Die wichtigsten DSGVO-Anforderungen im Klartext

In einer Zeit, in der Datenschutzverletzungen und Datenschutzbedenken immer häufiger vorkommen, ist das Verständnis und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sowohl eine rechtliche Notwendigkeit als auch ein wichtiger Bestandteil von Vertrauen und Integrität.

Die DSGVO, ein umfassendes Datenschutzgesetz, gilt für alle Organisationen, die personenbezogene Daten von Personen innerhalb der Europäischen Union (EU) verarbeiten. Dieser Artikel erklärt, wer DSGVO-konform sein muss, bietet eine Zusammenfassung der wichtigsten DSGVO-Artikel, die Datenschutzanforderungen definieren, und listet weitere Schlüsselelemente der DSGVO-Konformität auf. Erfahren Sie mehr über die Auswirkungen von KI auf die Cybersicherheit in unserem Blog „KI-Cybersicherheit: Schutz von KI-Systemen vor Cyberbedrohungen“.

Wer muss DSGVO-konform sein?

Jede Organisation, die personenbezogene Daten von Personen innerhalb der EU verarbeitet, muss die DSGVO einhalten, unabhängig davon, ob sie ihren Sitz in der EU hat oder nicht. Dies gilt sowohl für „Verantwortliche“, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen, als auch für „Auftragsverarbeiter“, die die Daten im Auftrag des Verantwortlichen verarbeiten.

Auch wenn ein Unternehmen seinen Sitz nicht in der EU hat, muss es die DSGVO einhalten, wenn es Waren oder Dienstleistungen an EU-Datensubjekte anbietet oder deren Verhalten überwacht. Dies erweitert die Reichweite der DSGVO weltweit und unterstreicht, wie wichtig es ist, diese Anforderungen zu verstehen und einzuhalten.

Zusammenfassung der DSGVO-Artikel zur Definition der Datenschutzanforderungen

Die DSGVO definiert in Kapitel 3 des Gesetzes eine Reihe von Datenschutzanforderungen. Hier finden Sie eine kurze Zusammenfassung der wichtigsten Anforderungen der einzelnen Hauptartikel.

Artikel 12: Transparenz und Kommunikation

Dieser Artikel verpflichtet Organisationen, Informationen über die Verarbeitung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzustellen:

• Es erfordert eine klare Kommunikation mit den betroffenen Personen über die Verarbeitung ihrer Daten, einschließlich der Bereitstellung von Informationen über ihre Rechte gemäß der DSGVO.
• Organisationen müssen die Ausübung der Rechte der betroffenen Person (z. B. Zugriff, Berichtigung, Löschung) erleichtern.
• Die Auskunft muss schriftlich oder auf anderem Wege erteilt werden, auf Wunsch auch elektronisch.

Artikel 13 und 14: Bei der Erhebung Personenbezogene Daten

Diese Artikel verpflichten Organisationen, den betroffenen Personen bestimmte Informationen bereitzustellen, wenn personenbezogene Daten von ihnen (Artikel 13) oder aus anderen Quellen (Artikel 14) erhoben werden:

• Dabei müssen Informationen wie die Identität und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Rechtsgrundlage der Verarbeitung und die Empfänger der Daten angegeben werden.
• Organisationen müssen die betroffenen Personen über ihre Rechte, die Aufbewahrungsfrist der Daten und das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, informieren.
• Werden die Daten für eine automatisierte Entscheidungsfindung, einschließlich Profiling, verwendet, muss dies ebenfalls offengelegt werden.

Artikel 15: Auskunftsrecht

Dieser Artikel gibt den betroffenen Personen das Recht, auf ihre personenbezogenen Daten zuzugreifen und eine Kopie davon zu erhalten:

• Es ermöglicht den betroffenen Personen, die Rechtmäßigkeit der Verarbeitung zu überprüfen.
• Die Organisation muss zusätzliche Informationen bereitstellen, beispielsweise zu den Zwecken der Verarbeitung, den Kategorien der betroffenen personenbezogenen Daten und den Empfängern oder Kategorien von Empfängern.

Artikel 16: Genauigkeit

Dieser Artikel verpflichtet Organisationen, sicherzustellen, dass die von ihnen verarbeiteten personenbezogenen Daten korrekt und, falls erforderlich, auf dem neuesten Stand sind. Er verpflichtet Organisationen, alle angemessenen Schritte zu unternehmen, um unrichtige personenbezogene Daten unverzüglich zu löschen oder zu berichtigen.

Artikel 17: Recht auf Löschung

Das Recht auf Vergessenwerden ermöglicht es betroffenen Personen, die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen. Unternehmen müssen dem Recht nachkommen, wenn die Daten nicht mehr benötigt werden, die Einwilligung widerrufen wird, die betroffene Person Einspruch gegen die Verarbeitung erhebt oder die Verarbeitung rechtswidrig war.

Artikel 18: Recht auf Einschränkung der Verarbeitung

Betroffene Personen können unter bestimmten Umständen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen, beispielsweise wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung rechtswidrig ist. Während der Einschränkung dürfen Organisationen die Daten speichern, aber nicht weiterverarbeiten.

Artikel 20: Datenübertragbarkeit

Dieser Artikel gibt den betroffenen Personen das Recht, ihre personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten. Er ermöglicht es ihnen auch, die direkte Übermittlung dieser Daten an einen anderen Datenverantwortlichen zu verlangen.

Artikel 21: Widerspruchsrecht

Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten jederzeit zu widersprechen, insbesondere im Zusammenhang mit Direktmarketing, einschließlich Profiling. Unternehmen müssen die Verarbeitung einstellen, sofern sie nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können.

Zusätzliche DSGVO-Konformitätsanforderungen

Hier sind weitere Anforderungen, die durch die DSGVO definiert sind:

Rechtsgrundlagen der Verarbeitung

Gemäß der DSGVO benötigen Organisationen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Die Verordnung definiert sechs Rechtsgrundlagen: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Jede Rechtsgrundlage hat ihre eigenen Anforderungen und Bedingungen, die erfüllt werden müssen. Beruft sich eine Organisation beispielsweise auf die Einwilligung als Rechtsgrundlage für die Verarbeitung, muss sie sicherstellen, dass diese freiwillig, spezifisch, informiert und eindeutig erfolgt.

Bedingungen für die Einwilligung

Die Einwilligung ist eine der am häufigsten verwendeten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß DSGVO. Die Einholung einer gültigen Einwilligung gemäß DSGVO ist jedoch nicht so einfach, wie es scheinen mag. Die Verordnung legt strenge Bedingungen für die Einwilligung fest: Sie muss freiwillig, spezifisch, informiert und eindeutig erfolgen. Darüber hinaus müssen Organisationen nachweisen können, dass sie eine gültige Einwilligung eingeholt haben, und Einzelpersonen müssen ihre Einwilligung jederzeit widerrufen können.

Pflichten des Verantwortlichen und des Auftragsverarbeiters

Die DSGVO unterscheidet zwischen Datenverantwortlichen und Datenverarbeitern und weist beiden unterschiedliche Pflichten zu. Vereinfacht ausgedrückt ist ein Datenverantwortlicher eine Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, während ein Datenverarbeiter eine Organisation ist, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Verantwortliche haben gemäß der DSGVO eine Reihe von Pflichten. Sie müssen unter anderem sicherstellen, dass ihre Datenverarbeitungsaktivitäten den Vorschriften entsprechen, ein Verzeichnis ihrer Verarbeitungsaktivitäten führen und geeignete Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen. Auftragsverarbeiter hingegen dürfen personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten und müssen ebenfalls geeignete Sicherheitsmaßnahmen ergreifen.

Datenschutzbeauftragter (DSB)

Die DSGVO empfiehlt oder verlangt in manchen Fällen sogar die Ernennung eines Datenschutzbeauftragten (DSB). Die Rolle des DSB ist entscheidend und umfasst die Beratung zu den DSGVO-Verpflichtungen, die Überwachung der Einhaltung und die Funktion als Anlaufstelle für betroffene Personen und Aufsichtsbehörden. Nicht alle Organisationen sind verpflichtet, einen DSB zu ernennen, aber für Unternehmen, die große Datenmengen oder sensible Daten verarbeiten, ist die Ernennung dringend zu empfehlen.

Der Datenschutzbeauftragte trägt die Verantwortung dafür, dass die Organisation alle Anforderungen der DSGVO einhält. Er informiert und berät außerdem über Datenschutzgesetze und -praktiken. Darüber hinaus ist er für die Verwaltung interner Datenschutzaktivitäten, die Beratung bei Datenschutz-Folgenabschätzungen und die Zusammenarbeit mit den zuständigen Behörden zuständig.

Grenzüberschreitende Datenübertragung

Die DSGVO legt strenge Regeln für die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) fest. Diese Regeln stellen sicher, dass der durch die DSGVO gebotene Schutz bei internationalen Datenübermittlungen nicht untergraben wird.

Gemäß der DSGVO sind grenzüberschreitende Datenübermittlungen nur unter bestimmten Voraussetzungen zulässig. Eine solche Voraussetzung ist das Vorliegen eines Angemessenheitsbeschlusses. Dies bedeutet, dass die Europäische Kommission dem Nicht-EWR-Land oder der internationalen Organisation ein angemessenes Datenschutzniveau zuerkannt hat.

Aufsichtsbehörden

Jeder EU-Mitgliedsstaat ist verpflichtet, eine unabhängige Aufsichtsbehörde (SA) einzurichten, die Beschwerden entgegennimmt und untersucht, Ordnungswidrigkeiten ahndet und Prüfungen durchführt.

Aufsichtsbehörden spielen bei der Durchsetzung der DSGVO eine Schlüsselrolle. Sie sind befugt, bei Verstößen hohe Geldbußen zu verhängen und Datenverarbeitungsvorgänge zu verbieten, wenn ein Verstoß gegen die DSGVO festgestellt wird.

Darüber hinaus schreibt die DSGVO vor, dass Unternehmen mit den Aufsichtsbehörden zusammenarbeiten müssen. Dazu gehört die Konsultation der Aufsichtsbehörde vor der Durchführung risikoreicher Datenverarbeitungen und die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden.

Zusammenarbeit und Konsistenz

Organisationen müssen eine einheitliche Anwendung der DSGVO in allen EU-Mitgliedsstaaten sicherstellen. Dies wird durch den Konsistenzmechanismus erreicht, der eine einheitliche Anwendung der DSGVO gewährleisten soll.

Die Anforderung der Zusammenarbeit und Konsistenz erfordert auch, dass Organisationen beim Schutz personenbezogener Daten untereinander und mit den Aufsichtsbehörden zusammenarbeiten. Dies ist von entscheidender Bedeutung, um einen harmonisierten Ansatz zum Datenschutz in der gesamten EU zu gewährleisten.

Darüber hinaus führt die DSGVO für Fälle grenzüberschreitender Datenverarbeitung das Konzept einer federführenden Aufsichtsbehörde (federführende Aufsichtsbehörde) ein. Dabei handelt es sich um die Behörde des Staates, in dem der Verantwortliche seinen Hauptsitz hat. Die federführende Aufsichtsbehörde ist für die Durchführung von Untersuchungen und die Sicherstellung einer einheitlichen Anwendung der DSGVO verantwortlich.

Rechtsmittel, Haftung und Strafen

Die DSGVO gewährt den betroffenen Personen das Recht auf Rechtsbehelfe gegenüber Verantwortlichen und Auftragsverarbeitern. Dazu gehört das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen und gerichtliche Rechtsbehelfe einzulegen.

In Bezug auf die Haftung können sowohl der Verantwortliche als auch der Auftragsverarbeiter für Schäden haftbar gemacht werden, die durch eine nicht konforme Verarbeitung entstehen. Dies gilt für jegliche Verstöße, nicht nur für Datenschutzverletzungen.

Die DSGVO sieht zudem empfindliche Strafen für Verstöße vor. Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Diese Strafen sollen sicherstellen, dass Unternehmen den Datenschutz ernst nehmen und die DSGVO-Anforderungen einhalten.

Einhaltung der DSGVO-Sicherheitskontrollen mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl technologische als auch betriebliche Anforderungen zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu erkennen, die auf den Versuch eines Hackers hindeuten könnten, Daten zu finden und darauf zuzugreifen.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Übersicht und rechtzeitige Benachrichtigung: Exabeam fungiert nicht nur als zentrale Informationsstelle im Sicherheitsökosystem des Kunden, sondern bietet auch forensische Informationen über das volle Ausmaß des Vorfalls, einschließlich genauer Compliance-Berichte.