Die Datenschutz-Grundverordnung (DSGVO), das richtungsweisende Datenschutzgesetz der Europäischen Union, trat 2018 in Kraft. Dennoch haben viele Unternehmen immer noch Schwierigkeiten, die Compliance-Anforderungen zu erfüllen, und die EU-Datenschutzbehörden zögern nicht, Strafen zu verhängen.
Selbst die größten Unternehmen der Welt müssen sich mit der DSGVO herumschlagen. Die irischen Aufsichtsbehörden belegten Meta im Jahr 2023 mit einer Geldbuße von 1,2 Milliarden EUR (Link befindet sich außerhalb von ibm.com). Die italienischen Behörden untersuchen OpenAI (Link befindet sich außerhalb von ibm.com) wegen vermuteter Verstöße und gehen sogar so weit, ChatGPT kurzzeitig zu verbieten.
Vielen Unternehmen fällt es schwer, die DSGVO-Anforderungen umzusetzen, weil das Gesetz nicht nur komplex ist, sondern auch viel Ermessensspielraum lässt. Die DSGVO enthält eine Vielzahl von Regeln für den Umgang mit personenbezogenen Daten von EU-Bürgern durch Unternehmen in und außerhalb Europas. Allerdings gibt es Unternehmen einen gewissen Spielraum bei der Umsetzung dieser Regeln.
Die Einzelheiten zu den Plänen eines Unternehmens, die DSGVO vollständig zu erfüllen, hängen von den Daten ab, die das Unternehmen sammelt, und davon, was es mit diesen Daten macht. Dennoch gibt es einige grundlegende Schritte, die alle Unternehmen bei der Umsetzung der DSGVO unternehmen können:
Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von in Europa ansässigen Personen verarbeiten, unabhängig davon, wo diese Organisation ansässig ist. Angesichts der vernetzten und internationalen Natur der digitalen Wirtschaft sind heutzutage viele – vielleicht sogar die meisten – Unternehmen davon betroffen. Auch Unternehmen, die nicht in den Geltungsbereich der DSGVO fallen, können die Anforderungen zur Stärkung des Datenschutzes übernehmen.
Genauer gesagt gilt die DSGVO für alle Datenverantwortlichen und Datenverarbeiter mit Sitz im Europäischen Wirtschaftsraum (EWR). Der EWR umfasst alle 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen.
Ein Datenverantwortlicher ist jede Art von Organisation, Gruppe oder Person, die personenbezogene Daten erfasst und bestimmt, wie diese verwendet werden. Stellen Sie sich einen Online-Händler vor, der die E-Mail-Adressen seiner Kunden speichert, um Bestellaktualisierungen zu senden.
Ein Datenverarbeiter ist jede Organisation oder Gruppe, die Datenverarbeitungsaktivitäten durchführt. Die DSGVO definiert „Verarbeitung“ im weitesten Sinne als jede Handlung, die an Daten vorgenommen wird: Speichern, Analysieren, Ändern usw. Zu den Datenverarbeitern gehören Dritte, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, wie z. B. ein Marketingunternehmen, das Benutzerdaten analysiert, um einem Unternehmen dabei zu helfen, wichtige demografische Kundendaten zu verstehen.
Die DSGVO gilt auch für Verantwortliche und Auftragsverarbeiter, die sich außerhalb des EWR befinden, wenn sie mindestens eine der folgenden Bedingungen erfüllen:
Es gibt noch ein paar weitere Dinge, die Sie zum Geltungsbereich der DSGVO beachten sollten. Erstens geht es nur um die personenbezogenen Daten natürlicher Personen, die im Sprachgebrauch der DSGVO auch als betroffene Personen bezeichnet werden. Eine natürliche Person ist ein lebender Mensch. Die DSGVO bietet keinen Schutz für die Daten juristischer Personen, wie Unternehmen, oder von Verstorbenen.
Zweitens muss eine Person kein EU-Bürger sein, um den Schutz der DSGVO zu genießen. Sie muss lediglich ihren formellen Wohnsitz im EWR haben.
Schließlich gilt die DSGVO für die Verarbeitung personenbezogener Daten aus nahezu allen Gründen: kommerziell, akademisch, staatlich und anderweitig. Unternehmen, Krankenhäuser, Schulen und Behörden unterliegen alle der DSGVO. Die einzigen Datenverarbeitungsvorgänge, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit und der Strafverfolgung sowie die rein persönliche Verwendung von Daten.
Es gibt keinen einheitlichen DSGVO-Compliance-Plan, aber es gibt einige grundlegende Praktiken, die Unternehmen bei der Umsetzung der DSGVO leiten können.
Eine Liste der wichtigsten DSGVO-Anforderungen finden Sie in der Checkliste zur DSGVO-Konformität.
Obwohl die DSGVO nicht ausdrücklich einen Datenbestand vorschreibt, beginnen viele Unternehmen aus zwei Gründen genau damit. Zunächst einmal hilft es dem Unternehmen, seine Verpflichtungen im Bereich der Compliance besser zu verstehen, wenn es weiß, über welche Daten es verfügt und wie diese verarbeitet werden. Zum Beispiel benötigt ein Unternehmen, das Gesundheitsdaten von Benutzern sammelt, stärkere Schutzmaßnahmen als ein Unternehmen, das nur E-Mail-Adressen erfasst.
Zweitens erleichtert eine umfassende Bestandsaufnahme die Erfüllung von Benutzeranfragen zur Weitergabe, Aktualisierung oder Löschung ihrer Daten.
Bei einer Dateninventarisierung können Details erfasst werden wie:
Es kann schwierig sein, personenbezogene Daten aufzuspüren, die über das Netzwerk des Unternehmens in verschiedenen Workflows, Datenbanken, Endpunkten und sogar Schatten-IT-Assets verstreut sind. Um die Verwaltung von Datenbeständen zu erleichtern, können Unternehmen den Einsatz von Datenschutzlösungen in Betracht ziehen, die Daten automatisch erkennen und klassifizieren.
Bei der Inventarisierung von Daten sollten Organisationen alle besonders sensiblen Daten notieren, die zusätzlichen Schutz erfordern. Die DSGVO schreibt insbesondere für drei Arten von Daten zusätzliche Vorsichtsmaßnahmen vor: Daten der besonderen Kategorie, Daten über strafrechtliche Verurteilungen und Daten über Kinder.
Während der Dateninventur dokumentieren Unternehmen alle Verarbeitungsvorgänge, die die Daten durchlaufen. Anschließend müssen sie sicherstellen, dass diese Vorgänge den Verarbeitungsregeln der DSGVO entsprechen. Zu den wichtigsten Grundsätzen der DSGVO gehören die folgenden:
Eine vollständige Liste der genehmigten Rechtsgrundlagen finden Sie auf der Seite zur Einhaltung der DSGVO.
Eine vollständige Liste der DSGVO-Verarbeitungsgrundsätze finden Sie in der Checkliste für die Einhaltung der DSGVO-Vorschriften.
Die Einwilligung des Nutzers ist eine gängige Rechtsgrundlage für die Verarbeitung. Gleichzeitig ist die Einwilligung nach der DSGVO nur gültig, wenn sie informiert, bestätigend und freiwillig erteilt wird. Unternehmen müssen möglicherweise ihre Einwilligungsformulare aktualisieren, um diese Anforderungen zu erfüllen.
Organisationen mit mehr als 250 Mitarbeitern und Unternehmen jeder Größe, die regelmäßig Daten verarbeiten oder mit risikoreichen Daten umgehen, müssen schriftliche elektronische Aufzeichnungen über ihre Verarbeitungsaktivitäten führen.
Allerdings möchten möglicherweise alle Unternehmen solche Aufzeichnungen führen. Dies hilft nicht nur bei der Nachverfolgung von Datenschutz- und Sicherheitsbemühungen, sondern kann auch die Einhaltung von Vorschriften nachweisen, wenn es zu einer Prüfung oder einem Verstoß kommt. Unternehmen können Strafen abmildern oder vermeiden, wenn sie nachweisen können, dass sie sich nach bestem Wissen und Gewissen um die Einhaltung der Vorschriften bemüht haben.
Datenverantwortliche sollten besonders solide Aufzeichnungen führen, da sie laut DSGVO für die Einhaltung der Vorschriften durch ihre Partner und Lieferanten verantwortlich sind.
Alle Behörden und Unternehmen, die regelmäßig Daten der besonderen Kategorie verarbeiten oder Personen in großem Umfang überwachen, müssen einen Datenschutzbeauftragten (DSB) ernennen. Ein DSB ist ein unabhängiger Unternehmensbeauftragter, der für die Einhaltung der DSGVO verantwortlich ist. Zu den üblichen Aufgaben gehören die Überwachung von Risikobewertungen, die Schulung von Mitarbeitern in Datenschutzgrundsätzen und die Zusammenarbeit mit Regierungsbehörden.
Obwohl nur einige Unternehmen dazu verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, sollten es alle in Betracht ziehen. Durch die Benennung eines Datenschutzbeauftragten für die DSGVO lässt sich die Umsetzung vereinfachen.
Datenschutzbeauftragte können Mitarbeiter eines Unternehmens oder externe Berater sein, die ihre Dienste auf Vertragsbasis anbieten. Datenschutzbeauftragte berichten direkt an die höchste Führungsebene. Das Unternehmen darf einen Datenschutzbeauftragten nicht dafür bestrafen, dass er seine Pflichten erfüllt.
Unternehmen außerhalb des EWR müssen einen Vertreter innerhalb des EWR ernennen, wenn sie regelmäßig Daten von EWR-Bürgern verarbeiten oder besonders sensible Daten verarbeiten. Die Hauptaufgabe des EWR-Vertreters besteht darin, sich im Namen des Unternehmens während der Untersuchungen mit den Datenschutzbehörden abzustimmen. Der Vertreter kann ein Mitarbeiter, ein verbundenes Unternehmen oder ein externer Dienstleister sein.
Der DSB und der EWR-Vertreter sind unterschiedliche Rollen mit unterschiedlichen Zuständigkeiten. Insbesondere handelt der Vertreter auf Anweisung des Unternehmens, während der Datenschutzbeauftragte ein unabhängiger Beauftragter sein muss. Ein Unternehmen kann nicht ein und dieselbe Partei (Link befindet sich außerhalb von ibm.com) sowohl zum Datenschutzbeauftragten als auch zum EWR-Vertreter benennen.
Wenn ein Unternehmen in mehreren EWR-Staaten tätig ist, muss es eine federführende Aufsichtsbehörde benennen. Die federführende Aufsichtsbehörde ist die zentrale Datenschutzbehörde (DSB), die die Einhaltung der DSGVO für dieses Unternehmen in ganz Europa überwacht.
In der Regel ist die federführende Aufsichtsbehörde die Datenschutzbehörde in dem Mitgliedstaat, in dem das Unternehmen seinen Hauptsitz hat oder seine Kernverarbeitungstätigkeiten durchführt.
Die DSGVO verlangt, dass Unternehmen die Menschen darüber informieren, wie sie ihre Daten verwenden. Unternehmen können diese Anforderung erfüllen, indem sie Datenschutzrichtlinien erstellen, die ihre Verarbeitungsvorgänge klar beschreiben, einschließlich der vom Unternehmen erfassten Daten, Aufbewahrungs- und Löschrichtlinien, Benutzerrechte und anderer relevanter Details.
Datenschutzrichtlinien sollten in einer einfachen Sprache formuliert sein, die jeder verstehen kann. Das Verstecken wichtiger Informationen hinter Fachjargon kann gegen die DSGVO verstoßen. Organisationen können sicherstellen, dass Benutzer ihre Richtlinien sehen, indem sie Datenschutzhinweise zum Zeitpunkt der Datenerfassung bereitstellen. Unternehmen können ihre Datenschutzrichtlinien auch auf öffentlichen, leicht auffindbaren Seiten ihrer Websites bereitstellen.
Die Datenverantwortlichen sind letztendlich für die von ihnen erfassten personenbezogenen Daten verantwortlich, einschließlich der Art und Weise, wie ihre Datenverarbeiter, Anbieter und andere Dritte diese Daten verwenden. Wenn Partner die Vorschriften nicht einhalten, können die Datenverantwortlichen bestraft werden.
Unternehmen sollten ihre Verträge mit Dritten, die Zugriff auf ihre Daten haben, überprüfen. Diese Verträge sollten die Rechte und Pflichten aller Parteien in Bezug auf die DSGVO in rechtlich verbindlicher Weise klar darlegen.
Wenn ein Unternehmen mit Auftragsverarbeitern außerhalb des EWR zusammenarbeitet, müssen diese Datenverarbeiter dennoch die Anforderungen der DSGVO erfüllen. Tatsächlich unterliegen Datenübertragungen außerhalb des EWR strengen Standards. Datenverantwortliche im EWR können Daten nur dann an Datenverarbeiter außerhalb des EWR weitergeben, wenn eines der folgenden Kriterien erfüllt ist:
Eine Möglichkeit, um sicherzustellen, dass alle Partnerschaften und Datenübertragungen mit der DSGVO übereinstimmen, ist die Verwendung von Standardvertragsklauseln. Diese vorformulierten Klauseln wurden von der Europäischen Kommission vorab genehmigt und können von jedem Unternehmen frei verwendet werden. Durch die Aufnahme dieser Klauseln in einen Vertrag wird dieser DSGVO-konform, vorausgesetzt, jede Partei hält sich daran. Weitere Informationen zu Standardvertragsklauseln finden Sie auf der Website der Europäischen Kommission (Link befindet sich außerhalb von ibm.com).
Die DSGVO verpflichtet Unternehmen dazu, vor jeder Verarbeitung mit hohem Risiko eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die DSGVO nennt zwar einige Beispiele – Nutzung neuer Technologien, groß angelegte Verarbeitung sensibler Daten – führt jedoch nicht alle Aktivitäten mit hohem Risiko erschöpfend auf.
Unternehmen sollten vor jeder neuen Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, um auf der sicheren Seite zu sein. Andere können eine vereinfachte Vorabprüfung durchführen, um festzustellen, ob das Risiko hoch genug ist, um eine Datenschutz-Folgenabschätzung zu rechtfertigen.
Eine Datenschutz-Folgenabschätzung muss mindestens die Verarbeitung und ihren Zweck beschreiben, die Notwendigkeit der Verarbeitung bewerten, Risiken für die betroffenen Personen bewerten und Maßnahmen zur Risikominderung aufzeigen. Wenn das Risiko nach der Risikominderung weiterhin hoch ist, muss das Unternehmen eine Datenschutzbehörde konsultieren, bevor es fortfährt.
Die Unternehmen müssen die meisten Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an eine Aufsichtsbehörde melden. Wenn die Datenschutzverletzung ein Risiko für die betroffenen Personen darstellt, wie z. B. Identitätsdiebstahl, muss das Unternehmen auch die betroffenen Personen benachrichtigen. Benachrichtigungen müssen direkt an die Opfer gesendet werden, es sei denn, dies ist nicht möglich. In diesem Fall genügt eine öffentliche Bekanntmachung.
Unternehmen benötigen effektive Notfallpläne, mit denen laufende Verstöße schnell identifiziert, Bedrohungen beseitigt und Behörden benachrichtigt werden können. Notfallpläne sollten Tools und Taktiken zur Systemwiederherstellung und Wiederherstellung der Informationssicherheit enthalten. Je schneller ein Unternehmen die Kontrolle wiedererlangt, desto weniger ist es wahrscheinlich, dass es schwerwiegende behördliche Maßnahmen erleidet.
Unternehmen können diese Gelegenheit auch nutzen, um ihre Datensicherheitsmaßnahmen zu verstärken. Wenn ein Verstoß den Benutzern wahrscheinlich keinen Schaden zufügt – zum Beispiel, wenn die gestohlenen Daten so stark verschlüsselt sind, dass Hacker sie nicht nutzen können –, muss das Unternehmen die betroffenen Personen nicht benachrichtigen. Dies kann dazu beitragen, den Ruf- und Umsatzschaden zu vermeiden, der auf eine Datenschutzverletzung folgen kann.
Die DSGVO gewährt den betroffenen Personen das Recht, darüber zu entscheiden, wie Unternehmen ihre Daten verwenden. Zum Beispiel ermöglicht das Recht auf Berichtigung den Benutzern, ungenaue oder veraltete Daten zu korrigieren. Das Recht auf Löschung ermöglicht es Benutzern, ihre Daten löschen zu lassen.
Im Allgemeinen müssen Unternehmen den Anfragen betroffener Personen innerhalb von 30 Tagen nachkommen. Um Anfragen besser verwalten zu können, können Unternehmen Selbstbedienungsportale einrichten, über die die Betroffenen auf ihre Daten zugreifen, Änderungen vornehmen und deren Nutzung einschränken können. Die Portale sollten eine Möglichkeit zur Überprüfung der Identität der betroffenen Personen enthalten. Die DSGVO verpflichtet Unternehmen dazu, die Identität von Antragstellern zu überprüfen.
Betroffene Personen haben hinsichtlich der automatisierten Verarbeitung besondere Rechte. Insbesondere dürfen Unternehmen die Automatisierung nicht verwenden, um wichtige Entscheidungen ohne die Zustimmung des Benutzers zu treffen. Benutzer haben das Recht, automatisierte Entscheidungen anzufechten und zu verlangen, dass ein Mensch die Entscheidung überprüft.
Unternehmen können Selbstbedienungsportale nutzen, um betroffenen Personen die Möglichkeit zu geben, automatisierte Entscheidungen anzufechten. Unternehmen müssen auch bereit sein, bei Bedarf menschliche Prüfer einzusetzen.
Betroffene Personen haben das Recht, ihre Daten an einen beliebigen Ort zu übertragen, und Unternehmen müssen diese Übertragungen ermöglichen.
Unternehmen sollten es den Benutzern nicht nur leicht machen, Übertragungen anzufordern, sondern auch Daten in einem gemeinsam nutzbaren Format speichern. Die Verwendung proprietärer Formate kann die Übertragung erschweren und die Rechte der Benutzer beeinträchtigen.
Eine vollständige Liste der Rechte der betroffenen Person finden Sie auf der Seite zur Einhaltung der DSGVO.
Die DSGVO verlangt, dass Unternehmen angemessene Datenschutzmaßnahmen ergreifen, um Systemschwachstellen zu schließen und unbefugten Zugriff oder illegale Nutzung zu verhindern. Die DSGVO schreibt keine spezifischen Maßnahmen vor, legt aber fest, dass Unternehmen sowohl technische als auch organisatorische Kontrollen benötigen.
Zu den technischen Sicherheitskontrollen gehören Software, Hardware und andere Technologietools, wie SIEMs und Lösungen zur Verhinderung von Datenverlust. Die DSGVO fördert Verschlüsselung und Pseudonymisierung nachdrücklich, daher sollten Unternehmen möglicherweise insbesondere diese Kontrollen implementieren.
Zu den organisatorischen Maßnahmen gehören Prozesse wie die Schulung der Mitarbeiter in Bezug auf die DSGVO-Vorschriften und die Umsetzung formeller Data-Governance-Richtlinien.
Die DSGVO verpflichtet Unternehmen außerdem dazu, den Grundsatz des Datenschutzes durch Design und standardmäßige Voreinstellungen zu übernehmen. Der Begriff „by design“ (von Anfang an) bedeutet, dass Unternehmen den Datenschutz von Anfang an in ihre Systeme und Prozesse integrieren sollten. Der Begriff „by default“ (standardmäßig) bedeutet, dass die Standardeinstellung für jedes System diejenige sein sollte, die die Privatsphäre der Benutzer am besten schützt.
Jedes Unternehmen, das im Europäischen Wirtschaftsraum (EWR) tätig sein möchte, muss die DSGVO einhalten. Die Nichteinhaltung kann schwerwiegende Folgen haben. Die schwerwiegendsten Verstöße können zu Geldstrafen von bis zu 20.000.000 EUR oder 4 % des weltweiten Umsatzes des Unternehmens im Vorjahr führen, je nachdem, welcher Betrag höher ist.
Bei Daten-Compliance geht es jedoch nicht nur darum, Konsequenzen zu vermeiden. Sie hat auch Vorteile. Abgesehen davon, dass die Einhaltung der DSGVO Unternehmen den Zugang zu einem der größten Märkte der Welt ermöglicht, können die Grundsätze der DSGVO die Maßnahmen zur Datensicherheit erheblich stärken. Unternehmen können mehr Datenschutzverletzungen verhindern, bevor sie passieren, und so durchschnittliche Kosten von 4,45 Millionen USD pro Verstoß vermeiden.
Die Einhaltung der DSGVO kann auch den Ruf eines Unternehmens stärken und das Vertrauen der Verbraucher gewinnen. Im Allgemeinen bevorzugen es Menschen, mit Unternehmen Geschäfte zu machen, die Kundendaten auf angemessene Weise schützen (Link befindet sich außerhalb von ibm.com).
Die DSGVO hat ähnliche Datenschutzgesetze in anderen Regionen inspiriert, darunter der California Consumer Privacy Act und der indische Digital Personal Data Protection Act. Die DSGVO gilt oft als eines der strengsten dieser Gesetze, sodass die Einhaltung dieser Verordnung Unternehmen auch in die Lage versetzen kann, andere Vorschriften einzuhalten.
Wenn ein Unternehmen schließlich gegen die DSGVO verstößt, kann der Nachweis eines gewissen Maßes an Compliance dazu beitragen, die Auswirkungen abzumildern. Aufsichtsbehörden berücksichtigen bei der Festlegung von Strafen Faktoren wie bestehende Cybersicherheitskontrollen und die Zusammenarbeit mit Aufsichtsbehörden.