Checkliste für die Einhaltung der DSGVO-Vorschriften

Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union (EU), das regelt, wie Unternehmen personenbezogene Daten erfassen und verwenden. Jedes Unternehmen, das in der EU tätig ist oder Daten von EU-Bürgern verarbeitet, muss die Anforderungen der DSGVO erfüllen.

Die Einhaltung der DSGVO ist jedoch nicht unbedingt eine einfache Angelegenheit. Das Gesetz beschreibt eine Reihe von Datenschutzrechten für Benutzer und eine Reihe von Grundsätzen für die Verarbeitung personenbezogener Daten. Unternehmen müssen diese Rechte und Grundsätze wahren, aber die DSGVO lässt jedem Unternehmen einen gewissen Spielraum bei der Entscheidung, wie dies geschehen soll.

Es steht viel auf dem Spiel, und die DSGVO sieht bei Nichteinhaltung erhebliche Strafen vor. Die schwerwiegendsten Verstöße können zu Geldbußen von bis zu 20.000.000 EUR oder 4 % des weltweiten Gesamtumsatzes des Unternehmens im Vorjahr führen. Die DSGVO-Regulierungsbehörden können auch illegale Datenverarbeitungsaktivitäten beenden und Unternehmen zu Änderungen zwingen.

Die folgende Checkliste deckt die wichtigsten DSGVO-Vorschriften ab. Wie ein Unternehmen diese Vorschriften erfüllt, hängt von den jeweiligen Umständen ab, einschließlich der Art der erfassten Daten und der Art und Weise, wie diese Daten verwendet werden.

Die DSGVO gilt für jedes Unternehmen mit Sitz im Europäischen Wirtschaftsraum (EWR). Der EWR umfasst alle 27 EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen.

Die DSGVO gilt auch für Unternehmen außerhalb des EWR, wenn Folgendes gilt:

• Das Unternehmen bietet regelmäßig Waren oder Dienstleistungen für im EWR ansässige Personen an, auch wenn kein Geld ausgetauscht wird.
• Das Unternehmen überwacht regelmäßig die Aktivitäten der im EWR ansässigen Personen, z. B. durch die Verwendung von Tracking-Cookies.
• Das Unternehmen verarbeitet Daten im Namen eines Unternehmens mit Sitz im EWR.

Die DSGVO gilt nicht nur für Unternehmen, die Kundendaten für kommerzielle Zwecke verwenden. Sie gilt für fast jedes Unternehmen, das Daten von Einwohnern des EWR für beliebige Zwecke verarbeitet. Schulen, Krankenhäuser und Regierungsbehörden fallen alle unter die DSGVO.

Die einzigen Datenverarbeitungsaktivitäten, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit oder der Strafverfolgung sowie die rein persönliche Verwendung von Daten.

Nützliche Definitionen

Die DSGVO verwendet bestimmte Begriffe. Um die Compliance-Anforderungen zu verstehen, müssen Unternehmen die Bedeutung dieser Begriffe in diesem Kontext kennen.

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierbare Person beziehen. Alles, von E-Mail-Adressen bis hin zu politischen Meinungen, gilt als personenbezogene Daten.

Eine betroffene Person ist der Mensch, dem die Daten gehören. Anders ausgedrückt handelt es sich um die Person, auf die sich die Daten beziehen. Nehmen wir an, ein Unternehmen sammelt Telefonnummern, um Marketingbotschaften per SMS zu versenden. Die Eigentümer dieser Telefonnummern wären dann betroffene Personen.

Wenn sich die DSGVO auf betroffene Personen bezieht, sind damit betroffene Personen gemeint, die im EWR ansässig sind. Personen müssen keine EU-Bürger sein, um Datenschutzrechte gemäß der DSGVO zu haben. Sie müssen lediglich im EWR ansässig sein.

Ein Datenverantwortlicher ist jede Art von Organisation, Gruppe oder Person, die personenbezogene Daten erhält und bestimmt, wie diese verwendet werden. Um auf das vorherige Beispiel zurückzukommen: Ein Unternehmen, das Telefonnummern für Marketingzwecke sammelt, wäre ein Datenverantwortlicher.

Datenverarbeitung ist jede Aktion, die mit Daten durchgeführt wird, einschließlich ihrer Erfassung, Speicherung oder Analyse. Ein Datenverarbeiter ist jede Organisation oder jeder Akteur, der solche Handlungen ausführt.

Ein Unternehmen kann sowohl Datenverantwortlicher als auch Datenverarbeiter sein, wie im Fall eines Unternehmens, das Telefonnummern erfasst und diese zum Versenden von Marketingnachrichten verwendet. Zu den Datenverarbeitern gehören auch Dritte, die Daten im Auftrag von Datenverantwortlichen verarbeiten, wie z. B. ein Cloud-Speicherdienst, der eine Telefonnummerndatenbank für ein anderes Unternehmen hostet.

Aufsichtsbehörden sind die Regulierungsbehörden, die die Anforderungen der DSGVO durchsetzen. Jedes EWR-Land hat seine eigene Aufsichtsbehörde.

Auf hoher Ebene ist ein Unternehmen dann DSGVO-konform, wenn gilt:

• Hält sich an die Grundsätze der Datenverarbeitung
• Wahrt die Rechte von betroffenen Personen
• Wendet angemessene Datensicherheitsmaßnahmen an
• Beachtet die Regeln für die Datenübertragung und -freigabe

In der folgenden Checkliste werden diese Anforderungen weiter aufgeschlüsselt. Die praktischen Schritte, die ein Unternehmen unternimmt, um diese Anforderungen zu erfüllen, hängen unter anderem von seinem Standort, seinen Ressourcen und seinen Datenverarbeitungsaktivitäten ab.

Grundsätze der Datenverarbeitung

Die DSGVO legt eine Reihe von Grundsätzen fest, die von Unternehmen bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. Diese Grundsätze lauten wie folgt:

Das Unternehmen verfügt über eine rechtmäßige Grundlage für die Verarbeitung von Daten.

Die DSGVO legt fest, unter welchen Umständen Unternehmen personenbezogene Daten rechtmäßig verarbeiten dürfen. Unternehmen müssen vor der Erhebung von Daten ihre Rechtsgrundlage festlegen und dokumentieren. Das Unternehmen muss diese Grundlage den Benutzern zum Zeitpunkt der Datenerfassung mitteilen. Die Grundlage kann nicht im Nachhinein geändert werden, es sei denn, der Benutzer hat dem zugestimmt.

Zu den möglichen Rechtsgrundlagen gehören:

• Das Unternehmen hat die Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten. Beachten Sie, dass die Zustimmung des Benutzers nur dann gültig ist, wenn sie in informierter Weise, bestätigend und freiwillig erteilt wird.
  • Informierte Zustimmung bedeutet, dass das Unternehmen klar erklärt, welche Daten es sammelt und wie es diese Daten verwendet.
  • Eine bestätigende Zustimmung bedeutet, dass der Benutzer eine absichtliche Handlung vornehmen muss, um seine Zustimmung zu zeigen, z. B. durch Unterzeichnung einer Erklärung oder durch Aktivieren eines Kontrollkästchens. Die Zustimmung darf nicht die Standardoption sein.
  • Eine freiwillig erteilte Zustimmung bedeutet, dass das Unternehmen nicht versucht, die betroffene Person zu beeinflussen oder zu nötigen. Die betroffene Person muss ihre Zustimmung jederzeit widerrufen können.

• Das Unternehmen ist gesetzlich verpflichtet, die Daten zu verarbeiten.

• Das Unternehmen muss die Daten verarbeiten, um die Lebensdauer der betroffenen Person oder einer anderen Person zu schützen.

• Das Unternehmen verarbeitet Daten aus Gründen des öffentlichen Interesses, wie Journalismus oder öffentliche Gesundheit.

• Das Unternehmen ist eine öffentliche Behörde, die Daten zur Erfüllung einer offiziellen Funktion verarbeitet.

• Das Unternehmen verarbeitet die Daten, um ein berechtigtes Interesse zu verfolgen.
  • Ein berechtigtes Interesse ist ein Vorteil, den der Verantwortliche oder eine andere Partei durch die Verarbeitung der Daten erlangen könnte. Beispiele hierfür sind die Durchführung von Background-Checks bei Mitarbeitern oder die Verfolgung von IP-Adressen in einem Unternehmensnetzwerk für Cybersicherheitszwecke. Um ein berechtigtes Interesse geltend zu machen, muss das Unternehmen nachweisen, dass die Verarbeitung notwendig ist und die Rechte der betroffenen Personen nicht verletzt werden.

Das Unternehmen sammelt Daten für einen bestimmten Zweck und verwendet sie ausschließlich für diesen Zweck.

Gemäß dem DSGVO-Grundsatz der Zweckbindung müssen die Verantwortlichen einen festgelegten und dokumentierten Zweck für die Datenerhebung haben. Der für die Verarbeitung Verantwortliche muss den Benutzern diesen Zweck zum Zeitpunkt der Datenerhebung mitteilen und darf die Daten nur für diesen genannten Zweck verwenden.

Das Unternehmen erfasst nur die erforderliche Mindestmenge an Daten.

Die für die Verarbeitung Verantwortlichen dürfen nur die Daten erheben, die zur Erfüllung des angegebenen Zwecks unbedingt erforderlich sind.

Das Unternehmen sorgt dafür, dass die Daten korrekt und aktuell sind.

Die für die Verarbeitung Verantwortlichen müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass die von ihnen gespeicherten personenbezogenen Daten korrekt und aktuell sind.

Das Unternehmen löscht Daten, wenn sie nicht mehr benötigt werden.

Die DSGVO verlangt strenge Richtlinien für die Aufbewahrung und Löschung von Daten. Unternehmen dürfen Daten nur so lange speichern, bis der festgelegte Zweck für die Datenerhebung erfüllt ist, und sie müssen die Daten löschen, sobald sie sie nicht mehr benötigen.

Das Unternehmen trifft besondere Vorsichtsmaßnahmen, wenn es um die Verarbeitung von Daten von Kindern oder Daten besonderer Kategorien geht.

Für bestimmte Arten personenbezogener Daten müssen die Verantwortlichen und Datenverarbeiter zusätzliche Schutzmaßnahmen ergreifen.

Daten der besonderen Kategorie umfassen hochsensible Daten wie die ethnische Zugehörigkeit und biometrische Daten einer Person. Unternehmen dürfen Daten der besonderen Kategorie nur unter sehr begrenzten Umständen verarbeiten, beispielsweise um ernsthafte Bedrohungen der öffentlichen Gesundheit abzuwenden. Unternehmen können Daten der besonderen Kategorie auch mit ausdrücklicher Zustimmung der betroffenen Person verarbeiten.

Daten zu strafrechtlichen Verurteilungen dürfen nur von Behörden kontrolliert werden. Datenverarbeiter dürfen diese Informationen nur auf Anweisung einer Behörde verarbeiten.

Die für die Datenverarbeitung Verantwortlichen müssen die Zustimmung der Eltern einholen, bevor sie Daten von Kindern verarbeiten. Sie müssen angemessene Schritte unternehmen, um das Alter der betroffenen Personen und die Identität der Eltern zu verifizieren. Wenn Daten von Kindern erhoben werden, müssen die Verantwortlichen Datenschutzhinweise in kindgerechter Sprache vorlegen.

Jeder EWR-Staat legt seine eigene Definition von „Kind“ im Rahmen der DSGVO fest. Diese reichen von „Personen unter 13 Jahren“ bis zu „Personen unter 16 Jahren“.

Das Unternehmen dokumentiert alle Datenverarbeitungsaktivitäten.

Unternehmen mit mehr als 250 Mitarbeitern müssen Aufzeichnungen über die Datenverarbeitung führen. Unternehmen mit weniger als 250 Mitarbeitern müssen Aufzeichnungen führen, wenn sie hochsensible Daten verarbeiten, Daten regelmäßig verarbeiten oder Daten auf eine Weise verarbeiten, die ein erhebliches Risiko für die betroffenen Personen darstellt.

Datenverantwortliche müssen Dinge wie die von ihnen erfassten Daten, den Umgang mit diesen Daten, Datenflussdiagramme und Datensicherungsmaßnahmen dokumentieren. Datenverarbeiter müssen dokumentieren, für welche Datenverantwortlichen sie arbeiten, welche Arten der Verarbeitung sie für jeden Datenverantwortlichen durchführen und welche Sicherheitskontrollen sie anwenden.

Der Datenverantwortliche ist letztendlich für die Einhaltung der Vorschriften verantwortlich.

Gemäß der DSGVO liegt die letztendliche Verantwortung für die Einhaltung der Vorschriften beim Datenverantwortlichen. Das bedeutet, dass der Verantwortliche sicherstellen und nachweisen können muss, dass seine Drittverarbeiter alle relevanten Anforderungen der DSGVO erfüllen.

Rechte der betroffenen Person

Die DSGVO gewährt betroffenen Personen bestimmte Rechte in Bezug auf ihre Daten. Datenverantwortliche und Datenverarbeiter müssen diese Rechte respektieren.

Das Unternehmen bietet betroffenen Personen einfache Möglichkeiten, ihre Rechte auszuüben.

Unternehmen müssen betroffenen Personen eine einfache Möglichkeit bieten, ihre Rechte in Bezug auf ihre Daten geltend zu machen. Zu diesen Rechten gehören:

• Das Recht auf Zugang: Die Probanden müssen Kopien ihrer Daten sowie relevante Informationen darüber anfordern und erhalten können, wie das Unternehmen die Daten verwendet.

• Das Recht auf Berichtigung: Die betroffenen Personen müssen die Möglichkeit haben, ihre Daten zu korrigieren oder zu aktualisieren.

• Das Recht auf Löschung: Die betroffenen Personen müssen die Löschung ihrer Daten beantragen können. 

• Das Recht auf Einschränkung der Verarbeitung: Die betroffenen Personen müssen die Möglichkeit haben, die Verwendung ihrer Daten einzuschränken, wenn sie vermuten, dass die Daten unrichtig sind, nicht mehr benötigt werden oder missbräuchlich verwendet werden.

• Das Recht auf Widerspruch: Betroffene Personen müssen die Möglichkeit haben, der Verarbeitung zu widersprechen. Betroffene Personen, die zuvor ihre Zustimmung erteilt haben, müssen diese jederzeit problemlos widerrufen können.

• Das Recht auf Datenübertragbarkeit: Die betroffenen Personen haben das Recht, ihre Daten zu übertragen, und die Datenverantwortlichen und -verarbeiter müssen diese Übertragungen unterstützen.

Im Allgemeinen müssen Unternehmen innerhalb von 30 Tagen auf alle Zugriffsanfragen von betroffenen Personen reagieren. Unternehmen müssen in der Regel der Anfrage einer Person nachkommen, es sei denn, das Unternehmen kann nachweisen, dass es einen legitimen, zwingenden Grund gibt, dies nicht zu tun.

Wenn ein Unternehmen eine Anfrage ablehnt, muss es erklären, warum. Das Unternehmen muss der betroffenen Person auch mitteilen, wie sie einer Entscheidung beim Datenschutzbeauftragten des Unternehmens oder bei der zuständigen Aufsichtsbehörde widersprechen kann.

Das Unternehmen bietet betroffenen Personen die Möglichkeit, automatisierte Entscheidungen anzufechten.

Gemäß der DSGVO haben betroffene Personen das Recht, nicht an automatisierte Entscheidungsprozesse gebunden zu sein, die erhebliche Auswirkungen auf sie haben könnten. Dazu gehört auch die Profilerstellung, die in der DSGVO als die Verwendung von Automatisierung zur Bewertung eines Aspekts einer Person definiert wird, z. B. zur Vorhersage ihrer Arbeitsleistung.

Wenn ein Unternehmen automatisierte Entscheidungen trifft, muss es den betroffenen Personen die Möglichkeit geben, diesen Entscheidungen zu widersprechen. Die betroffenen Personen können auch verlangen, dass ein Mitarbeiter eine automatisierte Entscheidung überprüft, die sie betrifft.

Das Unternehmen ist transparent darüber, wie sie personenbezogene Daten verwendet.

Datenverantwortliche und Datenverarbeiter müssen die betroffenen Personen proaktiv und klar über die Datenverarbeitungsaktivitäten informieren, einschließlich der von ihnen erfassten Daten, was sie damit tun und wie die betroffenen Personen ihre Rechte in Bezug auf die Daten ausüben können.

Diese Informationen müssen in der Regel in einer Datenschutzerklärung mitgeteilt werden, die der betroffenen Person bei der Datenerhebung vorgelegt wird. Wenn das Unternehmen personenbezogene Daten nicht direkt von den betroffenen Personen erhebt, müssen den betroffenen Personen innerhalb eines Monats Datenschutzhinweise zugesandt werden. Unternehmen können diese Angaben auch in Datenschutzrichtlinien aufnehmen, die auf ihren Websites öffentlich zugänglich sind.

Maßnahmen zu Datenschutz und -sicherheit

Die DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, Maßnahmen zu ergreifen, um den Missbrauch personenbezogener Daten zu verhindern und betroffene Personen vor Schaden zu schützen.

Das Unternehmen hat angemessene Kontrollen zur Cybersicherheit eingeführt.

Datenverantwortliche und Datenverarbeiter müssen Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit und Integrität personenbezogener Daten zu schützen. Die DSGVO schreibt keine bestimmten Kontrollen vor, aber sie besagt, dass Unternehmen sowohl technische als auch organisatorische Maßnahmen ergreifen müssen.

Technische Maßnahmen umfassen technologische Lösungen wie Identity und Access Management (IAM)-Plattformen, automatisierte Backups und Datensicherheitstools. Die DSGVO schreibt zwar nicht ausdrücklich die Verschlüsselung von Daten vor, empfiehlt jedoch, dass Unternehmen, wann immer möglich, Pseudonymisierung und Anonymisierung einsetzen.

Organisatorische Maßnahmen umfassen Mitarbeiterschulungen, fortlaufende Risikobewertungen und andere Sicherheitsrichtlinien und -prozesse. Unternehmen müssen außerdem bei der Entwicklung oder Umsetzung neuer Systeme und Produkte den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen befolgen.

Das Unternehmen führt bei Bedarf Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) durch.

Wenn ein Unternehmen plant, Daten auf eine Weise zu verarbeiten, die ein hohes Risiko für die Rechte der betroffenen Personen darstellt, muss es zunächst eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DSFA) durchführen. Zu den Arten der Verarbeitung, die eine Datenschutz-Folgenabschätzung auslösen könnten, gehören unter anderem die automatisierte Profilerstellung und die groß angelegte Verarbeitung besonderer Kategorien personenbezogener Daten.

Eine DPIA muss die verwendeten Daten, die beabsichtigte Verarbeitung und den Zweck der Verarbeitung beschreiben. Diese muss die Risiken der Verarbeitung und Möglichkeiten zur Minderung dieser Risiken aufzeigen. Wenn ein erhebliches Risiko besteht, das nicht gemindert wird, muss das Unternehmen eine Aufsichtsbehörde konsultieren, bevor es fortfährt.

Das Unternehmen hat bei Bedarf einen Datenschutzbeauftragten (DSB) ernannt.

Ein Unternehmen muss einen Datenschutzbeauftragten (DSB) ernennen, wenn es in großem Umfang Personen überwacht oder die Verarbeitung von Daten der besonderen Kategorie zu seinen Kernaktivitäten gehört. Auch alle Behörden müssen DSB ernennen.

Der DSB ist dafür verantwortlich, dass das Unternehmen die DSGVO einhält. Zu den Hauptaufgaben gehören die Abstimmung mit den Datenschutzbehörden, die Beratung der Organisation zu den Anforderungen der DSGVO und die Überwachung der DPIAs.

Der DSB muss ein unabhängiger Beauftragter sein, der direkt an die höchste Führungsebene berichtet. Das Unternehmen darf den DSB nicht für die Erfüllung seiner Pflichten bestrafen.

Das Unternehmen benachrichtigt Aufsichtsbehörden und betroffene Personen, wenn es zu Datenschutzverletzungen kommt.

Unternehmen müssen die meisten Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Wenn die Datenschutzverletzung ein Risiko für die betroffenen Personen darstellt, muss das Unternehmen auch die betroffenen Personen benachrichtigen. Unternehmen müssen die betroffenen Personen direkt benachrichtigen, es sei denn, eine direkte Kommunikation wäre unangemessen. In diesem Fall ist eine öffentliche Bekanntmachung zulässig.

Datenverarbeiter, bei denen eine Datenschutzverletzung auftritt, müssen die zuständigen Verantwortlichen unverzüglich benachrichtigen.

Wenn sich der Sitz des Unternehmens außerhalb des EWR befindet, hat das Unternehmen einen Vertreter im EWR bestimmt.

Jedes Unternehmen außerhalb des EWR, das regelmäßig Daten von im EWR ansässigen Personen oder besonders sensible Daten verarbeitet, muss einen Vertreter innerhalb des EWR bestimmen. Der Vertreter stimmt sich im Namen des Unternehmens mit den Regierungsbehörden ab und fungiert als Ansprechpartner für Fragen zur Einhaltung der DSGVO.

Datenübertragung und Datenfreigabe

Die DSGVO legt Regeln fest, wie Unternehmen personenbezogene Daten mit anderen Unternehmen innerhalb und außerhalb des EWR teilen.

Das Unternehmen verwendet formelle Datenverarbeitungsvereinbarungen, um die Beziehungen zu den Datenverarbeitern zu regeln.

Ein Datenverantwortlicher kann personenbezogene Daten an Auftragsverarbeiter und andere Dritte weitergeben, aber diese Beziehungen müssen durch formelle Datenverarbeitungsvereinbarungen geregelt werden. Diese Vereinbarungen müssen die Rechte und Pflichten aller Parteien in Bezug auf die DSGVO darlegen.

Drittverarbeiter dürfen Daten nur gemäß den Anweisungen des Datenverantwortlichen verarbeiten. Sie dürfen die Daten des Verantwortlichen nicht für eigene Zwecke verwenden. Ein Datenverarbeiter muss die Genehmigung des Datenverantwortlichen einholen, bevor er Daten an einen Unterauftragsverarbeiter weitergibt.

Das Unternehmen führt nur genehmigte Datenübertragungen außerhalb des EWR durch.

Ein Datenverantwortlicher darf Daten nur dann an Dritte außerhalb des EWR weitergeben, wenn die Datenübertragung mindestens eines der folgenden Kriterien erfüllt:

• Die Europäische Kommission hat die Datenschutzgesetze des Landes, in dem der Dritte ansässig ist, als angemessen erachtet.
• Die Europäische Kommission hat festgestellt, dass der Dritte über angemessene Datenschutzrichtlinien und -kontrollen verfügt.
• Der Datenverantwortliche hat alle erforderlichen Maßnahmen ergriffen, um die Sicherheit und den Schutz der übertragenen Daten zu gewährleisten.

Die Einhaltung der DSGVO ist ein fortlaufender Prozess, und die Anforderungen eines Unternehmens können sich ändern, wenn sie neue Daten sammelt und neue Arten von Verarbeitungsaktivitäten durchführt.

Lösungen für Datensicherheit und Compliance wie IBM Security® Guardium® können dazu beitragen, den Prozess zur Erreichung und Aufrechterhaltung der DSGVO-Compliance zu optimieren. Guardium kann automatisch von der DSGVO regulierte Daten erkennen, Compliance-Regeln für diese Daten durchsetzen, die Datennutzung überwachen und Unternehmen in die Lage versetzen, auf Bedrohungen der Datensicherheit zu reagieren.