Anforderungen
Die DSGVO besteht aus 99 Artikeln, die die Rechte von EU-Bürgern und die Anforderungen an Unternehmen sowie die Strafen bei Nichteinhaltung definieren.
Das sind die wichtigsten Anforderungen:
Artikel 5, Verarbeitung personenbezogener Daten:
Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dabei müssen die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dazu gehören geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Diese Maßnahmen wiederum sind nicht genau definiert. Es ist aber davon auszugehen, dass ein Unternehmen im Falle eines Datendiebstahls als nicht konform eingestuft wird.
Artikel 6, 7 und 8, Zustimmung:
Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss.
Artikel 15, Auskunftsrecht:
EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.
Artikel 17, Recht auf Löschung:
Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.
Artikel 20, Recht auf Datenübertragbarkeit:
Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.
Artikel 25 und 32, Datenschutz:
Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau „angemessen“im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.
Artikel 33 und 34, Meldepflicht:
Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Artikel 35, Folgenabschätzung:
Firmen sind verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.
Artikel 37, 38 und 39, Datenschutzbeauftragter:
Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.
Artikel 50, Internationale Zusammenarbeit:
International tätige Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, speichern oder verarbeiten, müssen den Richtlinien der DatenschutzGrund verordnung entsprechen.
Artikel 83, Strafen:
Bei Verstößen können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Gesamtumsatzes zukommen.