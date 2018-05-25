Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union (EU), das regelt, wie Unternehmen innerhalb und außerhalb der EU die personenbezogenen Daten von EU-Bürgern verarbeiten. Die DSGVO wurde im Jahr 2016 vom Europäischen Parlament und dem Rat der EU verabschiedet und trat am 25. Mai 2018 in Kraft.
Im Einzelnen deckt die DSGVO Folgendes ab:
Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierbare menschliche Person beziehen, einschließlich direkter und indirekter Identifikatoren. Direkte Identifikatoren sind die eindeutigen Daten einer Person, wie ihr Name oder ihre Kreditkartennummer. Indirekte Identifikatoren sind nicht eindeutige Merkmale, die eine Person aber dennoch identifizieren können, wie z. B. körperliche Merkmale und Geburtsdaten.
Im Sprachgebrauch der DSGVO ist eine betroffene Person die Person, auf die sich ein Teil der Daten bezieht. Wenn ein Unternehmen zum Beispiel E-Mail-Adressen erfasst, sind die Besitzer dieser E-Mail-Adressen die betroffenen Personen.
Obwohl die DSGVO ein europäisches Gesetz ist, hat sie eine globale Reichweite. Sie gilt für jedes Unternehmen, das personenbezogene Daten von in der EU ansässigen Personen erfasst oder verwendet.
Um Unternehmen dabei zu helfen, die Anforderungen der DSGVO zu erfüllen, verstärkt IBM sein kontinuierliches Engagement für „Data Privacy by Design“ (also in seine Produkte integrierten Datenschutz). IBM arbeitet daran, die Grundsätze des Datenschutzes noch tiefer in seine Geschäftsprozesse einzubetten. Diese Arbeit stärkt auch die bestehenden Sicherheitsvorkehrungen zur Begrenzung des Zugriffs auf personenbezogene Daten, einschließlich mobiler Anwendungen, die die Weitergabe personenbezogener Daten standardmäßig verhindern.
Daher sind viele IBM Cloud-Angebote und -Services nach dem European Union Cloud Code of Conduct (EU Cloud CoC) (Link befindet sich außerhalb von ibm.com) zertifiziert. Die EU Cloud CoC-Anforderungen bieten Cloud-Service-Providern (CSPs) ein Framework, damit sie nachweisen können, dass sie in der Lage sind, die Vorgaben der DSGVO einzuhalten. Weitere Informationen zu den spezifischen IBM Cloud-Angeboten und -Services, die die EU Cloud CoC-Zertifizierung erhalten haben, finden Sie auf unserer EU Cloud CoC-Seite oder in unserer Verification of Declaration of Adherence (Link befindet sich außerhalb von ibm.com).
Weitere Informationen zur Sicherheit und zum Datenschutz von IBM finden Sie im IBM Trust Center.
Weitere Informationen zu den Datenschutzvertragsbedingungen von IBM finden Sie in den Bedingungen von IBM unter „Datenschutz“.
Bei Fragen zum Datenschutz können Sie sich direkt per E-Mail an das Datenschutzteam von IBM wenden: chiefprivacyoffice@ca.ibm.com.
Die Regeln und Grundsätze der DSGVO für den Umgang mit Daten gelten für alle für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter, die im EWR aktiv sind, zu dem alle 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen gehören.
Ein Datenverantwortlicher (Verantwortlicher) ist jedes Unternehmen, jede Behörde oder jede andere Gruppe oder Person, das bzw. die personenbezogene Daten erfasst und bestimmt, wie diese verwendet werden. Ein Datenverantwortlicher wäre zum Beispiel eine Social-Media-Website, die Datenbanken über ihre Nutzer führt.
Ein Datenverarbeiter (Auftragsverarbeiter) ist jedes Unternehmen, das auf irgendeine Weise personenbezogene Daten verarbeitet, beispielsweise durch Analyse, Speicherung oder Änderung. Ein Unternehmen kann sowohl Verantwortlicher als auch Auftragsverarbeiter sein. Auftragsverarbeiter können auch Drittunternehmen sein, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeiten, wie z. B. ein Cloud-Service-Provider, der Datenspeicherung und -analyse anbietet.
Alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter mit Sitz im EWR sind an die DSGVO gebunden, auch wenn sie Daten außerhalb des EWR speichern und verarbeiten.
Ein Unternehmen mit Sitz außerhalb des EWR ist an die DSGVO gebunden, wenn eine der folgenden Bedingungen zutrifft:
Die einzigen Datenverarbeitungsaktivitäten, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit oder der Strafverfolgung sowie die rein persönliche Verwendung von Daten.
Die DSGVO legt mehrere Grundsätze fest, die für die Verarbeitung Verantwortliche und Auftragsverarbeiter beim Umgang mit personenbezogenen Daten einhalten müssen. Im Großen und Ganzen besagen diese Grundsätze, dass alle Verarbeitungsaktivitäten klar definiert, transparent und fair sein müssen.
Nach dem Grundsatz der Zweckbindung müssen Unternehmen für alle Daten, die sie erheben, einen bestimmten, rechtmäßigen Zweck verfolgen. Sie müssen den Nutzern diesen Zweck mitteilen und dürfen nur die für diesen Zweck erforderliche Mindestmenge an Daten erfassen.
Unternehmen müssen fair mit Daten umgehen. Sie müssen die Nutzer über die Verarbeitung personenbezogener Daten auf dem Laufenden halten und die Datenschutzbestimmungen einhalten. Nach dem Prinzip der Speicherbegrenzung sollte ein Unternehmen personenbezogene Daten nur so lange aufbewahren, bis der Zweck erfüllt ist. Daten sollten gelöscht werden, sobald sie nicht mehr benötigt werden.
Die DSGVO definiert die Rechtsgrundlagen, mit denen Unternehmen personenbezogene Daten verarbeiten können. Mindestens eine dieser Bedingungen muss erfüllt sein, sonst ist die Verarbeitung illegal.
Die betroffene Person stimmt der Verarbeitung ihrer Daten zu. Unternehmen können die Daten einer Person verarbeiten, wenn sie damit einverstanden ist. Die Einwilligung ist nur gültig, wenn sie in informierter Weise, bestätigend und freiwillig erteilt wird.
Damit die Einwilligung auf informierte Art und Weise erteilt werden kann, muss das Unternehmen klar erläutern, welche Daten erfasst werden und wie diese Daten verwendet werden. Damit die Einwilligung bestätigt werden kann, muss der Nutzer bewusst handeln, um sein Einverständnis zu zeigen, z. B. indem er eine Erklärung unterschreibt oder ein Häkchen in einem Kontrollkästchen setzt. Die Einwilligung darf nicht die Standardoption sein, d. h. Dinge wie vorab angekreuzte Kästchen verstoßen gegen die DSGVO. Damit die Einwilligung freiwillig erteilt werden kann, darf das Unternehmen die betroffene Person in keiner Weise beeinflussen oder zwingen. Das Unternehmen darf keine Einwilligung zur Nutzung eines Services verlangen, es sei denn, die Verarbeitung ist für das Funktionieren des Service erforderlich. Beispielsweise benötigt ein Unternehmen möglicherweise die Kreditkartennummer einer Person, um ihr etwas zu verkaufen, aber wahrscheinlich nicht deren IP-Adresse.
Das Unternehmen darf Einwilligungen nicht bündeln, wenn die Daten für mehrere Zwecke verarbeitet werden. Die betroffene Person muss die Möglichkeit haben, jede Verarbeitungstätigkeit einzeln zu akzeptieren oder abzulehnen. Unternehmen müssen Aufzeichnungen über die Einwilligung führen. Die betroffenen Personen können ihre Einwilligung jederzeit widerrufen. Wenn dies der Fall ist, muss die Verarbeitung gestoppt werden.
Die Daten müssen verarbeitet werden, um einen Vertrag mit der betroffenen Person oder im Namen der betroffenen Person abzuschließen. Wenn jemand zum Beispiel einen Kredit beantragt, muss die Bank möglicherweise die Finanzdaten und den beruflichen Werdegang überprüfen.
Der Verantwortliche ist gesetzlich dazu verpflichtet, die Daten zu verarbeiten. Einige Gesundheitsvorschriften verlangen beispielsweise von Krankenhäusern, Patientendaten aufzubewahren.
Die Daten müssen verarbeitet werden, um die wesentlichen Interessen der betroffenen Person oder einer anderen Person zu schützen. Dies bezieht sich auf Situationen, in denen Daten verarbeitet werden müssen, um das Leben einer Person zu retten oder Schäden abzuwenden.
Die Daten müssen verarbeitet werden, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder Teil der öffentlichen Zuständigkeit des für die Verarbeitung Verantwortlichen ist. Journalismus ist ein klassisches Beispiel für einen öffentlichen Grund für die Verarbeitung personenbezogener Daten. Regierungsstellen können personenbezogene Daten verarbeiten, um ihre offiziellen Aufgaben wahrzunehmen.
Die Daten müssen verarbeitet werden, um ein berechtigtes Interesse des Verantwortlichen oder eines Dritten zu verfolgen. Ein berechtigtes Interesse ist ein Vorteil, den ein Unternehmen durch Datenverarbeitung erzielen könnte. Beispiele hierfür sind die Überprüfung des Hintergrunds von Mitarbeitern oder das Tracking von IP-Adressen in einem Unternehmensnetzwerk aus Cybersicherheitsgründen. Die Verarbeitung muss notwendig sein, um als berechtigtes Interesse zu gelten. Ein Unternehmen kann kein berechtigtes Interesse geltend machen, wenn es die Aufgabe ohne die fraglichen Daten erfüllen kann. Betroffene Personen müssen zudem berechtigterweise mit der Verarbeitung rechnen. Wenn die betroffenen Personen überrascht wären, wenn sie erfahren würden, dass ihre Daten auf eine bestimmte Art und Weise verwendet werden, hat das Unternehmen wahrscheinlich keine berechtigten Interessen. Die Rechte der betroffenen Personen haben in der Regel Vorrang vor den legitimen Interessen eines Unternehmens.
Unternehmen müssen ihre Grundlagen festlegen und dokumentieren, bevor sie Daten erheben. Diese Grundlagen müssen sie den Benutzern mitteilen. Unternehmen können ihre Grundlagen nicht nachträglich ohne die Zustimmung der betroffenen Person ändern.
Die DSGVO stuft einige Arten von Daten als besonders sensibel ein. Zu diesen besonderen Kategorien gehören u. a. Informationen über die Herkunft oder ethnische Zugehörigkeit einer Person, religiöse Überzeugungen, politische Meinungen und biometrische Daten.
Unternehmen können Daten besonderer Kategorien nur unter ganz bestimmten Umständen verarbeiten. Dazu gehören unter anderem:
Die betroffene Person hat ihre ausdrückliche Einwilligung erteilt.
Die Verarbeitung ist für wissenschaftliche oder historische Forschungen erforderlich.
Daten über strafrechtliche Verurteilungen können nur von offiziellen Behörden kontrolliert und auf deren Anweisung verarbeitet werden.
Neben der Einhaltung der Verarbeitungsgrundsätze und der Schaffung einer Rechtsgrundlage für alle Verarbeitungstätigkeiten müssen Unternehmen einige weitere Regeln einhalten, um die Anforderungen der DSGVO zu erfüllen.
Möchte ein Unternehmen Daten in einer Weise verarbeiten, die ein erhebliches Risiko für die betroffenen Personen darstellt, muss es zunächst eine Datenschutz-Folgenabschätzung (auch: Data Protection Impact Assessment) durchführen. Zu den Situationen, die eine solche Folgenabschätzung auslösen könnten, gehören jede automatisierte Verarbeitung oder jede groß angelegte Verarbeitung sensibler Daten.
Die Folgenabschätzung muss die Verarbeitung beschreiben, erklären, warum sie notwendig ist, die Risiken bewerten und Möglichkeiten zur Risikominderung aufzeigen. Wenn die Folgenabschätzung ergibt, dass ein erhebliches, ungemindertes Risiko besteht, muss das Unternehmen vor weiteren Schritten die zuständige Datenschutzbehörde konsultieren.
Gemäß der DSGVO müssen einige Unternehmen Datenschutzbeauftragte (DSBs) ernennen. Der DSB ist ein unabhängiger Unternehmensbeauftragter, der für die Einhaltung der DSGVO verantwortlich ist. Unternehmen dürfen keine Vergeltungsmaßnahmen gegen einen DSB ergreifen, wenn dieser seine Aufgaben wahrnimmt.
Zu den Aufgaben des DSB gehören die Beratung von Unternehmen in Bezug auf die DSGVO und andere Datenschutzgesetze, die Beaufsichtigung von Datenschutz-Folgenabschätzungen und die Funktion als Ansprechpartner für Aufsichtsbehörden und betroffene Personen.
Alle Behörden müssen Datenschutzbeauftragte ernennen. Private Unternehmen müssen einen Datenschutzbeauftragten ernennen, wenn sie betroffene Personen in großem Umfang überwachen oder als Haupttätigkeit Daten besonderer Kategorien verarbeiten. Darüber hinaus müssen Unternehmen außerhalb Europas Vertreter innerhalb des EWR benennen, wenn sie regelmäßig Daten von EWR-Bürgern oder besonders sensible Daten verarbeiten.
Datenverantwortliche sind für alle Daten verantwortlich, die sie an Auftragsverarbeiter und Dritte weitergeben. Verantwortliche und Auftragsverarbeiter schließen oft formale Datenverarbeitungsverträge ab, um die Vorgaben der DSGVO einzuhalten. In diesen verbindlichen Verträgen werden Details wie die Art der Verarbeitung, die ein Auftragsverarbeiter vornehmen darf, und die Arten von Sicherheitsmaßnahmen, die er anwenden muss, festgelegt.
Drittverarbeiter dürfen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten. Sie dürfen die Daten eines Verantwortlichen nicht für eigene Zwecke nutzen.
Verantwortliche im EWR dürfen Daten nur unter bestimmten Bedingungen an Auftragsverarbeiter in sogenannten „Drittländern“ außerhalb des EWR übertragen. Sie können Daten frei in jedes Drittland übertragen, das nach Ansicht der Europäischen Kommission über angemessene Datenschutzgesetze verfügt. Die für die Verarbeitung Verantwortlichen können Daten auch an einzelne Verarbeiter weitergeben, deren Schutzmaßnahmen die Kommission für ausreichend hält. Wenn weder das Land noch der Verarbeiter die Genehmigung der Kommission haben, kann die Übertragung dennoch zulässig sein, sofern der für die Verarbeitung Verantwortliche sicherstellen kann, dass die Daten geschützt werden.
Verantwortliche und Auftragsverarbeiter müssen sowohl organisatorische als auch technische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen.
Zu den organisatorischen Maßnahmen gehören Prozesse wie die Schulung der Mitarbeiter in Bezug auf die DSGVO-Vorschriften und die Umsetzung formeller Data-Governance-Richtlinien.
Zu den technischen Sicherheitskontrollen gehören Software, Hardware und andere technologische Tools. Verschlüsselung und andere Verfahren zur Pseudonymisierung können es Hackern beispielsweise das Abfangen personenbezogener Daten erschweren. Einige Beispiele:
Die DSGVO weist Unternehmen an, den Grundsatz des Datenschutzes durch Design und standardmäßige Voreinstellungen zu übernehmen. Mit anderen Worten: Unternehmen sollten die Datensicherheit zu einem Schlüsselfaktor in jedem Prozess, Produkt und System machen, das sie entwickeln oder einsetzen. Die Grundsätze des Datenschutzes sollten die Grundlage für alles sein, was das Unternehmen tut, und nicht als nachträglicher Aspekt aufgenommen werden.
Die für die Verarbeitung Verantwortlichen müssen die meisten Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an eine Aufsichtsbehörde melden. Wenn ein Verstoß Risiken für die betroffenen Personen birgt, wie z. B. Geld- oder Identitätsdiebstahl, muss das Unternehmen die betroffenen Personen benachrichtigen.
Benachrichtigungen über Verstöße müssen direkt an die Opfer gesendet werden. Eine öffentliche Bekanntgabe reicht nicht aus, es sei denn, eine direkte Mitteilung wäre unzumutbar. Die Benachrichtigungen sollten Einzelheiten über die Art der gestohlenen Daten, die Risiken für die betroffenen Personen und die Art und Weise, wie das Unternehmen mit der Situation umgeht, enthalten. In der Benachrichtigung muss den betroffenen Personen auch mitgeteilt werden, wie sie sich mit Bedenken an den Datenschutzbeauftragten oder einen anderen Vertreter wenden können. Das Unternehmen muss die betroffenen Personen nicht benachrichtigen, wenn ein Verstoß wahrscheinlich kein wirkliches Risiko für sie darstellt. Beispielsweise ist keine Benachrichtigung erforderlich, wenn die gestohlenen Daten stark verschlüsselt und für Hacker unbrauchbar sind.
Die DSGVO legt in ihrem Geltungsbereich eine Reihe von Rechten für betroffene Personen fest.
Betroffene Personen haben ein Recht darauf zu erfahren, wer über ihre Daten verfügt, wie sie an diese gelangt sind und was damit gemacht wird.
Betroffene Personen haben das Recht, auf alle ihre Daten zuzugreifen, die ein Unternehmen besitzt.
Betroffene Personen haben das Recht, fehlerhafte oder veraltete personenbezogene Daten zu korrigieren.
Das Recht auf Löschung wird manchmal auch als „Recht auf Vergessenwerden“ bezeichnet und bezieht sich darauf, dass eine betroffene Person das Recht hat, Unternehmen zur Löschung ihrer Daten aufzufordern. Unternehmen müssen dem nachkommen, es sei denn, ihr Interesse an den Daten (z. B. eine gesetzliche Verpflichtung zur Führung bestimmter Aufzeichnungen) überwiegt dieses Recht.
Wenn eine betroffene Person der Meinung ist, dass ihre Daten nicht korrekt sind, rechtswidrig verwendet werden oder für den Unternehmenszweck nicht mehr erforderlich sind, kann sie das Unternehmen auffordern, die Verwendung ihrer Daten einzuschränken. Das Unternehmen muss sich daran halten, es sei denn, es kann nachweisen, dass es ein vorrangiges Interesse an der Verarbeitung der Daten hat.
Die betroffenen Personen haben das Recht, ihre Daten von einem Unternehmen an ein anderes zu übertragen. Die Unternehmen müssen die Übermittlung personenbezogener Daten erleichtern, indem sie die Daten in einem gemeinsam nutzbaren Format speichern oder sie auf Wunsch der betroffenen Person an einen Dritten übermitteln.
Betroffene Personen können der Verarbeitung ihrer Daten jederzeit widersprechen. Das Unternehmen muss die Verarbeitung einstellen, es sei denn, es kann nachweisen, dass es legitime, zwingende Gründe dafür gibt.
Die DSGVO definiert Profiling (Profilerstellung) als den Einsatz automatisierter Verarbeitung zur Bewertung bestimmter Aspekte einer Person, z. B. zur Vorhersage ihrer Arbeitsleistung oder ihres Surfverhaltens. Unternehmen dürfen keine automatisierte Verarbeitung verwenden, um wichtige Entscheidungen ohne die Zustimmung der betroffenen Personen zu treffen. Betroffene Personen haben das Recht, Entscheidungen anzufechten, die allein auf der Grundlage einer automatisierten Verarbeitung getroffen wurden. Sie können sich zu der Entscheidung äußern und verlangen, dass das Unternehmen einen menschlichen Mitarbeiter mit der Überprüfung der Entscheidung beauftragt.
Die DSGVO wird von öffentlichen Aufsichtsbehörden, den sogenannten Datenschutzbehörden, durchgesetzt. Jeder Mitgliedstaat hat seine eigene Datenschutzbehörde, die für Unternehmen mit Sitz in diesem Staat zuständig ist. Aufsichtsbehörden können Unternehmen prüfen, Beschwerden von betroffenen Personen entgegennehmen und Verstöße untersuchen. Betrifft ein potenzieller Verstoß Personen aus mehreren Staaten, wird die Untersuchung von der Aufsichtsbehörde des Staates geleitet, in dem das Unternehmen oder sein Vertreter seinen Sitz hat.
Bei Nichteinhaltung können Aufsichtsbehörden Bußgelder verhängen und Unternehmen zu bestimmten Änderungen verpflichten. Sie können Unternehmen zwingen, den Anfragen der betroffenen Personen nachzukommen und illegale Datenverarbeitungsaktivitäten einzustellen.
Das European Data Protection Board (EDPB) erleichtert die Koordination zwischen den Aufsichtsbehörden und stellt eine einheitliche Anwendung der DSGVO-Vorschriften im gesamten EWR sicher.
Bei Nichteinhaltung können hohe Geldstrafen verhängt werden. Schon geringfügige Verstöße, wie z. B. die Verarbeitung der Daten eines Kindes ohne Einwilligung der Eltern, können zu Geldstrafen von bis zu 10.000.000 EUR oder 2 % des weltweiten Umsatzes des Unternehmens im Vorjahr führen, je nachdem, welcher Betrag höher ist.
Schwerwiegende Verstöße, wie die Verarbeitung von Daten zu einem unrechtmäßigen Zweck, können zu Geldstrafen von bis zu 20.000.000 EUR oder 4 % des weltweiten Umsatzes des Unternehmens im Vorjahr führen, je nachdem, welcher Betrag höher ist.
