Was ist die DSGVO? auf Italienisch (GDPR)
Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union
il Regolamento generale sulla protezione dei dati (GDPR) nell’Unione Europea

Die Datenschutz-Grundverordnung (DSGVO, aus der englischen Datenschutz-Grundverordnung) ist eine europäische Verordnung, die regelt, wie Unternehmen und andere Organisationen personenbezogene Daten verarbeiten. Es ist die bedeutendste Datenschutzmaßnahme der letzten 20 Jahre und hat bedeutende Auswirkungen auf alle Organisationen der Welt, die sich an Bürger der Europäischen Union richten.

Das Gesetz zielt darauf ab, jedem Einzelnen die Kontrolle über die Verwendung seiner Daten zu geben und „die Grundrechte und Grundfreiheiten des Einzelnen“ zu schützen: Zu diesem Zweck legt es genaue und strenge Anforderungen an die Datenverarbeitung, Transparenz, zu erstellende und aufzubewahrende Dokumentation und die Zustimmung der Nutzer.

Jede Organisation muss die Verarbeitung personenbezogener Daten dokumentieren und überwachen.

Als Datenverantwortlicher muss jede Organisation die Verarbeitung personenbezogener Daten aufzeichnen und überwachen. Dies umfasst personenbezogene Daten, die nicht nur innerhalb der Organisation, sondern auch von Dritten – sogenannten Datenverantwortlichen – verarbeitet werden.

Unter den Datenverarbeitern können sich Personen unterschiedlicher Art befinden, von Software-as-a-Service-Anbietern bis hin zu eingebetteten Diensten von Drittanbietern, die Besucher der Website der Organisation verfolgen und profilieren.

Sowohl Verantwortliche als auch Auftragsverarbeiter müssen die Art der verarbeiteten Daten, den Zweck ihrer Verarbeitung sowie die Länder und Dritte, an die die Daten übermittelt werden, nachvollziehen können.

Werden personenbezogene Daten an Organisationen oder Rechtsordnungen übermittelt, die nicht in den Anwendungsbereich der DSGVO fallen oder die von der DSGVO selbst als nicht „angemessen“ erachtet werden, muss der Nutzer hierüber und die damit verbundenen Risiken ausdrücklich aufgeklärt werden.

Alle Einwilligungen müssen als Nachweis für die erteilte Einwilligung protokolliert werden.

Am 4. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur gültigen Einwilligung nach der DSGVO verabschiedet.

Eine gültige Einwilligung muss ein freier, konkreter, informierter und eindeutiger Hinweis auf die Absicht des Nutzers sein, d. h. eine klare und bestätigende Handlung des Nutzers.

Die EDPB-Richtlinien stellen klar, dass das Scrollen oder das Weitersurfen auf einer Website keine gültige Zustimmung darstellt und dass Banner-Cookies keine vorab angekreuzten Kästchen haben dürfen.

Cookie Walls (erzwungene Einwilligung) werden ebenfalls als nicht konform beurteilt.

Der EDSB, die für die EU-weite Anwendung der DSGVO zuständige oberste Aufsichtsbehörde, setzt sich aus Vertretern der Datenschutzbehörden jedes EU-Mitgliedsstaates zusammen. Seine Leitlinien und Entscheidungen sind die Grundlage für die Umsetzung der DSGVO auf nationaler Ebene.

Um mehr über die Richtlinien des EDSA zur gültigen Einwilligung zu erfahren, lesen Sie hier.

Jeder hat nun das „Recht auf Datenübertragbarkeit“, das „Recht auf besseren Zugang zu seinen Daten“ zusammen mit dem „Recht auf Vergessenwerden“ und kann seine Einwilligung jederzeit widerrufen. In diesem Fall muss der Verantwortliche die personenbezogenen Daten der betroffenen Person löschen, wenn sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.

Im Falle einer Datenschutzverletzung muss das Unternehmen in der Lage sein, Datenschutzbehörden und betroffene Personen innerhalb von 72 Stunden zu benachrichtigen.

Darüber hinaus sieht die DSGVO die Verpflichtung für öffentliche Verwaltungen, Organisationen mit mehr als 250 Mitarbeitern und Unternehmen, die in großem Umfang sensible personenbezogene Daten verarbeiten, vor, einen Datenschutzbeauftragten (DSB) einzustellen oder auszubilden. Der DSB muss Schritte unternehmen, um die Einhaltung der DSGVO im gesamten Unternehmen sicherzustellen.

Was den Brexit betrifft, so plant die britische Regierung nach der Übergangszeit, in der noch EU-Gesetze gelten, die Einführung einer gleichwertigen Gesetzgebung, die im Wesentlichen der europäischen DSGVO folgt und den Namen UK-DSGVO annehmen wird.

Sie sind sich nicht sicher, ob Ihre Website DSGVO-konform ist? Probieren Sie es kostenlos mit Cookiebot ™ aus.

Was bedeutet die DSGVO für meine Website?
Wenn sich Ihre Website an EU-Bürger richtet und Sie – oder eingebettete Dienste von Drittanbietern wie Google und Facebook – personenbezogene Daten jeglicher Art verarbeiten, ist die vorherige Zustimmung des Besuchers erforderlich.

Um eine gültige Einwilligung einzuholen, müssen Sie dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck dieser Verarbeitung in klarer und zugänglicher Sprache mitteilen.

Diese Informationen müssen dem Besucher immer zugänglich sein, beispielsweise im Rahmen Ihrer Datenschutzerklärung. Sie müssen dem Besucher auch die Möglichkeit geben, die Einwilligung auf einfache Weise zu ändern oder zu widerrufen.

Nicht nur müssen alle Einwilligungen eingehalten werden

als Beweis, aber alle Aktivitäten zur Verfolgung personenbezogener Daten, auch durch eingebettete Dienste Dritter, müssen dokumentiert werden, wobei angegeben wird, in welche Länder die Daten übermittelt werden.

Besuchen Sie die EU-Informationsseite zur Reform des Datenschutzrechts. Sehen Sie sich auch die Infografik Datenschutz – Bessere Standards für kleine Unternehmen an.

Wie kann Freelance Ihnen helfen kann
Mit dem Cookiebot ™ CMP können Sie die DSGVO-Konformität Ihrer Website in Bezug auf Tracking- und Einwilligungsrichtlinien automatisieren.

Cookiebot ™ ermöglicht es Ihnen, jede Art von Tracking auf Ihrer Website zu überwachen und zu dokumentieren, Ihren Website-Besuchern relevante Informationen zu präsentieren und alle Benutzereinwilligungen automatisch einzuholen und zu dokumentieren.

Was ist die Definition von personenbezogenen Daten?
Die DSGVO definiert personenbezogene Daten als „alle Informationen über eine identifizierte oder identifizierbare natürliche Person („Betroffener“); die natürliche Person, die direkt oder indirekt, insbesondere anhand einer Kennung wie dem Namen, einer Nummer, identifiziert werden kann als identifizierbare Identifizierung, Standortdaten, eine Online-Kennung oder eines oder mehrere charakteristische Elemente Ihrer physischen, physiologischen, genetischen, psychologischen, wirtschaftlichen, kulturellen oder sozialen Identität angesehen werden.

Online-Identifikatoren wie IP-Adressen gelten nun als personenbezogene Daten, sofern sie nicht anonymisiert werden.

Auch pseudonymisierte personenbezogene Daten unterliegen der DSGVO, wenn durch sogenanntes Reverse Engineering eine Identifizierung ihrer Zugehörigkeit möglich ist.

DSGVO: Bußgelder und Strafen
Nicht konformen Organisationen drohen hohe Strafen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes der Organisation, je nachdem, welcher Betrag höher ist.

DSGVO-Checkliste: 6 Dinge zu tun
1. Bereiten Sie die Organisation vor
Machen Sie die Anforderungen der DSGVO allen Beteiligten in Ihrem Unternehmen bekannt. Mitarbeiter in IT-Sicherheit, „Privacy by Design“ und „Privacy by Default“ schulen. Benennen Sie einen Datenschutzbeauftragten (oder DPO, vom englischen Datenschutzbeauftragten), falls erforderlich oder wenn mehr als 250 Mitarbeiter beschäftigt sind.

2. Auditieren Sie die Daten
Stellen Sie sicher, dass Sie wissen, wo alle Ihre Daten gespeichert sind, wer Zugriff darauf hat und auf welchen Geräten. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden, auch in Gegenwart von Auftragsverarbeitern, die Dritten zuzuordnen sind. Dokumentieren Sie die Rechtmäßigkeit der Verarbeitung und halten Sie diese Datenschutzrichtlinien auf dem neuesten Stand.

3. Überprüfen Sie die Servicepartner
Stellen Sie sicher, dass Servicepartner, d.h. auf Ihrer Seite eingebundene Drittanbieter oder Software-as-a-Service Anbieter, selbst DSGVO-konform sind oder hinsichtlich der Datenverarbeitung von einer anderen offiziell anerkannten Gerichtsbarkeit abhängig sind.

4. Einwilligung einholen
Implementieren Sie Methoden zur Einholung, Einholung und Dokumentation von Einwilligungen, um die Einhaltung der Verordnung sicherzustellen. Führen Sie genaue Aufzeichnungen darüber, wozu jede betroffene Person zugestimmt hat, und geben Sie jeder von ihnen die Möglichkeit, die Einwilligung zu ändern oder zu widerrufen.

5. Auf Datenrechte reagieren
Implementieren Sie Verfahren, die es Ihrer Organisation ermöglichen, auf die Rechte der betroffenen Person einzugehen, insbesondere auf den Zugriff auf Daten, deren Berichtigung und deren Löschung. Dokumentieren Sie, wie diese Rechte aus Sicht von Kunden und Mitarbeitern durchsetzbar sind.

6. Bereiten Sie sich auf Datenschutzverletzungen vor
Gewährleistung der Existenz von Verfahren zur Identifizierung, Untersuchung und Meldung von Verletzungen des Schutzes personenbezogener Daten unter Einhaltung der in der DSGVO vorgesehenen Höchstfrist von 72 Stunden für die Benachrichtigung.

DSGVO: Einhaltung und Anforderungen
Kurse, Schulungen und DSGVO-Zertifizierung
Die Qualifikationen „EU GDPR Foundation“ (EU GDPR F) und „EU GDPR Practitioner“ (EU GDPR P), beide akkreditiert nach ISO 17024, können in verschiedenen Kursen z der International Association of Privacy Professionals (IAPP), die wiederum Online-Schulungen anbietet.

DSGVO-Compliance-Software
Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Ihnen bei der Einhaltung der DSGVO helfen können, wie beispielsweise DPOrganizer, der Sie dabei unterstützt, Ihre Verarbeitung personenbezogener Daten gesetzeskonform zu gestalten.

Freelance kann Ihnen dabei helfen, die Verwaltung der Benutzereinwilligungen auf Ihrer Website zu automatisieren und die verwendeten Cookies und anderen Tracking-Methoden zu dokumentieren.