Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO)

Was ist die EU-DSGVO?

Bei der EU-DSGVO handelt es sich um einen konsolidierten gesetzlichen Rahmen zur Gewährleistung des Schutzes „grundlegender Rechte und Freiheiten natürlicher Personen, insbesondere ihres Rechts auf den Schutz personenbezogener Daten“. Sie ist ein zwingendes Gesetz, dessen Bestimmungen, die in der gesamten Europäischen Union auf die geschäftliche Nutzung personenbezogener Daten zutreffen, unbedingt eingehalten werden müssen. Sie ersetzt die bisherigen einzelnen Regelungen und gesetzlichen Rahmen. Die DSGVO ersetzt die 20 Jahre alte Richtlinie (95/46/EG).

Die Verordnung tritt am 25. Mai 2018 in Kraft.

Wichtige Änderungen

Die geografische Reichweite dieses neuen Gesetzes ist größer als die der bisherigen Richtlinie. Es führt außerdem neue Verpflichtungen für Organisationen ein, die Daten verarbeiten. Deshalb werden die meisten Organisationen Anpassungen an ihren Datenschutzprogrammen vornehmen müssen, um die Einhaltung der Bestimmungen der DSGVO zu gewährleisten:

  • Der Geltungsbereich der DSGVO schließt die Überwachung des Verhaltens natürlicher Personen in der EU ein, selbst wenn diese Überwachung von Datenverantwortlichen außerhalb der EU durchgeführt wird. Somit ist ihre Geltung großflächig und umfassend. So gut wie jede Website und Anwendung verfolgt die digitalen Aktivitäten ihrer Besucher auf irgendeine Weise nach.
  • Die DSGVO erweitert die derzeitigen Sorgfaltsprüfungspflichten und erweitert die Haftung zusätzlich auf Datenverarbeiter, nicht nur Datenverantwortliche. Datenverantwortliche sind verpflichtet, Datenverarbeiter einzusetzen, die die Sicherheitsanforderungen der Datenverarbeitungsstandards erfüllen.
  • Die DSGVO legt erstmalig Standards für die Benachrichtigung über Datenschutzverletzungen fest. Die Benachrichtigung muss ohne unnötige Verzögerung und, sofern möglich, innerhalb von 72 Stunden ab Bekanntwerden der Datenschutzverletzung erfolgen.
  • Ferner stärkt die DSGVO die bestehenden Rechte natürlicher Personen, indem sie das Recht auf die Anforderung der Löschung personenbezogener Daten (das „Recht auf Vergessenwerden“) anpasst und ein neues Recht auf Datenübertragbarkeit schafft. Beispielsweise erlaubt das Recht auf Vergessenwerden Datensubjekten die Anforderung der Löschung personenbezogener Daten und in bestimmten Fällen die Aufforderung anderer Verantwortlicher, diese Anforderung ebenfalls umzusetzen. Das Recht auf Datenübertragbarkeit verpflichtet Datenverantwortliche, personenbezogene Daten dem Datensubjekt in einem gängigen Format zur Verfügung zu stellen und diese Daten auf Anforderung des Datensubjekt an einen anderen Verantwortlichen zu übertragen.

Auswirkungen auf Ihre Organisation

Neue Anforderungen rund um persönliche Rechte machen den Datenschutz zu einem operativen Anliegen. Einige Beispiele: Auskunftsanspruch, Zugriffsrecht, Nachbesserungsrecht, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht, Recht auf Löschung und Recht auf Datenübertragung.

Um diese neuen Anforderungen bis zum anstehenden Datum des Inkrafttretens umsetzen zu können, müssen Stakeholder aus verschiedenen Abteilungen Ihrer Organisation zusammenarbeiten. Bevor entschieden wird, in welchen Bereichen Ressourcen und Technologie aufgewendet werden sollen, sollte das Team eine Prioritätsbewertung durchführen. Im Rahmen der Prioritätsbewertung werden Ihre derzeitigen Datenschutzpraktiken anhand der DSGVO-Anforderungen bewertet. Nachdem Risiken und Lücken bewertet wurden, kann das Team mit der Implementierung einer priorisierten Liste von Anforderungen beginnen und die Einhaltung der Bestimmungen demonstrieren.

Wie kann Alibaba Cloud helfen?

Sicherheit

Es ist uns ein wichtiges Anliegen, stabile, zuverlässige, sichere und gesetzeskonforme Services für Cloud-Computing-Infrastrukturen bereitzustellen. Alibaba Cloud gewährleistet vom Rechenzentrum bis zum Endbenutzer Sicherheit und Datenschutz mithilfe seiner umfassenden Sicherheitsfunktionen. Unsere Rechenzentren werden durch rigorose physische Sicherheitsvorkehrungen geschützt und moderne logische Sicherheitstechnologien verhindern den unbefugten Zugriff auf unsere Netzwerke. Wir übernehmen inländische und internationale Informationssicherheitsstandards sowie Branchenanforderungen. Mit regelmäßigen Bewertungen durch Dritte und Überprüfungen durch zahlreiche Zertifizierungsstellen verbessern wir uns kontinuierlich und streben höhere Standards an.

Weitere Informationen über unsere Sicherheitskontrollpraktiken finden Sie in unserem Security and Compliance Center oder in unserem neuesten Whitepaper zum Thema Sicherheit.

Privatsphäre

Alibaba Cloud verpflichtet sich für den Schutz der personenbezogenen Daten seiner Kunden aus aller Welt. Wir halten uns an die geltenden Gesetze der Märkte, in denen wir unseren Geschäften nachgehen.

Sie finden unsere Datenschutzerklärung auf unserer Website. Alle Anfragen und datenschutzbezogenen Anliegen können über unser Online-Trust-Center-Portal eingesendet werden.

Wie kann unser Datenschutzpartner TrustArc helfen?

Im Rahmen seines DSGVO-Compliance-Programms ist Alibaba Cloud eine Partnerschaft mit TrustArc eingegangen. TrustArc bietet auf bewährten Methoden basierende Tools und Lösungen zur Einschätzung der Bereitschaft, Erstellung eines Plans und anschließenden Umsetzung des Plans für DSGVO-Compliance. Die Vorgehensweise „erstellen, implementieren, demonstrieren“, kombiniert mit unserer integrierten Technologielösung, unterstützt Unternehmen beim Umgang mit einem nachhaltigen DSGVO-Programm.

TrustArc kann Ihre Organisation bei der Konformität mit bestimmten Bereichen der DSGVO unterstützen, zum Beispiel:

  • DSGVO-bezogene Bereitschafts- und Prioritätsbewertungen
  • DPIA- und PIA-Programmdesign, DSGVO-Bereitschafts- und DPIA-Bewertungen mit umfassender Plattform zur Verwaltung der Bewertungen
  • Mapping des Datenflusses
  • Gestaltung und Bewertung von Richtlinien für anbieterspezifisches Risikomanagement

Weitere Informationen unter www.trustarc.com/alibaba.

Häufig gestellte Fragen

1. Mein Unternehmen ist nicht in Europa etabliert und/oder nicht in Europa ansässig. Ist mein Unternehmen vom Geltungsbereich der DSGVO ausgeschlossen? Warum?

Die Datenschutz-Grundverordnung (DSGVO) hat extraterritoriale Wirkung und gilt für Unternehmen, die außerhalb Europas ansässig sind, aber Waren und Dienstleistungen für Einwohner der Union bereitstellen oder Verhalten innerhalb der Union überwachen. Das bedeutet, dass Sie selbst dann bewerten sollten, ob Ihr Kundenkreis Einwohner der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) umfasst, wenn Ihr Unternehmen nicht in der EU oder dem EWR etabliert ist. Ist dies der Fall, sind Sie verpflichtet, bei der Verarbeitung ihrer personenbezogenen Daten die Bestimmungen der DSGVO einzuhalten.

Bitte beachten Sie, dass die Definition von personenbezogenen Daten in der Union sehr weit gefasst ist und auch Daten umfasst, die für gewöhnlich nicht als personenbezogene Daten wahrgenommen werden. Dazu zählen beispielsweise anonymisierte Daten und IP-Adressen (statisch und dynamisch).

2. Was braucht mein Unternehmen, um DSGVO-konform zu bleiben?

Die DSGVO legt zahlreiche detaillierte und strenge Anforderungen fest. Insbesondere legt die DSGVO erhebliche Dokumentationsanforderungen fest, was bedeutet, dass viele Konformitätsanforderungen durch schriftliche Dokumentation belegt werden müssen. Zum besseren Verständnis lassen sich diese Anforderungen in zwei weit gefasste Oberbegriffe einordnen: Datenhygiene und Rechte von Datensubjekten.

Unter den Begriff „Datenhygiene“ fallen Anforderungen zur Pflege eines Datenverarbeitungsinventars, zum Beleg von „Privacy by Design“ und „Privacy by Default“ (eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen), zur Durchführung einer Datenschutzfolgenabschätzung, zur Meldung von Datenschutzverletzungen bei Datenschutzbehörden und unter bestimmten Umständen bei betroffenen Kunden innerhalb von 72 Stunden, zur Ernennung eines Datenschutzbeauftragten (mit Ausnahmen) und weitere. Unter den Begriff „Rechte von Datensubjekten“ haben Datensubjekte, deren Daten verarbeitet werden, Rechte in Bezug auf ihre Daten, darunter das Zugriffsrecht, das Nachbesserungsrecht, das Recht auf Löschung, der Auskunftsanspruch, das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht, das Recht auf Datenübertragung und viele mehr.

Aufgrund der Komplexität und der Detailliertheit der DSGVO ist es ratsam, sich mit ihrem Gesamttext vertraut zu machen. Diesen finden Sie hier auf der Webseite der Europäischen Kommission.

Neben der Verordnung veröffentlicht die Artikel-29-Datenschutzgruppe Leitlinien zur Unterstützung der Interpretation der DSGVO. Auch wenn ihre Leitlinien für die Interpretation der DSGVO nicht verbindlich oder entscheidend sind, haben ihre Ratschläge erhebliches Gewicht und sind eine zuverlässige Verständnishilfe in Bezug auf die DSGVO.

Es sollte auch beachtet werden, dass die DSGVO den Mitgliedsstaaten bezüglich ihrer Anforderungen ein gewisses Maß an Flexibilität einräumt, beispielsweise auf dem Gebiet der Mitarbeiterdaten und der Rechte von Datensubjekten. Das bedeutet, dass es Bereiche gibt, in denen die Mitgliedsstaaten sich geringfügig voneinander unterscheiden, wenn sie Gesetze zur lokalen Umsetzung der DSGVO verabschieden. Deshalb wird ausdrücklich empfohlen, dass Ihr Unternehmen mit dieser Flexibilität vertraut ist und die Unterschiede versteht, wenn Sie in mehreren verschiedenen Mitgliedsstaaten des EWR tätig sind.

3. Von welchen Zusicherungen oder Verbesserungen profitiere ich beim Thema DSGVO, wenn ich Alibaba Cloud nutze, im Vergleich zur Konkurrenz?

Wir bei Alibaba verstehen die Bedeutung internationaler Datenschutzstandards und helfen bei der Gewährleistung, dass die Sicherheitsinteressen aller Länder weltweit respektiert werden. Wir setzen Branchenstandards und Best-Practices zum Schutz personenbezogener Daten um und stellen sicher, dass unsere eigenen Datenschutzpraktiken die maßgeblichen Gesetze und Vorschriften erfüllen. Zudem beobachten wir landesspezifische Richtlinien, um in Bezug auf jegliche Veränderungen, die sich auf uns und unsere Kunden auswirken können, auf dem neuesten Stand zu bleiben.

4. Welche Unterstützung wird Alibaba Cloud seinen Kunden bieten, um die Konformität mit der DSGVO zu gewährleisten, wenn diese in Kraft tritt?

Alibaba Cloud bietet nicht nur konforme Hosting-Services, sondern auch im Rahmen unserer Partnerschaft mit einem branchenführenden Technologiepartner in Sachen Datenschutz-Risikomanagement Leitlinien zum Datenschutzmanagement, auf die unsere Kunden zugreifen können, um den höchsten Standards für Datenschutz und Privatsphäre gerecht zu werden. Zudem betrachten wir die Dinge aus der Sicht unserer Kunden und bauen auf unsere Erfahrung, um unsere Kunden zu unterstützen.

5. Ist Alibaba Cloud DSGVO-konform?

Compliance und die Privatsphäre unserer Kunden sind Alibaba Cloud ein äußerst wichtiges Anliegen. Wir setzen alles daran, bis zum Datum des Inkrafttretens am 25. Mai 2018 DSGVO-konform zu werden.

6. Welche Bedenken sollte ich beim Vergleich eines chinesischen IaaS-Anbieters mit einem europäischen oder amerikanischen in Bezug auf die DSGVO haben?

Was die DSGVO betrifft, gibt es keine Unterschiede bei den Compliance-Anforderungen für IaaS-Anbieter aus aller Welt. Alle IaaS-Anbieter, die Produkte oder Services für Kunden in der EU/im EWR bereitstellen, sind verpflichtet, die Bestimmungen der DSGVO zu erfüllen. Somit müssen Sie bei diesem Thema keine Bedenken haben.

Ressourcen und Newsletter