Digital Compliance | DSGVO

GDPR im Überblick: Was ändert sich?

Die neue Europäische Datenschutz Grundverordnung (EU-DSGVO) tritt ab 25. Mai 2018 in Kraft. Sie bringt grundlegende Neuerungen im Umgang mit persönlichen Daten mit sich. Die EU-DSGVO (GDPR) bildet damit das weltweit strengste Datenschutzgesetz. Es finden sich zu diesem Thema zahlreiche Informationen, Interpretationen und Behauptungen im World Wide Web. Wir haben hier die wichtigsten Neuerungen und für Sie zusammengefasst.

1. Definition Persönliche Daten

GDPR definiert den Begriff der Persönlichen Daten neu. Nach GDPR werden, unter anderem, die folgenden Daten als persönlich eingestuft:

Direkte Persönliche Daten

  • Voller Name
  • AHV-Nummer
  • Biometrische Daten (z.B. Fingerabdrücke)
  • E-Mail Adresse
  • Adresse
  • Telefonnummer
  • Geburtstag
  • Logins und Online-Identifier

Indirekte Persönliche Daten

  • Ökonomische Daten (z.B. Kontonummern, Kreditkartennummer etc.)
  • IP-Adresse
  • Kulturelle und soziale Daten
  • Physische, genetische und mentale Daten, wenn sie auf ein Individuum zurückgeführt werden können.
  • Schlecht pseudoanonymisierte Daten
  • Geolokalisierte Daten

Dabei ist zu beachten, dass scheinbar nicht persönliche Daten durch Kombination mit anderen Datenquellen durchaus eine Person eindeutig identifizieren können. Zum Beispiel kann die Kombination aus Geschlecht und Postleitzahl dazu führen, eine Person eindeutig zu identifizieren. Daher sind solche Kombinationen auch als persönliche Daten zu interpretieren.

2. Definition der Rollen

GDPR definiert drei Akteure wenn es um persönliche Daten geht.

Data-Subject:

GDPR gibt die Kontrolle über die persönlichen Daten zurück in die Hände des so genannten «Data-Subjects». Dies ist im Fall von GDPR eine natürliche Person, ein Individuum, genauer ein Europäischer Bürger.

Data-Controller:

Als Data-Controller wird eine natürliche oder juristische Person bezeichnet, also zum Beispiel eine Agentur, Behörde oder jegliche andere Körperschaft, die alleine oder gemeinsam mit anderen über den Zweck der Sammlung und der Verarbeitung von persönlichen Daten entscheidet. Im Falle einer Webseite ist dies der Webseitenbetreiber.

Data-Processor:

Der Data-Processor ist eine natürliche oder juristische Person, die persönliche Daten im Auftrag des Data-Controllers verarbeitet. Zum Beispiel wäre dies: Ein Provider, eine Agentur, ein Marketing Tool, Geschäftspartner etc.

Neu ist unter GDPR, dass sowohl der Data-Processor, wie auch der Data-Controller in die Verantwortung genommen werden und rechtlich belangt werden können. Ebenfalls wichtig zu erwähnen ist, dass GDPR klar die Sammlung und Verarbeitung von persönlichen Informationen von EU-Bürgern regelt. Damit ist auch ein Data-Controller und Data-Processor ausserhalb der EU betroffen, wenn Sie Daten von EU-Bürgern verwenden.

3. Wichtigste Pflichten von Data-Controller und Data-Processor

  • Schutz persönlicher Daten als Grundsatz und Standard
  • Pflicht, klar und in verständlicher Sprache über die Sammlung, Speicherung und Verarbeitung von persönlichen Informationen zu informieren
  • Pflicht, persönliche Daten nur mit expliziter Zustimmung des Data-Subjects zu speichern und zu verarbeiten
  • Pflicht, persönliche Daten gegen Manipulation, Diebstahl und unerlaubten Zugriff zu schützen
  • Pflicht, einen Datenschutzverantwortlichen, respektive Data Protection Officer (bei Geschäftstätigkeit in der EU) zu bestimmen
  • Pflicht, Datenlecks den Behörden zu melden und die betroffenen Personen zu informieren
  • Plicht, dem Data-Subject, auf Anfrage, Auskunft über die gespeicherten Daten zu geben (innert maximal 30 Tagen)
  • Pflicht, sicherzustellen, dass Daten, auf Anfrage, komplett gelöscht respektive anonymisiert oder zerstört werden können
  • Pflicht, den Datenbestand aktuell zu halten (Dies führt sozusagen automatisch zu einem Ablaufdatum der Daten.)
  • Pflicht, bei sehr sensiblen Daten ein DPIA (Data Protection Impact Assessment) durchzuführen
  • Plicht, Prozesse zu definieren, die im Falle einer Datenschutzverletzung zu befolgen sind
  • Pflicht, über Datentransfers in andere Länder, speziell ausserhalb der EU, zu informieren
  • Pflicht, die Daten nur zu dem Zweck zu verwenden, zu dem das Data-Subject zugestimmt hat
  • Pflicht, die Quelle der persönlichen Daten zu kennen

4. Wichtigste Rechte der Data-Subjects

  • Recht auf transparente Information und Kommunikation über die Verwendung von persönlichen Daten
  • Recht zu erfahren, wenn persönliche Daten gesammelt und verarbeitet werden
  • Recht auf Einsicht der gespeicherten Daten
  • Recht, die Daten korrigieren zu lassen
  • Recht, die Daten löschen zu lassen (das Recht, vergessen zu werden)
  • Recht, die Verarbeitung/Verwendung der Daten zu verbieten
  • Recht, die Daten in einem portablen Format zu erhalten
  • Recht auf Widerspruch (zum Beispiel zu einem späteren Zeitpunkt)
  • Recht darauf, dass Daten ohne Zustimmung nicht automatisch verarbeitet werden, wenn dies rechtliche Konsequenzen hat (zum Beispiel beim Abschluss einer Versicherung oder eines Kreditkartenantrags)
  • Einschränkungen der Rechte: Wenn immer es «höhere Gesetze» gibt, schränken diese die Rechte des Data-Subjects ein. (Zum Beispiel, Aufbewahrungsfristen von Rechnungen und Verträgen, Nationale Sicherheit, Polizeiliche Ermittlungen etc.)

5. E-Privacy Direktive (Cookie-Gesetz)

Werden die oben genannten Pflichten und Rechte zu 100% streng nach GDPR ausgelegt, ist jegliche Sammlung und Verarbeitung von persönlichen Daten ohne Zustimmung untersagt. Dies würde unter anderem auch Cookies verbieten. In der aktuellen Europäischen e-Datenschutz-Richtlinie von 2002 (e-Privacy Direktive, Cookie-Gesetz) wird jedoch anerkannt, dass die Verwendung von Cookies zum Betrieb und zur Messung der Webseitenperformance sowie der Verbesserung des Online-Angebots äusserst wichtig ist. Daher ist es erlaubt, eine implizierte Zustimmung zur Verarbeitung dieser Daten einzuholen. Dem wird seit vielen Jahren durch die «Cookie-Banners» auf zahlreichen Webseiten Rechnung getragen. GDPR löst die existierende e-Privacy Direktive nicht ab, somit hat sie weiterhin Gültigkeit. Sie wird jedoch zurzeit gerade überarbeitet und es wird erwartet, dass eine neue Version im 2018 veröffentlicht wird. Inhaltlich dürfte die Verwendung der oben genannten Cookies weiterhin durch implizierte Zustimmung erlaubt sein. Dies gilt jedoch nicht für Marketing-Cookies, die zum Beispiel für Retargeting verwendet werden können.

Wie sie sehen, bringt GDPR viele Neuerungen, Pflichten und Rechte mit sich. Da empfindliche Bussen drohen, ist es sehr empfehlenswert, Ihre Website und Online-Kanäle in Hinblick auf GDPR-Konformität zu überprüfen. Wir können Ihnen gerne dabei helfen. Fordern Sie jetzt Ihr individuelles Angebot für einen GDPR-Audit an.

Falls Sie Fragen zu den neuen Datenschutzrichtlinen haben, senden Sie mir eine E-Mail.

Lesen Sie weitere Artikel zum Thema DSGVO

Erfahren Sie mehr über unsere Digital-Compliance-Angebote