DSGVO, oder Datenschutz-Grundverordnung, was für die Compliance zu beachten ist

DSGVO-Compliance

Die DSGVO wird im Mai 2018 in Kraft treten. Haben Sie die notwendigen Vorkehrungen bereits getroffen?

Was ist die DSGVO genau?

Die DSGVO (Datenschutz-Grundverordnung) ist eine neue EU-Verordnung, mit der die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie ersetzt wird. Mit der neuen Verordnung sollen der Schutz personenbezogener Daten von Bürgerinnen und Bürgern der EU deutlich verbessert und Unternehmen und öffentliche Stellen an strengere Auflagen hinsichtlich der Erfassung und Verarbeitung personenbezogener Daten gebunden werden. Die DSGVO wird am 25. Mai 2018 in Kraft treten. In der Verordnung wurden viele Anforderungen der EU-Datenschutzrichtlinie von 1995 bezüglich Datenschutz und -sicherheit übernommen bzw. weiterentwickelt. Darüber hinaus wurden mehrere neue Bestimmungen hinzugefügt, durch welche die Rechte von betroffenen Personen gestärkt werden und in denen strengere Sanktionen für Rechtsverletzungen vorgesehen sind.

Die vollständige Fassung der DSGVO finden Sie hier und ein Glossar mit allen wichtigen Rechtsbegriffen ist hier verfügbar.

Wie kam es zur DSGVO?

Vermutlich haben Sie in letzter Zeit viel über die DSGVO gehört, doch in der EU gibt es schon seit langer Zeit Rechtsvorschriften zum Datenschutz. Obwohl die EU-Datenschutzrichtlinie von 1995 kommenden Mai durch die DSGVO ersetzt wird, war sie in Sachen Datenschutz ein Meilenstein: Sie beinhaltet die acht Datenschutzgrundsätze, die den Umgang mit personenbezogenen Daten seitens Unternehmen über die letzten beiden Jahrzehnte hinweg geregelt haben. Da die DSGVO auf diesen Prinzipien aufbaut und sie weiterentwickelt, empfehlen wir Ihnen, sich zuerst mit den derzeit geltenden Gesetzesvorschriften vertraut zu machen, bevor Sie sich die Änderungen durch die DSGVO genauer ansehen.

Falls Sie mehr über die EU-Datenschutzrichtlinie von 1995 und die acht Datenschutzgrundsätze erfahren möchten, scrollen Sie nach unten zu den häufig gestellten Fragen (FAQ).

Gilt die DSGVO für mich?

Während sich die derzeitigen EU-Vorschriften (EU-Datenschutzrichtlinie von 1995) nur auf Unternehmen und öffentliche Stellen innerhalb der EU erstrecken, ist der räumliche Geltungsbereich der DSGVO deutlich weiter gefasst. Die neue Verordnung gilt auch für Unternehmen außerhalb der EU, die a) ihre Produkte an Verbraucher in der EU vertreiben oder b) das Verhalten von Menschen in der EU überwachen. Selbst wenn Ihr Unternehmen also außerhalb der EU ansässig ist, Sie aber Daten von Bürgerinnen und Bürgern der EU erfassen und verarbeiten, fällt es in den Geltungsbereich der DSGVO.

Überprüfen Sie anhand unserer Checkliste, ob Sie die Compliance-Anforderungen der DSGVO erfüllen.

Rechtlicher Hinweis:

Diese Website soll weder als Standardwerk über den Datenschutz in der EU noch als rechtliche Beratung für Ihr Unternehmen dienen, auf die Sie sich bei der Einhaltung der Datenschutzgesetze der EU – wie der DSGVO – stützen können. Vielmehr werden darin Hintergrundinformationen bereitgestellt, damit Sie besser nachvollziehen können, wie wir bei HubSpot einige wichtige gesetzliche Aspekte handhaben. Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir weisen Sie deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.

Die wichtigsten Änderungen durch die DSGVO

  • Rechte von Einzelpersonen
  • Interne Verfahren
  • Aufsichtsbehörden
  • Anwendungsbereich, Rechenschaftspflicht und Sanktionen

Rechte von Einzelpersonen

Einwilligung

Wann immer eine betroffene Personen im Begriff ist, ihre personenbezogenen Daten anzugeben, müssen Verantwortliche (für gewöhnlich ein Unternehmen) sicherstellen, dass die betroffene Person zuvor ihre Einwilligung gegeben hat. Mit der DSGVO werden auch die Offenlegungsstandards bei der Einholung von Einwilligungen neu definiert. Diese müssen „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ bekundet werden. Die Verantwortlichen müssen dabei in einer „klaren und einfachen“ Rechtssprache, die „von den anderen Sachverhalten klar zu unterscheiden ist“ die betroffenen Personen ansprechen. Verantwortliche müssen auch den Nachweis erbringen, dass ihre Prozesse regelkonform sind und immer befolgt werden. Unter der früheren EU-Datenschutzrichtlinie konnte auf die Einwilligung einer betroffenen Person geschlossen werden, wenn ihr Tun oder Unterlassen keinen Zweifel an ihrem Willen zur Einwilligung zuließ. Somit ließ die Richtlinie die Möglichkeit für „Opt-out“-Mechanismen zu. Dies wird sich mit der DSGVO ändern, denn nunmehr muss die betroffene Person ihre Zustimmung „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ geben.

Ihre Kunden dürfen also nicht zur Einwilligung gezwungen oder über ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten in Unkenntnis gelassen werden. Außerdem müssen Ihre Kunden genau wissen, wofür sie ihre Einwilligung geben und sie müssen im Voraus über ihr Recht zur Widerrufung ihrer Einwilligung informiert werden. Die Einholung einer Einwilligung setzt ein eindeutiges Zeichen der Zustimmung voraus – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Personen stellen keine Einwilligung dar. In Zukunft ist es also wichtig, dass Sie Ihre Nutzer im Rahmen des Einwilligungsvorgangs ausreichend informieren.

Neue Rechte für Einzelpersonen

In der Verordnung sind außerdem zwei neue Rechte für betroffene Personen vorgesehen: Ein „Recht auf Vergessenwerden“, durch das Verantwortliche dazu verpflichtet sind, Empfänger über Anfragen auf Löschung zu unterrichten, und ein „Recht auf Datenübertragbarkeit“, durch das betroffene Personen eine Kopie ihrer Daten in einem gängigen Format beantragen können. Diese beiden Rechte machen es für Nutzer einfacher, die Löschung jeglicher über sie gespeicherter Informationen oder die Übermittlung jeglicher erfasster Informationen zu beantragen.

Antrag auf Auskunftserteilung

Betroffene Personen hatten auch bisher schon das Recht, Zugang zu ihren Daten zu beantragen. Mit der DSGVO werden diese Rechte erweitert. In den meisten Fällen werden Sie für einen Antrag auf Auskunftserteilung keine Gebühren verlangen können, außer Sie können beweisen, dass die dadurch entstehenden Kosten übermäßig hoch sind. Auch bei der Frist für die Bearbeitung eines Antrags auf Auskunftserteilung gibt es eine erhebliche Änderung. Die derzeit gültige Frist von 40 Tagen wird deutlich verkürzt. In bestimmten Fällen können Unternehmen die Bearbeitung eines Antrags auf Auskunftserteilung verweigern, etwa wenn der Antrag als offensichtlich unbegründet oder unangemessen erachtet wird. Um einen Antrag zulässig ablehnen zu können, brauchen Unternehmen jedoch klare Richtlinien und Verfahren, und sie müssen begründen können, warum ein bestimmter Antrag den festgelegten Kriterien entspricht.

Interne Verfahren

Datenschutz durch Technik und DSFA

Die DSGVO enthält einige neue Grundsätze für Rechtssubjekte, die personenbezogene Daten verarbeiten. Diese umfassen unter anderem die Anforderung, bei der Entwicklung neuer Systeme Datenschutz „durch Technik“ zu integrieren, sowie die Verpflichtung, bei der Datenverarbeitung mittels „neuer Technologien“ oder auf risikoreiche Weise eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Bei der Datenschutz-Folgenabschätzung geht es um die systematische Evaluierung möglicher Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Einzelpersonen, sodass potenzielle Datenschutzprobleme vor ihrem Entstehen identifiziert werden können. Dadurch haben Unternehmen ausreichend Zeit, um noch vor dem Projektanlauf entsprechende Maßnahmen zur Problembehebung zu ergreifen.

Datenschutzbeauftragte

Die DSGVO wird viele Unternehmen zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichten, der alle Compliance-Anstrengungen des Unternehmens überwacht. Die Benennung eines DSB ist auf jeden Fall erforderlich für Behörden und öffentliche Stellen, für Unternehmen, deren Kerntätigkeit die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen umfasst, oder Unternehmen, deren Kerntätigkeit die umfangreiche Verarbeitung sogenannter sensibler personenbezogener Daten umfasst. Während die im Rahmen der EU-Datenschutzrichtlinie anerkannten Methoden zur Gewährleistung der „Angemessenheit“ bei der Übermittlung personenbezogener Daten in Drittländer (darunter auch der Privacy Shield und die Standardvertragsklauseln) unter der DSGVO zurzeit beibehalten werden, werden DSB auch die Aufgabe erfüllen, das Verhältnis zwischen Auftraggebern und Anbietern, die personenbezogene Daten verarbeiten und speichern, zu beaufsichtigen. So können sie etwa die Sicherheitsvorkehrungen von Anbietern überprüfen und diese über Anfragen betroffener Personen informieren.

Verträge & Datenschutzdokumentation

Da Transparenz und Fairness die Eckpfeiler der DSGVO sind, müssen Verantwortliche und Auftragsverarbeiter ihre Datenschutzerklärungen, Datenschutzbestimmungen und jegliche interne Datenrichtlinien überprüfen und gegebenenfalls überarbeiten, damit sie den Anforderungen der DSGVO entsprechen. Wenn Verantwortliche Drittanbieter mit der Verarbeitung personenbezogener Daten, die unter ihrer Kontrolle stehen, beauftragen, müssen sie sicherstellen, dass ihre Verträge mit diesen Auftragsverarbeitern aktuell sind und die in Artikel 28 der Verordnung festgelegten, zwingenden Bestimmungen für Auftragsverarbeiter beinhalten. Ebenso sollten Auftragsverarbeiter etwaige Änderungen an ihren Kundenverträgen vornehmen, damit diese ab Mai 2018 der DSGVO entsprechen.

Aufsichtsbehörden

Verfahren der Zusammenarbeit und Kohärenz

Insbesondere ein Aspekt der DSGVO sollte DSB ihre Arbeit wesentlich erleichtern: Infolge der Einführung des sogenannten „Verfahrens der Zusammenarbeit und Kohärenz“ werden Unternehmen mit Niederlassungen in mehreren EU-Ländern über eine „federführende Aufsichtsbehörde“ verfügen, die die grenzüberschreitende Datenverarbeitung handhabt. So soll verhindert werden, dass durch unterschiedliche Anweisungen verschiedener Aufsichtsbehörden Probleme entstehen.

Meldung von Datenschutzverletzungen

Die DSGVO enthält eine neue Bestimmung, wonach Verantwortliche ihre nationale Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, benachrichtigen müssen, es sei denn, die Daten waren anonymisiert oder verschlüsselt. Das bedeutet in der Praxis, dass die meisten Datenschutzverletzungen der jeweils zuständigen Aufsichtsbehörde gemeldet werden müssen. Verletzungen des Schutzes personenbezogener Daten, die Einzelpersonen voraussichtlich einen Schaden zufügen – etwa Identitätsdiebstahl oder Verlust der Vertraulichkeit – müssen auch den betroffenen Einzelpersonen gemeldet werden.

Anwendungsbereich, Rechenschaftspflicht und Sanktionen

Anwendungsbereich

Während sich die derzeitige Vorschrift, die EU-Datenschutzrichtlinie von 1995, nur auf Unternehmen und öffentliche Stellen innerhalb der EU erstreckt, ist der räumliche Geltungsbereich der DSGVO deutlich weiter gefasst. Die neue Verordnung gilt auch für Unternehmen außerhalb der EU, die ihre Produkte an Verbraucher in der EU vertreiben oder das Verhalten von Menschen in der EU überwachen. Selbst wenn Ihr Unternehmen also außerhalb der EU ansässig ist, Sie jedoch Daten von Bürgerinnen und Bürgern der EU überwachen und verarbeiten, fallen Sie in den Geltungsbereich der DSGVO.

Rechenschaftspflicht

Dieses neue Konzept verpflichtet Verantwortliche und Auftragsverarbeiter dazu, ihrer lokalen Aufsichtsbehörde gegenüber die Einhaltung der DSGVO nachzuweisen. Alle Prozesse müssen aufgezeichnet, implementiert und regelmäßig überprüft werden. Mitarbeiter sollten entsprechend geschult und angemessene technische und organisatorische Maßnahmen sollten ergriffen werden, um Compliance zu gewährleisten und nachzuweisen zu können.

Schwere Sanktionen

Die Bedeutung dieser neuen Bestimmungen der DSGVO wird durch die Tatsache unterstrichen, dass eine Nichteinhaltung erhebliche Strafen zur Folge hat. Je nach Art der vorliegenden Verletzung müssen Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten nicht ordnungsgemäß verwalten oder die Rechte von betroffenen Personen anderweitig verletzen, mit Strafen in Höhe von bis zu 20 Millionen Euro bzw. 4 % ihres globalen Jahresumsatzes rechnen (je nachdem, welche Summe höher ist).

Änderungen bei HubSpot

Im Hinblick auf den Stichtag im Mai 2018 arbeiten wir daran, die Einhaltung der DSGVO-Bestimmungen zu gewährleisten. Während der Implementierungsphase prüfen wir sämtliche zusätzlichen Anforderungen und Einschränkungen, die mit der DSGVO einhergehen, und stellen sicher, dass wir die Daten unserer Kunden ab dem Anwendungsdatum im Mai 2018 in Übereinstimmung mit den entsprechenden rechtlichen Rahmenbedingungen behandeln. Sie erhalten Mitteilungen zu neuen Funktionen und Änderungen unserer Nutzungsbedingungen wie gehabt in Ihrem HubSpot-Portal. Wir werden auch diese Seite in den kommenden Monaten laufend aktualisieren und wichtige Inhalte hier teilen. Werfen Sie also regelmäßig einen Blick auf diese Seite.

Produktänderungen bei HubSpot im Rahmen der DSGVO
Produktänderungen

Unsere Tech- und Sicherheitsteams arbeiten zurzeit hart an der Implementierung aller notwendigen Änderungen an den HubSpot-Services, damit wir zum Stichtag im Mai 2018 allen Bestimmungen der DSGVO entsprechen und Ihnen dabei helfen können, Ihren Verpflichtungen im Rahmen der DSGVO insoweit nachzukommen, als Sie HubSpot zur Erfassung und Speicherung von personenbezogenen Daten aus der EU nutzen. In der Zeit bis zum Mai 2018 werden wir regelmäßig Updates bezüglich der Schritte und Maßnahmen veröffentlichen, durch sichergestellt werden soll, dass sowohl unsere Praktiken als auch unsere Produkte vor Ablauf der Frist den Bestimmungen der DSGVO gerecht werden. Aus diesem Grund empfehlen wir Ihnen, regelmäßig einen Blick auf diese Seite zu werfen.

Unsere rechtliche Dokumentation zur DSGVO
Unsere rechtliche Dokumentation

Unsere Rechtsabteilung nimmt derzeit alle notwendigen Aktualisierungen an unserer rechtlichen Dokumentation vor (namentlich unserer Nutzungsbedingungen für Kunden, unserer Vereinbarung zur Datenverarbeitung und unserer Datenschutzrichtlinie), um zu gewährleisten, dass alle Produktänderungen berücksichtigt werden und die in Artikel 28 der Verordnung festgelegten, zwingenden Bestimmungen für Auftragsverarbeiter beinhaltet sind. Wir werden Sie auf dieser Seite über die Implementierung dieser Änderungen auf dem Laufenden halten und Sie zusätzlich wie gehabt in Ihrem HubSpot-Portal benachrichtigen.

Datenübermittlung außerhalb der EU unter der DSGVO
Datenübermittlung außerhalb der EU

HubSpot, Inc. verfügt über eine vom US-Handelsministerium ausgestellte Privacy-Shield-Zertifizierung, um angemessene Sicherheitsvorkehrungen bei der Übertragung personenbezogener Daten zwischen der EU und den USA zu gewährleisten. Hinweise zu unserer Privacy-Shield-Zertifizierung finden sich sowohl in unseren Nutzungsbedingungen für Kunden (siehe Abschnitt F.2) als auch in unserer Datenschutzrichtlinie. Auf Anfrage stellen wir bestimmten Kunden in der EU bzw. im EWR auch eine Vereinbarung zur Datenverarbeitung (welche die von der EU anerkannten Standardvertragsklauseln beinhaltet) bereit. Die Regelungen bezüglich der Übertragung personenbezogener Daten außerhalb der EU ändern sich mit der DSGVO übrigens nicht. Hier kommen also keinerlei Änderungen auf Sie zu.

Falls Sie bereits HubSpot-Kunde oder -Partner sind, wenden Sie sich bei Fragen, Anmerkungen oder Anregungen bitte an Ihren Kundenbetreuer. Falls noch keine Geschäftsbeziehung mit HubSpot besteht, schreiben Sie uns bitte an privacy@hubspot.com

Erfahren Sie mehr über DSGVO-Compliance

  • Obwohl die EU-Datenschutzrichtlinie von 1995 durch die DSGVO ersetzt wird, war sie in Sachen Datenschutz ein Meilenstein: Sie beinhaltet die acht Datenschutzgrundsätze, auf denen die DSGVO aufbaut. Diese Grundsätze regeln den Umgang mit personenbezogenen Daten seitens Unternehmen und sind nachfolgend aufgelistet:

    1. Personenbezogene Daten müssen auf rechtmäßige Weise erfasst und verarbeitet werden.
    2. Personenbezogene Daten dürfen nur für einen oder mehrere festgelegte und rechtmäßige Zwecke aufbewahrt werden.
    3. Personenbezogene Daten dürfen nur für jene Zwecke verarbeitet werden, für die sie ursprünglich bereitgestellt wurden.
    4. Personenbezogene Daten müssen in einem sicheren und geschützten Umfeld aufbewahrt werden.
    5. Personenbezogene Daten müssen immer korrekt und auf dem aktuellsten Stand sein.
    6. Personenbezogene Daten müssen in angemessenem, relevantem und nicht übertriebenem Umfang erfasst werden.
    7. Personenbezogene Daten dürfen nicht länger als für den bzw. die angegebenen Zweck(e) aufbewahrt werden.
    8. Auf Anfrage einer betroffenen Person muss eine Kopie ihrer personenbezogenen Daten bereitgestellt werden.

    Die EU-Datenschutzrichtlinie ist ein Rechtsakt, der bestimmte Ziele vorgibt, die alle EU-Staaten erreichen müssen. Es ist allerdings Aufgabe der einzelnen Staaten, nationale Gesetze zur Erreichung dieser Ziele zu erlassen. In Irland wurden die Ziele der EU-Datenschutzrichtlinie beispielsweise durch den Irish Data Protection Act 1998 implementiert.

    Eine Verordnung wie die DSGVO hingegen ist ein bindender Rechtsakt, der unmittelbar und in vollem Umfang in der gesamten EU gilt.

  • Falls Sie mit diesem Begriff noch nicht vertraut sind, „Double-Opt-in“ bezeichnet einen zweistufigen Mechanismus, bei dem eine Person ihre E-Mail-Adresse nach einer erstmaligen Registrierung bestätigen muss. In der DSGVO finden sich keine Hinweise darauf, ob diese Art der Einwilligung zwingend erforderlich wird. Die Definition von „Einwilligung“ haben wir weiter oben bereits erläutert. Im Erwägungsgrund 32 der DSGVO wird zwar sehr genau erklärt, was Einwilligung im Rahmen der Verordnung bedeutet, jedoch wird keine ausdrückliche Verpflichtung zur Einholung von Einwilligungen mittels Double-Opt-in vorgeschrieben. Erwägungsgrund 32 lautet:

    Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit einer betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
     

    Aus heutiger Sicht gibt es keine offizielle Leitlinie seitens der Artikel-29-Datenschutzgruppe der EU, die diesen Mechanismus im Rahmen der DSGVO als zwingend vorsieht. Das Team von HubSpot wird die diesbezüglichen Entwicklungen im Auge behalten und diese Seite aktualisieren, falls eine offizielle Leitlinie zu diesem Thema von der EU herausgegeben wird.

    An dieser Stelle möchten wir erwähnen, dass Abonnenten des HubSpot-Service bereits jetzt die Option haben, die Double-Opt-in-Funktion in ihren Portalen einzusetzen, um mit dieser zusätzlichen Schutzmaßnahme die Einholung von erforderlichen Einwilligungen nachzuweisen.

  • Im Juni 2016 stimmte eine Mehrheit der Stimmberechtigten des Vereinigten Königreichs im „Brexit“-Referendum für einen Ausstieg des Vereinigten Königreichs aus der EU. Im März 2017 gab Theresa May bekannt, dass das Vereinigte Königreich gemäß Artikel 50 die EU verlassen werde. Dies bedeutete den Beginn der Brexit-Verhandlungen und den Ausstieg des Vereinigten Königreichs aus der EU nach Vereinbarung der Austrittsbedingungen und nach Ablauf von zwei Jahren ab der Bekanntgabe des Austrittsvorhabens, also Ende März 2019. Insofern ist es sehr wahrscheinlich, dass das Vereinigte Königreich bei Inkrafttreten der DSGVO zum Stichtag im Mai 2018 noch Teil der EU sind wird. Wenn Sie Ihren Unternehmenssitz im Vereinigten Königreich haben, müssen Sie also den Bestimmungen der DSGVO voll und ganz entsprechen.

    Sobald das Vereinigte Königreich die EU verlässt, fällt die DSGVO automatisch weg – außer natürlich in dem Umfang, in dem das Vereinigte Königreich nationale Gesetze verabschiedet, die die DSGVO teilweise oder ganz beibehalten. Nach derzeitigen Ankündigen der Regierung wird eine solche Beibehaltung unterstützt, doch es bleibt abzuwarten, was schlussendlich tatsächlich passiert.

    Falls Ihr Unternehmenssitz außerhalb des Vereinigten Königreichs liegt, Sie jedoch Anbieter oder verbundene Unternehmen im Vereinigten Königreich haben, mit denen Sie personenbezogene Daten austauschen, dann sollten Sie die Entwicklungen in diesem Gebiet im Blick haben. Wenn das Vereinigte Königreich die EU verlässt, wird es zu einem „Drittland“ was die Datenübertragung außerhalb der EU betrifft. Aus diesem Grund werden dann unter Umständen zusätzliche Maßnahmen erforderlich, um in das Vereinigte Königreich übertragene Daten angemessen zu schützen. Sollte die EU durch Beschluss feststellen, dass das Vereinigte Königreich den erforderlichen Standards zum angemessenen Schutz personenbezogener Daten von Bürgerinnen und Bürgern der EU entspricht, kann sie das Vereinigte Königreich zur Positivliste all jener Länder mit angemessenem Datenschutzniveau hinzufügen. In diesem Fall würden zusätzliche Maßnahmen zum Schutz dieser Datenübertragungen – wie etwa die EU-Standardvertragsklauseln – obsolet.

  • Einzelpersonen hatten bereits im Rahmen der EU-Datenschutzrichtlinie von 1995 eine Vielzahl von Rechten, die den Schutz ihrer personenbezogenen Daten gewährleisteten, doch mit der DSGVO werden diese Rechte erheblich gestärkt. Betroffene Personen können nunmehr:

    • Detailinformationen über die Verarbeitung ihrer Daten von Organisationen oder Unternehmen anfordern;
    • Kopien aller personenbezogenen Daten anfordern, die eine Organisation über sie gespeichert hat;
    • Die Berichtigung falscher oder unvollständiger Daten beantragen;
    • Die Löschung ihrer Daten von einer Organisation beantragen, wenn beispielsweise kein berechtigter Grund für die Aufbewahrung der Daten vorliegt;
    • Ihre Daten von einer Organisation anfordern und die Übertragung der Daten an eine andere Organisation beantragen (Datenübertragbarkeit);
    • Die Verarbeitung ihrer Daten seitens einer Organisation unter bestimmten Umständen ablehnen;
    • (Abgesehen von einigen Ausnahmefällen) nicht mehr einer automatisierten Entscheidungsfindung einschließlich Profiling unterliegen.

  • Nein. Im Rahmen der DSGVO besteht keine Verpflichtung zur Aufbewahrung von Daten innerhalb der EU und Regelungen bezüglich der Übertragung personenbezogener Daten außerhalb der EU werden sich nicht ändern. Solange personenbezogene Daten also „angemessen geschützt“ werden, können sie auch außerhalb der EU übertragen werden. Die EU hat zum Beispiel eine Positivliste mit Ländern zusammengestellt, die ein angemessenes Schutzniveau bieten. Die Übertragung von Daten in diese Länder ist demnach zulässig. Wenn ein Land nicht auf dieser EU-Liste aufgeführt ist, müssen die Verantwortlichen auf anerkannte Vertragsbestimmungen zurückgreifen (z. B. Standardvertragsklauseln oder Binding Corporate Rules) oder alternativ andere im Gesetz vorgesehene Maßnahmen ergreifen, wie etwa die Privacy-Shield-Zertifizierung.

  • Im Folgenden haben wir eine Liste mit Websites zusammengestellt, auf denen Sie zusätzliche Informationen zur neuen Verordnung finden. Schauen Sie sich diese Websites bei Gelegenheit an.

    • Website zur DSGVO des Data Protection Commissioner von Irland hier
    • Orientierungshilfe zur DSGVO von der deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hier
    • Ressourcen zum Datenschutz von HubSpot hier
    • Der europäische Datenschutzbeauftragte hier
    • Das Sicherheitsprogramm von HubSpot hier
    • Suchen Sie Ihre zuständige Aufsichtsbehörde hier
    • Vollständige Fassung der DSGVO hier
    • Website der EU zur DSGVO hier

Ab wann muss mein Unternehmen DSGVO-konform sein?

Die Datenschutz-Grundverordnung der EU (DSGVO) tritt am 25. Mai 2018 in Kraft.

TAGE
STUNDEN
MINUTEN
SEKUNDEN

Die Datenschutz-Grundverordnung der EU (DSGVO) ist seit dem 25. Mai 2018 in Kraft.

Wir empfehlen unseren bestehenden und künftigen Kunden, alle Vorkehrungen zur Gewährleistung ihrer DSGVO-Compliance bereits jetzt zu treffen. Die nachfolgenden Ressourcen vermitteln Ihnen ein umfassendes Verständnis Ihrer derzeitigen Ausgangslage sowie aller demnächst erforderlichen Schritte.

  1. Das DSGVO-Glossar von HubSpot

    Unser DSGVO-Glossar

    Die DSGVO wurde von Juristen und daher in dementsprechend komplexem Rechtsjargon verfasst. Mit unserem Glossar möchten wir Ihnen dabei helfen, die wichtigsten Begriffsdefinitionen nachvollziehen zu können.

    Zum DSGVO-Glossar
  2. Die kostenlose Checkliste zur DSGVO-Compliance von HubSpot

    Unsere kostenlose Checkliste zur DSGVO-Compliance

    Das Team von HubSpot hat für seine Kunden und Partner eine kostenlose Checkliste zur DSGVO-Compliance erstellt, anhand derer Sie feststellen können, welche weiteren Schritte und Maßnahmen Sie ergreifen sollten.

    Zur DSGVO-Checkliste
  3. DSGVO Kit

    Handbuch, Webinar & Interview

    Im Mai 2018 wird die neue Datenschutz-Grundverordnung in Kraft treten und viele Unternehmen vor große Herausforderungen stellen. Haben Sie die notwendigen Vorkehrungen schon getroffen? Damit Sie sich optimal auf die DSGVO einstellen können, haben wir für Sie ein DSGVO-Kit aus einem Webinar, einem DSGVO-Handbuch sowie einem exklusiven Interview mit Jennifer Rost, Datenschutzbeauftragte bei Trusted Shops, zusammengestellt.

    Zum DSGVO-Kit