Die DSGVO (Allgemeine Datenschutzverordnung) ist eine EU-Verordnung (Europäische Union), die den Schutz personenbezogener Daten von EU-Bürgern erheblich verbessert und die Verpflichtungen gegenüber Organisationen erhöht, die personenbezogene Daten erheben oder verarbeiten. Die Verordnung baut auf vielen Anforderungen der Richtlinie von 1995 an Datenschutz und Sicherheit auf, enthält jedoch mehrere neue Bestimmungen, um die Rechte der betroffenen Personen zu stärken und strengere Strafen für Verstöße zu verhängen. Die Verordnung trat am 25. Mai 2018 in Kraft.

.

Die DSGVO gilt für Unternehmen, die a) ihre Produkte an Personen in der EU vermarkten oder b) das Verhalten von Personen in der EU überwachen. Mit anderen Worten, selbst wenn Sie außerhalb der EU ansässig sind, aber die Daten von EU-Bürgern kontrollieren oder verarbeiten, gilt die DSGVO für Sie.

.

.

Zustimmung

Die DSGVO verschärft den Standard für Offenlegungen bei Einholung der Einwilligung, da er „frei gegeben, spezifisch, informiert und eindeutig“ sein muss, wobei die für die Verarbeitung Verantwortlichen eine „klare und klare“ Rechtssprache verwenden, die „klar von anderen Angelegenheiten unterscheidbar“ ist. Die Controller müssen außerdem nachweisen, dass ihre Prozesse konform sind und jeweils eingehalten werden.

Grundsätzlich kann Ihr Kunde nicht zur Einwilligung gezwungen werden oder nicht wissen, dass er der Verarbeitung seiner personenbezogenen Daten zustimmt. Sie müssen auch genau wissen, womit sie einverstanden sind, und sie müssen im Voraus über ihr Recht informiert werden, diese Zustimmung zu widerrufen. Das Einholen einer Einwilligung erfordert einen positiven Hinweis auf eine Einigung - sie kann nicht aus Schweigen, vorab angekreuzten Kästchen oder Inaktivität abgeleitet werden. Dies bedeutet, dass die Information des Benutzers während der Anmeldung immer wichtiger wird.

Neue Rechte für Einzelpersonen

Die Verordnung sieht außerdem zwei neue Rechte für betroffene Personen vor: ein "Recht auf Vergessenwerden", bei dem die für die Verarbeitung Verantwortlichen nachgeschaltete Empfänger über Löschanforderungen informieren müssen, und ein "Recht auf Datenübertragbarkeit", das es den betroffenen Personen ermöglicht, eine Kopie ihrer Daten in einem zu verlangen gemeinsames Format. Diese beiden Rechte erleichtern es Benutzern, zu verlangen, dass gespeicherte Informationen gelöscht oder gesammelte Informationen an sie weitergegeben werden.

Zugriffsanfragen

Die betroffenen Personen hatten immer das Recht, Zugang zu ihren Daten zu beantragen. Die DSGVO erweitert diese Rechte jedoch. In den meisten Fällen können Sie keine Gebühren für die Bearbeitung einer Zugriffsanforderung erheben, es sei denn, Sie können nachweisen, dass die Kosten zu hoch sind. Die Zeitspanne für die Bearbeitung einer Zugriffsanfrage wird ebenfalls auf einen Zeitraum von einem Monat verkürzt (dies kann jedoch unter bestimmten Umständen um weitere zwei Monate verlängert werden. In bestimmten Fällen können Organisationen die Gewährung einer Zugriffsanfrage verweigern, beispielsweise wenn die Anfrage als gültig erachtet wird Offensichtlich unbegründet oder übertrieben. Organisationen müssen jedoch klare Ablehnungsrichtlinien und -verfahren haben und nachweisen, warum die Anfrage diese Kriterien erfüllt.

.

.

Datenschutz durch Design und DPIA

Es gibt mehrere neue Grundsätze für Unternehmen, die mit personenbezogenen Daten umgehen, einschließlich der Anforderung, bei der Entwicklung neuer Systeme den Datenschutz "durch Design" einzubauen, und der Verpflichtung, bei der Verarbeitung mit "neuen Technologien" oder in "eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen" riskante Wege. Ein DPIA ist ein Prozess, bei dem systematisch die potenziellen Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Personen berücksichtigt werden, damit potenzielle Datenschutzprobleme identifiziert werden können, bevor sie auftreten, und der Organisation Zeit gibt, einen Weg zu finden, um sie vor dem Auftreten zu mindern Projekt ist im Gange.

.

Datenschutzbeauftragter

Auf der Sicherheitsseite verlangt die DSGVO, dass viele Unternehmen einen Datenschutzbeauftragten (Data Privacy Officer, DPO) haben, der sie bei der Überwachung ihrer Compliance-Bemühungen unterstützt. Zu den Organisationen, die Datenschutzbeauftragte benötigen, gehören Behörden, Organisationen, deren Aktivitäten die regelmäßige und systematische Überwachung betroffener Personen in großem Umfang umfassen, oder Organisationen, die sensible personenbezogene Daten in großem Umfang verarbeiten.

.

Verträge & Datenschutzdokumentation

Da es bei der DSGVO ausschließlich um Transparenz und Fairness geht, müssen Controller und Prozessoren ihre Datenschutzhinweise, Datenschutzerklärungen und internen Datenrichtlinien überprüfen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen. Wenn ein Controller Drittanbieter mit der Verarbeitung der von ihm kontrollierten personenbezogenen Daten beauftragt, muss er sicherstellen, dass seine Verträge mit diesen Prozessoren aktualisiert werden, um die neuen, obligatorischen Prozessorbestimmungen gemäß Artikel 28 der Verordnung aufzunehmen. Ebenso sollten Prozessoren überlegen, welche Änderungen sie an ihren Kundenverträgen vornehmen müssen, um GDPR-konform zu sein.

.

.

One-Stop-Shop

Ein besonderer Punkt in der DSGVO sollte dazu dienen, das Leben dieser Datenschutzbeauftragten zu erleichtern: die neue "One-Stop-Shop" -Vorschrift der DSGVO, nach der Organisationen mit Büros in mehreren EU-Ländern eine "federführende Aufsichtsbehörde" haben, als die sie fungieren können ein zentraler Durchsetzungspunkt, damit sie nicht mit inkonsistenten Anweisungen mehrerer Aufsichtsbehörden zu kämpfen haben.

Verstöße melden

Die DSGVO enthält eine Anforderung, dass die für die Verarbeitung Verantwortlichen die Aufsichtsbehörde ihres Landes innerhalb von 72 Stunden nach Kenntnisnahme über einen Verstoß gegen personenbezogene Daten informieren müssen, es sei denn, die Daten wurden anonymisiert oder verschlüsselt. In der Praxis bedeutet dies, dass die meisten Datenschutzverletzungen dem Datenschutzbeauftragten gemeldet werden müssen. Verstöße, die einer Person Schaden zufügen können, wie Identitätsdiebstahl oder Verletzung der Vertraulichkeit, müssen ebenfalls den betroffenen Personen gemeldet werden.

.

.

Umfang

Die DSGVO gilt für Nicht-EU-Unternehmen, die ihre Produkte an Personen in der EU vermarkten oder das Verhalten von Personen in der EU überwachen. Mit anderen Worten, selbst wenn Sie außerhalb der EU ansässig sind, aber die Daten von EU-Bürgern kontrollieren oder verarbeiten, gilt die DSGVO wahrscheinlich für Sie.

Rechenschaftspflicht

Nach diesem Konzept müssen Controller und Prozessoren ihrer örtlichen Aufsichtsbehörde nachweisen können, dass sie die DSGVO einhalten. Prozesse sollten regelmäßig aufgezeichnet, implementiert und überprüft werden. Das Personal sollte geschult und geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Einhaltung sicherzustellen und nachzuweisen.

.

.

GDPR Glossar

Betroffene Person

Eine Person, die in der EU lebt

Persönliche Daten

Alle Informationen zu einer identifizierten / identifizierbaren betroffenen Person (z. B. Name, nationale ID-Nummer, Adresse, IP-Adresse, Gesundheitsinformationen)

Regler

Ein Unternehmen / eine Organisation, die personenbezogene Daten von Personen sammelt und Entscheidungen darüber trifft, was damit zu tun ist. Wenn Sie also personenbezogene Daten erfassen und festlegen, wie diese verarbeitet werden sollen (z. B. mithilfe der HubSpot-Dienste zur Vermarktung an potenzielle Kunden und Kunden), sind Sie der Verantwortliche für diese Daten und müssen die geltenden Datenschutzbestimmungen entsprechend einhalten.

Prozessor

Ein Unternehmen / eine Organisation, die einem Controller hilft, indem er Daten anhand seiner Anweisungen „verarbeitet“, aber nicht entscheidet, was mit Daten geschehen soll. So ist HubSpot beispielsweise der Prozessor der Daten, die Sie in Ihrem HubSpot-Portal sammeln. Wir kontrollieren nicht, wie Sie die Daten sammeln oder verwenden. Wir verarbeiten es lediglich in Ihrem Namen und auf Ihre Anweisung.

wird bearbeitet

Alle Vorgänge oder Vorgänge, die automatisiert oder auf andere Weise an personenbezogenen Daten oder an personenbezogenen Datenmengen durchgeführt werden, wie z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übermittlung , Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.

Datenschutzbeauftragter (DPO)

Ein Vertreter eines für die Verarbeitung Verantwortlichen / Verarbeiters, der die Einhaltung der DSGVO überwacht und ein Datenschutz-Experte ist

Datenschutz-Folgenabschätzung (DPIA)

Eine dokumentierte Bewertung des Nutzens, der Risiken und der Risikominderungsoptionen für eine bestimmte Art der Verarbeitung

Aufsichtsbehörde

Früher als "Datenschutzbehörden" bezeichnet; eine oder mehrere Regierungsbehörden in einem Mitgliedstaat, die die Durchsetzung des Datenschutzes in diesem Land überwachen (z. B. Irlands Büro des Datenschutzbeauftragten, Deutschlands 18 nationale / regionale Behörden)

Dritte Länder

Länder außerhalb der EU

Standardvertragsklauseln

Die SCCs, a / k / a „Modellklauseln“, sind standardisierte Vertragssprachen (von der Europäischen Kommission genehmigt), die eine Methode für die Erlaubnis von Kontrolleuren / Verarbeitern darstellen, personenbezogene Daten an Drittländer zu senden. Die SCCs sind in Anhang 1 unserer Datenverarbeitungsvereinbarung enthalten.

.

.