Deutsch English Français Italiano Português Español

GDPR: Leitfaden zur Einhaltung

Beachte, dass dieser Artikel nur zu Informationszwecken dient. Er ist nicht als Rechtsberatung gedacht und sollte auch nicht als solche ausgelegt werden. Du solltest nicht auf der Grundlage des Inhalts dieses Artikels handeln oder davon absehen, ohne rechtlichen oder anderen professionellen Rat einzuholen.

Lies auch:

Was ist GDPR?

Die GDPR (General Data Protection Regulation) ist eine allgemeine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft tritt und alle Unternehmen betrifft, die in der EU tätig sind oder mit EU-Kunden zu tun haben.

Die DSGVO erweitert die Definition personenbezogener, privater Daten und bezieht nicht nur finanzielle, behördliche und medizinische Daten ein, sondern auch genetische, kulturelle und soziale Informationen.

Unternehmen müssen nun die ausdrückliche Zustimmung einer Person einholen, bevor sie deren personenbezogene Daten verwenden, und sie müssen auch ihr „Recht auf Vergessenwerden“ respektieren, d. h. alle personenbezogenen Daten, die das Unternehmen besitzt, müssen auf Wunsch des Nutzers gelöscht werden.

Definitionen und Rollen

Die DSGVO beschreibt die folgenden Definitionen und Rollen:

  • Betroffene Person: Ein Bürger der EU, der durch seine personenbezogenen Daten identifizierbar ist.
  • Verantwortlicher: Ein Unternehmen, das innerhalb der EU tätig ist – oder außerhalb der EU, aber mit in der EU ansässigen Personen zu tun hat – und im Rahmen seiner Geschäftstätigkeit sensible Daten über in der EU ansässige Personen erhebt.
  • Verarbeiter: Ein kommerzielles Unternehmen, das sensible Daten von EU-Personen erfasst und als Auftragnehmer eines für die Verarbeitung Verantwortlichen fungiert. Beispiele sind Unternehmen, die Cloud-Dienste, Speicherplatz oder Anwendungshosting anbieten.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dieser Begriff wird von der EU weiter gefasst als von anderen Regierungen und umfasst den Namen, die E-Mail-Adresse, Beiträge in sozialen Medien, körperliche, physiologische oder genetische Daten, medizinische Daten, den Standort, Bankdaten, die IP-Adresse, Cookies, die kulturelle Identität usw. des EU-Bürgers.
  • Verletzung des Schutzes personenbezogener Daten: Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. Unternehmen müssen jede Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde melden.
  • Recht auf Vergessenwerden: Das Recht jedes EU-Bürgers oder jeder EU-Bürgerin, dass seine oder ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden. Die Daten müssen auch aus Sicherungskopien gelöscht werden.

Die wichtigsten Anforderungen der GDPR

Die DSGVO schreibt vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie sie für den ursprünglichen Zweck erforderlich sind, und dass sie gemäß den neuen Regeln geschützt werden müssen.

Nach Artikel 32 sind sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Integrität und Sicherheit der Daten, die Ausfallsicherheit der Systeme und die Fähigkeit zur schnellen Wiederherstellung der Daten zu gewährleisten, einschließlich Verschlüsselung oder Pseudonymisierung. Backup-Verfahren und -Technologien sind eindeutig eine indirekte Anforderung der Verordnung.

Die Datenschutz-Grundverordnung legt den Schwerpunkt auf das Konzept der Rechenschaftspflicht, nach dem Unternehmen die Einhaltung der Grundsätze zum Schutz personenbezogener Daten „nachweisen“ müssen. Das bedeutet, dass sie mehr nachweisbare Prozesse einführen und einen proaktiven Ansatz verfolgen müssen.

GDPR-Konformität und Backups

Es ist an der Zeit, darüber zu sprechen, wie die Einhaltung der DSGVO sichergestellt werden kann und welche Rolle die Datensicherung in diesem Rahmen spielt. Wir schlagen ein 5-Schritte-Modell zur Einhaltung der DSGVO vor:

  • Kenne deine Daten und kartiere ihre Position
    Im ersten Schritt geht es um die Analyse und Identifizierung aller Prozesse, die personenbezogene Daten sammeln und verarbeiten, mit dem Ziel, zu kartieren, wo sie gespeichert sind, sowohl in unternehmenseigenen als auch in fremden Speichern. Diese Karte wird in die Dokumentation aufgenommen.
  • Regle den Zugang zu den Daten
    Sobald die Kartierung abgeschlossen ist, ist es wichtig zu prüfen, wer aus welchem Grund Zugang zu den Daten hat. Die Prüfung ermöglicht es dir, kritische Stellen zu identifizieren, und auch in diesem Fall werden die gesammelten Informationen für die Dokumentation wertvoll sein. Vergiss nicht, die IT-Administratoren und externen Partner zu berücksichtigen.
  • Schützen Sie die Daten
    Der Schutz der Daten muss durch den Einsatz aller verfügbaren Systeme wie Anti-Malware-Software, Firewalls, Sicherheitsrichtlinien, Schulungen und natürlich durch die Durchführung von Backups gewährleistet werden. Mit Uranium Backup kannst du alle persönlichen Daten deines Unternehmens schützen, denn es kann Backups von Dateien und Ordnern, Datenbanken, virtuellen Maschinen, Systemabbildern und Exchange-Postfächern durchführen. Überprüfe diese Seite um die besten Praktiken für eine GDPR-konforme Backup-Strategie zu entdecken.
  • Dokumentation
    Die GPDR verlangt von den für die Verarbeitung Verantwortlichen und den Eigentümern, dass sie die Anwendung angemessener Maßnahmen zum Schutz personenbezogener Daten nachweisen. Wir müssen auch daran denken, Datenschutzverstöße innerhalb von 72 Stunden nach ihrer Entdeckung zu melden und das Recht auf Vergessenwerden geltend zu machen, was auch Backups einschließt.
  • Auf dem Laufenden bleiben, immer
    Unternehmen sind lebende Organismen, die sich ständig weiterentwickeln, und das gilt auch für das Umfeld, in dem sie konkurrieren. Um einen sinnvollen Schutz personenbezogener Daten zu gewährleisten, ist ein proaktiver Ansatz erforderlich, ein passiver reicht einfach nicht aus. Nur wer über neue Technologien und Bedrohungen Bescheid weiß, kann reagieren und sich anpassen.