Das CESIN-Barometer 2022 besagt, dass 54 % der Unternehmen im Jahr 2021 einen Cyberangriff erlitten haben, von denen 30 % zum Diebstahl persönlicher Daten führten. Cyberangriffe werden immer raffinierter und häufiger, daher ist der Schutz personenbezogener Daten wichtiger denn je, insbesondere in der Lieferkette. In diesem Artikel erklären wir die Datenschutzgesetze in Deutschland anhand von 10 Fragen.
1. Was ist die DSGVO? ?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz personenbezogener Daten sowie die Rechte der Bürgerinnen und Bürger an ihren Daten regelt. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt und umgesetzt. Die DSGVO regelt unter anderem, wie Unternehmen und öffentliche Stellen personenbezogene Daten verarbeiten und den Transfer solcher Daten außerhalb der EU.
2. Wer ist betroffen?
Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe oder Branche. Dies umfasst sowohl öffentliche Stellen als auch private Unternehmen, die Daten von EU-Bürgerinnen und Bürgern verarbeiten, egal ob sie sich in der EU befinden oder nicht.
3. Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies umfasst Informationen wie Name, Adresse, E-Mail und Telefonnummer sowie sensiblere Daten wie Gesundheitszustand, Religion oder politische Ansichten.
4. Was sind die Grundsätze der Datenverarbeitung?
Die Datenverarbeitung muss rechtmäßig, fair und transparent sein. Daten dürfen nur für spezifische, klare und rechtmäßige Zwecke erhoben werden und nur in dem Umfang, der für die Verarbeitung notwendig ist. Die Daten müssen korrekt sein und so gespeichert werden, dass die Identifizierung der Personen nur so lange möglich ist, wie es für die Verarbeitungszwecke notwendig ist.
5. Welche Rechte haben die betroffenen Personen?
Die DSGVO gewährt den betroffenen Personen eine Reihe von Rechten bezüglich ihrer Daten. Dies umfasst das Recht auf Auskunft über die Datenverarbeitung, das Recht auf Berichtigung falscher Daten, das Recht auf Löschung der Daten („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Recht auf Widerspruch gegen die Datenverarbeitung.
6. Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine Datenschutz-Folgenabschätzung bewertet die wahrscheinlichen Auswirkungen der geplanten Datenverarbeitung auf die Privatsphäre der betroffenen Personen. Sie ist notwendig, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, insbesondere beim Einsatz neuer Technologien oder bei der Verarbeitung sensibler Daten.
7. Was sind die Sanktionen bei Verstößen gegen die DSGVO?
Bei Verstößen gegen die DSGVO können Geldbußen verhängt werden, deren Höhe je nach Art, Schwere und Dauer des Verstoßes variieren kann. Sie kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist. Betroffene Personen können zudem Schadensersatz und Unterlassungsansprüche geltend machen.
8. Was sind die besonderen Anforderungen an die Datenverarbeitung von Kindern?
Die DSGVO enthält Vorschriften zum Schutz personenbezogener Daten von Kindern. Die Verarbeitung der Daten von Kindern ist nur rechtlich zulässig, wenn das Kind mindestens 16 Jahre alt ist. In Deutschland können die Bundesländer jedoch ein niedrigeres Mindestalter festlegen, bis zu 13 Jahre. In jedem Fall muss die Verarbeitung personenbezogener Daten von Kindern transparent sein und auf ihrer Fähigkeit basieren, Einwilligungen zu erteilen.
9. Was sind die Pflichten von Unternehmen im Falle einer Datenpanne?
Unternehmen müssen eine Datenpanne innerhalb von 72 Stunden der Datenschutzbehörde melden, es sei denn, die Panne führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von Personen. Zudem müssen Unternehmen auch die betroffenen Personen über die Datenpanne informieren, wenn diese ein hohes Risiko für deren Rechte und Freiheiten darstellt.
10. Wie können Unternehmen die Einhaltung der DSGVO sicherstellen?
Um die DSGVO einzuhalten, sollten Unternehmen zunächst eine Datenschutzrichtlinie sowie damit verbundene interne Verfahren erstellen. Dazu gehört die Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten, die Sicherung der IT-Systeme sowie die Implementierung von Datenschutzmaßnahmen wie Pseudonymisierung und Verschlüsselung. Zudem sollten Unternehmen regelmäßige Datenschutz-Audits durchführen, um sicherzustellen, dass ihre Datenschutzrichtlinien und -praktiken den aktuellen Gesetzen entsprechen.
Diese Übersicht gibt Ihnen einen grundlegenden Einblick in die Datenschutzbestimmungen gemäß der DSGVO und des BDSG in Deutschland. Da der Datenschutz ein komplexes und sich ständig entwickelndes Rechtsfeld ist, ist es wichtig, dass Unternehmen nicht nur die Gesetze einhalten, sondern auch proaktiv Maßnahmen ergreifen, um die Privatsphäre und Sicherheit der von ihnen verarbeiteten Daten zu gewährleisten.