Was ist die DSGVO?

Datenschutz betrifft Bürger auf der ganzen Welt und Verstöße gegen den Schutz von Kundendaten – wie beim Skandal um Facebook/Cambridge Analytica – haben das Bewusstsein der Nutzer für unzureichende Datenschutzstandards geschärft. Vertrauen und Datenschutz sind wichtige Aspekte des digitalen Lebens, die in der Forschung untersucht werden. So gaben zum Beispiel in einer 2020 von McKinsey durchgeführten Umfrage zum Thema Datenfreigabe und Verbraucherverhalten 87 % der Befragten an, sie würden keine Geschäfte mit einem Unternehmen tätigen, dessen Sicherheitspraktiken ihnen fragwürdig erscheinen. Außerdem würden der Umfrage zufolge 71 % der Befragten die Leistungen eines Unternehmens nicht länger in Anspruch nehmen, wenn dieses vertrauliche Daten ohne Genehmigung weitergibt.

Um dem Missbrauch von Verbraucherdaten entgegenzuwirken, hat die EU am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) erlassen. Die EU-DSGVO steht seitdem für strenge, verbraucherorientierte Datenschutzbestimmungen, die die Persönlichkeitsrechte der EU-Bürger schützen.

Das Recht auf Privatsphäre ist seit der 1950 verabschiedeten Europäischen Menschenrechtskonvention Teil des EU-Rechts. Die DSGVO war eine Aktualisierung der Datenschutzrichtlinie 95/46/EG bzw. DPA.(2)e aus dem Jahr 1995 und trat 2016 in Kraft. Die EU-Mitgliedstaaten hatten zwei Jahre Zeit, das Gesetz umzusetzen. Eines der mit dieser Aktualisierung verfolgten Ziele war die Vereinheitlichung der Datenschutzgesetze in den Mitgliedstaaten der Europäischen Union. Seit dem Inkrafttreten der DSGVO arbeiten die von der Verordnung betroffenen Unternehmen an ihrer DSGVO-Compliance. Die DSGVO soll den Schutz personenbezogener Daten sicherstellen. Gemäß Artikel 4 der DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (‚betroffene Person‘) beziehen“. Dazu gehören Daten wie persönliche Informationen, IP-Adressen, biometrische Daten usw. Die DSGVO legt auch Datenklassen fest, darunter „besondere Kategorien“ von Daten, die die Vertraulichkeitsstufe widerspiegeln, wobei die sensibelsten Daten ein höheres Maß an Schutz erfordern.

Gemäß der DSGVO ist eine betroffene Einheit jede Organisation, die die personenbezogenen Daten einer betroffenen EU-Person verwendet, wenn diese Einheit Waren oder Dienstleistungen anbietet oder das Online-Verhalten überwacht. Betroffene Einheiten werden als Datenverantwortliche oder Datenverarbeiter betrachtet: Ein Datenverantwortlicher ist die Hauptstelle, die für die Einwilligung und die Zugangsregelung verantwortlich ist; ein Datenverarbeiter verarbeitet Daten im Namen eines Verantwortlichen. Der Geltungsbereich der DSGVO erstreckt sich auch auf Unternehmen außerhalb Europas und der EU, die Waren an Kunden in der EU verkaufen und die personenbezogenen Daten dieser Kunden erfassen. Die DSGVO betrifft Unternehmen aller Größenordnungen, da sich das DSGVO-Gesetz auf die Datenverarbeitungsaktivitäten eines Unternehmens und nicht auf dessen Größe bezieht.

Datenschutz und der Schutz von Persönlichkeitsrechten sind für die DSGVO-Compliance von zentraler Bedeutung. Die Sicherheitslösungen von Akamai bieten Informationen und End-to-End-Schutz, um Daten vor Sicherheitsverletzungen und versehentlicher Offenlegung zu schützen. Akamai unterstützt Ihre Sicherheitsteams dabei, die Effektivität und den ROI Ihrer Sicherheitsinvestitionen zu maximieren, indem es über die herkömmliche Endpoint Detection hinausgeht und eine leistungsstarke Zero-Trust-Lösung für Sicherheit und Datenschutz bereitstellt.

Akamai bietet:

• Eine globale Sicherheitsplattform, die Zero-Trust-Sicherheit mit umfassender Abdeckung Ihrer IT-, IoT- und OT-Umgebung durchsetzt
• Umfassende Transparenz von Assets, Zugriffen und Netzwerkflüssen
• Detaillierte Durchsetzung von Sicherheitsrichtlinien

Datenschutz ist Verbrauchern wichtig. Die DSGVO und ähnliche Datenschutzgesetze wie der CCPA (California Consumer Privacy Act) in den USA sollen den Schutz personenbezogener Daten von Verbrauchern und Bürgern gewährleisten. Unternehmen, die DSGVO-Bestimmungen nicht einhalten, werden mit erheblichen Bußgeldern belegt. Am 13. April 2023 verhängte die irische Datenschutzbehörde DPA eine Geldstrafe in Höhe von 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited (Meta IE). Grund dafür waren Verstöße gegen die DSGVO bei der Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln (SCCs). 

Neben den Unternehmen, die direkt unter die DSGVO fallen, müssen zum Beispiel auch die folgenden Organisationen die Verordnung einhalten:

Ein US-Unternehmen mit Kunden in der EU

Der Anwendungsbereich der DSGVO ist extraterritorial. Selbst wenn Ihr Unternehmen außerhalb der EU ansässig ist, Sie aber möglicherweise Geschäfte mit EU-Bürgern tätigen, müssen Sie die DSGVO einhalten. Diese Unternehmen müssen eine DSGVO-Beurteilung vornehmen, um festzustellen, welche Datenverarbeitungsaktivitäten sie durchführen. Sie müssen dann Datenschutzhinweise bereitstellen, die den Anforderungen der DSGVO entsprechen. Darüber hinaus müssen Sie eine Datenschutz-Folgenabschätzung durchführen und bestimmen, welche Schutzmaßnahmen erforderlich sind. Dazu gehören in der Regel Datenverschlüsselung, zuverlässige Authentifizierungsmaßnahmen und Datenschutz auf Unternehmensebene, wie die Implementierung eines Zero-Trust-Sicherheitsansatzes. Diese Maßnahmen müssen sich auch auf externe Lieferanten erstrecken.

Eine kleine Organisation mit weniger als 250 Mitarbeitern

Auch kleinere Unternehmen sind nicht von den Bestimmungen der DSGVO ausgenommen. Selbst Einzelunternehmer oder Unternehmen mit Gemeinnützigkeitsstatus sind an die Regeln der DSGVO gebunden, wenn sie mit personenbezogenen Daten umgehen und diese verarbeiten. Eine Dokumentation der Datenverarbeitung über das gesetzlich vorgeschriebene Maß hinaus ist jedoch nur dann erforderlich, wenn Sie Daten regelmäßig, in großen Mengen oder mit Auswirkungen auf Rechte und Freiheiten von Personen verarbeiten oder wenn Sie Daten zu Hautfarbe, ethnischer Zugehörigkeit, biometrische Daten usw. verarbeiten. Neben der Einhaltung der Datenschutzanforderungen sollten kleine Unternehmen nach Sicherheitsplattformen suchen, die eine zuverlässige Authentifizierung und Verschlüsselung bieten können, um Daten zu schützen und Datenschutzverletzungen zu vermeiden.

Die DSGVO als Gesetz basiert auf sieben Grundsätzen. Diese Grundsätze beziehen sich auf die Rechtmäßigkeit, die Gründe für die Verarbeitung der Daten und die Bedingungen für die Einwilligung der Betroffenen. Die Grundsätze decken folgende Bereiche ab:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Es muss einen guten Grund für die Verarbeitung der Daten geben.
2. Zweckbindung: Dies ist ein wichtiges Prinzip im Sinne der Datenschutzgrundsätze, die sich in der DSGVO manifestieren. Dieser Grundsatz soll sicherstellen, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erfasst werden.
3. Datenminimierung: Im Einklang mit dem zweiten Grundsatz muss die rechtmäßige Erfassung von Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
4. Richtigkeit: Die betroffene Einheit muss die Richtigkeit der erfassten Daten sicherstellen.
5. Speicherbegrenzung: Die betroffene Einheit muss über eine durchsetzbare Richtlinie zur Speicherbegrenzung verfügen.
6. Integrität und Vertraulichkeit: Die Sicherheitskontrollen müssen die Integrität und Vertraulichkeit der erfassten personenbezogenen Daten wahren. Das schließt Sicherheitsmaßnahmen zur Abwehr von internen oder externen Bedrohungen ein.
7. Rechenschaftspflicht: Maßnahmen und Dokumentation müssen nachweisen, dass die betroffene Einheit die DSGVO einhält.

Betroffene Personen sind Personen, die anhand personenbezogener Daten, die unter die DSGVO fallen, identifiziert werden können. Kapitel 3 der DSGVO definiert acht Rechte der betroffenen Person, die gewahrt werden müssen, um die DSGVO zu erfüllen:

1. Recht auf Information (Artikel 12, 13 und 14).
2. Auskunftsrecht (Artikel 15).
3. Recht auf Berichtigung (Artikel 16).
4. Recht auf Löschung (Artikel 17).
5. Recht auf Einschränkung der Verarbeitung (Artikel 18).
6. Recht auf Datenübertragbarkeit (Artikel 20).
7. Widerspruchsrecht (Artikel 21).
8. Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden (Artikel 22).

Darüber hinaus gibt es ein Recht auf Benachrichtigung bei Datenschutzverletzungen, das in Artikel 34 geregelt ist. Danach ist die betroffene Einheit verpflichtet, eine betroffene Person „unverzüglich“ über eine Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Datenschutzverletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat“. Bei Datenschutzverletzungen sind Aufsichtsbehörden zu informieren. Dabei handelt es sich um Behörden, die die Anwendung der Verordnung überwachen.

Der GDPR Enforcement Tracker bietet einen Überblick über Bußgelder und Strafen, die wegen Nichteinhaltung der DSGVO verhängt wurden. Die verhängten Bußgelder beliefen sich mit Stand vom Mai 2023 kumuliert auf rund 2,79 Milliarden Euro. Die drei wichtigsten Gründe für die Verhängung von Geldstrafen sind laut GDPR Enforcement Tracker:

1. Nichtbefolgung der allgemeinen Grundsätze für die Datenverarbeitung.
2. Unzureichende Rechtsgrundlage für die Datenverarbeitung.
3. Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit.

Es gibt zwei Stufen für die bei Nichteinhaltung der DSGVO verhängten Geldbußen:

Stufe 1: Gilt für Datenschutzverletzungen und nicht durchgeführte Datenschutz-Folgenabschätzungen: 2 % des weltweiten Jahresumsatzes oder 10 Millionen Euro, je nachdem, welcher Wert höher ist.

Stufe 2: Die korrekte Anwendung DSGVO-Bestimmungen, z. B. Durchsetzung der Bestimmungen zur Einwilligung und der Rechte von betroffenen Personen: 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Wert höher ist.

Die Datensicherheit ist untrennbar mit einem leistungsstarken Datenschutz verbunden. Die DSGVO berücksichtigt die Bedeutung geeigneter technischer und organisatorischer Maßnahmen zur Verhinderung von Datenschutzverletzungen. Zu den in der DSGVO erwähnten Sicherheitskontrollen und Datenschutzmaßnahmen gehören Verschlüsselung und Pseudonymisierung. Weitere Sicherheits- und Datenschutzmaßnahmen, die zur Verhinderung von Datenschutzverletzungen ergriffen werden sollten, sind Identitäts- und Zugriffsmanagement (IAM) sowie zuverlässige Authentifizierung und Einwilligung auf Basis eines Zero-Trust-Sicherheitsansatzes.

Akamai Connected Cloud bietet feinstufige Steuerungsmöglichkeiten für Datenzugriffskontrolle und Einwilligung und unterstützt Unternehmen dabei, DSGVO-Vorschriften zu erfüllen und die Einhaltung der Verordnung nachzuweisen. Diese Kontrollmechanismen umfassen:

• Einwilligungen einholen und verwalten
• Zugriffsrecht
• Recht auf Berichtigung
• Recht auf Löschung
• Verschlüsselung

Akamai unterstützt die DSGVO-Compliance durch Risikomanagement, Reporting und Dokumentation, die auf der Grundlage einer Zero-Trust-Strategie bereitgestellt werden.