„Nach vier Jahren Vorbereitung und Debatte wurde die DSGVO am 14. April 2016 vom EU-Parlament verabschiedet. Geltungsbeginn: 25. Mai 2018 – ab diesem Zeitpunkt drohen Organisationen, die die Bestimmungen nicht einhalten, hohe Geldstrafen.“
Die EU-Datenschutz-Grundverordnung (DSGVO) wurde inmitten aller Anschuldigungen, weltweiten Proteste und Dramen um den Datenschutz (ja, wir beziehen uns hier auf den Facebook-Cambridge-Datenskandal) als Vorbote der Datenschutzgesetze bezeichnet.
Das Gesetz stellt sicher, dass die Bürger vor möglichen Datenschutzverletzungen geschützt bleiben, und stärkt sie gleichzeitig in der heutigen, zunehmend datengesteuerten Welt, die sich stark von der Zeit unterscheidet, in der die vorherige Richtlinie von 1995 erlassen wurde.
Ein Überblick
Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die EU-Datenschutzrichtlinie 95/46/EG von 1995 und soll die Datenschutzgesetze in ganz Europa „harmonisieren“. Sie zielt darauf ab, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise zu verändern, wie Organisationen in der gesamten Region an den Datenschutz herangehen.
Obwohl die Datensicherheit und ihr Schutz bereits in der Richtlinie von 1995 Gültigkeit hatten, war die Regulierungspolitik nicht mit der digitalisierten Lebensweise vereinbar, und daher bestand Handlungsbedarf. Die EU-DSGVO konzentriert sich auf die Art und Weise, wie Informationen von Unternehmen erfasst und anschließend genutzt werden.
Das Gesetz, das die „Einwilligung des Nutzers“ in den Vordergrund stellt, soll Einzelpersonen einen besseren Schutz und mehr Rechte einräumen.
Begonnen mit dem Vorschlag der Europäischen Kommission zur Stärkung der Online-Privatsphäre und der digitalen Wirtschaft am 25. Januar 2012, wurde der Weg für die neue Verordnung geebnet. Sie wurde anschließend im April 2016 vom Europäischen Parlament und vom Europäischen Rat nach Anhörung und Prüfung verschiedener Ausschüsse verabschiedet.
Die Verordnung tritt am 25. Mai 2018 in Kraft. Die zweijährige Frist hat Unternehmen und öffentlichen Stellen Zeit gegeben, sich auf die bevorstehende Änderung vorzubereiten.
Was sind die Daten?
Nehmen wir an, Sie betreiben eine E-Commerce-Website. Für jedes erfolgreiche Geschäft teilt Ihr Kunde seine Informationen mit Ihnen. Sie haben Zugriff auf Informationen wie Name, Adresse, Telefonnummer, Bank- und Kartendaten, E-Mail-Adresse und sogar die IP-Adresse. Sie benötigen diese, um Ihre Verkäufe und die Benutzerfreundlichkeit zu verbessern und ein besseres und personalisiertes Erlebnis zu bieten. Aber all dies fällt unter den Begriff der persönlichen Informationen.
Denn hey, in Kombination können sie verwendet werden, um eine lebende Person direkt oder indirekt zu identifizieren!
Laut der Europäischen Kommission sind „personenbezogene Daten alle Informationen, die sich auf eine Einzelperson beziehen, unabhängig davon, ob sie sich auf ihr Privat-, Berufs- oder öffentliches Leben beziehen … ein Name, eine Privatadresse, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf sozialen Netzwerken, medizinische Informationen oder die IP-Adresse eines Computers“.
Kurz gesagt, Daten sind alle Informationen, die es einer Behörde ermöglichen, eine Einzelperson zu identifizieren.

Wen betrifft es?
Die Verordnung betrifft nicht nur Personen mit Wohnsitz in der EU, sondern auch Personen und Organisationen, die an der Erhebung oder Verarbeitung von Daten von in der EU ansässigen betroffenen Personen beteiligt sind.
Dies erweitert den territorialen Geltungsbereich im Vergleich zu früheren Richtlinien, die eher uneindeutig waren und sich auf den „Kontext der Niederlassung“ bezogen.
Erweiterter territorialer Geltungsbereich
Die wichtigste Änderung, die sie mit sich bringt, ist die erweiterte Gerichtsbarkeit, die nicht auf das Recht des Landes beschränkt ist.
EUGDPR.org definiert den erweiterten territorialen Geltungsbereich wie folgt:
- Für alle Unternehmen, die personenbezogene Daten von in der Union ansässigen betroffenen Personen verarbeiten, unabhängig vom Standort des Unternehmens.
- Für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht.
- Für die Verarbeitung personenbezogener Daten von betroffenen Personen in der EU durch einen Verantwortlichen oder Auftragsverarbeiter, der nicht in der EU niedergelassen ist, wenn die Tätigkeiten sich beziehen auf - das Anbieten von Waren oder Dienstleistungen für EU-Bürger (unabhängig davon, ob eine Zahlung erforderlich ist) und die Überwachung von Verhaltensweisen, die innerhalb der EU stattfinden.
- Nicht-EU-Unternehmen, die die Daten von EU-Bürgern verarbeiten, müssen ebenfalls einen Vertreter in der EU benennen.
Erlaubt mir die DSGVO also, die E-Mails meines Chefs über mich zu lesen?
Leider nein. Das Gesetz besagt zwar, dass Einzelpersonen das Recht haben sollten, auf ihre personenbezogenen Daten zuzugreifen, aber eine Meinung oder ein Gedanke fällt nicht unter den Begriff der „personenbezogenen Daten, die dem Gesetz unterliegen“.
In diesem Fall fragen Sie einfach Ihren Chef, was er von Ihnen hält.
Leitprinzipien der DSGVO
Artikel 5 der DSGVO listet sechs Klauseln auf, die anscheinend die Leitprinzipien definieren.
Rechtmäßigkeit, Fairness und Transparenz | „Personenbezogene Daten müssen auf rechtmäßige, faire und transparente Weise in Bezug auf die betroffene Person verarbeitet werden“ |
Zweckbindung | „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist“ |
Datenminimierung | „Personenbezogene Daten müssen angemessen, relevant und auf das beschränkt sein, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ |
Richtigkeit | „Personenbezogene Daten müssen richtig und, falls erforderlich, auf dem neuesten Stand sein“ |
Speicherbegrenzung | „Personenbezogene Daten müssen in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen nicht länger ermöglicht, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist“ |
Integrität und Vertraulichkeit | „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen“ |
Rechenschaftspflicht | „Der Verantwortliche ist für die Einhaltung der DSGVO verantwortlich und muss diese nachweisen können“ |
Artikel 8 umreißt ferner die Richtlinien für die Verwendung der Einwilligung Minderjähriger, wobei der Verantwortliche angemessene Anstrengungen unternehmen muss, um zu überprüfen, ob die Einwilligung von dem Inhaber der elterlichen Verantwortung für das Kind erteilt oder genehmigt wurde, wobei die verfügbare Technologie berücksichtigt wird.
Artikel 9 verbietet außerdem „die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.
Regeln für Unternehmen und Organisationen
Das Gesetz gilt für:
- „Ein Unternehmen oder eine Einrichtung, die personenbezogene Daten im Rahmen der Tätigkeit einer ihrer in der EU niedergelassenen Niederlassungen verarbeitet, unabhängig davon, wo die Daten verarbeitet werden; oder
- Ein Unternehmen, das außerhalb der EU niedergelassen ist und Waren/Dienstleistungen (entgeltlich oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU überwacht.“
Eine öffentliche Verwaltung ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Dessen Aufgabe ist es, personenbezogene Daten zu sichern.
Falls gespeicherte personenbezogene Daten versehentlich oder unrechtmäßig an unbefugte Empfänger weitergegeben werden, muss die Verletzung der Datenschutzbehörde (DPA) unverzüglich, spätestens jedoch 72 Stunden nach Kenntnisnahme der Verletzung, gemeldet werden. Die öffentliche Verwaltung muss möglicherweise auch Einzelpersonen über die Verletzung informieren.
Ein sehr wichtiger Aspekt, der behandelt wird, ist, ob und wie Unternehmen betroffen sein werden. Und vor allem: „Dürfen Daten, die von einem Dritten empfangen wurden, für Marketingzwecke verwendet werden?“
Der springende Punkt ist hier, ob die betreffende Person vor der Erfassung und Verarbeitung der Daten einer Einzelperson über die Absicht informiert wurde, diese an Dritte zu verkaufen.
Wenn ja, dann wird die DSGVO Ihr Marketing nicht beeinträchtigen. Wenn die Person der Weitergabe von Daten nicht zugestimmt hat und Sie als Organisation diese dennoch weitergegeben haben, dann machen Sie sich auf hohe Strafen gefasst.
Für die untere Ebene kann die Geldstrafe auf bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres festgesetzt werden, je nachdem, welcher Betrag höher ist.
Für die obere Ebene kann die Geldstrafe bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.“
Rechte der betroffenen Person
Um den Betroffenen zu versichern, dass die endgültige Verfügungsgewalt über die Daten bei ihnen liegt, ist eines der Hauptziele, sicherzustellen, dass die betroffene Person (Benutzer) in jeden Schritt von der Erfassung bis zur endgültigen Verwendung einbezogen wird.
Dies bringt eines der Hauptmerkmale der DSGVO hervor, nämlich die „Einwilligung“ der betroffenen Person.
Für die „Einwilligung“ wurden klare und präzise Bedingungen festgelegt, und Unternehmen werden nicht mehr in der Lage sein, lange, unentzifferbare Geschäftsbedingungen zu verwenden, die mit schwer verständlichem Fachvokabular beladen sind.
Stattdessen sollten sie in einer zugänglichen Form unter Verwendung einer klaren und einfachen Sprache bereitgestellt werden. Darüber hinaus sollte es für einen Benutzer einfach sein, eine Einwilligung zu erteilen, und noch einfacher, diese zu widerrufen.
Kurz gesagt, die zwölf Artikel und fünf Abschnitte lassen sich in 7 Punkte unterteilen.
-
Recht auf Auskunft
Das Recht der betroffenen Personen, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, wo und zu welchem Zweck.
-
Recht auf Vergessenwerden
Auch bekannt als Datenlöschung, berechtigt das Recht auf Vergessenwerden die betroffene Person, den Verantwortlichen aufzufordern, ihre personenbezogenen Daten zu löschen, die weitere Verbreitung der Daten einzustellen und möglicherweise Dritte zu veranlassen, die Verarbeitung der Daten einzustellen.
-
Recht auf Datenübertragbarkeit
Das Recht einer betroffenen Person, die sie betreffenden personenbezogenen Daten, die sie zuvor bereitgestellt hat, in einem „allgemein gebräuchlichen und maschinenlesbaren Format“ zu erhalten und das Recht zu haben, diese Daten an einen anderen Verantwortlichen zu übermitteln.
-
Datenschutz durch Technikgestaltung
Im Kern fordert der Datenschutz durch Technikgestaltung die Einbeziehung des Datenschutzes von Anfang an bei der Entwicklung von Systemen und nicht als Ergänzung. Genauer gesagt: „Der Verantwortliche muss … geeignete technische und organisatorische Maßnahmen … auf wirksame Weise umsetzen …, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.“
-
Datenschutzbehörde/Datenschutzbeauftragter
Derzeit sind die Verantwortlichen verpflichtet, ihre Datenverarbeitungsaktivitäten den lokalen Datenschutzbehörden zu melden. Gemäß der DSGVO ist es nicht erforderlich, Benachrichtigungen/Registrierungen für jede lokale Datenschutzbehörde über Datenverarbeitungsaktivitäten einzureichen, noch ist es erforderlich, Benachrichtigungen einzureichen/Genehmigungen für Übertragungen auf der Grundlage der Standardvertragsklauseln (MCCs) einzuholen.
-
Benachrichtigung bei Datenschutzverletzungen
Die Benachrichtigung bei Datenschutzverletzungen ist in allen Mitgliedstaaten obligatorisch und muss innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung erfolgen. Kunden, Verantwortliche müssen „unverzüglich“ nach Kenntnisnahme einer Datenschutzverletzung informiert werden.
-
Recht auf Berichtigung
Dieses Recht gibt der betroffenen Person die Möglichkeit, Änderungen an ihren personenbezogenen Daten zu verlangen, falls die betroffene Person der Ansicht ist, dass diese personenbezogenen Daten nicht auf dem neuesten Stand oder unrichtig sind.
Richtlinien, die betroffen sein werden
Datenschutzrichtlinie
Wenn man über die DSGVO liest, beginnen die meisten Artikel mit „… die DSGVO ersetzt die EU-Datenschutzrichtlinie 95/46/EG von 1995“. Die Datenschutzrichtlinie war auch eine Richtlinie der Europäischen Union zum Schutz von Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr dieser Daten. Sie wurde 1995 verabschiedet und regelte die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union.
Die sieben Prinzipien der Benachrichtigung, des Zwecks, der Einwilligung, der Sicherheit, der Offenlegung, des Zugangs und der Rechenschaftspflicht wurden alle in die vorherige Richtlinie aufgenommen.
EU-Cookie-Gesetz
Bisher erhielten die Benutzer gemäß dem EU-Cookie-Gesetz eine Popup-Nachricht, die sie über die Verwendung von Cookies informierte. Das Sammeln von Cookies würde gemäß der neuen Verordnung unter das Sammeln von Daten fallen.
Cookies waren bisher mehr oder weniger vage, ohne ordnungsgemäße Einwilligung und Informationen darüber, wo die Cookies verwendet wurden.
Nachrichten wie „Durch die Nutzung dieser Website akzeptieren Sie Cookies“ reichen nicht aus. Wenn die Popup-Nachricht nicht klar ist, die Einwilligung des Benutzers nicht angefordert wird, impliziert dies nicht die Idee der klaren „Einwilligung“ des Benutzers. Darüber hinaus erlaubt der Status quo den Benutzern auch nicht, sie zu „vergessen“.
Die neue Verordnung gibt den betroffenen Personen die Möglichkeit, darauf zuzugreifen, mit wem sie ihre Daten teilen.
Einige beantwortete FAQs
Hält sich das Vereinigte Königreich nach dem Brexit noch an die neue Verordnung? Das Vereinigte Königreich soll die EU am 30. März 2019 verlassen. Die Verordnung wurde jedoch (April 2016) verabschiedet, bevor das Referendum im Vereinigten Königreich verabschiedet wurde (23. Juni 2016). Was ist der Unterschied zwischen einem Auftragsverarbeiter und einem Verantwortlichen? Ein Verantwortlicher ist eine Einrichtung, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten festlegt, während der Auftragsverarbeiter eine Einrichtung ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Wird die DSGVO eine zentrale Anlaufstelle für die Datenschutzregulierung einrichten? Es ist noch unklar, da die Standpunkte sehr unterschiedlich sind. |
Schlussfolgerung
Die Verordnung wurde formuliert, um die Benutzer zu stärken und ihnen die tatsächliche Möglichkeit zu geben, ihre Informationen und deren Verwendung zu kontrollieren. Was gibt es noch? Benutzer können Dinge, die ihnen nicht gefallen, jederzeit ablehnen oder abwählen. Aber die Auswirkungen, die sie tatsächlich auf die 510 Millionen Einwohner Europas (ohne die anderen Interessengruppen) haben wird, ist im Moment nur eine plausible Idee.
Was sollten Sie tun, wenn Ihre Website auf Drupal basiert?
Lesen Sie unseren nächsten Blog Drupal und DSGVO: Alles, was Sie wissen müssen , um zu verstehen, wie Drupal die neue Verordnung einhält und ob Drupal für die DSGVO-Konformität bereit ist.
Abonnieren
Verwandte Blogs
Erkunden von Drupal Single Directory Components: Ein Wendepunkt für Entwickler

Webentwicklung lebt von Effizienz und Organisation, und Drupal, unser Lieblings-CMS, ist mit seiner neuesten Funktion hier,…
7 schnelle Schritte zur Erstellung von API-Dokumentationen mit Postman

Wenn Sie mit APIs arbeiten, kennen Sie wahrscheinlich bereits Postman, den beliebten REST Client, dem unzählige Entwickler…
Was ist der Product Engineering Life Cycle?

Stellen Sie sich vor, Sie bauen ein Haus ohne Bauplan oder Konstruktionszeichnungen. Es wäre schwierig, die Kosten und den…