Leitfäden Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Grundverordnung (DSGVO)

Stripe-Leitfaden zu Veränderungen im europäischen Datenschutz

Einleitung

Zuletzt am 25. September 2020 als Konsequenz aus dem Schrems II-Urteil des Gerichtshofs der Europäischen Union (EuGH) aktualisiert.

Überblick über die neuen gesetzlichen Datenschutzbestimmungen, die am 25. Mai 2018 in Kraft treten, sowie einige Best Practices zur Erfüllung der DSGVO

Die DSGVO ist die seit Jahrzehnten wichtigste gesetzliche Änderung der Datenschutzvorschriften. Unternehmen arbeiten derzeit an durchgreifenden Änderungen ihrer Systeme und Verträge, und wer jetzt schon die gesetzlichen Vorgaben erfüllt und datenschutzkonforme Plattformen betreibt, hat die Nase vorn. Dieser Leitfaden soll unseren Nutzerinnen und Nutzern helfen, die weitreichenden Folgen der DSGVO zu verstehen und zu erkennen, welche Chancen die DSGVO zur Verbesserung von Datenverarbeitungsprozessen bietet. Sie erfahren auch, wie Sie für Ihr Unternehmen an der DSGVO-Konformität arbeiten können.

Das Kleingedruckte: Dieser DSGVO-Leitfaden ist ausschließlich als Orientierungshilfe gedacht. Er stellt keine Rechtsberatung dar. Wenden Sie sich bitte an Ihren Rechtsberater, um zu erfahren, wie sich die DSGVO konkret auf Ihre Geschäftstätigkeit auswirken kann.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine neue EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Im Vergleich zu bisherigen Bestimmungen schreibt die Verordnung die Sicherstellung des Datenschutzes in den Systemen einer Organisation in größerer Detailtiefe sowie differenziertere Datenschutzverträge und verbraucherfreundlichere und detaillierte Offenlegungen der Datenschutzpraktiken einer Organisation vor.

Die DSGVO ersetzt die bisherige EU-Datenschutzrichtlinie aus dem Jahr 1995 (allgemein als „Datenschutzrichtlinie“ bekannt). Diese bisherige Datenschutzrichtlinie musste von den EU-Mitgliedstaaten jeweils in nationales Recht umgesetzt werden, was zu einer EU-weit fragmentierten Datenschutzgesetzgebung geführt hat. Die DSGVO hingegen ist eine EU-Verordnung, die in allen EU-Mitgliedstaaten direkte Gesetzeskraft entfaltet, das heißt, sie ist verbindlich, ohne erst in nationales Recht der jeweiligen EU-Mitgliedstaaten umgesetzt werden zu müssen. Dadurch wird die gesetzliche Einheitlichkeit und harmonisierte Anwendung der Verordnung in der EU verbessert.

Die DSGVO kann auf Unternehmen außerhalb der EU Anwendung finden

Anders als bei der Datenschutzrichtlinie ist die DSGVO für jedes weltweit tätige Unternehmen relevant, nicht nur für Unternehmen, die in der EU niedergelassen sind. Gemäß DSGVO gilt die Verordnung für eine Organisation, wenn sie (i) in der EU niedergelassen ist, oder (ii) wenn sie keine Niederlassung in der EU hat, die Datenverarbeitungsaktivitäten jedoch natürliche Personen in der EU betreffen und dazu dienen, ihnen Waren und Dienstleistungen anzubieten oder ihr Verhalten zu analysieren.

Die Verarbeitung personenbezogener Daten ist in der DSGVO ein weit gefasstes Konzept

Die DSGVO schreibt vor, wie personenbezogene Daten natürlicher Personen in der EU von Organisationen verarbeitet werden dürfen. „Personenbezogene Daten“ und „Verarbeitung“ sind Begriffe, die in dieser Verordnung häufig verwendet werden, und eine eingehendere Befassung mit ihrer genauen Bedeutung gemäß der DSGVO macht deutlich, wie weit diese Verordnung tatsächlich reicht:

  • Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies ist ein sehr weit gefasstes Konzept, da es jegliche Information umfasst, die für sich allein oder in Kombination mit anderen Informationen verwendet werden kann, um eine Person zu identifizieren. Personenbezogene Daten sind nicht nur der Name oder die E-Mail-Adresse einer Person. Sie können auch finanzielle Informationen oder in manchen Fällen sogar eine IP-Adresse umfassen. Darüber hinaus wird für bestimmte Kategorien personenbezogener Daten aufgrund ihrer Sensibilität ein höherer Datenschutz vorgeschrieben. Diese Datenkategorien betreffen Informationen, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person hervorgehen.

  • Verarbeitung: Die Verarbeitung personenbezogener Daten ist jene Aktivität, die Verpflichtungen im Sinne der DSGVO mit sich bringt. Verarbeitung bedeutet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. In der Praxis bedeutet dies, dass jeder Prozess, der personenbezogene Daten speichert oder abfragt, als Verarbeitung gilt.

Schlüsselkonzepte: Verantwortliche und Auftragsverarbeiter

Gemäß EU-Datenschutzrecht gibt es zwei Stellen, die personenbezogene Daten verarbeiten können: der Verantwortliche und der Auftragsverarbeiter.

Der Verantwortliche ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Auftragsverarbeiter ist jene Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die Unterscheidung ist hier wichtig. Für jede Datenverarbeitungsaktivität muss daher bestimmt werden, ob die Stelle, die personenbezogene Daten verarbeitet, ein Verantwortlicher oder ein Auftragsverarbeiter ist. Mit dieser korrekten Zuordnung weiß eine Organisation, welche Rechte und Pflichten mit jedem ihrer Datenverarbeitungsvorgänge verbunden sind.

Stripe ist bei bestimmten Datenverarbeitungsaktivitäten als Verantwortlicher und bei anderen Aktivitäten als Auftragsverarbeiter tätig. Diese Doppelrolle lässt sich anhand der Verarbeitung von Kreditkartentransaktionen gut veranschaulichen. Um eine Transaktion durchzuführen zu können, muss Stripe personenbezogene Daten wie den Namen des Karteninhabers, die Kreditkartennummer, das Ablaufdatum und den CVC-Code verarbeiten. Die Daten des Karteninhabers/der Karteninhaberin werden vom Stripe-Nutzer/von der Stripe-Nutzerin über die Stripe API (oder über eine andere Integrationsmethode, zum Beispiel Stripe Elements) an Stripe übermittelt. Stripe verwendet diese Daten dann, um die Transaktion innerhalb der Systeme der Kreditkartennetzwerke abzuschließen. In dieser Funktion agiert Stripe daher als Auftragsverarbeiter. Stripe verwendet die Daten aber auch zur Erfüllung seiner regulatorischen Verpflichtungen, etwa durch Verfahren wie „Know-Your-Customer“ („KYC“) und im Bereich der Geldwäschebekämpfung („AML“). In dieser Rolle agiert Stripe als Verantwortlicher.

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß DSGVO

Im nächsten Schritt ist festzuhalten, ob eine bestimmte Verarbeitungsaktivität DSGVO-konform ist. Gemäß DSGVO muss sich jede Datenverarbeitungsaktivität, die von einem Verantwortlichen oder Auftragsverarbeiter durchgeführt wird, auf eine Rechtsgrundlage stützen. Die DSGVO kennt insgesamt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von natürlichen Personen in der EU (in der DSGVO werden natürliche Personen in der EU als „betroffene Personen“ bezeichnet). Diese sechs Rechtsgrundlagen sind, in der Reihenfolge des Art. 6 (1) (a) bis (f) der DSGVO:

  1. Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

  2. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.

  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person zu schützen.

  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Unternehmens erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Es gibt Ähnlichkeiten zwischen der in der DSGVO angeführten Liste zulässiger Verarbeitungen und der in der Datenschutzrichtlinie enthaltenen Liste. Es bestehen aber auch erhebliche Unterschiede.

Die am häufigsten diskutierte Änderung in der DSGVO gegenüber der Datenschutzrichtlinie sind die restriktiveren Einwilligungserfordernisse (Punkt 1 in der oben angeführten Liste). Zu den Einwilligungserfordernissen gemäß DSGVO gehört unter anderem, dass (i) die Einwilligung nachweisbar ist, (ii) das Ersuchen um Einwilligung deutlich von anderen Sachverhalten zu unterscheiden ist, und (iii) die betroffenen Personen von ihrem Recht zum Widerruf ihrer Einwilligung in Kenntnis gesetzt werden. Hierbei ist auch zu beachten, dass für die Verarbeitung sensibler Daten ein noch strengeres Einwilligungserfordernis („ausdrückliche Einwilligung“) vorgeschrieben wird.

Ein weiterer wichtiger Punkt, der besonders zu beachten ist, betrifft die berechtigten Interessen (Punkt 6 in der obigen Liste). Legt man der Verarbeitung personenbezogener Daten „berechtigte Interessen“ als Rechtsgrundlage zugrunde, sollte eine Organisation sich der Abwägungspflicht bewusst sein, die mit dieser Rechtsgrundlage verbunden ist. Im Einklang mit der in der DSGVO vorgeschriebenen Rechenschaftspflicht muss eine Organisation ihre Erfüllung der vorgeschriebenen Interessenabwägung dokumentieren, einschließlich der verwendeten Herangehensweise und der Argumente, die sie in Betracht gezogen hat, um zu dem Schluss zu kommen, dass die Interessen pflichtgemäß abgewogen wurden.

Rechte betroffener Personen gemäß DSGVO

In der Datenschutzrichtlinie wurden natürlichen Personen bestimmte Rechte hinsichtlich ihrer personenbezogenen Daten garantiert. Diese Rechte bestehen in der DSGVO weiter fort, mit einigen klärenden Ergänzungen. Die folgende Tabelle veranschaulicht die Rechte natürlicher Personen gemäß der Datenschutzrichtlinie und der DSGVO.

Recht der natürlichen Person Datenschutzrichtlinie DSGVO
Recht auf Auskunft zu personenbezogenen Daten Natürliche Personen haben das Recht zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden, welche davon verarbeitet werden und wie sie verarbeitet werden, und welche Datenverarbeitungsvorgänge angewandt werden. Der Umfang dieses Rechts wurde in der DSGVO ausgeweitet. So haben betroffene Personen zum Beispiel das Recht, auf Antrag zusätzliche Informationen zu erhalten, einschließlich Informationen über ihre zusätzlichen Datenschutzrechte gemäß der DSGVO, die vorher noch nicht bestanden (zum Beispiel das Recht auf Datenübertragbarkeit).
Widerspruchsrecht Eine natürliche Person kann bestimmte Datenverarbeitungsvorgänge untersagen, wenn zwingende berechtigte Gründe vorliegen. Sie kann auch der Verarbeitung ihrer personenbezogenen Daten für Direktmarketingzwecke widersprechen. Die DSGVO hat den Umfang dieses Rechts im Vergleich zur Datenschutzrichtlinie weiter gefasst.
Recht auf Berichtigung oder Löschung Natürliche Personen haben das Recht, die Vervollständigung unvollständiger Daten oder deren Korrektur zu verlangen, um sicherzugehen, dass die Verarbeitung personenbezogener Daten anwendbare Datenschutzgrundsätze erfüllt. Die Position in der DSGVO ist hier im Wesentlichen gleich wie in der Datenschutzrichtlinie, nur einige Verfahrensgarantien wurden in der DSGVO verbessert.
Recht auf Einschränkung Kein Recht auf Einschränkung der Verarbeitung. Die Datenschutzrichtlinie gewährt natürlichen Personen jedoch das Recht, die Blockierung ihrer personenbezogenen Daten zu beantragen, wenn die Verarbeitungsvorgänge gegen die Datenschutzgrundsätze verstoßen, zum Beispiel wenn Daten unvollständig oder unrichtig sind. Die DSGVO bietet betroffenen Personen das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten unter bestimmten Umständen zu verlangen, unter anderem, wenn die Person die Richtigkeit der Daten bestreitet.
Recht auf Löschung („Recht auf Vergessenwerden“) Natürliche Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, falls die Verarbeitungsvorgänge nicht den Datenschutzgrundsätzen entsprechen. Dieses Recht ist folglich sehr eng gefasst. Die DSGVO hat dieses Recht erheblich ausgeweitet. So kann das Recht auf Löschung beispielsweise geltend gemacht werden, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, oder wenn die Person ihre Einwilligung widerruft und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt.
Recht auf Datenübertragbarkeit Die Datenschutzrichtlinie verweist nicht ausdrücklich auf „Datenübertragbarkeit“ als ein Recht einer natürlichen Person. Eventuell haben EU-Mitgliedstaaten auf nationaler Ebene zusätzliche Rechte umgesetzt, die dem Recht auf Datenübertragbarkeit nahekommen. Betroffene Personen können verlangen, dass personenbezogene Daten, die von einem Verantwortlichen gehalten werden, ihnen selbst oder einem anderen Verantwortlichen zur Verfügung gestellt werden.

Internationale Datenübermittlungen

Internationale Datenübermittlung war in den letzten Jahren ein heißes Thema. In diesem Bereich hat es erhebliche Debatten und Gesetzesreformen gegeben. Es kann auch als nahezu sicher angenommen werden, dass sich die Gesetzeslage zu internationalen Datenflüssen in den kommenden Jahren noch weiterentwickeln wird. Nach heutigem EU-Datenschutzrecht müssen bestimmte Erfordernisse erfüllt sein, bevor personenbezogene Daten von natürlichen Personen in der EU an Drittländer außerhalb der EU übermittelt werden dürfen, außer wenn die Organisation, die diese personenbezogenen Daten empfängt, in einem Land auf der diesbezüglichen Unbedenklichkeitsliste ansässig ist (die betreffenden Länder sind hier aufgelistet).

Im Kontext der DSGVO sind internationale Datenübermittlungen ein schwieriges Thema, da sich die gesetzlichen Bestimmungen laufend weiterentwickeln und nur eine Handvoll Mechanismen zur Datenübermittlung zur Verfügung stehen. Doch so schwierig die Situation auch sein mag: Unternehmen müssen mit dem Stand der Entwicklungen Schritt halten, immerhin ist die gesetzeskonforme Übermittlung personenbezogener Daten das Rückgrat jedes Technologieunternehmens.

Als Konsequenz aus dem Schrems II-Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 16. Juli 2020 ist dabei das EU-U.S. Privacy Shield (Datenschutzschild) und das Swiss-U.S. Privacy Shield als Mechanismus für die Übermittlung personenbezogener Daten aus der EU in die USA nicht mehr gültig. Wir sind weiterhin den Prinzipien des Privacy Shield Framework verpflichtet, um den Schutz der Privatsphäre der Nutzer/innen zu gewährleisten. In diesem Sinne beziehen wir uns in allen Vereinbarungen und Richtlinien auch weiterhin auf das Privacy Shield.

Generell hat Stripe Compliance-Maßnahmen für internationale Datenübermittlungen umgesetzt, die für alle Aktivitäten gelten, die Stripe weltweit in der Verarbeitung personenbezogener Daten von natürlichen Personen in der EU betreibt. Diese Maßnahmen basieren auf den EU-Standardvertragsklauseln (SCCs).

Wie schon erwähnt sind internationale Datenflüsse nach wie vor ein Bereich, für den zukünftige Gesetzesreformen zu erwarten sind. Aus diesem Grund behalten wir die rechtlichen Entwicklungen rund um internationale Datenübermittlungen genau im Auge und ergreifen jede Maßnahme, die uns möglich ist, um eine rechtskonforme internationale Übermittlung personenbezogener Daten von betroffenen Personen in der EU zu gewährleisten. In diesem Sinne haben wir in unser Compliance-Programm für Datenübermittlungen auch Redundanzen im größtmöglichen Umfang eingebaut und werden diese mit dem Instrumentarium, das sich für Stripe aus der DSGVO ergibt, noch weiter ausbauen.

Verstöße gegen die DSGVO

Die am häufigsten genannte Konsequenz aus Verstößen gegen die DSGVO ist die maximale Geldbuße, die gegen ein Unternehmen verhängt werden kann. Die Geldbuße kann bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes bzw. 20 Millionen EUR betragen, je nachdem, welcher Betrag höher ist. Bei bestimmten anderen Verletzungen beträgt die Bußgeldhöhe 2 % des gesamten weltweit erzielten Jahresumsatzes bzw. 10 Millionen EUR, auch hier wiederum je nachdem, welcher Betrag höher ist.

Weniger häufig zitiert werden die Befugnisse der Datenschutzbehörden („DSB“) gemäß Artikel 58 der DSGVO. Zu den Befugnissen der DSB gehören Abhilfebefugnisse, die es ihnen beispielsweise gestatten, eine vorübergehende oder endgültige Beschränkung der Datenverarbeitung, einschließlich eines vollständigen Verbots, zu verhängen, oder die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland anzuordnen.

Stripe und die DSGVO

Datenschutz und Datensicherheit stehen bei Stripe in allen unseren Aktivitäten stets im Mittelpunkt unserer Überlegungen. Wir arbeiten fortlaufend daran, unsere Messlatte im Bereich der Sicherheit und des Schutzes von Daten für uns selbst immer höher zu legen, und sehen die DSGVO als Chance für die ganze Branche, rund um dieses Thema in gemeinsamer Arbeit Verbesserungen zu erzielen.

Bereits 2016 ergriff Stripe erste Maßnahmen zur Erfüllung der DSGVO, und wir arbeiten zielstrebig an der Sicherstellung der DSGVO-Konformität unserer Dienstleistungen zum Stichtag am 25. Mai 2018.

DSGVO-Konformität betrifft viele Aspekte. Unter anderem aktualisieren wir unsere Dokumentation und Verträge gemäß den Anforderungen der DSGVO. Wir passen auch unsere internen Richtlinien und Verfahren an, um sicherzustellen, dass sie den DSGVO-Standard erfüllen.

Die meisten Anpassungen, die zur Einhaltung der DSGVO-Vorgaben erforderlich sind, werden organisationsintern und nach außen hin kaum sichtbar vollzogen, da sie sich darauf beziehen, wie eine Organisation personenbezogene Daten verarbeitet. Einige der Schritte, die Plattformen wie Stripe im Vorfeld der DSGVO für ihre Nutzer/innen (und für sich selbst) durchführen, sind zum Beispiel:

  • Durchführung einer Analyse hinsichtlich der Lücken, die aufgrund von Unterschieden zwischen der Datenschutzrichtlinie und der DSGVO in den Abläufen des Unternehmens zu schließen sind.

  • Prüfung und gegebenenfalls Anpassung interner Tools, Verfahren und Richtlinien.

  • Prüfung und gegebenenfalls Aktualisierung der Praktiken in den Bereichen Daten-Mapping und Datenvorratshaltung, um die Einhaltung der Aufbewahrungspflichten gemäß DSGVO zu gewährleisten.

  • Durchführung einer zweckgebundenen Analyse zur Bewertung etwaiger Lücken in den Datenschutzkontrollinstrumenten im Einklang mit den Vorgaben der Datenschutz-Folgenabschätzung.

  • Anpassung der Vorgehensweise bei internationalen Datenübermittlungen.

  • Anpassung von Verträgen zur Sicherstellung der Erfüllung von Verpflichtungen gemäß Art. 28 DSGVO in Bezug auf Vertragspartner des Unternehmens.

  • Prüfung und gegebenenfalls Anpassung von Beziehungen mit externen Auftragnehmern zur Sicherstellung, dass diese Auftragnehmer personenbezogene Daten rechtmäßig entsprechend den Anforderungen der DSGVO erhalten und verarbeiten.

  • Aktualisierung des Datenschutz-Compliance-Programms des Unternehmens mit laufenden Mitarbeiterschulungen hinsichtlich der für die DSGVO durchzuführenden Änderungen.

Grundsatz der Rechenschaftspflicht

Nutzer/innen der von Stripe angebotenen Dienstleistungen sollten mit ihren Rechtsberatern Rücksprache halten, um ihre konkreten Pflichten zur Erfüllung der DSGVO im vollen Umfang zu erfassen. Generell lässt sich sagen, dass die DSGVO Anwendung findet, wenn eine Organisation in der EU niedergelassen ist oder personenbezogene Daten von natürlichen Personen in der EU verarbeitet.

Ein übergeordneter Grundsatz der DSGVO, der unbedingt beachtet werden sollte, ist der Grundsatz der Rechenschaftspflicht. Gemäß diesem Grundsatz muss der Verantwortliche nachweisen können, dass er in seinen Verarbeitungsaktivitäten die in der DSGVO vorgegebenen Datenschutzprinzipien einhält. Am einfachsten erbringt man diesen Nachweis, wenn die Vorgehensweise zur Einhaltung der DSGVO dokumentiert und kommuniziert wird.

Bei Stripe ist die Einhaltung der DSGVO das Produkt der Zusammenarbeit vieler Personen aus verschiedensten Bereichen des Unternehmens, darunter User Operations, Sales, Engineering, Sicherheit und Rechtsabteilung. Wir haben die Erfahrung gemacht, dass funktionsübergreifende, partnerschaftliche Zusammenarbeit und leicht zu lesende Dokumentation für den Prozess der DSGVO-Konformität unglaublich hilfreich sind.

Eine DSGVO-Checkliste für Ihr Unternehmen

Bis zum Inkrafttreten der DSGVO am 25. Mai 2018 bleiben nur mehr wenige Wochen Zeit. Gerade für kleine und mittlere Unternehmen ist die Sicherstellung der Konformität häufig mit besonderen Herausforderungen verbunden. Für sie haben wir daher einige wichtige Punkte eines DSGVO-Konformitätsprogramms in Form einer Checkliste zusammengestellt.

Sind alle im Unternehmen auf dem gleichen Stand? Setzen Sie sich mit Ihren Kolleginnen und Kollegen aus der Technik-, Customer-Support- und Rechtsabteilung zusammen und tauschen Sie sich darüber aus, was die DSGVO ist und wie sie sich auf Ihr Unternehmen auswirkt.

Haben Sie eine klare Vorstellung davon, was mit personenbezogenen Daten in Ihrem Unternehmen geschieht? Ein Daten-Mapping könnte hilfreich sein, um zu veranschaulichen, wie personenbezogene Daten in Ihren Systemen gespeichert und verarbeitet werden. Folgende Fragen können Ihnen dabei als Orientierungshilfe dienen:

  • Welche Kategorien von personenbezogenen Daten verarbeiten Sie? (z. B. Finanzdaten, Gesundheitsdaten, marketingrelevante Daten, etc.)
  • Für welche Kategorien natürlicher Personen verarbeiten Sie personenbezogene Daten? (z. B. Karteninhaber, Kinder, Patienten, etc.)
  • Aus welchem Grund verarbeiten Sie diese Daten?
  • Wie und warum haben Sie diese Daten erfasst?
  • Wie sichern Sie diese Daten?
  • Geben Sie diese Daten an Dritte weiter? Wenn ja, legen Sie diese Dritte in Ihrer Datenschutzerklärung offen oder informieren Sie auf andere Weise darüber? Wissen Sie, wer diese Dritten sind? Wie lange bewahren Sie Daten über natürliche Personen auf?

Kennen Sie die Rechtsgrundlagen? Gehen Sie die oben beschriebenen 6 Rechtsgrundlagen durch. Ordnen Sie jedem Verarbeitungsvorgang, den Sie in Ihrem Daten-Mapping festgehalten haben, eine Rechtsgrundlage zu. So erhalten Sie eine systematische Übersicht darüber, ob alle Vorgänge eine Rechtsgrundlage gemäß DSGVO haben und welche das jeweils ist.

Wissen Sie, was zu tun ist, wenn eine Person ihre Rechte geltend macht?

  • Mit den Informationen aus Ihrem Daten-Mapping sollten Sie in der Lage sein, auf die Auskunftsanfrage einer betroffenen Person zu antworten.
  • Anhand des Daten-Mapping wissen Sie, wo personenbezogene Daten in Ihrem System liegen (und mit anderen Systemen verlinkt sind), und können Anträge auf Nichtteilnahme (Opt-out), Änderung und Löschung ordnungsgemäß durchführen.
  • Sie sollten auch wissen, welche Datenformate Ihre Systeme verwenden und sich überlegen, wie Sie auf Datenübertragungsersuchen reagieren sollten.

Welche Maßnahmen haben Sie für den Fall von Datenschutzverletzungen vorgesehen? Wenn Sie mit Kollegen aus dem Technik- oder Sicherheitsbereich Ihres Unternehmens sprechen, sollten Sie wissen, welche Maßnahmen bei einer Verletzung des Schutzes personenbezogener Daten zu ergreifen sind. Führen Sie einige „Trockenübungen“ durch, damit im Falle einer Sicherheitsverletzung alle zuständigen Mitarbeiter wissen, was zu tun ist. Im Idealfall ist Ihr Notfallteam ein gut eingespieltes Team, das Maßnahmenpläne erforderlichenfalls sofort umsetzen kann.

Diese Checkliste könnte noch viele weitere Elemente enthalten und ist lediglich als Anregung gedacht. Für Ihren konkreten Bedarf sollten Sie mit Ihren internen Experten und externen Beratern eine maßgeschneiderte Liste erstellen. Eventuell sind Sie beispielsweise verpflichtet, Datenschutz-Folgenabschätzungen durchzuführen, einen Datenschutzbeauftragten zu bestellen, Marketing- und sonstige Kommunikationspraktiken des Unternehmens zu prüfen und beaufsichtigen oder Ihre Lieferantenverwaltung und Auftragsvergabeprozesse zu prüfen, um nur ein paar Beispiele zu nennen.

Wenn Sie sich durch systematisches Mapping Ihrer Datenverarbeitungsaktivitäten ein solides Fundament geschaffen haben, ist das bei etwaigen später auftauchenden Fragen zur DSGVO-Konformität von großem Vorteil.

Nachstehend finden Sie noch weitere Quellen, die wir als hilfreich empfunden haben und von denen wir hoffen, dass sie auch für Sie hilfreich sind.

Weiterführende Ressourcen

Zum Thema DSGVO gibt es viele verschiedene Online-Ressourcen, und die guten im Auge zu behalten ist gar nicht so einfach. Hier sind einige Seiten, mit denen wir uns über die Entwicklungen der DSGVO auf dem Laufenden halten:

  • Am Anfang steht immer der Gesetzestext: Den vollständigen Wortlaut der DSGVO finden Sie hier und den Link zur Datenschutzrichtlinie hier.

  • Aufsichtsbehörde: Jeder EU-Mitgliedstaat hat eine Datenschutzbehörde (DSB) und viele von ihnen haben hilfreiche Leitfäden zur Umsetzung der DSGVO herausgegeben. Eine Liste der Datenschutzbehörden finden Sie hier.

  • Artikel-29-Datenschutzgruppe (G29), in Kürze abgelöst vom Europäischen Datenschutzausschuss (EDSA): Die G29 ist ein Beratungsgremium bestehend aus je einem Vertreter der DSB jedes EU-Mitgliedstaats, dem Europäischen Datenschutzbeauftragten und einem Vertreter der Europäischen Kommission. Am 25. Mai 2018 wird die G29 von der EDSA abgelöst. Die EDSA setzt sich zusammen aus dem Leiter der DSB jedes EU-Mitgliedstaats und dem Europäischen Datenschutzbeauftragten.

    Die G29 hat Hunderte von Leitlinien und Stellungnahmen veröffentlicht und viele Themen zur Konsultation eröffnet. Die jüngsten Leitlinien und Stellungnahmen konzentrieren sich allesamt darauf, wie die Elemente der DSGVO in der Compliance-Struktur eines Unternehmens am besten umgesetzt werden können. Den Newsroom der G29 finden Sie hier (nur auf Englisch verfügbar).

    Die alte Website der G29 hatte viele weitere Ressourcen aufgelistet, die im neuen Website-Layout leider nicht mehr so leicht zugänglich sind. Die archivierte Website mit den zusätzlichen Links kann hier eingesehen werden (nur auf Englisch verfügbar).

  • Einige Datenschutzbehörden, Anwaltskanzleien, Datenschutzorganisationen wie die IAPP sowie viele andere Organisationen, NGOs und Unternehmen richten Veranstaltungen zum Thema DSGVO aus. Es ist sehr wahrscheinlich, dass andere Organisationen sehr ähnliche Fragen zur Umsetzung der DSGVO haben wie Sie. Diese Veranstaltungen sind daher eine gute Gelegenheit, in gemeinschaftlicher Arbeit Antworten auf Ihre Fragen zu finden.

Zurück zu den Leitfäden
You’re viewing our website for Hong Kong, but it looks like you’re in the United States. 
Switch to the United States site