Prüfung der Wirksamkeit der Sicherheitsmaßnahmen
  • Umsetzung der Privatsphäre durch Design für alle neuen technischen Programme und Projekte

 

Weitere Informationen zu Mailjet

 

Weiterführende Informationen zur DSGVO