Salesforce Trust


Datenschutz-Grundverordnung (DSGVO)

Ab 25. Mai 2018

So bereiten Sie sich auf die Datenschutz-Grundverordnung vor

Am 25 Mai 2018 tritt ein neues Gesetz, die Datenschutz-Grundverordnung (DSGVO), in der Europäischen Union (EU) in Kraft. Die DSGVO erweitert die Datenschutzrechte natürlicher Personen in der EU und legt neue Pflichten für alle Organisationen fest, die personenbezogene Daten in der EU vermarkten, nachverfolgen oder bearbeiten. Salesforce möchte die Kunden durch umfassende Datenschutz- und Sicherheitsmaßnahmen bei der Einhaltung der DSGVO unterstützen.

Ich bin Salesforce-Kunde – wie kann ich mich auf die DSGVO vorbereiten? 
Auf der DSGVO-Startseite finden Sie alle Informationen, die Sie für die Vorbereitung auf dieses neue Gesetz benötigen.

WEITERE INFORMATIONEN

Die Fakten zur DSGVO im Überblick

Was ist die DSGVO?

Die DSGVO ist ein neues umfassendes Datenschutzgesetz der EU. Darin werden die bisher geltenden Datenschutzgesetze in Bezug auf persönliche Daten vor dem Hintergrund der schnell voranschreitenden technologischen Entwicklungen, der zunehmenden Globalisierung und komplexeren internationalen Datenflüssen von personenbezogenen Daten verschärft. Sie ersetzt die momentan in den einzelnen Mitgliedsstaaten geltenden unterschiedlichen nationalen Datenschutzgesetze durch einen einheitlichen Regelsatz, der in allen Mitgliedsstaaten direkt umzusetzen ist.

Die DSGVO regelt die Verarbeitung, die die Erhebung, Speicherung, Übermittlung oder Nutzung personenbezogener Daten über EU-Bürger umfasst. Jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, einschließlich der Verfolgung ihrer Online-Aktivitäten, fällt in den Anwendungsbereich des Gesetzes, unabhängig davon, ob die Organisation eine physische Präsenz in der EU hat. Wichtig ist, dass gemäß DSGVO der Begriff der personenbezogenen Daten weit gefasst ist und alle Informationen beinhaltet, die sich auf eine identifizierte oder identifizierbare Person beziehen (auch als "Datensubjekt" bezeichnet).

Welche Sicherheitsmaßnahmen muss ich aufgrund dieses neuen Gesetzes implementieren?

Organisationen müssen angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor unbefugter Verarbeitung und unbeabsichtigter Offenlegung, Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Abhängig vom konkreten Anwendungsfall und den verarbeiteten personenbezogenen Daten wird die Verwendung von Datenseparation, Verschlüsselung, Pseudonymisierung und Anonymisierung zum Schutz personenbezogener Daten empfohlen und in einigen Fällen auch gefordert.

Im Folgenden werden einige empfohlene Maßnahmen genannt, die Organisationen zum Schutz personenbezogener Daten implementieren können:

  • Verschlüsselung: Obwohl nicht erforderlich, fördert das Gesetz die Verschlüsselung als wirksame Methode, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten.
  • Pseudonymisierung: Durch die DSGVO werden Organisationen aufgefordert, die Pseudonymisierung als risikobasierte Maßnahme zum Schutz der Datensicherheit und der Rechte des Einzelnen einzusetzen.
  • Anonymisierung: Im Vergleich zur Pseudonymisierung geht die Anonymisierung von Daten noch einen Schritt weiter und ist der sicherste Weg zum Schutz personenbezogener Daten. Um als wirklich anonym zu gelten, muss es unmöglich sein, eine Person durch eine weitere Verarbeitung oder durch die Kombination von Daten mit anderen Informationen aus den Daten zu identifizieren.
  • Rechenschaftspflicht: Laut DSGVO gibt es einen für die Verarbeitung Verantwortlichen, der die Verantwortung für die Implementierung der Maßnahmen zur Sicherstellung der ordnungsgemäßen Handhabung entsprechend den Prinzipien der DSGVO trägt. Dazu gehören die Ernennung eines Datenschutzbeauftragten, vertragliche Verpflichtungen für den Verarbeiter und die Anwendung der Grundsätze des "eingebauten Datenschutzes" und der "datenschutzfreundlichen Grundeinstellungen". Darüber hinaus muss ein für die Verarbeitung Verantwortlicher in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, unter anderem durch Aufzeichnungen über die Verarbeitungstätigkeiten und die Durchführung von Datenschutzverträglichkeitsprüfungen.

     Es ist wichtig, darauf hinzuweisen, dass die für die Verarbeitung Verantwortlichen laut DSGVO jeden Verstoß gegen die Datenschutzbestimmungen so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden des Verstoßes, ihrer Datenschutzbehörde melden müssen, es sei denn, der Verstoß wird den betroffenen Personen wahrscheinlich keinen Schaden zufügen. Bei hohem Schadensrisiko müssen die für die Datenverarbeitung Verantwortlichen den Betroffenen so schnell wie möglich Datenverstöße melden. Die Datenverarbeiter müssen auch die für die Verarbeitung Verantwortlichen so schnell wie möglich über Verstöße gegen die Datenschutzbestimmungen informieren.
 
Trailhead

European Union Privacy Law Basics (Grundlagen zu den Datenschutzgesetzen in der EU)

WEITERE INFORMATIONEN