Zum Inhalt springen
Alle Beiträge anzeigen

Der Entwicklung voraus sein GDPR-Einhaltung

Was ist GDPR?

Die Allgemeine Datenschutzverordnung (DSGVO) ist ein wegweisender Rechtsakt, der von der Europäischen Union zum Schutz der Privatsphäre und der personenbezogenen Daten von Personen in ihrem Zuständigkeitsbereich eingeführt wurde. Sie gilt für alle Einrichtungen, die personenbezogene Daten von EU-Bürgern erheben und verarbeiten, unabhängig von ihrem geografischen Standort. Die Verordnung bietet dem Einzelnen eine größere Kontrolle über seine personenbezogenen Daten und schreibt vor, dass Unternehmen ausdrückliche Zustimmung bevor sie solche Informationen sammeln und verarbeiten.

Sie verpflichtet die Unternehmen außerdem, angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen und etwaige Datenschutzverletzungen innerhalb eines strengen Zeitrahmens den Behörden zu melden. Die Nichteinhaltung der Datenschutz-Grundverordnung kann erhebliche finanzielle und rufschädigende Folgen haben.

GDPR: die auslösenden Faktoren

Die Datenschutz-Grundverordnung wurde von der Europäischen Union in Kraft gesetzt, um die Datenschutzgesetze in allen EU-Mitgliedstaaten zu stärken und zu vereinheitlichen. Die Verordnung war eine Reaktion auf die zunehmende Bedeutung personenbezogener Daten im digitalen Zeitalter und die Notwendigkeit, dem Einzelnen eine größere Kontrolle über seine personenbezogenen Daten zu geben.

Die DSGVO wurde durch eine Reihe von Faktoren beeinflusst, darunter die wachsende Besorgnis über Datenschutzverletzungen und den Missbrauch personenbezogener Daten sowie die Notwendigkeit, die bestehenden Datenschutzgesetze zu aktualisieren, um den technologischen Fortschritten Rechnung zu tragen. Die Verordnung zielt auch darauf ab, gleiche Wettbewerbsbedingungen für in der EU tätige Unternehmen zu schaffen, indem sichergestellt wird, dass alle Unternehmen den gleichen Datenschutzstandards unterliegen.

Das Engagement der EU für den Schutz der Grundrechte, einschließlich des Rechts auf Privatsphäre und Datenschutz, war ein wichtiger Faktor für die Verabschiedung der Verordnung. Die DSGVO soll dem Einzelnen mehr Transparenz, Kontrolle und Verantwortlichkeit über seine personenbezogenen Daten bieten und gleichzeitig Innovation und Wirtschaftswachstum im digitalen Sektor fördern.

GDPR-Durchsetzung

Die grenzüberschreitende Durchsetzung der DSGVO liegt in der Verantwortung der Europäischer Datenschutzausschuss (EDPB). Der Europäische Datenschutzausschuss ist ein unabhängiges Gremium, das durch die Datenschutz-Grundverordnung eingerichtet wurde und sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammensetzt.

Der EDSB gibt Orientierungshilfe bei der Auslegung und Anwendung der Datenschutz-Grundverordnung und setzt sich für eine einheitliche Durchsetzung der Verordnung in allen EU-Mitgliedstaaten ein. Der EDSB arbeitet auch mit Nicht-EU-Ländern in Fragen der grenzüberschreitenden Datenübermittlung und des internationalen Datenschutzes zusammen.

Jeder EU-Mitgliedstaat verfügt über eine eigene nationale Datenschutzbehörde, die für die Durchsetzung der DSGVO in ihrem Zuständigkeitsbereich verantwortlich ist. Diese Behörden sind befugt, Beschwerden und Verstöße gegen die DSGVO zu untersuchen, Geldbußen und Strafen zu verhängen und rechtliche Schritte gegen Unternehmen einzuleiten, die die Verordnung nicht einhalten.

Optimieren Sie die Einhaltung der GDPR noch heute

Für wen gilt die GDPR?

Die Datenschutz-Grundverordnung gilt für jede Person oder Organisation, die personenbezogene Daten von Personen in der Europäischen Union sammelt oder verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet. Das bedeutet, dass die Verordnung für alle gilt:

  • Unternehmen und Organisationen, die in der EU ansässig sind, unabhängig von ihrer Größe oder Branche.
  • Unternehmen und Organisationen, die ihren Sitz außerhalb der EU haben, aber Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU überwachen.
  • Datenverarbeiter, die personenbezogene Daten im Auftrag eines für die Datenverarbeitung Verantwortlichen verarbeiten.

Die Datenschutz-Grundverordnung definiert personenbezogene Daten als alle Informationen, die zur direkten oder indirekten Identifizierung einer Person verwendet werden können, wie z. B. Name, Adresse, E-Mail-Adresse oder IP-Adresse. Daher unterliegt jede Organisation, die diese Art von Daten von in der EU ansässigen Personen sammelt oder verarbeitet, der DSGVO.

Definition von personenbezogenen Daten

Nach der GDPR (General Data Protection Regulation) sind personenbezogene Daten alle Informationen, die zur direkten oder indirekten Identifizierung einer lebenden Person verwendet werden können. Dazu gehören Informationen wie der Name, die Adresse, die E-Mail-Adresse, die Telefonnummer, die Sozialversicherungsnummer, die Reisepassnummer, die IP-Adresse oder jede andere eindeutige Kennung, die zur Identifizierung einer Person verwendet werden kann.

Personenbezogene Daten können auch Informationen über die Eigenschaften einer Person enthalten, wie z. B. ihr Alter, ihr Geschlecht, ihre Ethnie, ihre Religion oder andere persönliche Merkmale, die zur Identifizierung einer Person verwendet werden könnten.

Nach der DSGVO gelten als personenbezogene Daten auch sensible personenbezogene Daten wie Informationen über die Gesundheit einer Person, ihre sexuelle Orientierung, ihre politischen Ansichten oder ihr Strafregister. Diese Art von Daten unterliegt strengeren Regeln und zusätzlichen Schutzmaßnahmen zum Schutz der Privatsphäre des Einzelnen.

Artikel 30 GDPR

GDPR Artikel 30 verlangt von Organisationen, dass sie ein Verzeichnis ihrer Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, führen. Dieses Verzeichnis muss Informationen wie die Kategorien der verarbeiteten Daten, die Zwecke der Verarbeitung und die Kategorien der betroffenen Personen enthalten. Die Aufzeichnung muss schriftlich, auch in elektronischer Form, erfolgen und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden. Diese Anforderung soll die Transparenz und Rechenschaftspflicht bei der Datenverarbeitung fördern und Organisationen dabei helfen, andere Bestimmungen der DSGVO einzuhalten, wie etwa die Rechte der betroffenen Personen und Datenschutz-Folgenabschätzungen.

GDPR Subject Access Rights
Whitepaper herunterladen.

Die Kosten der Nichteinhaltung

Die Geldbußen für die Nichteinhaltung der DSGVO können beträchtlich sein und sollen als Abschreckung dienen, um Organisationen von der Nichteinhaltung der Verordnung abzuhalten. Die Höhe des Bußgeldes hängt von der Art und Schwere des Verstoßes sowie von der Größe und den Einnahmen der Organisation ab.

Im Rahmen der DSGVO gibt es zwei Stufen von Geldbußen, mit Höchststrafen von:

  1. Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes der Organisation (je nachdem, welcher Betrag höher ist) bei Verstößen gegen Aufzeichnungen, Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und andere Verfahrensvorschriften.
  2. Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes der Organisation (je nachdem, welcher Betrag höher ist) bei Verstößen gegen die Grundsätze des Datenschutzes, einschließlich des Versäumnisses, eine gültige Einwilligung einzuholen, der Verarbeitung sensibler Daten ohne rechtmäßige Grundlage und der Nichteinhaltung der Rechte der Betroffenen.

Beachten Sie die Statistiken

Die folgenden Statistiken veranschaulichen die laufenden Auswirkungen der DSGVO auf den Datenschutz und den Schutz der Privatsphäre in ganz Europa sowie die Herausforderungen, denen sich Unternehmen bei der Einhaltung der Verordnung gegenübersehen:

  1. Im Jahr 2020 wurden über 121.000 Meldungen über Datenschutzverletzungen an Europäische Datenschutzbehörden (DPAs) seit der Umsetzung der GDPR im Mai 2018. (Quelle: Europäischer Datenschutzausschuss)
  2. Im Jahr 2020 betrugen die durchschnittlichen Kosten einer Datenschutzverletzung $3,86 Millionen, mit den höchsten Kosten, die in der Gesundheitsbranche anfallen. (Quelle: IBM)
  3. Im Jahr 2020 verhängte Frankreich die höchsten Geldbußen im Rahmen der DSGVO, mit insgesamt 51 Mio. €, gefolgt von Deutschland mit 37 Mio. €. (Quelle: DLA Piper)
  4. Laut einer von Cisco durchgeführten Umfrage, 59% der Unternehmen gaben an, dass sich die DSGVO positiv auf ihr Unternehmen ausgewirkt hat, wobei das gestiegene Kundenvertrauen und der verbesserte Datenschutz die am häufigsten genannten Vorteile sind.
  5. Eine von TrustArc durchgeführte Umfrage ergab, dass nur 28% der Unternehmen der Meinung sind, dass sie die DSGVO vollständig einhalten. 44% gaben an, dass sie die Vorschriften weitgehend einhalten, und 28% erklärten, dass sie noch an der Einhaltung arbeiten.
  6. Die häufigste Art von GDPR-Verstößen im Jahr 2020 waren unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit, auf die 44% aller Geldbußen entfielen. (Quelle: DLA Piper)

Verständnis der GDPR-Zweckbeschränkung

Der in der DSGVO verankerte Grundsatz der Zweckbindung bedeutet, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und verarbeitet werden müssen und nicht in einer Weise weiterverarbeitet werden dürfen, die mit diesen Zwecken unvereinbar ist.

Mit anderen Worten: Organisationen müssen die Zwecke, für die sie personenbezogene Daten sammeln, klar definieren und mitteilen, und sie sollten nur Daten sammeln, die für diese Zwecke erforderlich sind. Wenn eine Organisation die Daten für einen anderen Zweck verwenden möchte, muss sie die zusätzliche Zustimmung der Person einholen, und der neue Zweck muss mit dem ursprünglichen Zweck vereinbar sein.

Der Grundsatz der Zweckbindung soll die Privatsphäre des Einzelnen schützen, indem sichergestellt wird, dass seine personenbezogenen Daten nur aus rechtmäßigen Gründen erhoben und verarbeitet werden und nicht ohne sein Wissen und seine Zustimmung für andere Zwecke verwendet werden. Durch die Beschränkung der Verwendung personenbezogener Daten auf bestimmte, definierte Zwecke will die DSGVO Transparenz, Verantwortlichkeit und Vertrauen zwischen Einzelpersonen und Organisationen, die ihre Daten erfassen und verarbeiten, fördern.

GDPR-Datenmapping erklärt

GDPR Data Mapping ist der Prozess der Identifizierung und Dokumentation der personenbezogenen Daten, die eine Organisation sammelt, verarbeitet, speichert und weitergibt.

Ziel des Data Mapping ist es, ein umfassendes Inventar aller personenbezogenen Daten zu erstellen, über die eine Organisation verfügt, und zu dokumentieren, wie diese Daten innerhalb der Organisation erfasst, verwendet und weitergegeben werden. Dazu gehört die Identifizierung der Arten von Daten, die gesammelt werden, die Zwecke, für die die Daten gesammelt werden, die Personen, deren Daten gesammelt werden, und alle Dritten, mit denen die Daten geteilt werden.

Die Datenzuordnung ist ein wichtiger Schritt bei der Einhaltung der DSGVO, da sie Organisationen dabei hilft, die in ihrem Besitz befindlichen personenbezogenen Daten zu verstehen und zu verwalten. Durch die Erstellung eines vollständigen Inventars ihrer Daten können Organisationen potenzielle Risiken oder Schwachstellen in ihren Datenverarbeitungsprozessen erkennen und Schritte zur Behebung dieser Probleme unternehmen.

Die Datenzuordnung kann Organisationen auch dabei helfen, ihre GDPR-Verpflichtungen zu erfüllen, wie z. B. Anträge auf Zugang zu Daten, Datenschutz-Folgenabschätzungen und Meldepflichten bei Datenschutzverletzungen. Indem sie verstehen, welche personenbezogenen Daten sie besitzen und wie sie verwendet werden, können Organisationen schneller und effektiver auf diese Anfragen und Verpflichtungen reagieren.

Hat sich die Datenschutzgrundverordnung als Erfolg erwiesen?

Es ist zwar schwierig, mit Sicherheit zu sagen, ob die DSGVO dazu beigetragen hat, Datenschutzverletzungen und -risiken zu verringern, da es sich noch um eine relativ neue Verordnung handelt und ihre Auswirkungen noch nicht abgeschlossen sind. Es gibt jedoch Anhaltspunkte dafür, dass sich die DSGVO positiv auf den Datenschutz und die Sicherheit ausgewirkt hat.

Eines der Hauptziele der DSGVO ist es, die Transparenz und Verantwortlichkeit bei der Datenverarbeitung zu erhöhen, was viele Organisationen dazu veranlasst hat, ihre Datenschutzrichtlinien und -verfahren zu überprüfen und zu aktualisieren. Dies hat zu einem stärkeren Bewusstsein für Datenschutzrisiken und einem proaktiveren Ansatz bei der Datensicherheit und der Vermeidung von Datenschutzverletzungen geführt.

Nach der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der Verletzung an die Aufsichtsbehörden zu melden. Dies hat zu einer verstärkten Meldung von Datenschutzverletzungen geführt, was wiederum ein größeres Bewusstsein für das Ausmaß und die Art der Datenschutzrisiken zur Folge hat.

Darüber hinaus hat die Datenschutz-Grundverordnung dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten gegeben, einschließlich des Rechts auf Zugang, Berichtigung und Löschung seiner Daten sowie des Rechts, bestimmten Arten der Datenverarbeitung zu widersprechen. Dies hat zu einer stärkeren Sensibilisierung der Bürger für die Risiken des Datenschutzes und zu einem größeren Gefühl der Kontrolle über die Verwendung ihrer personenbezogenen Daten geführt.

Testfahrt mit BigID

Optimieren Sie die GDPR-Einhaltung mit BigID

BigID ist eine Datenentdeckungsplattform für Datenschutz, Sicherheitund Steuerung das Lösungen für Unternehmen anbietet, um verschiedene Datenschutzbestimmungen wie GDPR problemlos einzuhalten. Die Plattform von BigID hilft Organisationen bei der Identifizierung, einordnen, und ihre Daten zu verwalten, wobei der Schwerpunkt auf sensible und persönliche Daten. Hier sind einige Möglichkeiten, wie BigID die Einhaltung der GDPR fördert:

Datenzuordnung: Die RoPA-App von BigID identifiziert und kartiert automatisch personenbezogene Daten in den Systemen und Datenspeichern eines Unternehmens, was eine zentrale Anforderung der DSGVO ist.

Entdeckung und Klassifizierung von Daten: BigIDs Datenschutzportal-App nutzt maschinelles Lernen und natürliche Sprachverarbeitung, um personenbezogene Daten auf der Grundlage ihres Inhalts und Kontexts zu identifizieren und zu klassifizieren, was es Unternehmen erleichtert, personenbezogene Daten in Übereinstimmung mit der DSGVO zu identifizieren und zu verwalten.

Verwaltung der Einverständniserklärung: Die Consent Governance App von BigID verwaltet Zustimmungsanfragen und verfolgt den Zustimmungsstatus einzelner betroffener Personen, was eine wichtige Anforderung der GDPR ist.

Anträge auf Zugang zu personenbezogenen Daten: BigIDs Datenlöschungs-App hilft Organisationen bei der Reaktion auf Anträge auf Zugang zu personenbezogenen Daten innerhalb der in der DSGVO festgelegten Fristen durch Auffinden und Extrahieren personenbezogener Daten, die einer betroffenen Person zugeordnet sind.

Datenschutz-Folgenabschätzungen (DPIAs): BigIDs PIA-Automatisierungsanwendung kann Unternehmen dabei helfen, den DPIA-Prozess zu automatisieren, indem es die mit der Verarbeitung personenbezogener Daten verbundenen Risiken identifiziert und analysiert und geeignete Abhilfemaßnahmen empfiehlt.

Um zu erfahren, wie BigID eine intelligentere datengesteuerte GDPR-Compliance für Ihr Unternehmen implementieren kann - vereinbaren Sie noch heute eine 1:1-Demo.

Inhalt

GDPR-Datenschutzrechte Automatisierung

Automatisieren Sie die GDPR-Datenschutzrechte von der Anfrage bis zur Erfüllung mit BigID.

Download Solution Brief