Können Sie mir bei meinem GDPR-Problem helfen?

11

Dies ist eine kanonische Frage zur Interpretation der DSGVO, wie sie auf Meta diskutiert wird .

Während Server Fault Ihnen helfen kann, wenn Sie ein spezifisches Problem bei der Implementierung von Vorschriften haben, sind allgemeine Fragen zur Einhaltung der DSGVO zu weit gefasst. Wir sind keine Anwälte, die die rechtlichen Probleme interpretieren könnten, und der Q / A-Stil lässt dies nicht zu Eine eingehende Diskussion war erforderlich, um alle Details in Ihrer Organisation zu kennen und sicherzustellen, dass Sie die Anforderungen tatsächlich erfüllen.


Ich habe eine Frage zur Allgemeinen Datenschutzverordnung (DSGVO), EU-Verordnung 2016/679.

  • Wie kann man die DSGVO einhalten?
  • Ist meine Organisation bereit für die DSGVO?
  • Sollte ich X tun, um die DSGVO einzuhalten?
  • Verbietet mir die DSGVO, Y zu tun?
  • Ist Z nach der DSGVO noch erlaubt?
Esa Jokinen
quelle
3
Das klingt sehr gut!
Sven
Ich denke, diese Frage gewinnt den breitesten und unbeantwortbarsten Fragenpreis
Timothy Frew

Antworten:

16

Wie bei den meisten Vorschriften ist die DSGVO keine klare Liste von Regeln, was zu tun ist und was nicht. Daher sind Fragen dazu oft viel zu weit gefasst, um auf einer Q / A-Site behandelt zu werden. Es gibt viele Mythen und falsche Vereinfachungen in Bezug auf die Verordnung, und eine ganze Branche basiert auf der Angst vor den durch die Verordnung verhängten Sanktionen.

Diese Antwort versucht einen praktischen Überblick über das Thema zu geben. Ich bin kein Anwalt, aber ich habe mich fast seit seiner Einführung mit diesem Thema befasst, zunächst mit einem abwartenden Ansatz zum Sammeln von Informationen und derzeit mit einem anderen praktischen, priorisierenden und iterativen Ansatz.

Wir wissen (noch) nicht, wie die Verordnung von den Gerichten ausgelegt wird, und viele Unternehmen warten immer noch darauf, welche Maßnahmen andere ergreifen. Da Server Fault für IT-Experten bestimmt ist, sind wir keine Anwälte, die die Verordnung und ihre Beziehung zu anderen Gesetzen interpretieren könnten. Selbst wenn wir könnten, wären Fragen im Q / A-Stil sehr lang, um alle detaillierten Informationen zu erhalten, die zur Beantwortung erforderlich sind: Die Einhaltung der DSGVO ist keine Frage einzelner Maßnahmen, sondern eine gesamte Strategie in Ihrem Unternehmen. Wenn Sie solche Fragen stellen müssen, müssen Sie möglicherweise einen Berater oder sogar einen Anwalt beauftragen. Viele werden jedoch ohne einen überleben.

Sie müssen (möglicherweise mit Rechtsberatung) Ihre eigene Strategie erstellen und auf dieser Grundlage entscheiden, welche Maßnahmen Sie zur Einhaltung der DSGVO durchführen. Wenn Sie versuchen, diese Änderungen in einem tatsächlichen Informationssystem zu implementieren, können technische Probleme auftreten, wie etwas erreicht werden soll. Dann wurde die Frage auf den Bereich Serverfehler eingegrenzt!


Um loszulegen, sollten Sie wissen, wofür die Verordnung gilt. Es ist im Grunde ein rechtlicher Rahmen, um sicherzustellen, dass personenbezogene Daten während ihrer gesamten Lebensdauer, von der Erhebung bis zur Löschung, sorgfältig behandelt werden. Artikel 5 der DSGVO beschreibt kurz die Grundsätze für die Verarbeitung personenbezogener Daten:

  • Rechtmäßigkeit, Fairness und Transparenz
  • Zweckbegrenzung
  • Datenminimierung
  • Richtigkeit
  • Speicherbeschränkung
  • Integrität und Vertraulichkeit.

BIPR gibt betroffene Personen , dh die Bürger ihre persönlichen Daten über und Werkzeuge zu haben , stellen Sie sicher , beachtet wurden diese Prinzipien. Dazu gehört das Recht, auf eigene Daten zuzugreifen, diese zu korrigieren, zu verschieben und zu löschen, dh das Recht, vergessen zu werden (wenn kein anderes Gesetz seine Aufbewahrung verlangt). Es besteht auch die Möglichkeit von Sanktionen, und Ihr Unternehmen muss möglicherweise einen Datenschutzbeauftragten benennen .

Die meisten Grundsätze wurden bereits in nationales Recht umgesetzt (aufgrund der Datenschutzrichtlinie 95/46 / EG), was die Änderung für Unternehmen innerhalb der EU recht begrenzt macht. Unternehmen außerhalb der EU haben möglicherweise etwas mehr zu tun, wenn sie die personenbezogenen Daten von EU-Bürgern verarbeiten.

Eine wichtige Änderung ist die Rechenschaftspflicht , die in der Praxis am besten durch eine gründliche Dokumentation Ihrer Verfahren erreicht werden kann:

  • wie und warum die personenbezogenen Daten erhoben werden
  • was macht die Verarbeitung rechtmäßig ( Zustimmung ist nur eine Bedingung aus Art. 6 )
  • wie die Daten gespeichert und verarbeitet werden
  • Wer hat Zugriff auf die Daten und wie steuern und prüfen Sie dies?
  • ob es entfernt wird (automatisch / Standard), wenn der Grund für die Speicherung abläuft
  • wie Sie mit den damit verbundenen Risiken umgehen, dh Risikoanalyse.

Meiner Meinung nach sollten Sie, wenn Sie sorgfältig über diese Dinge nachgedacht, die Probleme behoben und die von Ihnen entdeckten Risiken gemindert und dann all dies dokumentiert haben, weit entfernt von Sanktionen sein - selbst wenn Sie einen Eingriff erleiden. Zwischen Ihrer Situation und der Art des Verhaltens, das einen für 20 Mio. EUR / 4% der Umsatzbußgelder haftbar macht, wird es einen Ozean möglichen fahrlässigen Verhaltens geben .

Esa Jokinen
quelle
Das sollte entweder wie mit oder wie sein .
TRiG
1
Dies ist eine so gute Antwort, dass ich mich ein bisschen um die Engländer gekümmert habe. Ich hoffe das ist OK, Esa.
MadHatter
@ MadHatter: Danke! Obwohl ich nicht ganz hoffnungslos bin, bin ich immer noch kein Muttersprachler. :)
Esa Jokinen