Logo - Full (Color)
Zum Hauptinhalt

Compliance mit der DSGVO

Gute Neuigkeiten: Wir haben die HubSpot-Plattform für unsere Kundinnen und Kunden verbessert, um das DSGVO-konforme Arbeiten zu vereinfachen.

Alle Informationen zur DSGVO erhalten Sie auf unserer DSGVO-Übersichtsseite.

Mehr erfahren

Was ist die DSGVO genau?

Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Verordnung, mit welcher der Schutz personenbezogener Daten von Bürgerinnen und Bürgern der EU deutlich verbessert wird. Unternehmen sowie öffentliche Stellen sind damit an strengere Auflagen hinsichtlich der Erfassung und Verarbeitung personenbezogener Daten gebunden. In der Verordnung wurden viele der in der Richtlinie von 1995 bezüglich Datenschutz und -sicherheit enthaltenen Bedingungen übernommen. Darüber hinaus wurden mehrere neue Bestimmungen hinzugefügt, durch welche die Rechte von Datensubjekten gestärkt werden und in denen strengere Sanktionen für Rechtsverletzungen vorgesehen sind. Die Verordnung ist am 25. Mai 2018 in Kraft getreten.

Wie kam es zur DSGVO?

Vermutlich haben Sie im Jahr 2018 viel über die DSGVO gehört, doch in der EU gibt es schon seit einiger Zeit Rechtsvorschriften zum Datenschutz. Obwohl die EU-Datenschutzrichtlinie von 1995 im Mai 2018 durch die DSGVO ersetzt wurde, war sie in Sachen Datenschutz ein Meilenstein: Sie beinhaltet die acht Datenschutzgrundsätze, die den Umgang mit personenbezogenen Daten seitens Unternehmen über die letzten beiden Jahrzehnte hinweg geregelt haben.

Gilt die DSGVO für mich?

Die DSGVO gilt für Unternehmen, die a) ihre Produkte in der EU vermarkten oder b) das Verhalten von Verbraucherinnen und Verbrauchern in der EU beobachten. Selbst wenn Ihr Unternehmen also außerhalb der EU ansässig ist, Sie aber Daten von Bürgerinnen und Bürgern der EU erfassen und verarbeiten, fällt dies in den Geltungsbereich der DSGVO.

Wichtige Aspekte der DSGVO

Einwilligung 

Mit der DSGVO werden die Bedingungen dieser Einwilligung verschärft. So gilt künftig, dass diese Einwilligung „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ bekundet werden muss sowie dass die Verantwortlichen die betreffenden Personen dabei in einer „klaren und einfachen“ Rechtssprache, die „von den anderen Sachverhalten klar zu unterscheiden ist“ ansprechen müssen. Außerdem müssen die Verantwortlichen nachweisen, dass ihre Verfahren DSGVO-konform sind und konsequent umgesetzt werden.

Ihre Kundinnen und Kunden dürfen also nicht zur Einwilligung gezwungen oder in Unkenntnis über ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gelassen werden. Außerdem müssen Ihre Kundinnen und Kunden genau darüber Bescheid wissen, wofür sie ihre Einwilligung geben, und sie müssen im Voraus über ihr Recht zur Widerrufung ihrer Einwilligung informiert werden. Die Einholung einer Einwilligung muss ein eindeutiges Zeichen der Zustimmung beinhalten – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Personen stellen keine Einwilligung dar. In Zukunft ist es also wichtig, dass Sie Ihre Nutzerinnen und Nutzer im Rahmen des Einwilligungsvorgangs ausreichend informieren.

Neue Rechte für Einzelpersonen

In der Verordnung sind außerdem zwei neue Rechte für betroffene Personen enthalten: ein „Recht auf Vergessenwerden“, durch das Verantwortliche dazu verpflichtet sind, Empfänger über Anfragen auf Löschung zu unterrichten, sowie ein „Recht auf Datenübertragbarkeit“, durch das betroffene Personen eine Kopie ihrer Daten in einem gängigen Format beantragen können. Dies erleichtert es Verbraucherinnen und Verbrauchern, die über sie gespeicherten Daten löschen zu lassen oder eine Kopie der Daten anzufordern.

Antrag auf Auskunftserteilung

Datensubjekte hatten schon immer ein Recht darauf, Zugriff auf ihre Daten anzufordern. Mit der DSGVO werden diese Rechte ausgeweitet. In den meisten Fällen werden Sie für einen Antrag auf Auskunftserteilung keine Gebühren verlangen können, außer Sie können beweisen, dass die dadurch entstehenden Kosten übermäßig hoch sind. Dabei wird auch die Frist für die Bearbeitung eines Antrags auf Auskunftserteilung auf einen Monat verkürzt (diese kann jedoch unter Umständen um zwei Monate verlängert werden). In bestimmten Fällen können Unternehmen die Auskunftserteilung auch ablehnen. Dies gilt allerdings nur, wenn der Antrag als offensichtlich unbegründet oder unverhältnismäßig erachtet werden kann. Für diesen Fall müssen im Unternehmen jedoch klar definierte Verfahren und Richtlinien bestehen und es muss dargelegt werden, warum der Antrag auf Auskunftserteilung die Kriterien zur Ablehnung erfüllt.

„Privacy by Design“ und DPIA

Es gibt einige neue Richtlinien für juristische Personen, die personenbezogene Daten nutzen. Dazu gehört auch die Vorgabe, den Datenschutz bei der Entwicklung neuer Systeme „durch Technikgestaltung“ zu integrieren, sowie die Verpflichtung, bei der Datenverarbeitung mithilfe von „neuen Technologien“ oder bei risikoreichen Vorgehensweisen ein sogenanntes „Data Privacy Impact Assessment“ (DPIA) durchzuführen. Bei einem DPIA oder einer Datenschutz-Folgeabschätzung wird systematisch abgewogen, inwiefern ein Projekt oder eine Initiative Auswirkungen auf die Privatsphäre der Personen hat. Auf diese Weise können Unternehmen mögliche Datenschutzprobleme identifizieren, bevor sie entstehen, und diese noch vor Projektbeginn entschärfen.

Datenschutzbeauftragte

Gemäß DSGVO müssen viele Unternehmen im Hinblick auf die Sicherheit sogenannte Datenschutzbeauftragte (DSB) einsetzen, die sie bei ihren Compliance-Maßnahmen unterstützen. Dies betrifft öffentliche Behörden, Unternehmen, die im Rahmen ihrer Aktivitäten in großem Umfang regelmäßig und systematisch Datensubjekte überwachen, oder Unternehmen, die in großem Umfang sensible personenbezogene Daten verarbeiten.

Verträge und Dokumente zum Datenschutz

Da die DSGVO für mehr Transparenz und Vertrauen steht, müssen Verantwortliche und Auftragsverarbeitende ihre Datenschutzhinweise und -erklärungen sowie sämtliche interne Datenrichtlinien überprüfen und sicherstellen, dass diese DSGVO-konform sind. Werden Drittanbieter mit der Verarbeitung der Daten beauftragt, müssen Verantwortliche sicherstellen, dass die Verträge mit diesen Auftragsverarbeitenden die in Artikel 28 der Verordnung genannten neuen und verpflichtenden Bestimmungen für Auftragsverarbeitende enthalten. Ebenso müssen Auftragsverarbeitende ggf. Änderungen an ihren Kundenverträgen vornehmen, damit diese konform mit der DSGVO sind.

One-Stop-Shop

Eine Bestimmung der DSGVO soll Datenschutzbeauftragten das Leben erleichtern: der „One-Stop-Shop“. Mithilfe dieser neuen DSGVO-Regelung verfügen Unternehmen mit Büros in mehreren EU-Ländern über eine „federführende Aufsichtsbehörde“, die zentral für sie zuständig ist und klare, für alle geltende Anweisungen gibt.

Meldung von Verstößen

Die DSGVO verpflichtet Verantwortliche dazu, im Falle eines Verstoßes gegen den Schutz personenbezogener Daten die zuständige Aufsichtsbehörde binnen 72 Stunden, nachdem der Verstoß bekannt wurde, darüber zu informieren, es sei denn, die Daten sind anonymisiert oder verschlüsselt. Dies bedeutet, dass die Mehrheit der Datenschutzverletzungen der Data Protection Commission gemeldet werden müssen.  Im Falle von Verstößen, die wahrscheinlich zu einem Risiko für Einzelpersonen führen, z. B. Identitätsdiebstahl oder eine Verletzung der Geheimhaltungspflicht, müssen die betroffenen Personen ebenfalls benachrichtigt werden.

Anwendungsbereich

Die DSGVO gilt auch für Unternehmen außerhalb der EU, die ihre Produkte in der EU vermarkten oder das Verhalten von Verbraucherinnern und Verbrauchern in der EU beobachten. Selbst wenn Ihr Unternehmen also außerhalb der EU ansässig ist, Sie aber Daten von Bürgerinnen und Bürgern der EU erfassen und verarbeiten, fällt dies wahrscheinlich in den Geltungsbereich der DSGVO.

Rechenschaftspflicht

Verantwortliche und Auftragsverarbeitende müssen ihrer lokalen Aufsichtsbehörde nachweisen können, dass sie DSGVO-konform handeln. Die Abläufe müssen aufgezeichnet, implementiert und regelmäßig überprüft werden. Teams sollten dementsprechend geschult sein. Um die Einhaltung zu gewährleisten und nachzuweisen, müssen zudem geeignete technische und organisatorische Maßnahmen vorgenommen werden.

Empfindliche Strafen

Die Bedeutung dieser neuen DSGVO-Regelungen wird durch die Einführung von neuen Sanktionen im Falle eines Verstoßes untermauert. Abhängig von der Art des betreffenden Verstoßes müssen Verantwortliche und Auftragsverarbeitende im Falle einer Verletzung von personenbezogenen Daten oder der Rechte von Datensubjekten ggf. mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres Jahresumsatzes rechnen (je nachdem, was größer ist).

Mehr zur Compliance mit der DSGVO

  • Die Datenschutzrichtlinie wurde zwar von der DSGVO abgelöst, doch mit ihr wurden acht Grundsätze des Datenschutzes festgelegt, auf die auch die DSGVO aufbaut. An diese acht Regeln zum Schutz personenbezogener Daten sollten sich Unternehmen künftig halten:

    1. Personenbezogene Daten müssen auf faire Weise erfasst und verarbeitet werden.
    2. Die Daten dürfen für einen oder mehrere genau definierte und rechtmäßige Verwendungszwecke aufbewahrt werden.
    3. Die Daten dürfen nur für die ursprünglich angegebenen Verwendungszwecke verarbeitet werden.
    4. Die Daten müssen geschützt werden.
    5. Die Daten müssen korrekt und aktualisiert sein.
    6. Die Daten sollen adäquat und relevant sein sowie auf das für den vorgesehenen Verarbeitungszweck absolut notwendige Minimum beschränkt werden.
    7. Die Daten dürfen zu diesem genau definierten Verwendungszweck oder -zwecken nicht länger als nötig aufbewahrt werden.
    8. Einzelpersonen haben das Recht, auf Anfrage eine Kopie ihrer personenbezogenen Daten zu erhalten.

    Die Datenschutzrichtlinie war, wie der Name schon sagt, eine Richtlinie. Mit solch einer Richtlinie wird allen EU-Mitgliedstaaten ein Ziel vorgegeben, das sie erreichen müssen. Es obliegt jedoch den einzelnen Ländern, ihre eigenen Rechtsvorschriften zur Erreichung dieser Ziele aufzustellen. In Irland wurde die Datenschutzrichtlinie beispielsweise durch das irische Datenschutzgesetz von 1998 implementiert.

    Eine Verordnung wie die DSGVO hingegen ist ein bindender Rechtsakt, der in vollem Umfang in der gesamten EU zur Anwendung kommt.

  • Falls Sie mit dem Begriff noch nicht vertraut sind: „Double-Opt-in“ bezeichnet einen zweistufigen Mechanismus, bei dem Kontakte ihre E-Mail-Adressen nach einer erstmaligen Registrierung bestätigen müssen. In der DSGVO finden sich keine Hinweise darauf, ob es erforderlich sein wird, die Einwilligung zur Verarbeitung personenbezogener Daten auf diese Art und Weise einzuholen (sie kann jedoch in einigen Ländern zwingend erforderlich sein).

    An dieser Stelle möchten wir erwähnen, dass Abonnentinnen und Abonnenten des HubSpot-Service bereits jetzt die Option haben, die Double-Opt-in-Funktion in ihren Portalen einzusetzen, um mit dieser zusätzlichen Schutzmaßnahme die Einholung von erforderlichen Einwilligungen nachweisen zu können.
  • Im Juni 2016 stimmte die Mehrheit der britischen Wählerinnen und Wähler im sogenannten „Brexit-Referendum“ für einen Ausstieg des Vereinigten Königreichs aus der EU. Im März 2017 gab Theresa May den Ausstieg aus der EU gemäß Artikel 50 bekannt, was zur Aufnahme der Austrittsverhandlungen führte. Die folgende Seite bietet Ihnen nützliche Informationen zu den Bedingungen und Änderungen rund um den Brexit: https://ico.org.uk/for-organisations/data-protection-and-brexit.

    Unternehmen, die außerhalb Großbritanniens ansässig sind und personenbezogene Daten mit Anbietern oder Partnerunternehmen in Großbritannien teilen, müssen zudem die weiteren Entwicklungen in diesem Bereich beobachten. Mit dem offiziellen Austritt Großbritanniens verfügen grenzüberschreitende Datenflüsse möglicherweise nicht automatisch über einen ausreichenden Schutz. Zusätzliche Maßnahmen für Datenübertragungen ins Vereinigte Königreich könnten daher erforderlich sein.

  • Einzelpersonen hatten bereits mit der Datenschutzrichtlinie von 1995 viele Rechte zum Schutz ihrer personenbezogenen Daten. Mit der DSGVO wurden diese noch verstärkt. Datensubjekte können jetzt also:

    • alle Details zur Verarbeitung ihrer Daten bei der Organisation oder dem Unternehmen anfordern;
    • eine Kopie der personenbezogenen Daten anfordern, die bei einem Unternehmen über sie gespeichert sind;
    • falsche oder unvollständige Daten berichtigen lassen;
    • ihre Daten bei einem Unternehmen löschen lassen, z. B. wenn es diese ohne berechtigten Grund aufbewahrt;
    • ihre Daten von einem Unternehmen anfordern und diese an ein anderes Unternehmen übermitteln (Datenübertragbarkeit);
    • der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen;
    • (mit einigen Ausnahmen) nicht von einer automatisierten Entscheidungsfindung, einschließlich Profiling, unterworfen werden.
  • Nein. Im Rahmen der DSGVO besteht keine Verpflichtung zur Aufbewahrung von personenbezogenen Daten innerhalb der EU und die Regelungen bezüglich der Übertragung personenbezogener Daten außerhalb der EU werden sich nicht ändern. Solange die personenbezogenen Daten „ausreichend geschützt“ sind, können sie ins Ausland übertragen werden. Die EU hat beispielsweise eine sogenannte „Weiße Liste“ von Ländern erstellt, die einen ausreichenden Datenschutz bieten. Die Datenübertragung in diese Länder ist also zulässig. Steht ein Land nicht auf dieser EU-Liste (z. B. die USA), bedürfen Verantwortliche zugelassener Vertragsbestimmungen (z. B. Modellklauseln oder verbindliche interne Datenschutzvorschriften) oder anderer alternativer und gesetzlich geregelter Maßnahmen (z. B. die Privacy-Shield-Zertifizierung).

  • Wir haben unten eine Liste mit externen Websites zusammengestellt, auf denen Sie weitere Informationen zu der neuen Verordnung finden können. Schauen Sie sich diese gerne an.

    • Website zur DSGVO der Data Protection Commission von Irland hier

    • Orientierungshilfe zur DSGVO von der deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hier

    • Funktionalität der DSGVO von HubSpot hier

    • Website des europäischen Datenschutzbeauftragten hier

    • Seite des HubSpot-Sicherheitsprogramms hier

    • Möglichkeit, Ihre zuständige Aufsichtsbehörde zu suchen, hier

    • Vollständige Fassung der DSGVO hier

    • Vollständige Fassung der DSGVO auf Deutsch hier

    • Website der EU zur DSGVO hier

    • Website der britischen Datenschutzbehörde hier
  1. Unsere Studie zur DSGVO

    Wie gut waren andere Organisationen auf die DSGVO vorbereitet? Was halten Verbraucherinnen und Verbraucher von den Änderungen? Die Antworten finden Sie in unserer Studie.

    Jetzt lesen
  2. Class_Room_DE

    Eine DSGVO-Strategie entwickeln

    In dieser Lektion erfahren Sie, was die DSGVO ist, welche Änderungen den Bereich des Datenschutzes weiter verbessern sollen und inwiefern sich die Neuerungen auf das Inbound-Marketing und den Vertrieb auswirken. Zudem erhalten Sie Informationen dazu, welche Änderungen Sie unter Umständen in Ihrem Unternehmen implementieren müssen und wie Sie sich am besten auf die DSGVO vorbereiten.

    Jetzt loslegen
  3. Checklist - DE

    Unsere kostenlose Checkliste zur DSGVO-Compliance

    Das Team von HubSpot hat für seine Kunden und Partner eine kostenlose Checkliste zur DSGVO-Compliance erstellt, anhand derer Sie feststellen können, welche weiteren Schritte und Maßnahmen Sie ergreifen sollten.

    Jetzt lesen
  4. DSGVO-Umfrage

    Wie gut waren Marketerinnen und Marketer auf die DSGVO vorbereitet?

    Erfahren Sie, was Verbraucherinnen und Verbraucher und Marketingteams von der DSGVO halten. Wir haben über 3.000 Personen für Sie befragt.

    Jetzt lesen
  5. Unser Glossar mit sämtlichen rechtlichen Definitionen rund um die DSGVO

    Unser DSGVO-Glossar

    Die DSGVO wurde von Juristen und daher in dementsprechend komplexem Rechtsjargon verfasst. Aber keine Sorge! Mit unserem Glossar möchten wir Ihnen dabei helfen, die wichtigsten Begriffsdefinitionen nachvollziehen zu können.

    Jetzt lesen