In den letzten Jahren ist Ihnen sicher nicht entgangen, dass ein neuer juristischer Begriff im Bereich der IT aufgetaucht ist: die DSGVO. Aber worum handelt es sich dabei? Wie und auf wen wird sie angewendet? In diesem Artikel bieten wir Ihnen eine Zusammenfassung der wichtigsten Aspekte dieses Referenzdokuments zum Schutz personenbezogener Daten in Europa.
Einführung in die DSGVO
Die Definition der DSGVO
Die Datenschutzgrundverordnung, bekannt als DSGVO, ist eine Verordnung der Europäischen Union, die darauf abzielt, den Schutz personenbezogener Daten in den EU-Mitgliedstaaten zu stärken und zu vereinheitlichen. Dieses Rechtsinstrument trat 2018 in Kraft und ist seither für jede Organisation verpflichtend – seien es private Unternehmen oder öffentliche Verwaltungen, die in der Europäischen Union ansässig sind oder die personenbezogene Daten von Einwohnern der EU verarbeiten.
Die wichtigsten Ziele der DSGVO
Wir können zwei unterschiedliche Ziele der DSGVO festlegen: die Stärkung und die Vereinheitlichung des Schutzes personenbezogener Daten.
- Zunächst die Stärkung, denn zusätzlich zur Erinnerung daran, dass der Schutz personenbezogener Daten ein Grundrecht in der Europäischen Union ist, legt die DSGVO einen strengen rechtlichen Rahmen fest, um diesen Schutz zu gewährleisten. Dies sichert den Einwohnern der EU Rechte in Bezug auf ihre personenbezogenen Daten und stellt eine Reihe von Verpflichtungen für die Organisationen dar, die diese Daten verarbeiten.
- Auch die Vereinheitlichung, da das Ziel der Europäischen Union bei der Verabschiedung der DSGVO die Harmonisierung des rechtlichen Rahmens für den Datenschutz zwischen den 27 EU-Mitgliedstaaten war, ohne dass diese die Verordnung in ihr nationales Recht umsetzen müssen. In diesem Sinne wird die DSGVO einheitlich im gesamten Gebiet der Europäischen Union angewendet.
Die Grundprinzipien der DSGVO
Nachdem die Beweggründe hinter der DSGVO erläutert wurden, kommen wir nun zum Kern der Sache: Worum handelt es sich bei diesem Gesetz? Die Vorschriften zum Datenschutz sind zahlreich, aber hier bieten wir Ihnen eine Zusammenfassung der wichtigsten Aspekte, die die DSGVO ausmachen.
Legalität, Fairness und Transparenz
Jede Verarbeitung personenbezogener Daten muss rechtmässig und fair sein. Was bedeutet dies? Dies bedeutet, dass die Verarbeitung nur möglich ist, wenn sie eine der folgenden Bedingungen erfüllt:
- Die Person hat der Verarbeitung ihrer personenbezogenen Daten für eine Reihe klar festgelegter Zwecken zugestimmt. Die personenbezogenen Daten werden verarbeitet, einfach weil die betroffene Person ihre Zustimmung gegeben hat. Diese Zustimmung gilt jedoch nur für die Ziele, die der Person klar mitgeteilt wurden.
- Die Datenverarbeitung ist erforderlich für die Erbringung einer Dienstleistung, die die Person in Anspruch genommen hat. Wenn wir von einer Organisation erwarten, dass sie uns eine Dienstleistung erbringt, kann dies die Verarbeitung unserer personenbezogenen Daten erfordern. Natürlich muss diese Verarbeitung in Zusammenhang mit der erbrachten Dienstleistung stehen.
- Die Datenverarbeitung ist erforderlich, um eine rechtliche Verpflichtung zu erfüllen, der der Datenverarbeiter unterliegt. Dies kann bedeuten, dass die Organisation einer Anfrage nach personenbezogenen Daten durch zuständige Behörden nachkommt. Diese rechtlichen Verpflichtungen variieren von Land zu Land.
Es gibt weitere allfällige Bedingungen, die eine Verarbeitung rechtmässig machen, insbesondere wenn die Verarbeitung für die Wahrung lebenswichtiger Interessen erforderlich ist. Dies sind jedoch sehr spezifische Fälle, und die Mehrheit der Fälle, die eine Verarbeitung rechtmässig machen, fällt unter eine der drei oben genannten Bedingungen.
Unabhängig vom Grund der Verarbeitung muss die betroffene Person jederzeit die Möglichkeit haben, sich über die Art der verarbeiteten Daten und den Zweck der Verarbeitung informieren zu lassen. Dieses Recht muss ihr ermöglichen, innerhalb einer angemessenen Frist Zugang zu Informationen über ihre personenbezogenen Daten zu erhalten, die klar und einfach zu verstehen sind und in schriftlicher Form übermittelt werden. Dies ist der Grundsatz der Fairness und der Transparenz.
Zweckbindung
Wenn personenbezogene Daten mit dem Ziel gesammelt werden, verarbeitet zu werden, muss nicht nur die Person, die diese Daten besitzt, Zugang zu den Zwecken dieser Verarbeitung haben, sondern diese müssen auch klar abgegrenzt sein. Es ist nicht möglich, Daten zu sammeln, um der Person anschliessend mitzuteilen, dass diese Daten für „eine Reihe von Zielen, die für das ordnungsgemässe Funktionieren der Dienstleistung erforderlich sind“ verwendet werden. Nein, die Liste der Zwecke muss von Anfang an klar festgelegt sein, und wenn sich diese Zwecke ändern, muss die Person darüber informiert werden und diesen Änderungen zustimmen.
Datenminimierung
Das Prinzip ist einfach: Eine Organisation, die im Besitz personenbezogener Daten ist und für die Verarbeitung verantwortlich ist, oder einer ihrer Auftragsnehmer darf nur diejenigen Daten besitzen, die sie für den Zweck oder die Zwecke, für die sie verantwortlich sind, benötigt.
Zum Beispiel, wenn eine Website für Kochrezepte die Daten ihrer Nutzer sammeln möchte, um ihnen Rezepte vorzuschlagen, die ihren Vorlieben entsprechen, dürfen sie die kulinarischen Vorlieben der Nutzer erfassen. Sie dürfen jedoch nicht etwa Informationen zur Haarfarbe sammeln, da diese Information nicht dem Zweck der Datenverarbeitung dient.
Datengenauigkeit
Die Erklärung dieses Prinzips liegt in seinem Titel: Die verarbeiteten Daten müssen korrekt und auf dem neuesten Stand gehalten werden. Die Organisation, die die Verarbeitung durchführt, muss deren Genauigkeit gewährleisten können. Diese Gewährleistung kann durch die Möglichkeit der betroffenen Person, die Daten jederzeit zu berichtigen, umgesetzt werden. Diese Möglichkeit der Berichtigung ist übrigens ein Recht der betroffenen Person, das in der DSGVO definiert ist.
Um sicherzustellen, dass die Daten korrekt sind, kann die Organisation, die diese Daten besitzt, deren Zuverlässigkeit anhand der eingesetzten Mittel zur Erfassung bewerten: Handelt es sich um die Antwort eines Nutzers auf ein Formular oder um eine automatische Verarbeitung seiner Surfgewohnheiten? Die Gewährleistung der Genauigkeit der Daten wird je nach Fall unterschiedlich sein.
Begrenzung der Speicherdauer
Eine Drittorganisation hat das Recht, personenbezogene Daten zu speichern. Diese Speicherung darf jedoch nicht ewig dauern. Tatsächlich muss eine begrenzte Aufbewahrungsdauer für die Daten festgelegt werden. Diese Dauer sollte so kurz wie möglich sein, um es der Organisation zu ermöglichen, den Zweck zu erreichen, für den die Daten verarbeitet werden. Wenn eine Verlängerung der Aufbewahrungsdauer erforderlich ist, muss eine Einverständniserklärung der betroffenen Person eingeholt werden.
Integrität und Vertraulichkeit
Wir kommen nun zum letzten Prinzip, das die Grundlage für alle gesicherten Daten darstellt: Diese müssen integer und vertraulich sein. Es liegt in der Verantwortung der Organisation, die personenbezogene Daten besitzt, zu gewährleisten, dass diese weder ohne Zustimmung der betroffenen Personen weitergegeben noch von Dritten verändert werden können. Die Einhaltung dieses Prinzips erfordert Lösungen zur Cybersicherheit und stellt für Unternehmen sowohl im Hinblick auf die Einhaltung des rechtlichen Rahmens als auch für ihre Glaubwürdigkeit in der Öffentlichkeit eine grosse Herausforderung dar.
Wir haben nun die wichtigsten Grundsätze der DSGVO behandelt. Die Einhaltung dieser Grundsätze ist eine gesetzliche Verpflichtung, die Organisationen, die personenbezogene Daten besitzen, obliegt. Die Nichteinhaltung setzt die Organisation Sanktionen aus, wie wir weiter unten sehen werden. Für den Moment möchten wir Ihnen verschiedene Massnahmen vorstellen, die von Organisationen umgesetzt werden können, um die Sicherheit der personenbezogenen Daten, die sie besitzen, zu gewährleisten.
Massnahmen zur Datensicherheit
Die Sicherheit der von einer Organisation gespeicherten Daten liegt in deren Verantwortung. Angesichts der Risiken von Datenlecks und unrechtmässiger Datenveränderung ist es wichtig, geeignete Massnahmen zu ergreifen, um sie vor Bedrohungen zu schützen.
Risikobewertung
Welche Art von personenbezogenen Daten hält meine Organisation? Welche Risiken bestehen für die betroffenen Personen im Falle eines Datenlecks? Und im Falle einer Datenveränderung? Dies sind Fragen, auf die die Verantwortlichen für personenbezogene Daten Antworten finden müssen, um geeignete Sicherheitsmassnahmen zu ergreifen.
Wenn die Tätigkeit der Organisation erhebliche Auswirkungen auf den Datenschutz haben könnte, muss eine präzise Risikoanalyse durchgeführt werden; dies wird als Datenschutz-Folgenabschätzung (DSFA) bezeichnet, auf die wir später noch zurückkommen werden. Sollte diese Analyse ergeben, dass ein hohes Risiko für den Datenschutz besteht, falls die Schutzmassnahmen versagen, muss die Organisation sich verpflichten, eine Reihe von Massnahmen zu ergreifen, um das Risiko zu minimieren.
Umsetzung der technischen und organisatorischen Massnahmen
Zwecks Umsetzung der Datensicherheitsmassnahmen, muss eine Reihe von Massnahmen seitens der für die Verarbeitung verantwortlichen Organisationen ergriffen werden.
Unter den technischen Massnahmen gibt es eine Vielzahl von Technologien und Praktiken, die entwickelt wurden, um Daten gegen Bedrohungen und Schwachstellen zu schützen. Diese sind eng mit der allgemeinen digitalen Sicherheit verbunden, wie beispielsweise die Nutzung von Antivirenprogrammen oder Firewalls auf Geräten, die Zugriff auf die Daten haben, sowie die Anonymisierung und Verschlüsselung von Daten, die im Folgenden detailliert beschrieben werden.
Auf der anderen Seite betreffen die organisatorischen Massnahmen die internen Richtlinien und Verfahren, die eingerichtet wurden, um eine angemessene Verwaltung personenbezogener Daten sicherzustellen. Dazu gehören die regelmässige Schulung des Personals zu bewährten Datenschutzpraktiken, die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und die Umsetzung robuster Datenschutzrichtlinien. Organisationen müssen auch einen Datenschutzbeauftragten (DPO) ernennen, der für die Überwachung der Einhaltung der DSGVO verantwortlich ist. Diese Massnahmen können für bestimmte Organisationen eine gesetzliche Verpflichtung darstellen.
Anonymisierung und Verschlüsselung von Daten
Um das Risiko für personenbezogene Daten zu verringern, empfiehlt die DSGVO den für die Verarbeitung Verantwortlichen, Lösungen zur Anonymisierung von Daten zu verwenden. Die Anonymisierung (oder Pseudonymisierung, wie sie in den Texten der DSGVO genannt wird) ist eine Technik, die personenbezogene Daten von der Identität einer Person trennt. Diese Lösung ist möglich, wenn die Verarbeitung eine allgemeine Datenanalyse darstellt und nicht namentlich auf die Daten einer bestimmten Person erfolgt.
Natürlich gewährleistet diese Lösung lediglich die Anonymität der Personen und nicht die Vertraulichkeit der Daten. Die DSGVO stellt klar, dass diese Massnahme nicht die Implementierung anderer Datenschutzmassnahmen wie die Verschlüsselung ausschliesst, die die Vertraulichkeit der Daten im Falle eines Lecks gewährleisten kann, da diese Lösung die Lesbarkeit der Daten durch einen Dritten verhindert, wenn dieser nicht über den Schlüssel verfügt. Aber auch hier muss darauf geachtet werden, dass der Schlüssel selbst nicht ebenfalls verloren geht.
Zugangs- und Identitätsmanagement
Die Zugriffskontrolle hat das Ziel sicherzustellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können, wodurch die Risiken von Vertraulichkeitsverletzungen minimiert werden. Dies erfordert die Implementierung strenger Kontrollen zur Festlegung, wer auf welche Daten unter welchen Bedingungen zugreifen darf. Zu diesen Kontrollen gehören die Zwei-Faktor-Authentifizierung (2FA), die die Sicherheit durch die Anforderung eines zweiten Identitätsnachweises zusätzlich zum Passwort verstärkt. Auch die Single-Sign-On (SSO)-Authentifizierung wird häufig verwendet, um den Zugang zu vereinfachen und gleichzeitig ein hohes Sicherheitsniveau aufrechtzuerhalten.
Das Identitätsmanagement besteht darin, die Benutzeridentifikatoren über den gesamten Lebenszyklus innerhalb der Organisation zu verwalten. Dies beginnt mit der Erstellung von Identitäten bei der Integration neuer Mitarbeiter, umfasst die Verwaltung von Rollen und Berechtigungen je nach Positionsänderungen und endet mit der Deaktivierung von Konten bei deren Ausscheiden. Ein sorgfältiges Identitätsmanagement stellt sicher, dass jeder Benutzer nur die Zugriffsrechte erhält, die zur Erfüllung seiner Aufgaben erforderlich sind, gemäss dem Prinzip der minimalen Rechte, das besagt, dass jeder Benutzer nur die für die Ausführung seiner Aufgaben unbedingt notwendigen Berechtigungen haben sollte.
Aufsicht und Prüfung
Überwachung bedeutet die aktive Überwachung der Datenverarbeitungsprozesse, zwecks Erkennung von Anomalien, die auf eine Datenverletzung hindeuten könnten. Dies schliesst den Einsatz von Systemen zur Überwachung von Netzwerken und Anwendungen mit ein. Diese Tools ermöglichen die rasche Erkennung unautorisierter Zugriffsversuche und die Reaktion in Echtzeit zur Verhinderung von Sicherheitszwischenfällen.
Parallel dazu sind regelmässige Audits der Systeme und der Datenmanagementprozesse erforderlich, um die Einhaltung der DSGVO zu bewerten. Diese Audits können intern von der Organisation selbst durchgeführt werden oder extern durch unabhängige Dritte. Ziel ist es, zu überprüfen, ob die getroffenen technischen und organisatorischen Massnahmen angemessen sind und den gesetzlichen Anforderungen entsprechen.
Audits können mehrere Aspekte abdecken, wie die Wirksamkeit der Datenschutzrichtlinien, das Management von Zugriffs- und Identitätsrechten, die Sicherheit der IT-Infrastrukturen sowie die Sensibilisierung und die Schulung der Mitarbeiter.
Rechte der betroffenen Personen
Personen, deren persönliche Daten verarbeitet werden, verfügen über eine Reihe von Rechten, die durch die DSGVO garantiert sind.
Das Recht auf Information
Die betroffene Person hat das Recht, Einblick in die Art und Weise zu nehmen, wie ihre persönlichen Daten gesammelt werden, welche Verarbeitung ihnen zugrunde liegt und zu welchem Zweck dies geschieht. Wenn sie ausdrücklich bei der Organisation, die ihre persönlichen Daten speichert, eine Anfrage auf Zugang zu diesen Informationen stellt, muss diese Anfrage innerhalb einer angemessenen Frist und schriftlich erfüllt werden. Darüber hinaus muss die betroffene Person über alle Rechte informiert werden, die sie gegenüber der Organisation, die ihre Daten verarbeitet, hat.
Das Recht auf Zugang
In ähnlicher Weise wie das Recht auf Information ermöglicht das Zugangsrecht der Person, deren persönliche Daten von einer dritten Organisation gehalten werden, bei dieser Organisation eine Anfrage nach Zugang zu allen Daten, die sie betreffen, zu stellen. Ebenso wie beim Recht auf Information muss diese Anfrage einfach gestellt werden können und die Erfüllung muss innerhalb einer angemessenen Frist erfolgen.
Das Recht auf Berichtigung
Wenn die von der Organisation tatsächlich gehaltenen personenbezogenen Daten ungenau oder unvollständig sind, kann die betroffene Person von der Organisation die Berichtigung der Daten innerhalb einer angemessenen Frist verlangen. Dieses Recht ist an ein grundlegendes Prinzip der DSGVO gebunden, das verlangt, dass die verarbeiteten Daten korrekt sind. Die Berichtigung durch die betroffene Person selbst ist ein guter Weg, dieses Prinzip zu gewährleisten.
Das Recht auf Löschung
Die endgültige Löschung der personenbezogenen Daten durch die Organisation, die sie gespeichert hat, muss bei Vorliegen eines der folgenden zwingenden Gründe erfolgen:
- Die Daten sind im Hinblick auf den angegebenen Verwendungszweck nicht mehr erforderlich. In diesem Fall und gemäss dem Prinzip der Datenminimierung darf die Organisation nur die Daten aufbewahren, die für die Verarbeitung notwendig sind. Die übrigen Daten müssen gelöscht werden.
- Die betroffene Person widerruft die Einwilligung zur Verarbeitung ihrer Daten, die es der Organisation ursprünglich ermöglichte, die Daten zu erheben. Wenn die Daten aufgrund der Einwilligung der betroffenen Person erhoben wurden, müssen die Daten gelöscht werden, sobald die Einwilligung widerrufen wird.
- Die betroffene Person widerspricht der von der Organisation vorgesehenen Verarbeitung ihrer Daten. Das Transparenzprinzip verpflichtet die Organisation, den vorgesehenen Umgang mit den Daten und den Zweck der Verarbeitung offen zu legen. Wenn die betroffene Person mit der geplanten Verarbeitung nicht einverstanden ist, kann sie sich gegen die Durchführung der Verarbeitung wenden und die Löschung ihrer Daten verlangen.
- Die personenbezogenen Daten der betroffenen Person wurden unrechtmässig verarbeitet. Wurden die Daten nicht aus einem legitimen Grund erhoben, wie etwa durch die Zustimmung der betroffenen Person oder die Erfüllung einer vereinbarten Dienstleistung? Oder wird die Verarbeitung der Daten nicht zu den rechtlich zulässigen Verarbeitungsarten gezählt? In diesen Fällen müssen die Daten gelöscht werden, damit die die Daten haltende Organisation wieder rechtskonform wird.
- Die personenbezogenen Daten müssen gelöscht werden, um einer gesetzlichen Verpflichtung nachzukommen, die für die Organisation gilt. Diese gesetzlichen Verpflichtungen können je nach geltender Gesetzgebung variieren, aber wenn die die Daten haltende Organisation verpflichtet ist, diese Daten zu löschen, um gesetzeskonform zu sein, muss sie selbstverständlich dieser Verpflichtung nachkommen.
Sie werden feststellen, dass das Recht auf Löschung personenbezogener Daten zwar real ist, aber nicht absolut ist und bestimmte Kriterien erfüllen muss. In der Praxis haben die meisten privaten Organisationen, die personenbezogene Daten verarbeiten, dieses Recht aufgrund der Zustimmung der Nutzer oder weil sie eine vom Nutzer abonnierte Dienstleistung erbringen. Letzterer kann daher problemlos die Löschung der Daten verlangen, wenn er dies wünscht.
Das Recht auf Einschränkung der Verarbeitung
Wenn eine Person der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten nicht rechtmässig ist, kann sie verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird, bis die Bedingungen für eine rechtmässige Verarbeitung wieder erfüllt sind.
Ein Beispiel wäre eine Person, die die Genauigkeit der sie betreffenden Daten in Frage stellt und eine Einschränkung der Verarbeitung dieser Daten verlangt, bis der für die Verarbeitung Verantwortliche die Genauigkeit der Daten überprüfen konnte.
Dieses Recht der betroffenen Person kann als Alternative zur vollständigen Löschung ihrer personenbezogenen Daten betrachtet werden, um beispielsweise zu verhindern, dass ein bei der Organisation abonnierter Service beendet wird.
Das Recht auf Datenübertragbarkeit
In bestimmten Fällen kann die betroffene Person von einer Organisation, die ihre personenbezogenen Daten speichert, verlangen, dass diese Daten automatisch an eine andere Organisation in einem strukturierten Format übermittelt werden, damit sie von dieser anderen Organisation verarbeitet werden können. Dieses Recht kann jedoch nicht angewendet werden, wenn die Organisation, die die Daten speichert, diese im Rahmen eines von der betroffenen Person abonnierten Dienstes aufbewahrt.
Die Pflichten der Unternehmen
Die Rechte, die Personen hinsichtlich ihrer personenbezogenen Daten haben, sind wichtig. Doch das ist nicht alles! Organisationen, die personenbezogene Daten speichern, unterliegen eigenen Verpflichtungen.
Die Ernennung eines Datenschutzbeauftragten (DPO)
Die Ernennung eines Datenschutzbeauftragten (DPO) innerhalb der Organisation, die personenbezogene Daten verarbeitet, ist verpflichtend, wenn die verarbeiteten Daten oder deren Zweck sensible Daten betreffen, wie etwa medizinische Daten, oder wenn die Organisation eine öffentliche Einrichtung ist. Die Aufgaben des DPO umfassen:
- Information der Organisation über ihre Verpflichtungen im Bereich des Datenschutzes ;
- Sicherstellung, dass die Verpflichtungen, denen die Organisation unterliegt, eingehalten werden;
- Beratung der Organisation über die beste Governance im Hinblick auf den Datenschutz;
- Vermittler zwischen der Organisation und den Regulierungsbehörden (CNIL im französischen Fall) sein.
Im Rahmen seiner Aufgaben muss der DPO in alle Entscheidungen bezüglich der Verarbeitung personenbezogener Daten eingebunden sein. Der DPO fungiert daher als Schutzschild gegen mögliche Missbräuche innerhalb einer Organisation, die sensible Daten verarbeitet. Die CNIL stellt auf ihrer Website eine Reihe von Ressourcen zur Verfügung, um dem DPO bei der Erfüllung seiner Aufgaben zu helfen.
Die Führung eines Registers über die Verarbeitungstätigkeiten
Die Verarbeitung personenbezogener Daten muss in einem strukturierten Verzeichnis dokumentiert werden, das die Art der durchgeführten Verarbeitung, die Kategorien von Personen, deren Daten verarbeitet wurden, sowie den Zweck der Verarbeitung auflistet. Dieses Verzeichnis muss den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden.
Das Ziel der Führung eines solchen Verzeichnisses ist es, die Konformität der durchgeführten Datenverarbeitungen im Nachhinein überprüfen zu können. Die Aufsichtsbehörden können so Verstösse leicht feststellen und gegebenenfalls die vorgesehenen Sanktionen anwenden.
Meldung von Datenverletzungen
Wenn trotz aller ergriffenen Massnahmen zum Schutz der Daten eine Datenpanne auftritt oder aufgetreten ist, ist die betroffene Organisation verpflichtet, die Aufsichtsbehörden umgehend zu benachrichtigen. Diese Benachrichtigung muss unter anderem die Art der betroffenen Daten, die Auswirkungen der Verletzung und die ergriffenen Massnahmen zur Minderung der negativen Folgen der Verletzung beschreiben. Nach der Benachrichtigung können die Aufsichtsbehörden der Organisation Ratschläge zur besten Vorgehensweise geben.
Die Datenschutz-Folgenabschätzung (DSFA)
Der für die Datenverarbeitung Verantwortliche innerhalb der Organisation muss eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dieses Audit dient dazu, die Art und den Zweck der sensiblen Verarbeitung zu spezifizieren, die Notwendigkeit dieser Verarbeitung im Hinblick auf den Zweck zu prüfen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und Massnahmen und Garantien zur Bewältigung der identifizierten Risiken festzulegen. Wenn ein Datenschutzbeauftragter (DPO) innerhalb der Organisation benannt wurde, kann die DSFA in Zusammenarbeit mit ihm durchgeführt werden.
Strafen bei Nichteinhaltung
Wie Sie gesehen haben, sind die Anforderungen der DSGVO zahlreich, und wie bei jeder gesetzlichen Regelung sind im Falle der Nichtkonformität Strafen vorgesehen. Diese Strafen sollen „wirksam, verhältnismässig und abschreckend“ sein.
Die Grundstrafe
Die Grundstrafe ist eine Verwaltungsbusse, deren Höhe bis zu zehn Millionen Euro betragen kann oder, falls die fehlbare Organisation ein Unternehmen ist, bis zu 2 % seines weltweiten Jahresumsatzes.
Diese Strafe gilt, wenn die Verstösse die Nichteinhaltung der Anforderungen an die Datensicherung betreffen, keine Anonymisierung der Daten vorgenommen wurde, obwohl dies möglich wäre, oder wenn kein Datenschutzbeauftragter benannt wurde, obwohl dies erforderlich ist.
Die Höchststrafe
Für schwerwiegendere Verstösse kann die Höhe der Geldstrafe verdoppelt werden im Vergleich zur Grundstrafe: bis zu zwanzig Millionen Euro oder 4 % des weltweiten Jahresumsatzes für Unternehmen.
Zu den Verstössen, die zu einer solchen höheren Geldstrafe führen können, gehören: Nichteinhaltung des Grundsatzes der rechtmässigen und einvernehmlichen Verarbeitung, Verwendung offensichtlich ungenauer Daten, Speicherung von Daten länger als notwendig, Missachtung der Rechte der betroffenen Personen in Bezug auf ihre persönlichen Daten.
Andere Strafen
Zusätzlich zu den genannten Sanktionen können andere Strafen festgelegt werden, wenn Verstösse nicht in den oben genannten Kategorien enthalten sind. Diese Sanktionen werden von den verschiedenen Mitgliedstaaten der Europäischen Union bestimmt und gelten auf deren jeweiligem Staatsgebiet.
Beispiele für angewandte Strafen
Für diese Beispiele konzentrieren wir uns auf den französischen Fall und die zuständige Aufsichtsbehörde, die CNIL (Commission Nationale de l’Informatique et des Libertés), die befugt ist zu entscheiden, ob ein Verstoss begangen wurde oder nicht.
Im Mai 2023 wurde ein Unternehmen, das Patienten mit praktischen Ärzten zusammenbringt, von der CNIL wegen mehrerer Verstösse für schuldig erklärt. Zu diesen Verstössen gehörten unter anderem das Fehlen der Einholung der Einwilligung für die Verarbeitung der Daten von Nutzern, die ein Formular (mit Gesundheitsinformationen) ausfüllten. Ebenso wurden die Daten länger als erforderlich aufbewahrt, und es gab Mängel im System zur Verschlüsselung der Daten. Für diese Verstösse wurde dem Unternehmen von der CNIL eine Geldbusse in Höhe von 280.000 Euro auferlegt.
Ein weiteres Beispiel ist der Fall eines Unternehmens für gezielte Internetwerbung. Dieses Unternehmen hat die Rechte mehrerer Personen, deren Daten es verwaltete, nicht ordnungsgemäss respektiert. Dazu gehörte das Recht auf Zugang zu den gespeicherten Daten: Wenn eine Person versuchte, die Daten zu erhalten, die das Unternehmen über sie hatte, waren diese Daten nur teilweise vorhanden. Darüber hinaus wurde in einigen Fällen die Einwilligung zur Verarbeitung der Daten von den Partnern des Unternehmens nicht eingeholt. Schliesslich war der Zweck der Verarbeitung vage und unklar formuliert, was ebenfalls eine Verletzung der DSGVO darstellt. Für diese und weitere Verstösse wurde dem Unternehmen eine Geldbusse von 40 Millionen Euro auferlegt. Dies ist eine der höchsten Geldstrafen, die von der CNIL verhängt wurden.