DSGVO

Im Mai 2018 ist die Allgemeine Datenschutzverordnung (DSGVO) eine Tatsache. Die DSGVO ersetzt die Datenschutzrichtlinie von 1995. Sie wurde am 27. April 2016 verabschiedet und tritt am 25. Mai 2018 in Kraft. Ab diesem Zeitpunkt gelten die gleichen Datenschutzbestimmungen in der gesamten EU. Jeder, der personenbezogene Daten über eine Website, ein CRM, eine interne Datenbank usw. sammelt und verarbeitet, muss die neuen Bestimmungen einhalten.

Was ist der Zweck der DSGVO?

  • Stärkung und Erweiterung der Datenschutzrechte
  • Mehr Verantwortung für Organisationen
  • Die gleichen Genehmigungen für alle europäischen privatrechtlichen Aufsichtsbehörden, z.B. die Ermächtigung, Geldbußen von bis zu 20 Mio. EUR verhängen zu können

Auswirkungen auf SSL

Aufgrund der DSGVO wird HTTPS benötigt. Die Verwendung eines SSL-Zertifikats ist Teil der Maßnahmen, die Sie ergreifen müssen, um die Bestimmungen einzuhalten. Dafür ist jede Art von SSL-Zertifikat ausreichend.

Welche Schritte müssen Sie gemäß der DSGVO ergreifen?

Schritt 1: Bewusstsein

Achten Sie darauf, dass zum Beispiel Entscheidungsträger in der Organisation die neuen Datenschutzregeln kennen. Sie müssen die Auswirkungen auf die aktuellen Prozesse, Dienstleistungen und Güter abschätzen. Es ist auch wichtig, dass Sie sich der Anpassungen bewusst sind, die Sie gemäß der DSGVO vornehmen müssen. Die Umsetzung der DSGVO kann viel Zeit in Anspruch nehmen, also früh beginnen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kann Ihnen dabei helfen.

Schritt 2: Rechte der betroffenen Person

Personen, deren personenbezogene Daten verarbeitet werden, erhalten mehr und bessere Datenschutzrechte aufgrund der DSGVO. Stellen Sie sicher, dass Sie deren Datenschutzrechte ausüben können. Personen können sich bei der Datenschutzbehörde darüber beschweren, wie Sie sich um deren persönlichen Daten kümmern. Die BfDI muss diese Beschwerden melden.

Schritt 3: Überblick über den gesamten Prozess

Melden Sie Ihre Datenprozesse. Dokumentieren Sie, welche persönlichen Daten Sie zu welchem ​​Zweck verarbeiten. Finden Sie heraus, woher Sie diese Daten haben. Gemäß der DSGVO haben Sie eine Rechenschaftspflicht. Dies bedeutet, dass Sie angeben müssen, dass Sie gemäß der DSGVO arbeiten. Ein Teil der Verantwortlichkeit besteht darin, dass Sie Aufzeichnungen über die Verarbeitung von Aktivitäten führen müssen. Sie können diese Aufzeichnung auch benötigen, wenn Personen ihre Datenschutzrechte verwenden. Sie können Sie bitten, ihre Daten zu ändern oder zu löschen. Sie müssen dies auch den Behörden melden, mit denen Sie die Daten geteilt haben.

Schritt 4: Datenschutzauswertung

Gemäß der Datenschutz-Grundverordnung müssen Sie möglicherweise eine Datenschutz-Folgenabschätzung (DPIA) durchführen. Dies ist ein Tool, um die Datenschutzrisiken eines bestimmten Datenprozesses zu sehen. Danach könnte es notwendig sein, die Risiken zu messen und zu reduzieren. Es kann erforderlich sein, eine DPIA durchzuführen, wenn der beabsichtigte Datenprozess ein hohes Datenschutzrisiko birgt. Sie können bereits einschätzen, ob Sie in naher Zukunft DPIAs machen müssen und noch wichtiger, wie Sie diese angehen werden. Wenn eine DPIA zeigt, dass Ihr Datenprozess einen hohen Datenschutzanspruch aufweist, können Sie sich an die Datenschutzbehörde wenden. Diese Behörde wird prüfen, ob der Datenprozess im Widerspruch zur DSGVO steht. Wenn dies der Fall ist, kann die Datenschutzbehörde Ihnen einen schriftlichen Rat erteilen.

Schritt 5: Datenschutz durch Design und Privatsphäre standardmäßig

Stellen Sie sicher, dass Ihre Organisation bereits mit den Grundprinzipien des Schutzes der Privatsphäre durch Design und Privatsphäre der GDPR vertraut ist. Wie können Sie diese Punkte innerhalb der Organisation realisieren? "Privacy by Design" besagt, dass Sie beim Entwerfen von Produkten und Services persönliche Daten berücksichtigen, aber Sie werden auch nicht mehr Daten als nötig erfassen und verarbeiten. Datenschutz bedeutet standardmäßig, dass Sie technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass Sie nur personenbezogene Daten für diesen bestimmten Zweck verarbeiten.

Schritt 6: Datenschutzbeauftragter

Gemäß der DSGVO ist es möglich, dass Sie einen Datenschutzbeauftragten ernennen müssen. Stellen Sie fest, ob dies für Ihre Organisation erforderlich ist. Es ist auch möglich, dass Ihre Organisation freiwillig einen Datenschutzbeauftragten ernennen kann.

Schritt 7: Meldung von Datenlecks

Die Bedingungen für die Meldung von Daten sind in der DSGVO gleich. Die Datenschutz-Grundverordnung enthält strenge Vorschriften für die Registrierung von Datenlecks in Ihrer Organisation. Sie müssen alle Ihre Datenlecks registrieren, damit die Datenschutzbehörde prüfen kann, ob Sie die Berichtspflicht erfüllt haben.

Schritt 8: Prozessorvereinbarungen

Vielleicht erledigt ein Prozessor Ihre Datenverarbeitung. Erfüllen die bestehenden Verträge die Anforderungen der DSGVO?

Schritt 9: Aufsichtsbeamter

Hat Ihre Organisation Niederlassungen in verschiedenen EU-Mitgliedstaaten? Oder hat Ihre Datenverarbeitung Auswirkungen auf verschiedene Mitgliedstaaten? Gemäß der DSGVO haben Sie nur einen Datenschutzbeauftragten; der leitende Aufsichtsbeamte.

Schritt 10: Berechtigung

Für einige Datenverarbeitungsvorgänge benötigen Sie eine Berechtigung. Die Datenschutz-Grundverordnung enthält strenge Anforderungen für die Erteilung von Genehmigungen. Es ist wichtig, dass Sie die Art und Weise, wie Sie fragen, die Berechtigung erhalten und registrieren. Ggf. den Weg anpassen. Gemäß der DSGVO müssen Sie nachweisen, dass Sie die Erlaubnis zur Verarbeitung personenbezogener Daten haben. Leute können die Erlaubnis sehr leicht geben und löschen.

Im Folgenden finden Sie einige zusätzliche Informationen zu den oben genannten Bedingungen.

Was sind personenbezogenen Daten

Mit personenbezogenen Daten können Sie eine Person identifizieren, zum Beispiel Name und Adresse, E-Mail-Adresse, Passfoto, Fingerabdruck, IP-Adressen. Der IQ einer Person ist auch personenbezogenen.

Was sind spezielle persönliche Daten

Besondere personenbezogene Daten können die Privatsphäre von Personen erheblich beeinträchtigen. Solche Daten können nur unter sehr strengen Bedingungen verarbeitet werden.

Was ist ein Verarbeitungsregister

Dieses Register enthält Informationen zur Verarbeitung personenbezogener Daten. Die DSGVO kann Ihnen bei den Informationen helfen, die Sie erwähnen sollten. Wenn die Datenschutzbehörde danach fragt, müssen Sie dieses Register sofort zeigen. Bestimmt Ihre Organisation den Zweck und die Mittel der personenbezogenen Daten? Wenn ja, ist Ihre Organisation für den Prozess verantwortlich. Das Gesetz weist darauf hin, dass das Register folgende Informationen enthält:

  • Name und Kontaktinformationen der Organisation und Vertreter anderer Organisationen
  • Informationen zum Datenschutzbeauftragten
  • Alle anderen internationalen Organisationen, mit denen Sie Ihre persönlichen Daten teilen
  • Die Ziele, für die Sie personenbezogene Daten verarbeiten
  • Beschreibung der Kategorien, für die Sie personenbezogene Daten verarbeiten
  • Beschreibung der persönlichen Datenkategorien
  • Kategorien von Empfängern, für die Sie personenbezogene Daten verarbeiten
  • Informationen über die allgemeinen technischen und organisatorischen Maßnahmen, die Sie ergriffen haben, um den Prozess der personenbezogenen Daten zu gewährleisten

Wie kann ich nachweisen, dass ich die Erlaubnis erhalten habe?

Benötigen Sie von den beteiligten Personen eine Erlaubnis zum Datenprozess? Gemäß der DSGVO müssen Sie der Datenschutzbehörde zeigen, dass Sie diese Berechtigung tatsächlich besitzen. Das ist Teil der Verantwortlichkeit. Zwei der Zulassungsvoraussetzungen der DSGVO sind "informiert" und "spezifisch". Fordern Sie die Online-Erlaubnis, die persönlichen Daten zu erhalten? Dann können Sie die Informationen über den Besuch der Website erfassen, wo sie die Erlaubnis erhalten haben. Sie können diese Informationen mit der Dokumentation über den Prozess kombinieren, in dem Sie die Art und Weise erwähnen, wie Sie Berechtigungen erfassen und erhalten. Ein Verweisen auf die automatische Registrierung der Erlaubnis auf Ihrer Website ist nicht ausreichend, um gültige Erlaubnis zu zeigen, da hierbei die Informationen der beteiligten Personen fehlen. Schließlich müssen Sie sicherstellen, dass Sie über ausreichende Daten verfügen, sodass Sie einen Link erstellen können, der die Verarbeitung und die Berechtigung der beteiligten Personen anzeigt. Bitte beachten Sie, dass Sie möglicherweise nicht mehr Daten sammeln als nötig, um gültige Berechtigungen zu zeigen.

Was muss die Datenschutzrichtlinie enthalten

In der DSGVO wird nicht genau beschrieben, welche Daten in einer Datenschutzrichtlinie enthalten sein müssen. Die Politik muss zeigen, auf welche Weise Sie die DSGVO erfüllen. Das ist Teil der Verantwortlichkeit. Gemäß der DSGVO müssen Sie folgende Informationen hinzufügen:

  • Eine Beschreibung der persönlichen Daten, die Sie verarbeiten
  • Eine Beschreibung der Zwecke, für die Sie personenbezogene Daten verarbeiten und auf welcher Rechtsgrundlage Sie sich befinden.
  • Wie können Sie die Grundsätze der Verarbeitung personenbezogener Daten erfüllen, z.B. die Verpflichtung, nicht mehr Daten als nötig zu verarbeiten
  • Welche Rechte gibt es, wie das Recht, eine Beschwerde bei der Datenschutzbehörde einzureichen, sondern auch das Recht, alle registrierten Daten einzusehen, zu ändern, zu löschen und zu erhalten.
  • Welche organisatorischen und technischen Maßnahmen haben Sie unternommen, um personenbezogene Daten zu sicheren?
  • Wie lange aufbewahren Sie persönliche Daten

Schlussfolgerung

Aufgrund der DSGVO wird die Bedeutung der Websicherheit noch weiter zunehmen. Ab Ende Mai 2018 wird ein SSL-Zertifikat benötigt. Das niederländische Datenschutzgesetz verlangte die Verwendung von HTTPS durch Webshops schon seit geraumer Zeit, aber die Einhaltung der DSGVO wird wesentlich mehr Auswirkungen haben. Die Einhaltung der DSGVO wird notwendig sein, um die maximale Sanktion von 20.000.000 Euro oder bis zu 4% Ihres jährlichen weltweiten Umsatzes zu vermeiden.

Die rechtlichen Informationen auf dieser Webseite sind informativ und dienen dazu, einen Eindruck von den rechtlichen Fragen zu vermitteln. Aus dem Inhalt können keine Rechte abgeleitet werden.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.