Twilio und die Datenschutz-Grundverordnung (DSGVO)

Überblick

„DSGVO“ steht für die Datenschutz-Grundverordnung der Europäischen Union. Sie ersetzt die Datenschutzrichtlinie. Zweck der DSGVO ist es, einen angemessenen Schutz personenbezogener Daten in einer digitalen Gesellschaft zu gewährleisten.

Die DSGVO, ebenso wie zuvor die Datenschutzrichtlinie, ist in Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union festgelegt, die in Artikel 12 der Allgemeinen Erklärung der Menschenrechte, die von der UN-Generalversammlung 1948 angenommen wurde, und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union festgehalten ist, wonach jede Person „das Recht auf Schutz der sie betreffenden personenbezogenen Daten“ hat.

Obwohl die DSGVO im Jahr 2016 verabschiedet wurde, trat sie erst am 25. Mai 2018 in Kraft.

Was sind meine Hauptaufgaben nach der DSGVO?

Ihre Pflichten nach der DSGVO hängen von der Art Ihres Unternehmens und Ihrer Verarbeitung personenbezogener Daten ab. Die DSGVO verlangt aber in jedem Fall, dass personenbezogene Daten

  1. auf rechtmäßige, faire und transparente Weise verarbeitet werden,
  2. für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden,
  3. dem Zweck angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind,
  4. sachlich richtig und auf dem neuesten Stand sind,
  5. nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist und
  6. vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung angemessen geschützt sind.

Darüber hinaus verpflichtet die DSGVO Unternehmen zusätzlich dazu, ihre Verarbeitungsvorgänge zu dokumentieren und nachweisen zu können, dass sie die oben genannten Grundsätze einhalten. Außerdem wird die Anforderung kodifiziert, dass Unternehmen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei der Entwicklung und Gestaltung von Prozessen, Produkten und Systemen anwenden.

Wenn darüber hinaus eine Verarbeitung der personenbezogenen Daten durch Dienstleister in Ihrem Auftrag erfolgt, müssen Sie sicherstellen, dass Sie über einen entsprechenden Vertrag verfügen, der gewährleistet, dass die Verarbeitung durch den Auftragsverarbeiter im Einklang mit den Anforderungen der DSGVO erfolgt. Wenn Sie personenbezogene Daten aus der EU in ein Land übermitteln, das nicht in der EU ist, dürfen Sie dies nur tun, wenn sie in ein Land übermittelt werden, das laut der EU-Kommission ein angemessenes Datenschutzniveau bietet. Für Übermittlungen in Länder, deren Datenschutzniveau nicht als angemessen erachtet wird, müssen Sie für geeignete alternative Schutzmaßnahmen sorgen. Derzeit gehören zu den geeigneten Garantien gemäß der DSGVO das EU-US Datenschutzschild und Standardvertragsklauseln.

Je nach Art Ihres Unternehmens und Ihrer Verarbeitungsvorgänge personenbezogener Daten können verschiedene DSGVO-Verpflichtungen gelten. Sie sollten sich von einem qualifizierten Datenschutzexperten beraten lassen, um zu verstehen, inwiefern die DSGVO Ihr Unternehmen betrifft.

Wie lautet die Definition von „personenbezogenen Daten“ gemäß der DSGVO?

Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person (auch „betroffene Person“ genannt) beziehen. Eine identifizierbare Person ist eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Wichtig ist, dass es sich hierbei um eine sehr breite Definition handelt und sie Daten wie IP-Adressen persönlicher Nutzergeräte, Geräte-IDs oder Telefonnummern umfassen kann. Es spielt keine Rolle, dass sich die Kennung ändern könnte (z. B. dass Benutzer ihre Telefonnummer oder Geräte-ID ändern könnten). Entscheidend ist, dass die Informationen verwendet werden können, um „diesen Benutzer aus der Menge herauszufiltern“, auch wenn man nicht weiß, wer dieser Benutzer ist.

Es ist auch wichtig zu beachten, dass die Definition von personenbezogenen Daten nicht mit Bedenken bezüglich Identitätsdiebstahl verbunden ist, wie es bei der Definition von personenbezogenen Daten (PII) unter vielen US-Datenschutzgesetzen der Fall ist. Selbst wenn es also so aussieht, als würde es wenig Schaden anrichten, wenn jemand die IP-Adressen Ihrer Nutzer in die Hände bekommen würde, bedeutet das nicht, dass diese IP-Adressen keine personenbezogenen Daten darstellen. Es bedeutet nur, dass diese Daten möglicherweise nicht dasselbe Niveau an Datenschutz erfordern wie vertraulichere personenbezogene Daten wie die Kreditkartennummern Ihrer Nutzer.

Muss ich einen Datenschutzbeauftragten für die DSGVO bestellen?

Das kommt darauf an. Artikel 37 der DSGVO legt fest, dass Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, wenn:

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Die Arbeitsgruppe 29 (eine Gruppe von Datenschutzaufsichtsbehörden in der EU) stellt zusätzliche Leitlinien zur Verfügung, die Ihnen dabei helfen, festzustellen, ob Sie zu einer dieser Kategorien gehören.

Gibt es Umstände, unter denen die DSGVO nicht gilt?

Die DSGVO hat einen weiten Geltungsbereich und eine große Reichweite. Doch sie hat auch ihre Grenzen. Wenn Sie also keine Niederlassung in der Union haben und keine personenbezogenen Daten von EU-Angehörigen verarbeiten, gilt die DSGVO für Ihre Tätigkeiten nicht. Wenn Sie nicht wissen, ob Sie personenbezogene Daten aus der EU verarbeiten, sollten Sie überlegen, ob Sie für EU-Angehörige Waren und Dienstleistungen (auch kostenlose) anbieten oder ob Sie das Verhalten von Personen in der EU überwachen. Wenn ja, dann unterliegen Sie der DSGVO. Erwägungsgrund 23 der DSGVO weist darauf hin, dass die DSGVO nicht für Unternehmen gelten soll, die unbeabsichtigt personenbezogene Daten der EU verarbeiten, aber nicht versuchen, ihre Waren oder Dienstleistungen für Menschen in der EU bereitzustellen.

Mein Unternehmen ist ISO 27001-konform. Wird mir dies bei der Einhaltung der DSGVO helfen?

Die Einhaltung von Standards wie der Norm ISO 27001 kann für die Einhaltung der DSGVO hilfreich sein, insbesondere im Hinblick auf die Sicherheit der Verarbeitung. Aber die Einhaltung der DSGVO und die Einhaltung der ISO 27001 sind nicht gegenseitig austauschbar. Daher sollten Sie nicht davon ausgehen, dass Sie, wenn Sie ISO 27001-konform sind, auch automatisch DSGVO-konform sind.

Welche Strafen gibt es für die Nichteinhaltung der DSGVO?

Je nach Art des Verstoßes können Datenschutzbehörden Bußgelder oder Strafen für Verstöße von bis zu 20 Mio. € oder 4 % des globalen Umsatzes erlassen.

Weiterführende Literatur zur DSGVO

Es wurde viel über die DSGVO geschrieben. So wird eine einfache Web-Suche wahrscheinlich zu vielen Informationen führen. Darüber hinaus wird Twilio über seine Website zusätzliche Hilfestellung und Informationen zur DSGVO bereitstellen. Die verbindlichsten Informationen werden jedoch immer diejenigen sein, die von den Datenschutzaufsichtsbehörden oder der Union selbst bereitgestellt werden. Von besonderer Bedeutung sind die von der Artikel-29-Datenschutzgruppe erstellten Leitfäden, die Aufschluss darüber geben, wie die EU-Datenschutzaufsichtsbehörden, die mit der Durchsetzung der DSGVO beauftragt sind, die Verordnung wahrscheinlich interpretieren werden.

Die oben genannten Informationen spiegeln die Auslegung der DSGVO durch Twilio wider und ihre Anforderungen zum Zeitpunkt der Veröffentlichung. Bitte beachten Sie, dass nicht alle Auslegungen oder Anforderungen der DSGVO fest geregelt sind und ihre Anwendung tatsachen- und kontextspezifisch ist. Diese Informationen sollten nicht als Rechtsberatung oder als Grundlage für die Anwendung der DSGVO auf Ihr Unternehmen oder Ihre Organisation herangezogen werden. Wir empfehlen Ihnen, sich an qualifizierte Fachleute zu wenden, um zu erfahren, wie die DSGVO speziell für Ihr Unternehmen oder Ihre Organisation gilt und wie die Einhaltung der DSGVO sichergestellt werden kann. Diese Informationen werden so bereitgestellt, wie sie aktuell verfügbar sind, und können ohne vorherige Ankündigung aktualisiert oder geändert werden. Sie dürfen diesen Beitrag nur für interne Referenzzwecke kopieren und verwenden.

War dieser Artikel hilfreich?

Haben Sie noch Fragen? Senden Sie uns eine Anfrage.

Have more questions? Submit a request
Powered by Zendesk