Mit der Datenschutz-Grundverordnung (DSGVO) wurden die Vertraulichkeits- und Datenschutzgesetze in der gesamten Europäischen Union (EU) aktualisiert und vereinheitlicht. Sie ersetzte die EU-Datenschutzrichtlinie von 1995.
Das Europäische Parlament hat das Datenschutzgesetz am 14. April 2016 gebilligt; schlussendlich trat es am 25. Mai 2018 in Kraft. Daher wird die DSGVO häufig als das Datenschutzgesetz von 2018 bezeichnet. Sie harmonisierte die Datenschutzgesetze aller 28 EU-Mitglieder mit einem konsistenten Satz von 99 Artikeln, um mehr Rechte und Schutz für Einzelpersonen zu gewährleisten. Dies geschah in einer Phase, in der sich die Verbraucher in der EU zunehmend Sorgen um den Datenschutz machten.
Aus einem RSA Data Privacy & Security-Bericht geht hervor, dass 41 % der Verbraucher falsche personenbezogene Daten an Unternehmen übermitteln, weil sie wenig Vertrauen in den Datenschutz haben und aufdringliches Marketing fürchten. Weitere 90 % der befragten Verbraucher weltweit äußerten sich besorgt über den Verlust, die Manipulation und den Diebstahl ihrer persönlichen Daten.
Viele beschreiben die DSGVO eher als Revolution für Datenschutz und Privatsphäre denn als bloße Überarbeitung der Rechte. Die neue Richtlinie zielt darauf ab, die Transparenz der Unternehmen zu gewährleisten und die Rechte der Verbraucher (betroffene Personen) auf den Schutz ihrer Daten zu erweitern. Wenn ein Unternehmen beispielsweise einen schwerwiegenden Sicherheitsverstoß feststellt, muss es die Aufsichtsbehörde und alle betroffenen Personen innerhalb von 72 Stunden benachrichtigen.
Die Vorschriften der DSGVO gelten für alle Daten, die EU-Bürger generieren, unabhängig davon, ob die Organisation, die die Daten sammelt, in der EU ansässig ist oder nicht. Sie betrifft auch alle Personen, deren Daten in der EU gespeichert sind, also auch Nicht-EU-Bürger. Außerdem sind hohe Geldstrafen für Unternehmen vorgesehen, die gegen die Vorschriften verstoßen.
DSGVO steht für Datenschutz-Grundverordnung. Es handelt sich um ein Datenschutzgesetz mit Bestimmungen, die Unternehmen und Organisationen dazu verpflichten, die Daten und die Privatsphäre von EU-Bürgern bei Transaktionen innerhalb der EU-Mitgliedstaaten zu schützen. Außerdem wird darin geregelt, wie Unternehmen personenbezogene Daten in Länder außerhalb der EU exportieren. Viele halten sie für die weltweit stärkste Datenschutznorm, die einen besseren Zugang der Bürger zu ihren Daten und höhere Einschränkungen für Unternehmen beim Umgang mit personenbezogenen Daten festlegt.
Die DSGVO verlangt von Unternehmen und Organisationen, die in großem Umfang Daten verarbeiten und die betroffenen Personen überwachen, einen Datenschutzbeauftragten (DSB) zu bestellen. Der DSB ist offiziell für die Data Governance des Unternehmens und die Einhaltung verantwortlich.
Unternehmen, die die DSGVO-Vorschriften nicht einhalten, müssen mit rechtlichen Konsequenzen rechnen, darunter eine Geldstrafe in Höhe von 20 Millionen Euro (ca. 22,07 Millionen US-Dollar) oder 4 % des weltweiten Jahresumsatzes (was jeweils höher ist). Darüber hinaus sorgt der DSB für die Anwendung geeigneter Datenschutzgrundsätze bei der Pflege personenbezogener Daten.
Die Datenschutz-Grundverordnung (DSGVO) wurde aufgrund der Besorgnis der Öffentlichkeit über den Datenschutz eingeführt. Sie ersetzte die EU-Datenschutzrichtlinie 1995, die in Kraft trat, bevor das Internet zu einem modernen Online-Business-Hub wurde. Daher war es notwendig, die veraltete Richtlinie zu ersetzen, die keine Regelungen für die Art und Weise enthielt, wie Unternehmen Daten sammeln, übertragen und speichern.
Heute schützt die Datenschutz-Grundverordnung die EU-Bevölkerung und ihre Daten, um sicherzustellen, dass Unternehmen, die Daten sammeln und speichern, damit verantwortungsvoll umgehen. Sie schreibt die sichere Aufbewahrung personenbezogener Daten vor und verpflichtet dazu, sie vor unbefugter oder unrechtmäßiger Verarbeitung, Beschädigung, Zerstörung und zufälligem Verlust zu schützen. Dazu zählen besonders Vorfälle im Zusammenhang mit Ransomware und Malware.
Sie gibt auch rechtmäßige Gründe für die Erhebung personenbezogener Daten an und legt fest, dass diese für einen bestimmten und rechtmäßigen Zweck erfolgen sollte und Organisationen sie nicht über diese Absicht hinaus verwenden dürfen. Die Verordnung geht sogar so weit, dass sie die Menge der Daten, die Organisationen und Unternehmen sammeln dürfen, begrenzt. Sie legt fest, dass die Datenerhebung auf das beschränkt ist, was für die Zwecke, für die eine Organisation die Daten verarbeitet und nutzt, erforderlich ist.
Darüber hinaus besagt die DSGVO, dass Organisationen, die Daten sammeln, deren Richtigkeit sicherstellen und sie bei Bedarf aktualisieren sollten.
Unternehmen dürfen die Daten einer Person nur verarbeiten, wenn folgende Bedingungen erfüllt sind:
Der Zweck der DSGVO besteht darin, den Mitgliedsstaaten ein einheitliches EU-Datenschutzgesetz aufzuerlegen, damit die einzelnen Mitglieder keine unterschiedlichen Datenschutzgesetze schreiben und durchsetzen müssen. Darüber hinaus gilt die Verordnung, obwohl sie aus der EU stammt, auch für globale Unternehmen außerhalb der Region.
Sie gilt beispielsweise für ein in den USA ansässiges Unternehmen, das in der EU geschäftlich tätig ist und die Daten von in der EU ansässigen Personen und Bürgern sammelt und verarbeitet. Eine PWC-Umfrage ergab, dass 92 % der in den USA ansässigen Unternehmen die Einhaltung der DSGVO als Priorität betrachten.
Weitere spezifische Kriterien für die Einhaltung der Vorschriften sind:
Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten. Dies sind Informationen, die eine lebende Person direkt oder indirekt identifizieren. Dabei kann es sich um etwas Offensichtliches wie einen Namen, Standortdaten oder einen eindeutigen Online-Benutzernamen handeln, aber auch um weniger Offensichtliches wie Cookie-Kennungen oder IP-Adressen.
Sie bietet auch einigen Kategorien sensibler personenbezogener Daten einen besseren Schutz, darunter Informationen über:
Personenbezogene Daten sind per Definition alles, was die Identifizierung einer Person ermöglicht. Das bedeutet, dass pseudonymisierte Daten in diesem breiten Kontext immer noch zu den personenbezogenen Daten zählen. Personenbezogene Daten sind von entscheidender Bedeutung, da das Gesetz Personen, Unternehmen und Organisationen betrifft, die diese Daten verarbeiten oder kontrollieren.
Die DSGVO legt die drei folgenden Rollen fest:
Die Datenverantwortlichen sind die Entscheidungsträger und üben die Kontrolle über die Verarbeitung personenbezogener Daten und deren Zweck und Verwendung aus. Manchmal gibt es gemeinsame Datenverantwortliche, sodass zwei oder mehr Stellen festlegen, wie die gesammelten Daten zu behandeln sind. Andererseits handeln Auftragsverarbeiter im Auftrag der jeweiligen Datenverantwortlichen gemäß deren Anweisungen. Daher gelten für Verantwortliche strengere Vorschriften als für Verarbeiter.
Die Nutzer müssen den Organisationen und Unternehmen, die ihre persönlichen Daten sammeln und verwenden wollen, ihre Zustimmung erteilen. In diesem Fall beziehen sich personenbezogene Daten auf Informationen über eine lebende, identifizierte oder identifizierbare natürliche Person, oft als Datensubjekt bezeichnet.
Wie bereits erwähnt, können personenbezogene Daten Folgendes umfassen:
Die DSGVO verlangt von Unternehmen und Organisationen, dass sie die Besucher ihrer Online-Seiten über die von ihnen gesammelten Daten, wie z. B. Cookies, informieren. Außerdem müssen sie der Weitergabe von Informationen zustimmen, indem sie auf die Schaltfläche "Zustimmen" klicken. Viele Websites weisen beispielsweise in Popup-Fenstern darauf hin, dass die Website Cookies sammelt – kleine Dateien, in denen persönliche Informationen wie Website-Präferenzen oder Einstellungen gespeichert werden.
Websites müssen Besucher und Benutzer auch frühzeitig über eine Kompromittierung personenbezogener Daten, die das Unternehmen oder die Website gespeichert hat, informieren. Diese EU-Datenschutzanforderungen sind oft strenger als die in anderen Ländern.
Zu den weiteren Mandaten gehören die Bewertung der Datensicherheit der Website und die Verpflichtung, einen Datenschutzbeauftragten zu benennen, der diese und andere Aufgaben wahrnimmt. Außerdem muss das Unternehmen seinen Kunden die Kontaktinformationen des DSB und anderer relevanter Mitarbeiter bereitstellen, um einen einfachen Zugang zur Ausübung ihrer Rechte nach der DSGVO zu gewährleisten. Dazu gehört unter anderem das Recht, dass ihre personenbezogenen Daten von der Website gelöscht werden.
Die Verordnung schützt Verbraucher außerdem, indem sie sicherstellt, dass Organisationen und andere Dritte gesammelte personenbezogene Daten anonymisieren oder pseudonymisieren, um die Identität zu verschleiern. Diese Maßnahmen ermöglichen es den Unternehmen, umfangreichere Datenanalysen durchzuführen, wie z. B. die Bewertung des durchschnittlichen Verschuldungsgrads ihrer Kunden, was über die Anforderungen zur Bewertung der Kreditwürdigkeit hinausgeht.
Es sollte noch erwähnt werden, dass die DSGVO auch andere Daten als die von Kunden erfassten betrifft. Die Verordnung gilt zum Beispiel für Personalakten von Arbeitnehmern.
Die DSGVO der EU umfasst 11 Kapitel und 91 Artikel. Im Folgenden sind einige der wichtigsten Artikel aufgeführt, die sich auf die Sicherheitsmaßnahmen von Unternehmen auswirken:
Die Verordnung enthält sieben Grundsätze in Artikel 5. Sie sind die Richtschnur dafür, wie Organisationen mit den Daten ihrer Mitarbeiter umgehen. Es handelt sich nicht um komplexe Regeln, die zu befolgen sind, sondern um einen weitreichenden Rahmen, dessen Aufbau die Ziele der DSGVO verdeutlicht.
Viele Grundsätze ähneln denen der früheren Datenschutzgesetze. Sie lauten wie folgt:
Die oben genannten Grundsätze der Datenschutz-Grundverordnung bilden die Grundlage für die spezifischen Rechte des Datensubjekts nach dem Datenschutzgesetz. Dazu gehören die folgenden:
Bei einem Sicherheitsverstoß, der sich auf personenbezogene Daten auswirkt, haben die Datenverantwortlichen 72 Stunden Zeit, um die Aufsichtsbehörde zu benachrichtigen (die Behörde, die das EU-Mitgliedsland zur Überwachung der Einhaltung der DSGVO benennt). Weitere Anforderungen an die Benachrichtigung bei Verstößen sind:
Die DSGVO sieht ein abgestuftes Konzept für die Verhängung von Geldbußen bei Verstößen gegen ihre Verordnung vor. Es gibt zwei Stufen von Bußgeldern je nach Umfang und Art des Verstoßes:
Das größte Problem, auf das sich die meisten Unternehmen nach der Einführung der DSGVO im Jahr 2016 konzentrierten, war die Möglichkeit der Aufsichtsbehörden, bei Nichteinhaltung hohe Geldstrafen zu verhängen. Die Aufsichtsbehörden können gegen Unternehmen Geldbußen verhängen, wenn sie personenbezogene Daten nicht ordnungsgemäß verarbeiten, keinen Datenschutzbeauftragten benennen oder Sicherheitsverstöße begehen.
Es gibt mehrere Bestimmungen zu personenbezogenen Daten Dritter – Daten von anderen Parteien als den Datensubjekten in der EU – und zur Weitergabe personenbezogener Daten außerhalb der Region. Das Datenschutzgesetz von 2018 legt fest, dass:
Nach dem Austritt des Vereinigten Königreichs aus der EU hat das Land seine Datenschutzgesetze aktualisiert und wendet nun den Data Protection Act of 2018 an. Sie schreibt vor, dass britische Unternehmen, die mit Kunden und Organisationen in der EU Geschäfte machen, die DSGVO einzuhalten haben.
Es ist erwähnenswert, dass die DSGVO Datenverarbeiter und Datenverantwortliche gleichermaßen haftbar macht. Das bedeutet, dass ein nicht konformer Drittverarbeiter den Konformitätsstatus einer Organisation beeinträchtigt. Das Gesetz enthält auch strenge Vorschriften für die Meldung von Verstößen in der Kette.
Daher müssen in den bestehenden Verträgen eines Verantwortlichen mit Auftragsverarbeitern wie SaaS-Anbietern, Anbietern von Gehaltsabrechnungsdiensten oder Cloud-Anbietern und Kunden die Verantwortlichkeiten genau festgelegt werden. Die Vereinbarung muss außerdem einheitliche Verfahren für die Verwaltung, die Erfassung, den Schutz und die Speicherung von Daten sowie für die Meldung von Verstößen enthalten.
Auf welche Weise gewährleistet ein Unternehmen die Compliance? In den Verordnungen werden die erwarteten Ergebnisse eines verantwortungsvollen Datenmanagements beschrieben, aber keine technischen Maßnahmen zur Erreichung dieses Ziels festgelegt. Nachfolgend finden Sie einige Best Practices zur Gewährleistung der Compliance:
Die digitale Transformation hat die Regulierungsvorschriften für Unternehmen weltweit neu definiert. US-amerikanische Unternehmen unterliegen aufgrund der Art ihrer Geschäftstätigkeit inzwischen mehreren Vorschriften zur Einhaltung von Cybersicherheitsbestimmungen, wie z. B. der DSGVO und dem California Consumer Privacy Act (CCPA). (Siehe CPRA für ein Update zum CCPA)
Viele Kommunikationsplattformen und Online-Betriebsumgebungen haben die Verwaltung der Einhaltung der Vorschriften anspruchsvoll und kostspielig gemacht. Daher suchen Unternehmen nach effektiven und erschwinglichen Möglichkeiten, die Vorschriften einzuhalten und gleichzeitig die Produktivität zu steigern und den Betrieb auszubauen.
Das integrierte Portfolio an Daten-Compliance-Funktionen von Veritas fasst Informationen aus verschiedenen Datenquellen zusammen, um den Zugriff zu optimieren, die Einhaltung gesetzlicher Vorschriften zu gewährleisten, Einblicke zu gewähren, Analysen zu unterstützen und das Unternehmensrisiko zu minimieren.
Der integrierte Ansatz von Veritas zur Verwaltung von Compliance- und Unternehmensdaten verwandelt große Datenmengen in verwertbare Erkenntnisse. Darüber hinaus ermöglichen es die Berichts- und Visualisierungsfunktionen unserer Data Insight-Integration den Benutzern, risikobehaftete Daten zu klassifizieren, Dateneigentümer einzubeziehen und den Zugriff auf sensible personenbezogene Daten zu sperren, um die Daten-Compliance und die Entscheidungsfindung zu verbessern.
Darüber hinaus beseitigt die Veritas Integrated Classification Engine die Herausforderungen der Datensicherheit und der Compliance. Als Gartner Magic Quadrant Leader sind wir Marktführer im Bereich Unternehmensinformationsarchivierung. Die Benutzer können ihre Daten archivieren und von überall her abrufen.
Veritas bietet ein integriertes Produktportfolio, das auf dem Markt einzigartig ist. Sie wird von einem umfassenden und robusten Technologie-Ökosystem unterstützt. Kein anderer Anbieter kommt an den Umfang und die Vielseitigkeit der Veritas Enterprise Data Services heran.