ISMS Copilot
Unterstützte Frameworks

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist das umfassende Datenschutzgesetz der EU, das regelt, wie Organisationen personenbezogene Daten erheben, verarbeiten, speichern und schützen. Die seit dem 25. Mai 2018 geltende DSGVO gilt für jede Organisation weltweit, die personenbezogene Daten von EU-Bürgern verarbeitet, und legt strenge Anforderungen sowie erhebliche Sanktionen bei Nichteinhaltung fest.

ISMS Copilot verfügt über spezifisches Wissen zu den DSGVO-Anforderungen. Sie können im Framework spezifische Fragen stellen, Richtlinien erstellen, die an den DSGVO-Grundsätzen ausgerichtet sind, und die Konformität der Datenverarbeitung mithilfe des KI-Assistenten bewerten.

Wer muss die DSGVO einhalten?

Die DSGVO gilt für:

  • Organisationen mit Sitz in der EU, die personenbezogene Daten verarbeiten, unabhängig davon, wo die Verarbeitung stattfindet

  • Organisationen außerhalb der EU, die Waren oder Dienstleistungen für EU-Bürger anbieten oder deren Verhalten überwachen

  • Verantwortliche (Data Controllers): Stellen, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden

  • Auftragsverarbeiter (Data Processors): Stellen, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeiten (Anbieter, Dienstleister)

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Namen, E-Mail-Adressen, IP-Adressen, Standortdaten, Online-Kennungen, Gesundheitsinformationen usw.).

Die DSGVO hat eine extraterritoriale Reichweite. Selbst wenn Ihr Unternehmen seinen Sitz außerhalb der EU hat, müssen Sie diese einhalten, wenn Sie Daten von EU-Bürgern verarbeiten.

Sieben Grundprinzipien

Die DSGVO legt sieben grundlegende Datenschutzprinzipien fest:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeiten Sie Daten legal, fair und für die betroffene Person transparent

  2. Zweckbindung: Erheben Sie Daten nur für festgelegte, eindeutige und legitime Zwecke

  3. Datenminimierung: Erheben Sie nur Daten, die für den Zweck angemessen, relevant und auf das Notwendige beschränkt sind

  4. Richtigkeit: Stellen Sie sicher, dass personenbezogene Daten korrekt und auf dem neuesten Stand sind

  5. Speicherbegrenzung: Bewahren Sie Daten nur so lange in identifizierbarer Form auf, wie es erforderlich ist

  6. Integrität und Vertraulichkeit: Sichern Sie Daten gegen unbefugte Verarbeitung, Verlust oder Beschädigung ab

  7. Rechenschaftspflicht: Weisen Sie die Einhaltung der DSGVO-Grundsätze nach

Wichtige Anforderungen

Organisationen müssen mehrere obligatorische Funktionen implementieren:

  • Rechtsgrundlage für die Verarbeitung: Legen Sie rechtmäßige Gründe fest (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse, lebenswichtige Interessen, öffentliche Aufgabe)

  • Datenschutzhinweise: Stellen Sie klare, zugängliche Informationen über Datenverarbeitungsaktivitäten bereit

  • Erfüllung der Betroffenenrechte: Ermöglichen Sie Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch

  • Einwilligungsmanagement: Holen Sie freiwillige, spezifische, informierte und unmissverständliche Einwilligungen ein und dokumentieren Sie diese bei Bedarf

  • Datenschutz-Folgenabschätzungen (DSFA): Führen Sie Bewertungen für Verarbeitungstätigkeiten mit hohem Risiko durch

  • Meldung von Datenschutzverletzungen: Melden Sie Verstöße innerhalb von 72 Stunden an die Aufsichtsbehörden und benachrichtigen Sie bei Bedarf die betroffenen Personen

  • Verzeichnis von Verarbeitungstätigkeiten: Führen Sie eine umfassende Dokumentation aller Datenverarbeitungen

  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Implementieren Sie Datenschutzvorkehrungen von Anfang an

  • Lieferantenmanagement: Schließen Sie Auftragsverarbeitungsverträge mit Verarbeitern ab und führen Sie Due-Diligence-Prüfungen durch

Rechte der betroffenen Person

Die DSGVO gewährt Einzelpersonen umfangreiche Rechte an ihren personenbezogenen Daten:

  • Recht auf Information: Klare Informationen über die Datenverarbeitung

  • Recht auf Auskunft: Erhalt einer Bestätigung und Kopien ihrer Daten

  • Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten

  • Recht auf Löschung („Recht auf Vergessenwerden“): Antrag auf Löschung unter bestimmten Umständen

  • Recht auf Einschränkung der Verarbeitung: Begrenzung der Art und Weise, wie Daten verwendet werden

  • Recht auf Datenübertragbarkeit: Erhalt von Daten in einem strukturierten, gängigen Format

  • Recht auf Widerspruch: Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder für Direktmarketing

  • Rechte im Zusammenhang mit automatisierter Entscheidungsfindung: Anfechtung ausschließlich automatisierter Entscheidungen mit rechtlicher oder erheblicher Wirkung

Organisationen müssen auf Anfragen betroffener Personen innerhalb eines Monats reagieren.

Besondere Kategorien und internationale Datentransfers

Besondere Kategorien personenbezogener Daten (sensible Daten wie Gesundheit, Rasse, Religion, Biometrie) erfordern zusätzliche Schutzmaßnahmen sowie eine ausdrückliche Einwilligung oder eine andere spezifische Rechtsgrundlage.

Internationale Datentransfers außerhalb der EU/des EWR erfordern:

  • Einen Angemessenheitsbeschluss der Europäischen Kommission ODER

  • Geeignete Garantien (Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften) ODER

  • Spezifische Ausnahmen für Ausnahmesituationen

Datenschutzbeauftragte (DSB)

Organisationen müssen einen DSB ernennen, wenn sie:

  • Eine Behörde oder öffentliche Stelle sind

  • Eine umfangreiche systematische Überwachung durchführen

  • Besondere Datenkategorien in großem Umfang verarbeiten

Der DSB berät bei der Einhaltung, überwacht die Datenschutzaktivitäten und dient als Ansprechpartner für Aufsichtsbehörden.

Sanktionen

Die DSGVO sieht gestaffelte Geldbußen vor:

  • Niedrigerer Rahmen (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes): Verstöße gegen Pflichten der Auftragsverarbeiter, Anforderungen an den DSB oder Pflichten der Zertifizierungsstellen

  • Höherer Rahmen (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes): Verstöße gegen Grundprinzipien, Betroffenenrechte, Regeln für den internationalen Datentransfer oder Nichtbefolgung von Anordnungen der Aufsichtsbehörden

Bußgelder werden basierend auf Schweregrad, Dauer, Vorsatz, Minderungsmaßnahmen und Zusammenarbeit mit den Behörden festgelegt.

Wie ISMS Copilot hilft

ISMS Copilot bietet umfassende Unterstützung für die DSGVO-Konformität:

  • Framework-spezifische Anleitung: Stellen Sie Fragen zu bestimmten DSGVO-Artikeln, Grundsätzen oder Betroffenenrechten

  • Erstellung von Richtlinien: Erstellen Sie audit-bereite Datenschutzrichtlinien, Datenlöschkonzepte und Verfahren für Betroffenenrechte

  • Gap-Analyse: Laden Sie vorhandene Datenschutzdokumentationen hoch, um Lücken im Vergleich zu den DSGVO-Anforderungen zu identifizieren

  • DSFA-Vorlagen: Erstellen Sie Frameworks für Datenschutz-Folgenabschätzungen für Hochrisiko-Verarbeitungen

  • Verarbeitungsverzeichnisse: Erstellen Sie Verzeichnisse von Verarbeitungstätigkeiten (VVT) gemäß Artikel 30

  • Anbieterverträge: Entwickeln Sie DSGVO-konforme Auftragsverarbeitungsverträge (AVV)

  • Reaktionsplanung bei Datenpannen: Erstellen Sie Vorfallreaktionspläne mit den DSGVO-Meldefristen

  • Arbeitsbereich-Organisation: Verwalten Sie DSGVO-Projekte getrennt von anderen Compliance-Initiativen

Die KI verfügt über direktes Wissen über die Struktur und Anforderungen der DSGVO, sodass Sie in Ihren Prompts auf spezifische Artikel oder Rechte Bezug nehmen können.

Versuchen Sie zu fragen: „Erstelle ein Verfahren zur Beantwortung von Auskunftsersuchen (DSAR)“ oder „Erstelle einen DSGVO-konformen Datenschutzhinweis für eine SaaS-Anwendung“

Erste Schritte

Um mit der DSGVO-Compliance in ISMS Copilot zu beginnen:

  1. Erstellen Sie einen dedizierten Arbeitsbereich für die DSGVO-Konformität

  2. Bitten Sie die KI um Hilfe bei der Identifizierung Ihrer Rechtsgrundlagen für Verarbeitungstätigkeiten

  3. Erstellen Sie grundlegende Richtlinien (Datenschutzerklärung, Datenaufbewahrung, Betroffenenrechte)

  4. Erstellen Sie Verzeichnisse von Verarbeitungstätigkeiten gemäß Artikel 30 für Ihr Unternehmen

  5. Laden Sie vorhandene Datenschutzdokumentationen für eine Gap-Analyse hoch

  6. Entwickeln Sie ein DSFA-Framework für Hochrisiko-Verarbeitungstätigkeiten

  7. Erstellen Sie Auftragsverarbeitungsverträge für Anbieter, die an den Artikeln 28-29 ausgerichtet sind

Zugehörige Ressourcen

  • Offizieller Text der DSGVO-Verordnung: EUR-Lex

  • Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (EDSA)

  • Leitfäden der nationalen Datenschutzbehörden in Ihrer Gerichtsbarkeit

War das hilfreich?