eSignGlobaleSignGlobal
Sicherheitszentrum
Home
 21 CFR Part 11
Lieferanten von eSignGlobal

GDPR

EU-Datenkonformitätshinweise

  1. Überblick über die EU-Gesetzgebung zum Schutz personenbezogener Daten

Die EU hat 2016 die Datenschutz-Grundverordnung (DSGVO) erlassen, die 2018 in Kraft trat. Die DSGVO zielt darauf ab, die Privatsphäre und den Datenschutz aller Personen innerhalb der EU zu schützen. Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unabhängig von ihrem geografischen Standort, sofern ihre Datenverarbeitungsaktivitäten personenbezogene Daten von EU-Bürgern betreffen.

(一)Relevante Definitionen

  1. Der Verantwortliche ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; werden die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt werden.

  2. Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Es ist jedoch manchmal schwierig festzustellen, ob eine bestimmte Stelle als Verantwortlicher oder als Auftragsverarbeiter einzustufen ist.

  3. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die DSGVO hat den Umfang der personenbezogenen Daten erweitert. Gemäß der Definition der DSGVO umfassen personenbezogene Daten auch digitale Fingerabdrücke (z. B. IP-Adressen und Cookies). Darüber hinaus fallen Gen- oder biometrische Daten ebenfalls in die Kategorie der „sensiblen Daten“.

  4. Die DSGVO legt ausdrücklich fest, dass sensible personenbezogene Daten besonders geschützt werden müssen. Dazu gehören: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Informationen über das Sexualleben oder die sexuelle Orientierung sowie Informationen über strafrechtliche Verurteilungen. Für medizinische Einrichtungen gelten in der Regel noch höhere Anforderungen an den Datenschutz.

  5. Wesentliche Inhalte

(一)Unternehmen müssen bei der Umsetzung der DSGVO-Konformität die folgenden Schritte befolgen:

(1)Daten-Audit: Durchführung eines Audits der bestehenden Datenverarbeitungsaktivitäten, um sicherzustellen, dass die Herkunft, der Verwendungszweck und die Speicherdauer der personenbezogenen Daten bekannt sind.

(2)Aktualisierung der Datenschutzerklärung: Aktualisierung der Datenschutzerklärung, um sicherzustellen, dass ihr Inhalt den Anforderungen der DSGVO entspricht und die Nutzer klar über die Art und Weise der Verarbeitung ihrer Daten informiert werden.

(3)Einrichtung eines Compliance-Mechanismus: Einrichtung eines Datenverwaltungssystems, um sicherzustellen, dass alle Datenverarbeitungsaktivitäten den Grundsätzen der DSGVO entsprechen.

(4)Mitarbeiterschulung: Schulung der Mitarbeiter in Bezug auf die DSGVO und das Wissen über den Datenschutz, um ihr Compliance-Bewusstsein zu schärfen.

Überwachung und Überprüfung: Regelmäßige Überwachung der Datenverarbeitungsaktivitäten, um sicherzustellen, dass die Anforderungen der DSGVO weiterhin erfüllt werden.

  1. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?

Gemäß Artikel 6 der DSGVO ist die Verarbeitung personenbezogener Daten an die Einhaltung der folgenden sechs Rechtsgrundlagen gebunden:

(1)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

(2) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

(3)Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

(4)Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

(5)Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(6)Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (Hinweis: Dies gilt nicht für die von Behörden in Ausübung ihrer Aufgaben vorgenommene Verarbeitung)

Die vorherige Einwilligung ist die wichtigste Voraussetzung für Unternehmen, um die personenbezogenen Daten von EU-Bürgern rechtmäßig zu verarbeiten. Beispielsweise sollte Facebook bei der Einhaltung der DSGVO versuchen, eine Einwilligung einzuholen, anstatt den Grundsatz der Datenminimierung zu befolgen.

Die Einwilligung muss nachweisbar sein, klar von anderen Angelegenheiten abgegrenzt und widerrufbar sein. Es ist wichtig zu beachten, dass für die Verarbeitung sensibler Daten eine ausdrückliche Einwilligung erforderlich ist. Unklare oder „Pauschalzustimmungen“ gelten als ungültig. Unternehmen müssen der betroffenen Person eine leicht verständliche Formulierung präsentieren, damit diese wählen kann, ob sie der Verarbeitung ihrer personenbezogenen Daten zustimmt. In Anbetracht dessen wird es zumindest theoretisch keine unklaren, mit Fachbegriffen gespickten und langfristigen Einwilligungsanfragen mehr geben.

Darüber hinaus stellen Stillschweigen, vorausgewählte Kästchen oder Untätigkeit keine wirksame Einwilligung dar. Wenn ein Benutzer ein Häkchen setzen oder telefonisch zustimmen muss, handelt es sich um eine ausdrückliche Wahl.

Minderjährige unter 16 Jahren haben kein Recht auf rechtmäßige Einwilligung, aber die EU-Mitgliedstaaten können diese Altersgrenze auf 13 Jahre senken.

(二)Grenzüberschreitende Übermittlung personenbezogener Daten

1、Übermittlung innerhalb der EU

Bei der Übermittlung personenbezogener Daten innerhalb der EU stellt die DSGVO keine weiteren Anforderungen an die direkte Anwendbarkeit der DSGVO. Wenn der Verantwortliche jedoch einen Auftragsverarbeiter beauftragt, muss die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch eine Vereinbarung geregelt werden, und es müssen die in diesen Fällen von der DSGVO festgelegten Mindeststandards eingehalten werden. Die Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter (Artikel 28 der DSGVO) legt den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien von betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen fest.

  1. Datentransfer außerhalb der EU: Schritte zur Einhaltung der DSGVO

Für Datentransfers außerhalb der EU sieht die DSGVO bestimmte Umstände vor, unter denen solche Transfers stattfinden können. Insbesondere müssen Organisationen, die personenbezogene Daten außerhalb der EU übertragen, Folgendes überprüfen:

Ob ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, und falls nicht, zusätzliche Garantien durch vertragliche Vereinbarungen bieten.

(1) Die Europäische Kommission kann Beschlüsse über das Datenschutzniveau in Nicht-EU-Ländern erlassen (z. B. EU-US-Datenschutzschild). Diese Beschlüsse basieren auf einer umfassenden Bewertung, ob ein Drittland über angemessene Datenschutzgesetze verfügt, die denen der EU gleichwertig sind. Ein Angemessenheitsbeschluss führt zur Beseitigung jeglicher Hindernisse für die Datenübermittlung aus der EU (sowie aus Norwegen, Liechtenstein und Island) in dieses Drittland, ohne dass weitere Datenschutzanforderungen erforderlich sind.

(2) Die Übermittlung muss geeigneten Schutzmaßnahmen unterliegen

Wenn ein Drittland nicht unter einen Angemessenheitsbeschluss fällt, sollte eine EU-Organisation eine der folgenden Alternativen in Betracht ziehen:

1) Standardvertragsklauseln. Die Europäische Kommission kann auch Standardvertragsklauseln erlassen, um es EU-Verantwortlichen zu erleichtern, einen ausreichenden Datenschutz zu gewährleisten, wenn sie personenbezogene Daten an Nicht-EU-Verantwortliche oder -Auftragsverarbeiter übermitteln. Bisher hat die Europäische Kommission zwei Sätze von Standardvertragsklauseln herausgegeben: Datenübermittlung von einem EU-Verantwortlichen an einen Nicht-EU- oder EWR-Verantwortlichen und von einem EU-Verantwortlichen an einen Nicht-EU- oder EWR-Auftragsverarbeiter. Datenschutzbehörden können auch Musterklauseln annehmen. Diese Klauseln müssen jedoch von der Kommission genehmigt werden. Zu guter Letzt können grenzüberschreitende Übermittlungen auch auf der Grundlage von Ad-hoc-Vertragsklauseln erfolgen, die zwischen dem Datenexporteur und dem Datenimporteur vereinbart wurden und von der zuständigen Datenschutzbehörde genehmigt werden müssen.

2) Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR). Wenn personenbezogene Daten von einer Unternehmenseinheit an eine andere (unabhängig vom Standort) übermittelt werden, erfolgt die Datenübermittlung gemäß den verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR). Verbindliche interne Datenschutzvorschriften sind rechtsverbindliche Regeln, die von der zuständigen Aufsichtsbehörde genehmigt wurden und die Übermittlung und Verarbeitung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und ihrer Mitarbeiter (einschließlich derjenigen, die sich außerhalb des EU-Gebiets befinden) regeln. Der Vorteil von BCR gegenüber Standardvertragsklauseln besteht darin, dass nach der Genehmigung durch die Datenschutzbehörde alle zukünftigen konzerninternen Übermittlungen ohne weitere Anforderungen unabhängig vom Standort erfolgen können.

Zusätzliche Schutzmaßnahmen Zusätzlich zu den oben genannten Optionen führt die DSGVO zwei alternative Angemessenheitsinstrumente für die Datenübermittlung ein: genehmigte Zertifizierungsmechanismen und genehmigte Verhaltensregeln. Beide Mechanismen ermöglichen die Datenübermittlung, sofern sich der Datenimporteur verbindlich und durchsetzbar verpflichtet, angemessene Schutzmaßnahmen für den Datenschutz anzuwenden.

(3) Ausnahmen von der Datenübermittlung

In einer Reihe von Situationen ist die Übermittlung personenbezogener Daten ohne die oben genannten Übermittlungsmechanismen zulässig. Diese Situationen sind begrenzt und umfassen die folgenden:

  1. Die betroffene Person hat ausdrücklich zugestimmt;

  2. Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich;

  3. Es liegen wichtige Gründe des öffentlichen Interesses vor;

  4. Sie ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich;

  5. Dies ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person zu schützen;

  6. Es handelt sich um öffentlich registrierte Daten;

Darüber hinaus führt die DSGVO neue Einschränkungen für nicht wiederholte Übermittlungen ein, die eine begrenzte Anzahl von betroffenen Personen betreffen, nämlich die Derogation. In Ermangelung einer anderen Rechtsgrundlage ist eine Übermittlung zulässig, wenn sie zum Zweck der berechtigten Interessen des obligatorischen Datenexporteurs erfolgt und die berechtigten Interessen der betroffenen Person sowie die Bereitstellung angemessener Garantien durch den Exporteur für die übermittelten Daten nicht überwiegen. In diesem Fall muss der Exporteur die zuständige Datenschutzbehörde und die betroffene Person über die Umstände der Übermittlung informieren.

Kontaktiere uns
WhatsApp Beratung
Demo anfordern
Produkte
KI-Assistent
Hauptfunktionen
Branchen
Kundenbeispiele
Vergleiche
Ressourcen
Link:eSignatur Schatz |Alibaba Cloud |AWS |Huawei Cloud
Datenschutzbestimmungen |Nutzungsbedingungen |Service-Level-Vereinbarung
Copyright © 2025 eSignGlobal. All Rights Reserved.