Worum geht es bei der DSGVO?
Um den Nutzern die Kontrolle darüber zu geben, wie ihre Daten verwendet werden, und um die „Grundrechte und -freiheiten natürlicher Personen” zu schützen, legt die Verordnung strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und die Einwilligung der Nutzer fest – für Organisationen, die personenbezogene Daten in der Europäischen Union verarbeiten.
Organisationen sind dazu verpflichtet, eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu haben, Aufzeichnungen darüber zu führen und diese zu überwachen
Als für die Datenverarbeitung Verantwortlicher muss jede Organisation eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten haben, Aufzeichnungen darüber führen und diese überwachen. Dazu gehören personenbezogene Daten, die innerhalb der Organisation verarbeitet werden, aber auch personenbezogene Daten, die von Datenverarbeitern verarbeitet werden, d.h. von Dritten, die personenbezogene Daten für den für die Datenverarbeitung Verantwortlichen verarbeiten.
Datenverarbeiter können zum Beispiel Software-as-a-Service-Anbieter (SaaS-Anbieter) sein oder eingebettete Dienstleistungen Dritter, die Besucher auf der Website der Organisation tracken und Profile erstellen.
Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Verarbeiter müssen in der Lage sein, Rechenschaft darüber abzulegen, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.
Wenn personenbezogene Daten an Organisationen oder Regionen gesendet werden, die außerhalb der Gerichtsbarkeit der DSGVO liegen oder die von der DSGVO als „nicht angemessen” für den Datenschutz erachtet werden, muss der Nutzer speziell darüber und über alle damit verbundenen Risiken informiert werden.
Alle eingeholten Einwilligungen müssen dokumentiert und sicher gespeichert werden, um nachzuweisen, dass der Nutzer seine Einwilligung erteilt hat.
Am 4. Mai 2020 verabschiedete der Europäische Datenschutzausschuss (EDSA) Richtlinien zur gültigen Einwilligung gemäß der DSGVO.
Eine gültige Einwilligung muss eine frei abgegebene, spezifische, informierte und unmissverständliche Angabe der Wünsche einer Einzelperson sein, d.h. eine klare und bestätigende Handlung des Nutzers.
Die EDSA-Richtlinien stellen klar, dass das Scrollen oder andauerndes Browsing auf einer Website keine gültige Einwilligung darstellt und dass Cookie-Banner keine angekreuzten Checkboxen haben dürfen.
Auch sogenannte Cookie-Walls (erzwungene Einwilligung) gelten als nicht datenschutzkonform.
Das EDSA ist die höchste Aufsichtsbehörde für die Anwendung der DSGVO in der gesamten EU, und setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammen. Ihre Richtlinien und Entscheidungen bilden die Grundlage für die Durchsetzung der DSGVO auf nationaler Ebene.
Erfahren Sie mehr über die EDSA-Richtlinien zur gültigen Einwilligung vom Mai 2020.
Einzelpersonen haben gemäß der DSGVO eine Reihe von Rechten, darunter das „Recht auf Datenübertragbarkeit”, das „Recht auf Datenzugriff” zusammen mit dem „Recht, vergessen zu werden” und weitere. Zudem können Einzelpersonen ihre Einwilligung jederzeit zurückziehen. Dies muss jedoch genauso leicht sein wie es war, die Einwilligung zu erteilen. In solchen Fällen muss der für die Datenverarbeitung Verantwortliche die unmittelbar nach Erhalt des Widerrufs die Verarbeitung personenbezogener Daten einstellen und die personenbezogenen Daten der betroffenen Person löschen, wenn sie für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind.
Bei Datenschutzverletzungen muss die Organisation die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden benachrichtigen.
Weiterhin verpflichtet die DSGVO öffentliche Behörden, Organisationen mit mehr als 250 Mitarbeitern und Unternehmen dazu, im Rahmen der Verarbeitung sensibler Daten in großem Umfang einen Datenschutzbeauftragten einzusetzen. Der Datenschutzbeauftragte muss Maßnahmen ergreifen, um die Einhaltung der DSGVO in der gesamten Organisation sicherzustellen und aufrechtzuerhalten.
Was bedeutet die DSGVO für meine Website?
Sofern Ihre Website Besucher oder Kunden aus der EU hat und Sie – bzw. integrierte Dienste Dritter (z. B. Facebook, Google) – personenbezogene Daten verarbeiten, sind Sie zur vorherigen Einholung der Nutzereinwilligung verpflichtet.
Um eine gültige Einwilligung zu erhalten, müssen Sie vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache erklären
Informationen dieser Art müssen dem Website-Besucher gegenüber jederzeit sichtbar bleiben, z.B. als Bestandteil Ihrer Datenschutzerklärung. Des Weiteren sind Sie verpflichtet, dem Website-Besucher benutzerfreundlich die Änderung oder den Widerruf seiner Einwilligung zu ermöglichen.
Sämtliche Einwilligungen müssen als Nachweis protokolliert und sicher gespeichert werden. Und jegliches Tracking personenbezogener Daten, auch durch die integrierten Dienste Dritter, muss dokumentiert werden. Dies schließt die Angabe von Staaten ein, in die die Daten übermittelt werden.
Datenschutz – Bessere Regeln für kleine Unternehmen.
Wie Cookiebot™ helfen kann
Wenn Sie die Cookiebot Consent Management Platform (CMP) verwenden, können Sie DSGVO-Konformität für Cookies und Tracker auf Ihrer Website automatisieren.
Die Cookiebot CMP ermöglicht es Ihnen, Cookies und andere Tracking-Technologien auf Ihrer Website zu überwachen und zu dokumentieren sowie die relevanten Informationen Ihren Website-Besuchern gegenüber anzuzeigen und automatisch Nutzereinwilligungen einzuholen und gesichert zu protokollieren.
Begriffserklärungen
Was sind personenbezogene Daten gemäß der DSGVO?
Die DSGVO definiert personenbezogene Daten als alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einem Identifikator wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einem Online-Identifikator oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.
Online-Identifikatoren, wie etwa IP-Adressen, gelten nun auch als personenbezogene Daten, sofern sie nicht gezielt anonymisiert werden.
Pseudonymisierte personenbezogene Daten unterliegen ebenfalls der DSGVO, wenn diese durch Reverse Engineering wieder identifizierbar gemacht werden können.
Was sind sensible personenbezogene Daten in der DSGVO?
Zu den sensiblen personenbezogenen Daten gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.
IP-Adressen oder Namen gelten als personenbezogene Daten, aber NICHT als sensible personenbezogene Daten. (Siehe DSGVO Artikel 9.2 (a) und Erwägungsgründe 51 und 71 für weitere Informationen).
Liste personenbezogener Daten vs. sensibler personenbezogene Daten
Persönlich Identifizierbare Informationen (PII):
- Name, Adresse, Telefon, E-Mail
- Geschlecht, Alter etc.
- Bewerbung, Lebenslauf, Position
- Kaufhistorie und Kundeninformationen
- Kreditinformationen, Schulden etc.
- IP-Nummer
Sensible PII
- Herkunft und ethnischer Hintergrund (nicht Nationalität)
- Genetische und biometrische Daten
- Politische oder religiöse Überzeugung
- Gewerkschaftliche Bedingungen
- Gesundheit und sexuelle Beziehungen
Was bedeutet Datenverarbeitung?
Daten zu verarbeiten bedeutet, jede Art von Operation an personenbezogenen Daten durchzuführen, ob automatisiert oder nicht. Beispiele für Datenoperationen, die in der DSGVO erwähnt werden, sind: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.
Was ist ein für die Datenverarbeitung Verantwortlicher gemäß der DSGVO?
Ein für die Datenverarbeitung Verantwortlicher ist die Partei, die den Zweck und die Mittel der Datenverarbeitung bestimmt. Im Zusammenhang mit z. B. einem Unternehmen oder einer Website und deren Kunden und Nutzern ist der für die Datenverarbeitung Verantwortliche das Unternehmen oder die Website, das/die die Daten seiner/ihrer Kunden und Nutzer verarbeitet, um seine/ihre Dienstleistungen zu optimieren oder was auch immer das Unternehmen/die Website mit Hilfe der Datenverarbeitung erreichen will.
Was ist ein Auftragsverarbeiter gemäß der DSGVO?
Ein Auftragsverarbeiter ist die Partei, die die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchführt. Wenn es um Websites geht, sind Datenverarbeiter typischerweise Tools und Dienster Dritte wie z. B. Google Analytics, Hotjar, Social Media Buttons etc.
Was ist ein Datenempfänger gemäß der DSGVO?
Der Empfänger ist die Partei, mit der die Daten geteilt werden.
Wer ist „Dritter” gemäß der DSGVO?
Ein Dritter ist eine andere Person als der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, die unter der direkten Autorität des für die Verarbeitung Verantwortlichen oder des Verarbeiters befugt ist, personenbezogene Daten zu verarbeiten.
Im Zusammenhang mit einer Website sind Dritte typischerweise die Cookie-Setz-Agenten, die nicht die Website selbst sind, und die Berechtigung entsteht dadurch, dass sie als Tools, eingebettete Inhalte oder Dienste in die Website integriert werden.
Was ist eine Einwilligung gemäß der DSGVO?
Die Einwilligung der Person, deren Daten verarbeitet werden, bedeutet die freiwillige, informierte und eindeutige Angabe ihres Wunsches, durch die sie durch eine Erklärung oder eine klare positive Handlung ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gibt.
Worin besteht eine Verletzung von personenbezogenen Daten gemäß der DSGVO?
Eine Verletzung der Sicherheit persönlicher Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unberechtigten Zugang zu den übermittelten, gespeicherten oder anderweitig verarbeiteten persönlichen Daten führt.
Was bedeutet Datenportabilität gemäß der DSGVO?
Datenportabilität ist das Recht, die eigenen personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und das Recht, diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der Erstere dies verhindern kann (siehe Artikel 20 der DSGVO).
Inkrafttretten der Datenschutz-Grundverordnung: 25.05.2018
Die EU-Datenschutzreform wurde vom Europäischen Parlament und dem Europäischen Rat am 27. April 2016 verabschiedet. Die Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 öffentlich in Kraft und ersetzt die Datenschutzrichtlinie aus dem Jahr 1995.
Bußgelder und Strafen nach der DSGVO
Organisationen, die die Anforderungen der DSGVO nicht erfüllen, riskieren bei schweren oder wiederholten Verstößen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes der Organisation im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.
DSGVO-Checkliste: Datenschutzkonformität in 6 Schritten
1. Bereiten Sie Ihr Unternehmen vor:
Unterrichten Sie die Stakeholder Ihrer gesamten Organisation über die Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Ernennen Sie einen Datenschutzbeauftragten, falls erforderlich, d. h. wenn Sie mehr als 250 Mitarbeiter beschäftigen.
2. Prüfen Sie Ihre Daten:
Stellen Sie sicher, dass Sie wissen, wo sich alle Daten befinden, die Ihre Organisation gesammelt und verarbeitet hat, wer Zugriff auf diese hat und auf welchen Plattformen und Geräten. Stellen Sie fest, wo und für welche Zwecke personenbezogene Daten verarbeitet werden, auch durch Drittverarbeiter. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie Ihre Datenschutzerklärung.
3. Überprüfen Sie Ihre Service-Partner:
Stellen Sie sicher, dass Servicepartner, d. h. auf Ihrer Website eingebettete Dienste Dritter oder Software-as-a-Service-Anbieter, ebenfalls DSGVO-konform sind oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Überprüfen Sie ihre internationalen Datenflüsse und bilden Sie diese ab.
4. Holen Sie Einwilligungen ein:
Implementieren Sie Methoden zur Einholung und sicheren Aufzeichnung von Einwilligungen, um Datenschutzkonformität stets zu gewährleisten. Halten Sie klar fest, wozu jeder einzelne Betroffene seine Einwilligung gegeben hat, und geben Sie dem Betroffenen die Möglichkeit, jederzeit seine Einwilligung zu widerrufen oder zu ändern.
5. Beachten Sie die Datenrechte und beantworten Sie DSR-Anfragen:
Verwenden Sie Verfahren, die es Ihrer Organisation ermöglichen, zeitnah auf DSR-Anfragen betroffener Personen zu reagieren, d. h. auf Datenzugriff, -berichtigung und -löschung. Dokumentieren Sie, wie sie sowohl im Kunden- als auch im Mitarbeiterkontext ausgeübt werden.
6. Bereiten Sie sich auf Datenschutzverletzungen vor:
Stellen Sie sicher, dass Verfahren zum Schutz vor Datenschutzverletzungen, aber auch zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen personenbezogener Daten vorhanden sind, um die 72-Stunden-Frist der DSGVO für die Benachrichtigung einzuhalten.
Ressourcen
Offizieller Gesetzestext der Allgemeinen Datenschutz-Grundverordnung
Komprimierter Überblick über die DSGVO
Europäische Kommission: Datenschutz – Bessere Vorschriften für kleine Unternehmen
EDSA-Richtlinien zur gültigen Einwilligung von Mai 2020
Eingebauter Datenschutz – Sieben grundlegende Prinzipien (PDF)