Zum Hauptinhalt springen

Ein einfacher Leitfaden für DSGVO-Compliance

DSGVO

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das von der Europäischen Kommission und dem Europäischen Parlament eingeführt und verabschiedet wurde und im Mai 2018 in Kraft trat.

Die DSGVO bietet Regeln und Leitlinien sowohl für europäische als auch für nicht-europäische Unternehmen, die Daten von europäischen Nutzern erheben, teilen und verwalten. Sie räumt EU-Bürgern das Recht ein, zu erfahren, welche Daten über sie erfasst werden und wie diese gespeichert, geschützt und übertragen werden. Die DSGVO beinhaltet auch das Recht auf Vergessenwerden und das Recht auf Auskunft. Das bedeutet, dass Kunden die erhobenen Daten einsehen und deren Löschung fordern können.

Muss ich die DSGVO einhalten?

Alle Unternehmen, die Daten von Benutzern in der Europäischen Union erheben, unabhängig von ihrem Sitz, müssen die DSGVO einhalten. Die Nichteinhaltung der DSGVO kann zu hohen Bußgeldern führen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Die Einhaltung der DSGVO-Compliance-Standards zum Schutz der personenbezogenen Daten Ihrer Nutzer betrifft das gesamte Unternehmen, da wahrscheinlich die meisten Prozesse überarbeitet und angepasst werden müssen. Es gibt jedoch keine klaren Regeln, die für jedes einzelne Unternehmen gelten. Wie Sie Daten schützen, hängt von der Art der Daten ab, die Ihr Unternehmen verarbeitet.

Einige DSGVO-Berater sagen, dass eine 100-prozentige DSGVO-Compliance nicht möglich sei, und dass die Erfüllung der DSGVO-Anforderungen eher darin bestehe, Ihre Datenverarbeitungsaktivitäten unter ethischen Gesichtspunkten zu überprüfen, statt Punkte auf einer Checkliste abzuhaken. Ein guter Ausgangspunkt ist die Betrachtung der sieben Grundsätze der DSGVO.

Die Anforderungen der DSGVO

Die DSGVO hat erhebliche Auswirkungen auf die Datenschutz- und Sicherheitspraktiken weltweit, einschließlich auf Unternehmen mit Sitz in den USA. Um die Compliance-Anforderungen der DSGVO besser zu verstehen, ist es wichtig, die wichtigsten Grundsätze und Bestimmungen der Verordnung zu kennen.

In erster Linie gelten die Anforderungen der DSGVO für US-Unternehmen, wenn das Unternehmen personenbezogene Daten von in der EU ansässigen Personen verarbeitet, unabhängig vom physischen Standort des Unternehmens. Im Wesentlichen muss jedes in den USA ansässige Unternehmen, das mit Daten von Personen mit Wohnsitz in der EU arbeitet, die DSGVO-Vorschriften einhalten.

Eine der wichtigsten Sicherheitsanforderungen der DSGVO ist die Gewährleistung des Schutzes personenbezogener Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Zerstörung. Zur Erfüllung der Anforderung haben Unternehmen geeignete technische und organisatorische Maßnahmen zu implementieren, wie beispielsweise Verschlüsselung, Zugriffskontrollen und routinemäßige Prüfungen der Sicherheit.

Darüber hinaus sehen die Anforderungen der DSGVO für US-Unternehmen die Ernennung eines oder einer Datenschutzbeauftragten (DSB) vor, wenn das Unternehmen in großem Umfang sensible Daten verarbeitet oder Personen systematisch überwacht. Diese Person sollte für die Überwachung der Compliance mit der DSGVO verantwortlich sein sowie für die Beratung in Datenschutzfragen und als Ansprechperson für die Datenschutzbehörden fungieren.

Darüber hinaus müssen US-Unternehmen bei der Erfassung, Verarbeitung und Speicherung personenbezogener Daten transparent sein. Dies beinhaltet die Bereitstellung klarer Mitteilungen zum Datenschutz, die Einholung einer gültigen Einwilligung der betroffenen Personen und die Möglichkeit für Einzelpersonen, ihre Rechte nach der DSGVO auszuüben, z. B. das Recht auf Zugriff auf ihre Daten sowie Berichtigung oder Löschung ihrer Daten.

Die sieben Grundsätze der DSGVO

Die sieben Grundsätze der DSGVO lauten:

  1. Rechtmäßigkeit, Fairness und Transparenz. Die Daten sollten auf rechtmäßige, faire und transparente Weise verarbeitet werden.

  2. Zweckbindung und Datenminimierung. Daten dürfen nur für bestimmte und legitime Geschäftszwecke erhoben werden.

  3. Datenminimierung: Die erfassten personenbezogenen Daten sollten auf das beschränkt werden, was für den Zweck, für den sie erfasst wurden, erforderlich ist.

  4. Genauigkeit. Es sind alle erforderlichen Anstrengungen zu unternehmen, um die Daten auf dem aktuellen Stand zu halten. Wenn Daten ungenau oder veraltet sind, müssen sie gelöscht werden.

  5. Begrenzte Aufbewahrung. Daten dürfen nur so lange gespeichert werden, wie es für die Bereitstellung von Produkten oder Dienstleistungen erforderlich ist. Eine darüber hinausgehende Aufbewahrung ist nur für Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig.

  6. Integrität und Vertraulichkeit. Unternehmen müssen alle erforderlichen Schritte unternehmen, um die Sicherheit personenbezogener Daten zu gewährleisten. Daten müssen vor unrechtmäßigen Zugriffen wie Datenschutzverstößen sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden.

  7. Rechenschaftspflicht. Die meisten Unternehmen sind verpflichtet, die Datenverarbeitung zu dokumentieren und diese bei Bedarf den zuständigen Aufsichtsbehörden vorzulegen.

So werden Sie DSGVO-konform

Es ist zu beachten, dass die folgenden Informationen nur als grobe Richtlinie zu verstehen sind. Sie dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Die DSGVO besteht aus 11 Kapiteln, 99 Artikeln und fast zweihundert Erwägungsgründen. Um die DSGVO vollständig einzuhalten, empfehlen wir Ihnen, sich von Ihrem Rechtsbeistand oder der Aufsichtsbehörde juristisch beraten zu lassen.

1. Überprüfen Sie alle Datenverarbeitungsverfahren

Nehmen Sie sich Zeit und erstellen Sie eine Übersicht darüber, wie Ihr Unternehmen vom Anfang bis zum Ende Ihres Kundenerlebnisses Daten erhebt. Dies soll Ihnen dabei helfen, Punkte zu identifizieren, die Sie genauer überprüfen sollten. Zum Beispiel:

  • Möglicherweise müssen Sie Mailing- und E-Mail-Listen überprüfen. Wenn Sie keine berechtigten Gründe für die Verarbeitung der Daten Ihrer Kunden zu Marketing- oder anderen Zwecken haben, dürfen Sie diese personenbezogenen Daten nicht verwenden. Prüfen Sie, ob es sinnvoll ist, segmentierte Listen für Ihre europäischen Kunden zu erstellen.

  • Sie müssen prüfen, ob Sie legitime Gründe (beispielsweise Einwilligung, legitimes Interesse) für die Verarbeitung personenbezogener Daten für alle verschiedenen Datenerfassungskanäle haben, einschließlich Veranstaltungen, Newsletter-Abonnements oder sogar bezahlte Listen.

  • Überprüfen Sie Ihre zukünftigen EU-Marketingkampagnen, die möglicherweise darauf abzielen, Benutzerdaten zu erheben – möglicherweise müssen Sie die zugehörigen Prozesse anpassen.

Zu diesem Zeitpunkt ist es auch ratsam, eine Person (oder das gesamte Team) in Ihrer Marketingabteilung damit zu beauftragen, eine Rechtsanwaltskanzlei zu konsultieren, die sich auf die DSGVO spezialisiert hat. Diese Person oder dieses Team sollte eng mit einem oder einer Datenschutzbeauftragten (DSB) zusammenarbeiten, wenn das Unternehmen eine solche Person ernannt hat. Datenschutzbeauftragte können Ihre Marketingkampagnen überprüfen und genehmigen.

2. Gestalten Sie Ihre Website DSGVO-freundlich

Wenn Sie eine Website haben, erheben Sie bestimmt auf die eine oder andere Weise Daten. Damit Ihre Website der DSGVO entspricht, sollten Sie Folgendes beachten:

  • Einfügen einer Cookie-Zustimmung. Alle Webformulare müssen über eine Cookie-Zustimmung verfügen, die Besucher über die Art der von Ihnen erhobenen Daten informiert und ihnen die Möglichkeit gibt, in eine solche Nachverfolgung ausdrücklich einzuwilligen, wenn sie dies möchten.

  • Erstellen einer Altersverifizierung. Wenn Ihre Besucher jünger als 16 Jahre sind (die Altersgrenze kann in einigen EU-Ländern abweichen), erfordert die DSGVO die Zustimmung der Erziehungsberechtigten zur Datenerhebung. Stellen Sie sicher, dass Sie eine solche Überprüfung einschließen.

  • Aktualisieren Sie Ihre Datenerfassungsformulare. Sie müssen in einer leicht verständlichen Sprache angeben, welche Daten erfasst werden und zu welchem Zweck (eine vollständige Liste der Informationen, die einem Nutzer vorgelegt werden müssen, finden Sie in Artikel 13 und 14 DSGVO). Wenn Ihr Unternehmen auch außerhalb der EU agiert, sollten Sie in Erwägung ziehen, das Feld "Wohnsitzland" hinzuzufügen, damit Sie Ihre Datenbanken bei Bedarf unterteilen können.

3. Aktualisieren Sie Ihre aktuelle Datenbank

Es ist ratsam, Ihre Datenbank regelmäßig zu aktualisieren. Sie können Ihren Kunden dazu eine E-Mail senden, über die sie auswählen können, welche Art von Informationen sie erhalten möchten. Das erhöht die Wahrscheinlichkeit, dass sich Ihre Kunden nicht ganz abmelden. Jede Korrespondenz sollte auch eine Schaltfläche „Abmelden“ oder „Einstellungen aktualisieren“ enthalten.

Außerdem dürfen Sie keine Nutzer kontaktieren, die sich zuvor abgemeldet haben. Dies verbietet die Datenschutzrichtlinie für elektronische Kommunikation.

4. Machen Sie sich auf das Schlimmste gefasst

Eines der Hauptziele der DSGVO besteht darin, Unternehmen hinsichtlich ihrer Datenverarbeitungsaktivitäten transparenter zu machen. Deshalb müssen Sie auch Ihre Datenschutzrichtlinie mit allen von Ihnen vorgenommenen Änderungen aktualisieren. Formulieren Sie diese klar und prägnant. Ihre Nutzer sollten problemlos Informationen darüber finden, welche Daten Sie erfassen, zu welchem Zweck, mit wem Sie sie teilen und warum, wie sie gespeichert werden, wie sie auf diese Daten zugreifen können und wie sie ihre Löschung beantragen können (die vollständige Liste der in Ihrer Datenschutzerklärung enthaltenen Angaben finden Sie in Artikel 13 und 14 DSGVO).

Aktualisieren Sie Ihre Datenschutzrichtlinie immer dann, wenn Sie Ihre Datenverarbeitungsprozesse aktualisieren. Es ist auch ratsam, regelmäßige Datenschutz- und Sicherheitsprüfungen durchzuführen. Lassen Sie nichts im Unklaren. Informieren Sie Ihre Kunden über alle Änderungen Ihrer Datenverarbeitungsprozesse und alle Probleme, die ihre Privatsphäre in positiver oder negativer Hinsicht beeinflussen könnten.

5. Aktualisieren Sie Ihre Datenschutzerklärung

Im Falle einer Datenschutzverletzung verlangt die DSGVO, dass Sie diese innerhalb von 72 Stunden melden (mit einigen Ausnahmen). Aus diesem Grund empfiehlt es sich, einen Notfallplan für den Fall einer Datenpanne zu erstellen und Ihre Mitarbeitenden darüber zu informieren, was in solchen Fällen zu tun ist. Sie sollten Folgendes berücksichtigen:

  • Wie sollten Mitarbeitende mit Kundenkontakt die Anfragen von Kunden beantworten?

  • Wie gehen Sie mit Social-Media-Kanälen um und verfügen Sie über genügend Personal, um auf alle Nachrichten zu antworten?

  • Welche Kanäle nutzen Sie, um ggf. Betroffene, wie Ihre Kunden und Lieferanten, zu informieren?

  • Wie informieren Sie die Medien und welche Kanäle nutzen Sie, um die Öffentlichkeit auf dem Laufenden zu halten?

  • Wie kommunizieren Sie das Datenleck intern?

  • Welche Verfahren befolgen Sie, wenn Ihre Kunden sich beschweren oder Rückerstattungen erhalten möchten?

  • Wie stellen Sie sicher, dass sich ein solcher Fall nicht wiederholt?

Was ist das Recht auf Vergessenwerden?

Das Recht auf Vergessenwerden stellt eine grundlegende rechtliche Innovation dar, die es Einzelpersonen ermöglicht, die Löschung bestimmter Informationen über sich selbst aus dem Internet zu verlangen. Dieses überzeugende Konzept wurde von der EU entwickelt und ist in der DSGVO als ein Grundrecht der EU-Bürger verankert.

Das Recht auf Vergessenwerden verkörpert im Kern den Gedanken, dass Menschen die Kontrolle über ihre personenbezogenen Daten und die Möglichkeit, ihre Vergangenheit hinter sich zu lassen, haben sollen.

Obwohl das Recht auf Vergessenwerden nicht absolut ist, gibt es dennoch eindeutige Fälle, in denen es greift. Wenn die Daten nicht mehr relevant sind, unrichtig sind oder unrechtmäßig verarbeitet wurden, können Einzelpersonen einen Antrag auf ihre Löschung stellen.

DSGVO vs. CCPA

Obwohl der CCPA und die DSGVO das gemeinsame Ziel verfolgen, die Datenschutzrechte der Verbraucher zu verbessern, weisen sie gleichzeitig einige wesentliche Unterschiede auf.

Zunächst unterscheiden sich die Vorschriften in Bezug auf ihren rechtlichen Spielraum. Die DSGVO hat im Allgemeinen einen breiteren Geltungsbereich, da sie für alle Organisationen gilt, die personenbezogene Daten innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) erfassen und speichern. Im Gegensatz dazu gilt der CCPA (California Consumer Privacy Act) nur für gewinnorientierte Unternehmen, die bestimmte Kriterien hinsichtlich Umsatz und Datenvolumen erfüllen und Daten über Einwohner Kaliforniens erheben.

Das CCPA und die DSGVO unterscheiden sich außerdem in der Art und Weise, wie sie die Zustimmung von Nutzern erhalten. Dem CCPA entsprechend wird im Zuge der Datenerhebung nicht explizit die Zustimmung der Nutzer eingeholt, außer es handelt sich um Minderjährige. Die DSGVO fordert andererseits die explizite Zustimmung für jede Datenerhebung.

Ein weiterer wesentlicher Unterschied zwischen den beiden Vorschriften besteht in ihrer Rechtsnatur: Die DSGVO ist eine Verordnung, während der CCPA ein Gesetz ist. Im Grunde bedeutet dies, dass jeder Verstoß gegen den CCPA zu einer Zivilklage im Bundesstaat Kalifornien führen kann. Die DSGVO nimmt nicht direkten Einfluss auf Zivilprozesse, kann aber in die von EU-Staaten ausgearbeiteten Gesetze aufgenommen werden.

Nicht zuletzt gestalten sich die Gesetzesvollstreckung und die Strafen bei Nichteinhaltung der Vorschriften sehr unterschiedlich. Die DSGVO wird von der EU durchgesetzt und kann Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Die Befugnis zur Durchsetzung des CCPA liegt beim Büro des Generalstaatsanwalts von Kalifornien. Die Nichteinhaltung kann bis zu 2.500 US-Dollar pro Verstoß und 7.500 US-Dollar pro vorsätzlichem Verstoß kosten.

Ist NordPass DSGVO-konform?

NordPass nimmt Datenschutz und Privatsphäre ernst. Als sichere und zuverlässige Lösung für die Verwaltung sensibler Informationen ist NordPass bestrebt, allen Aspekten der DSGVO zu entsprechen.

Die Zero-Knowledge-Architektur gewährleistet, dass sämtliche sensiblen Daten lokal auf Ihrem Gerät verschlüsselt werden, bevor sie unsere Server erreichen. Das bedeutet, dass wir keinen Zugriff auf Ihre Passwörter oder sonstige Daten haben, die von Ihrem Unternehmen bei NordPass gespeichert werden, was ein Maximum an Datenschutz gewährleistet.

Wir stehen für Transparenz und bieten eine detaillierte Datenschutzrichtlinie, die unsere Datenverarbeitungspraktiken beschreibt, einschließlich der Art der erfassten Daten, der Erfassungszwecke und der getroffenen Sicherheitsmaßnahmen.

Darüber hinaus umfassen unsere robusten Sicherheitsmaßnahmen die Multi-Faktor-Authentifizierung (MFA) und die biometrische Authentifizierung, die eine zusätzliche Schutzebene bieten.

Im seltenen Fall einer Datenschutzverletzung ist es unser Ziel, betroffene Nutzer und die zuständigen Behörden umgehend zu informieren, wie es die DSGVO vorschreibt.

Denken Sie daran, dass die DSGVO kein einmaliges Projekt ist und dass Sie sie nicht als solches handhaben sollten. Vielmehr geht es um die kontinuierliche Verbesserung der Datenschutz- und Sicherheitsstandards in Ihrem Unternehmen.

Wählen Sie NordPass für eine zuverlässige und transparente Passwortverwaltung, die Ihnen dabei hilft, Compliance-Richtlinien einzuhalten und das Risiko von Datenschutzverletzungen zu minimieren.