Die DSGVO ist eine europäische Verordnung, die Unternehmen verpflichtet, die personenbezogenen Daten und die Privatsphäre von EU-Bürgern bei Transaktionen innerhalb der EU-Mitgliedstaaten zu schützen. Die Nichteinhaltung der Verordnung kann Unternehmen und Dienstleister teuer zu stehen kommen. Nachfolgend finden Sie alles, was Sie über die DSGVO wissen müssen, wenn Sie in Europa geschäftlich tätig sind.

Unternehmen und Dienstleister, die Daten über Bürgerinnen und Bürger aus Ländern der Europäischen Union (EU) erfassen, müssen bis zum 25. Mai strenge neue Regeln zum Schutz von Kundendaten einhalten. Die Datenschutz-Grundverordnung (DSGVO) wird einen neuen Standard für die Rechte der Verbraucher in Bezug auf ihre Daten setzen. Für Unternehmen bedeutet die Einhaltung der Vorschriften jedoch eine große Herausforderung, da sie neue Systeme und Prozesse einrichten müssen.

Die Einhaltung der Vorschriften wird zu einigen Bedenken und neuen Erwartungen an die Sicherheitsteams führen. Zum Beispiel definiert die DSGVO sehr umfassend, was persönlich identifizierende Informationen sind. Und so werden Unternehmen für Informationen wie die IP-Adresse einer Person oder Cookie-Daten dasselbe Schutzniveau bieten müssen wie für Name, Adresse und Sozialversicherungsnummer.

Die DSGVO ersetzt nicht die Vertraulichkeits- oder Geheimhaltungsvereinbarung zwischen Dienstleistern und dem Unternehmen, für das sie arbeiten. Bei der DSGVO geht es um den Schutz personenbezogener Daten, während eine Geheimhaltungsvereinbarung ein Abkommen zur Vermeidung der Offenlegung jeglicher Art von Informationen ist, die direkten und indirekten Kunden gehören. Eine Vereinbarung mit einem bestimmten Unternehmen hat immer einen Zusatz, in dem es um die Gewährleistung der Vertraulichkeit geht, und in den meisten Fällen einen weiteren Zusatz, der sich mit den DSGVO-Anforderungen befasst (oder eine Aufforderung zur Erklärung der DSGVO-Compliance enthält).

Welche Arten von personenbezogenen Daten schützt die DSGVO?

  • Grundlegende Identitätsinformationen wie Name, Adresse und Ausweisnummern
  • Internetdaten wie Standort, IP-Adresse, Cookie-Daten und RFID-Tags
  • Gesundheits- und genetische Daten
  • Biometrische Daten
  • Daten zur rassischen oder ethnischen Herkunft
  • Politische Meinungen
  • Sexuelle Orientierung

Welche Unternehmen müssen sich an die DSGVO halten?

Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern innerhalb der EU-Staaten speichert oder verarbeitet, muss die DSGVO einhalten, auch wenn es keine Geschäftspräsenz in der EU hat.

Selbst professionelle Übersetzer, Dolmetscher, Lektoren, Korrekturleser usw., die in einer Beziehung zu Unternehmen in der EU stehen, müssen die Vorschriften einhalten und sich über die zu erfüllenden Mindestanforderungen im Klaren sein. Der Grund hierfür: Selbst wenn das Kerngeschäft dieser Dienstleister nicht auf der Verarbeitung personenbezogener Daten basiert, kann es sein, dass sie bei der Ausführung der in der Vereinbarung zwischen ihnen und dem Unternehmen festgelegten Aufgaben Dokumente und Informationen verarbeiten, die diese Art von personenbezogenen Daten enthalten.

Ihre DSGVO-Checkliste

1/ Frage: Habe ich alle notwendigen Unterlagen, um meinen Kundinnen und Kunden kurz und prägnant zu zeigen, wie ich personenbezogene Daten erfasse, speichere und verarbeite?

1/ Antwort: Jede Erhebung von personenbezogenen Daten muss mit einem Informationshinweis versehen werden, der alle in Artikel 13 geforderten Informationen enthält. Laut DSGVO ist es hierbei erforderlich, dass eine einfache und klare Sprache verwendet wird.

2/ Frage: Habe ich meine Berufstätigkeit so organisiert, dass ich nur solche personenbezogenen Daten erfasse und/oder verarbeite, die für meine Arbeit und für die Durchsetzung der Vereinbarung, die ich mit dem Unternehmen habe, unbedingt notwendig sind?

2/ Antwort: Die anzuwendenden allgemeinen Grundsätze sind in Artikel 5 und 11 dargelegt. Achtung: Der Grundsatz der Datenminimierung bedeutet, dass nur solche Daten erhoben oder verarbeitet werden dürfen, die für die Durchsetzung des Abkommens relevant sind. Jegliche darüber hinausgehende Erhebung oder Verarbeitung von Daten wird als missbräuchliche Behandlung angesehen.

3/ Frage: Habe ich die Aufbewahrung von Dokumenten, die sich auf die verschiedensten Services beziehen, so organisiert, dass sie immer zugänglich sind, aber nur für befugtes Personal?

3/ Antwort: Hier treffen die Bedürfnisse hinsichtlich der Verfügbarkeit von Datenbanken einerseits und der Vertraulichkeit andererseits aufeinander.  Zur konkreten Umsetzung dieser Vorschrift ist eine ordentliche Verwaltung von Daten und Informationen – sowohl auf Papier als auch digital – äußerst wichtig. Denn so können die Inhalte vor neugierigen Blicken oder vor unbefugtem Zugriff geschützt werden, während die zuständige Person die Arbeit effizient erledigen kann.

4/ Frage: Falls zutreffend (ich bin eine Agentur oder ein zugehöriges Büro): Habe ich meine Mitarbeiter ernannt und entsprechend geschult und habe ich auch die Beziehungen zu den Dienstleistern formalisiert, an die ich mich für die Verwaltung und die Weiterentwicklung der Büroaktivitäten wende?

4/ Antwort: Das gesamte Datenschutz-Organigramm des Unternehmens muss in die Datenschutzrichtlinie einbezogen werden.  Es handelt sich um ein umfassendes Organigramm, das sowohl die zuständigen Personen (Mitarbeiter, Anwender, Angestellte) als auch die Verantwortlichen für die Verarbeitung umfasst, also externe Fachleute, die in verschiedenen Funktionen mit dem Unternehmen zusammenarbeiten (Anwälte anderer Gerichtsstände, Buchhalter, Arbeitsberater usw.) Beachten Sie, dass für die verantwortlichen Personen eine Ernennung erforderlich ist (Artikel 29).

5/ Frage: Sind meine PCs vor externen Bedrohungen geschützt? Habe ich im Bedarfsfall den Namen einer vertrauenswürdigen IT-Fachkraft, die ich um die Lösung bestimmter Probleme bitten kann?

5/ Antwort: Um sich vor Cyber-Bedrohungen zu schützen, ist die Implementierung geeigneter Software zur Verhinderung von Angriffen oder Bedrohungen unterschiedlicher Art und Herkunft von großer Bedeutung. In diesem Sinne ist es durchaus empfehlenswert, sich auf die Expertise und Erfahrung einer Fachperson zu verlassen.

6/ Frage: Wie kann ich, wenn tragbare PCs und andere abnehmbare IT-Tools bei Aktivitäten außerhalb meines Arbeitsplatzes verwendet werden, die Risiken eines versehentlichen Verlustes, einer betrügerischen Entwendung und Ähnlichem minimieren?

6/ Antwort: Ein gutes Beispiel hierfür ist die Verwendung eines USB-Sticks: Zusätzlich zu einem obligatorischen Passwortschutz des USB-Sticks ist es notwendig, nur die Daten auf den Stick zu laden bzw. darauf zu belassen, die während der externen Sitzung verarbeitet werden müssen.

7/ Frage: Führe ich mindestens einmal pro Woche ein vollständiges Backup aller Daten auf einem PC durch?

7/ Antwort: Dieses Vorgehen ist zum Schutz der Daten absolut grundlegend. Je nach Intensität der täglichen Änderungen kann es empfehlenswert sein, Backups häufiger durchzuführen als vorgeschrieben.

8/ Frage: Habe ich eine Aufbewahrungszeit für personenbezogene Daten festgelegt, die mit den Zwecken der Verarbeitung im Einklang steht?

8/ Antwort: Wie jede andere Person, die Daten besitzt, sind auch professionelle Sprachdienstleister verpflichtet, den Zeitraum der Datenspeicherung zu definieren, denn Daten dürfen nicht beliebig lange gespeichert werden. Darüber hinaus (und das ist neu in der Verordnung) muss die Aufbewahrungszeit im Informationshinweis besonders erwähnt werden. (Alternativ zur Angabe der genauen Aufbewahrungsfrist reicht es aus, die Kriterien anzugeben, nach denen sie bestimmt wird.)

9/ Frage: Wenn ich PCs, Notebooks und andere Geräte, die ich für meine berufliche Tätigkeit verwende, entsorgen muss, stelle ich dann sicher, dass bei der Entsorgung kein Restrisiko hinsichtlich der Offenlegung personenbezogener Daten besteht?

9/ Antwort: Der sogenannte „elektronische Müll“ ist, wenn er nicht ordentlich verwaltet wird, eine umfangreiche Informationsquelle, die in falsche Hände geraten kann – zum Nachteil der betroffenen Personen und mit Risiken für den Datenverantwortlichen (siehe Definition für Datenverantwortlicher in der Verordnung). Diesbezüglich ist auf die Bestimmungen der Verordnung zu verweisen.

10/ Frage: Habe ich die notwendigen Maßnahmen für die physische Sicherheit meines Arbeitsplatzes getroffen, also Maßnahmen oder Vorkehrungen, um unerwünschte Zugriffe und Handlungen, die die Vertraulichkeit, Verfügbarkeit oder Integrität von Datenbanken beeinträchtigen könnten, hinreichend zu verhindern?

10/ Antwort: Das Problem ist immer die Sicherheit bei der Verarbeitung. Hier wird jedoch auf die Sicherheit der Räumlichkeiten und physischen Orte abgestellt, in denen die Dienstleister ihre beruflichen Tätigkeiten ausführen. Die „angemessenen“ Schutzmaßnahmen können je nach Kontext variieren (z. B. ein Arbeitszimmer, das sich in einem Raum innerhalb einer Immobilieneinheit befindet, in dem auch andere Fachleute tätig sind, erfordert andere physische Sicherheitsmaßnahmen als ein Arbeitszimmer, das sich im Erdgeschoss einer Eigentumswohnung befindet, usw.)