Blog, Podcast & Reports

Was ist die DSGVO?

Geschrieben von Marc | 30.03.2021 22:00:00

Hinweis: Im Folgenden möchten wir auf die DSGVO eingehen, damit unsere Kunden die datenschutzrechtliche Situation in der EU etwas besser verstehen. Dieser Artikel stellt jedoch keine rechtliche Beratung dar. Für weitergehende Informationen konsultieren Sie am besten einen Anwalt oder folgen den angegebenen Links weiter unten.

Betrifft mich die DSGVO?

Die DSGVO gilt für Unternehmen, die 1) ihre Produkte an Menschen in der EU vermarkten oder die 2) das Verhalten von Menschen in der EU überwachen. Mit anderen Worten: Selbst wenn Sie Ihren Sitz ausserhalb der EU haben, aber die Daten von EU-Bürgern kontrollieren oder verarbeiten, gilt die DSGVO für Sie.

Wichtige Inhalte der DSGVO

1. Einwilligung

Die DSGVO erhöht den Standard für die Offenlegung von Einwilligungen, da diese "frei gegeben, spezifisch, informiert und unmissverständlich" sein müssen, wobei die für die Verarbeitung Verantwortlichen eine "klare und einfache" Rechtssprache verwenden müssen, die sich "deutlich von anderen Angelegenheiten unterscheidet". Die für die Verarbeitung Verantwortlichen müssen ausserdem nachweisen, dass ihre Prozesse konform sind und in jedem Fall eingehalten werden.

Im Wesentlichen kann Ihr Kunde nicht zur Einwilligung gezwungen werden oder sich nicht bewusst sein, dass er der Verarbeitung seiner personenbezogenen Daten zustimmt. Er muss auch genau wissen, wozu er seine Zustimmung gibt, und er muss im Voraus über sein Recht informiert werden, diese Zustimmung zu widerrufen. Die Einholung der Einwilligung erfordert ein positives Zeichen der Zustimmung - sie kann nicht aus Schweigen, angekreuzten Kästchen oder Inaktivität abgeleitet werden. Das bedeutet, dass die Information des Nutzers während des Opt-Ins immer wichtiger wird.

2. Neue Rechte für natürliche Personen

Die Verordnung baut auch zwei neue Rechte für betroffene Personen ein: ein "Recht auf Vergessenwerden", das von den für die Verarbeitung Zuständigen verlangt, nachgelagerte Empfänger über Löschungsanträge zu benachrichtigen, und ein "Recht auf Datenportabilität", das es betroffenen Personen erlaubt, eine Kopie ihrer Daten in einem gängigen Format zu verlangen. Diese beiden Rechte erleichtern es den Nutzern, die Löschung gespeicherter Daten oder die Weitergabe gesammelter Daten zu verlangen.

3. Zugriffsanfragen

Betroffene Personen hatten schon immer das Recht, Auskunft über ihre Daten zu verlangen. Aber die Datenschutz-Grundverordnung erweitert diese Rechte. In den meisten Fällen können Sie für die Bearbeitung eines Auskunftsantrags keine Gebühren erheben, es sei denn, Sie können nachweisen, dass die Kosten übermässig hoch wären. Die Frist für die Bearbeitung eines Auskunftsersuchens wird ebenfalls auf einen Monat verkürzt (diese kann jedoch unter bestimmten Umständen um zwei Monate verlängert werden). In bestimmten Fällen können Organisationen einen Antrag auf Zugang verweigern, z. B. wenn der Antrag als offensichtlich unbegründet oder übertrieben angesehen wird. Die Organisationen müssen jedoch über klare Ablehnungsrichtlinien und -verfahren verfügen und nachweisen, warum der Antrag diese Kriterien erfüllt.

Interne Prozesse

1. Datenschutz by Design und DPIA

Es gibt mehrere neue Prinzipien für Unternehmen, die personenbezogene Daten verarbeiten, darunter die Anforderung, bei der Entwicklung neuer Systeme den Datenschutz "by design" zu berücksichtigen, und die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (Data Privacy Impact Assessment, DPIA) bei der Verarbeitung mit "neuen Technologien" oder auf riskante Weise. Eine Datenschutz-Folgenabschätzung ist ein Prozess, bei dem systematisch die potenziellen Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Personen berücksichtigt werden, so dass potenzielle Datenschutzprobleme identifiziert werden können, bevor sie entstehen, so dass die Organisation Zeit hat, einen Weg zu finden, sie zu entschärfen, bevor das Projekt in Gang kommt.

2. Datenschutzbeauftragter

Auf der Sicherheitsseite verlangt die DSGVO von vielen Unternehmen einen Datenschutzbeauftragten (Data Privacy Officer, DPO), der dabei hilft, ihre Compliance-Bemühungen zu überwachen. Zu den Organisationen, die einen DSB benötigen, gehören Behörden, Organisationen, deren Aktivitäten die regelmässige und systematische Überwachung von betroffenen Personen in grossem Umfang beinhalten, oder Organisationen, die sensible personenbezogene Daten in grossem Umfang verarbeiten.

3. Verträge & Datenschutz Dokumentation

Da es bei der DSGVO um Transparenz und Fairness geht, müssen Verantwortliche und Auftragsverarbeiter ihre Datenschutzhinweise, Datenschutzerklärungen und alle internen Datenrichtlinien überprüfen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen. Wenn ein für die Verarbeitung Verantwortlicher Drittanbieter mit der Verarbeitung der personenbezogenen Daten unter seiner Kontrolle beauftragt, muss er sicherstellen, dass seine Verträge mit diesen Auftragsverarbeitern aktualisiert werden, um die neuen, obligatorischen Bestimmungen für Auftragsverarbeiter gemäss Artikel 28 der Verordnung aufzunehmen. Ebenso sollten Auftragsverarbeiter prüfen, welche Änderungen sie an ihren Kundenverträgen vornehmen müssen, um DSGVO-konform zu sein.


Aufsichtsbehörden

One-Stop Shop

Ein besonderer Punkt in der DSGVO sollte das Leben dieser Datenschutzbeauftragten erleichtern: die neue "One-Stop-Shop"-Bestimmung der DSGVO, nach der Organisationen mit Niederlassungen in mehreren EU-Ländern eine "federführende Aufsichtsbehörde" haben werden, die als zentrale Durchsetzungsstelle fungiert, damit sie sich nicht mit widersprüchlichen Anweisungen von mehreren Aufsichtsbehörden herumschlagen müssen.

Melden von Verstössen

Die DSGVO enthält die Anforderung, dass die für die Verarbeitung Verantwortlichen die Aufsichtsbehörde ihres Landes innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen müssen, sofern die Daten nicht anonymisiert oder verschlüsselt wurden. In der Praxis wird dies bedeuten, dass die meisten Datenschutzverletzungen dem Datenschutzbeauftragten gemeldet werden müssen. Verstösse, die einer Person wahrscheinlich Schaden zufügen - wie Identitätsdiebstahl oder Verletzung der Vertraulichkeit - müssen den betroffenen Personen ebenfalls gemeldet werden.

Wo finde ich weitere Informationen zur DSGVO?

Weitere Informationsquellen finden Sie hier:

  1. Den vollen Text zur DSGVO finden Sie hier
  2. Die Informationsseite des Schweizer Bundes
  3. Der Online Vermittlungsservice Advonaut für Anwälte