Datenschutzgrundverordnung für Dummies. Christian Szidzek
"u702bbb20-a288-56d2-9799-734c49161403">
DSGVO für Dummies
Schummelseite
Die DSGVO ist seit Mai 2018 das neue Datenschutzgesetz in allen Mitgliedsstaaten der EU, und alle Verantwortlichen, wozu auch Behörden und Unternehmen gehören, müssen sich an sie halten.
Auch alle anderen, die keinen Sitz in der EU haben, aber dort Waren oder Dienstleistungen anbieten, müssen sich an die DSGVO halten.
Die DSGVO schützt das Recht jedes Einzelnen, Herr über seine Daten zu sein.
Alle Unternehmen und Behörden sind verpflichtet, das Recht jedes Einzelnen auf informationelle Selbstbestimmung zu schützen (Datenschutz) und sich an die DSGVO zu halten.
Die DSGVO schützt personenbezogenen Daten. Das sind alle Angaben, über die sich ein Bezug zu natürlichen Personen, also Menschen herstellen lässt, ein sogenannter Personenbezug.
Egal, was Sie oder andere mit personenbezogenen Daten machen, es ist fast immer eine Verarbeitung im Sinn der DSGVO.
Wenn Sie personenbezogene Daten verarbeiten wollen, benötigen Sie eine gesetzliche Erlaubnis, also eine sogenannte Rechtsgrundlage.
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten finden Sie in der DSGVO und zusätzlich in ergänzenden nationalen Rechtsvorschriften der Mitgliedstaaten der EU, wenn es die DSGVO den Mitgliedstaaten erlaubt zusätzliche eigene Vorschriften zu erlassen.
Auch wenn Sie sich auf eine Rechtsgrundlage für eine Verarbeitung personenbezogener Daten stützen können, müssen Sie dabei immer die übrigen Grundprinzipien der DSGVO beachten.
Die Grundprinzipien der DSGVO sind die Grundsätze von Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Aktualität, der Speicherbegrenzung, der Integrität, der Vertraulichkeit und der Rechenschaftspflicht.
Wenn Sie personenbezogene Daten verarbeiten, dann gehören die Daten trotzdem nicht Ihnen, sondern denen, deren Daten Sie verarbeiten. Das sind die sogenannten Betroffenen.
Daten, die Sie für einen bestimmten Zweck erhoben haben, dürfen Sie nur für diesen Zweck verarbeiten, abgesehen von seltenen Ausnahmen.
Wenn Sie personenbezogene Daten verarbeiten, müssen Sie Maßnahmen ergreifen, um sie zu schützen. Das sind die sogenannten technisch-organisatorischen Maßnahmen (TOM). Diese müssen Sie festlegen und dokumentieren.
Sie lagern gerne Tätigkeiten aus? Kein Problem, wenn Sie dabei die Anforderungen der DSGVO beachten und je nachdem, wie es sich verhält, einen Auftragsverarbeitungsvertrag abschließen oder einen Vertrag über eine gemeinsame Verantwortung.
Seien Sie vorsichtig, wenn Sie personenbezogene Daten in Länder übermitteln wollen, die keine Mitgliedstaaten der EU sind. Wenn Sie hier keine geeigneten Garantien nachweisen können, dass dort ein ebenbürtiges Datenschutzniveau wie in Europa gewährleistet ist, können Sie Probleme bekommen.
Betroffene, deren Daten Sie verarbeiten, haben sehr weitgehende Rechte. Sie sind als Verantwortlicher verpflichtet, diesen Rechten nachzukommen. Das sicherzustellen ist nicht immer einfach, weil Fristen eingehalten werden müssen und es auch klare Vorgaben gibt, was man von Ihnen verlangen kann.
Datenschutz funktioniert nur mit System. Ohne ein funktionierendes Datenschutzmanagement ist es nicht möglich dauerhaft datenschutzkonform zu arbeiten.
Wer personenbezogene Daten verarbeitet, darf diese nicht ewig behalten, sondern muss sie früher oder später löschen. Das ist dann der Fall, wenn der Zweck der Verarbeitung erreicht und keine Rechtsgrundlage für die weitere Speicherung vorhanden ist.
Die Erstellung eines Löschkonzepts ist immer eine große Herausforderung. Beginnen Sie damit so schnell es geht.
Die DSGVO verpflichtet Sie, Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Datenschutzaufsicht zu melden und je nachdem auch an Ihre Betroffenen. Wenn Sie das versäumen, kann es teuer werden.
Nur wer schreibt, bleibt. Im Datenschutz muss jeder Mist dokumentiert werden und dazu müssen auch noch bestimmte Pflichtdokumente erstellt und gepflegt werden. Machen Sie das nicht, dann haben Sie entweder ein Beweisproblem oder die Aufsicht belangt Sie. Schreiben ist also die Devise.
Es gibt Aufsichtsbehörden im Datenschutz und sie haben Befugnisse. Es sind grausame Befugnisse. Eine davon ist, Ihnen sehr empfindliche Geldbußen aufzuerlegen, wenn Sie gegen die Vorschriften im Datenschutz verstoßen.
Datenschutzgrundverordnung für Dummies
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de
abrufbar.
1. Auflage 2021
© 2021 Wiley-VCH GmbH, Weinheim
Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.
Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.
Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.
Coverfoto: © phive2015/ThinkstockPhotos Korrektur: Claudia Lötschert
Print ISBN: 978-3-527-71473-5 ePub ISBN: 978-3-527-83134-0
Für meine Frau Lidia und die Brut: Marian, Jakob, Adrian & Natascha (...ich will nichts hören, Natsch!)
Über den Autor
Christian Szidzek studierte Rechtswissenschaften in Würzburg. Dort promovierte er als wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht und Europäische Rechtsgeschichte. Seit 1999 ist er zugelassener Anwalt und seit 2009 schwerpunktmäßig tätig auf dem Gebiet des Datenschutzes. Er betreibt die Kanzlei THALES-Rechtsanwälte in Würzburg (www.thales-datenschutz.de
), die ausschließlich auf Datenschutz spezialisiert ist. Er ist neben seiner Tätigkeit als Prozessanwalt aktiv als Projektmanager bei der Umsetzung von Datenschutz-Management-Systemen und als externer Datenschutzbeauftragter im Konzernumfeld und bei mittelständischen Unternehmen. Er ist außerdem Dozent für die Ausbildung von Datenschutzbeauftragten und entwickelt Schulungskonzepte zu vielfältigen Themen rund um den Datenschutz.
Inhaltsverzeichnis
1 Cover
3