General Data Protection Regulation (GDPR) (DSGVO)
General Data Protection Regulation
Based on various sources, authored by
Note: Each customer is responsible for compliance with applicable laws and regulations, including the General Data Protection Regulation of the European Union itself. It is the sole responsibility of the Client to seek expert advice on the content and interpretation of any relevant laws and regulations that affect its business and any actions it may take to comply with such laws and regulations. The products, services, and other features described in this document are not appropriate for all customer situations and may be limited. IBM does not provide any legal or tax advice, and does not make any warranty as to the compliance of IBM products or services with applicable laws and regulations.

For more information, visit
If you need more copies of this book or would like to read other books from this series, visit us at:
After four years of trial, the
Basic Data Protection Regulation in April 20164
ratified and has ratified by the European Union
has now gained legal force. In some
However, a two-year period applies
for transposition into national law.

That means that company from May 25, 20185
comply fully with the regulation.

The Basic Data Protection Regulation is intended to enable natural persons to better control their personal data and to establish uniform data protection rules for the whole of Europe.

For companies outside the EU, this regulation applies when collecting data on EU citizens6.
50% of global companies1 state that they will have difficulty meeting European rules unless they fundamentally change their operations. Many companies may therefore also appoint a data protection officer.
Personal data is defined as any information relating to an identified or identifiable natural person2.
This includes, among other online identifiers, such. IP addresses and cookies, if they are traced back to the individual.
It also includes indirect information that includes physical, physiological, genetic, psychological, economic, cultural or social identities that can be traced back to a specific person. There is no distinction between a person's personal data in their private, public or professional roles - all subject to this Regulation.
There may be a significant increase in fines for companies that violate this new regulation2.
Fines may amount to up to € 10 million, or two percent of gross global sales, in breach of obligations relating to data protection, security, notification of infringement, and impact assessment of privacy breaches6, with the higher amount being decisive.
These fines may be doubled to twenty million euros or four percent of gross turnover in the case of infringements relating to the legal justification for data processing, lack of consent, rights of data subjects and cross-border data transfers2.

Companies must "take appropriate technical and organizational measures" with regard to the nature, scope, circumstances and purposes of their treatment and processing of personal data. Data protection measures need to be integrated into products and services at the earliest stages of development.
These measures must address the risks associated with the stored data and include:
Pseudonymisation and / or encryption of personal data

Ensuring the long-term confidentiality, integrity, availability and resilience of systems

Rapid recovery of data availability and access to them after a physical or technical incident

Introduce a process to periodically review, evaluate and evaluate the effectiveness of these systems

An important part of the regulation requires the consent of the person whose data is stored. Consent means "any expression of will voluntarily given in a informed and unambiguous manner in the form of a statement or other unambiguous confirmatory act by which the data subject indicates that he or she agrees to the processing of the personal data concerning him / her". 7th
Companies need to be able to demonstrate how and when consent has been obtained. This consent does not have to be express, it can be derived from the relationship of the data subject to the company. However, the data collected must be used for specific, explicit and legitimate purposes.
Persons must be able to withdraw their consent at any time and have a "right to be forgotten" if this data is no longer necessary for the purposes for which it was collected. The data must then be deleted.

When companies collect data from one person, the following areas, among others, need to be explained to the data subject:
Identity and contact details of the company behind the data request

Purpose of collecting and using the data

International transfer of data

Period of data storage

The right of the person to retrieve, correct or delete the data

Right of the person to revoke the consent at any time

Right of the person to file a complaint
According to the regulations, individuals must have full access to information about data processing, which should be clear and understandable.
Persons may submit applications which must be dealt with 'immediately, but in any case within one month of receipt of the application' 6.
If applications for access to data are manifestly unfounded or excessive, small and medium-sized businesses may charge a fee for providing access.

Businesses must report a security breach "which, whether unintentionally or unlawfully, results in the destruction, loss, alteration or unauthorized disclosure of, or unauthorized access to, personal data transmitted, stored or otherwise processed" 7 ,
In the event of a personal data breach, a company must notify the competent authority "immediately and, if possible, within 72 hours of being informed of the breach" 7 if the breach is likely to "result in a risk to the rights and freedoms of individuals" ,
In March 2016, the UK Information Commissioner's Office ("ICO") published the document3 "Preparing for the General Data Protection Regulation (GDPR) - 12 Steps to Take Now". Some of these steps for companies are summarized below.

Ensure key departments are aware of the change in law and anticipate the impact of the General Data Protection Regulation.

Documentation of what personal information is stored, where it comes from and with whom it is shared.


Review the latest privacy policies and make necessary changes.

Review of procedures related to the new rights of data subjects.

Planning the handling of applications within the new time frame and providing the required information.

Identification and documentation of the legal basis for each type of data processing.

Reviewing how to seek, obtain and record consent.

Ensuring that there are procedures to detect, report and investigate data breaches.

Appointment of a data protection officer responsible for compliance with data protection rules.

Preparing for the EU GDPR: What You Need To Know: James Walker. SC Media, March 4, 2016.

A Summary of the EU's General Data Protection Regulation: Peter Galdie's DataIQ. January 14, 2016.

Preparing for the General Data Protection Regulation (GDPR): 12 steps to take now. Information Commissioner's Office, March 14, 2016.

EU General Data Protection Regulation ratified: KPMG 2016

Guidance: what to expect and when: Information Commissioner's Office

Overview of the General Data Protection Regulation (GDPR): Information Commissioner's Office

EU Official Journal, Issue L 119

© Copyright IBM Corporation 2017.
IBM, the IBM logo and are registered trademarks of IBM Corporation in
the US and / or other countries. Other corporate, product or
Service names may be trademarks or service marks of other manuf


U-Datenschutz-Grundverordnung (GDPR - General Data Protection Regulation) (DSGVO)

Basierend auf verschiedenen Quellen, verfasst von
Hinweis: Jeder Kunde ist für die Einhaltung der geltenden Gesetze und Verordnungen, einschließlich der Datenschutz-Grundverordnung der Europäischen Union selbst verantwortlich. Es obliegt allein den Kunden, sich von kompetenter juristischer Stelle zu Inhalt und Auslegung aller relevanten Gesetze und gesetzlichen Bestimmungen beraten zu lassen, die ihre Geschäftstätigkeit und die von ihnen eventuell einzuleitenden Maßnahmen zur Einhaltung dieser Gesetze und Bestimmungen betreffen. Die in diesem Dokument beschriebenen Produkte, Services und sonstigen Funktionen eignen sich nicht für alle Kundensituationen und sind möglicherweise nur eingeschränkt verfügbar. IBM erteilt keine Rechts- oder Steuerberatung und gibt keine Garantie bezüglich der Konformität von IBM Produkten oder Services mit den geltenden Gesetzen und gesetzlichen Bestimmungen.

Weitere Informationen erhalten Sie unter
Wenn Sie weitere Exemplare dieses Buches benötigen oder andere Bücher aus dieser Reihe lesen möchten, besuchen Sie uns unter:
Nach vier Jahren der Verhandlung wurde die
Datenschutz-Grundverordnung im April 20164
von der Europäischen Union ratifiziert und hat
mittlerweile Rechtskraft erlangt. In einigen
Mitgliedstaaten gilt jedoch ein Zweijahreszeitraum
für die Umsetzung in nationales Recht.

Das heißt, dass Unternehmen ab 25. Mai 20185
die Verordnung vollständig einhalten müssen.

Die Datenschutz-Grundverordnung soll natürlichen Personen eine bessere Kontrolle ihrer personen­bezogenen Daten ermöglichen und einheitliche Datenschutzregeln für ganz Europa festlegen.

Für Unternehmen außerhalb der EU gilt diese Verordnung, wenn sie Daten über EU-Bürger erfassen6.
50 % der weltweit tätigen Unternehmen1 geben an, dass sie Schwierigkeiten haben werden, den europäischen Regeln gerecht zu werden, es sei denn, sie verändern grundlegend ihre Betriebsabläufe. Viele Unternehmen werden daher möglicherweise auch einen Datenschutzbeauftragten ernennen.
Personenbezogene Daten werden definiert als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen2.
Dies umfasst unter anderem Online-Kennungen, wie z. B. IP-Adressen und Cookies, falls diese zur betroffenen Person zurückverfolgt werden.
Dies umfasst zudem indirekte Informationen, die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identitäten beinhalten, die zu einer bestimmten Person zurückverfolgt werden können. Es gibt keine Unterscheidung zwischen personenbezogenen Daten einer Person in ihrer jeweiligen privaten, öffentlichen oder berufsbezogenen Rolle - alle unterliegen dieser Verordnung.
Es wird möglicherweise eine erhebliche Zunahme an Bußgeldern für Unternehmen geben, die gegen diese neue Verordnung verstoßen2.
Bußgelder können bei Verletzung der Verpflichtungen in Bezug auf Datenhaltung, Sicherheit, Benachrichtigung bei Verletzungen und Bewertung der Auswirkungen von Datenschutzverletzungen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Bruttoumsatzes betragen6, wobei der jeweils höhere Betrag ausschlaggebend ist.
Diese Bußgelder können bei Verletzungen im Zusammenhang mit der rechtlichen Begründung für die Datenverarbeitung, fehlenden Einwilligungen, Rechten betroffener Personen und grenzüberschreitenden Datenübertragungen auf zwanzig Millionen Euro oder vier Prozent des Bruttoumsatzes verdoppelt werden2.

Unternehmen müssen in Bezug auf die Art, den Umfang, die Umstände und die Zwecke ihrer Behandlung und Verarbeitung von personenbezogenen Daten "geeignete technische und organisatorische Maßnahmen treffen"6. Maßnahmen für den Datenschutz müssen schon in den frühesten Entwicklungsstufen bei Produkten und Services eingebunden werden.
Diese Maßnahmen müssen den Risiken in Bezug auf die gespeicherten Daten gerecht werden und umfassen:
Pseudonymisierung und/oder Verschlüsselung personenbezogener Daten

Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen

Rasche Wiederherstellung der Verfügbarkeit von Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall

Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Systeme

Ein wichtiger Bestandteil der Verordnung erfordert die Einwilligung der Person, deren Daten gespeichert werden. Einwilligung bedeutet "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist"7.
Unternehmen müssen in der Lage sein, nachzuweisen, wie und wann eine Einwilligung eingeholt wurde. Diese Einwilligung muss nicht ausdrücklich erfolgen, sie kann aus der jeweiligen Beziehung der betroffenen Person zum Unternehmen abgeleitet werden. Die erhobenen Daten müssen jedoch für spezielle, eindeutige und rechtmäßige Zwecke verwendet werden.
Personen müssen ihre Einwilligung jederzeit widerrufen können und ein "Recht auf Vergessenwerden" haben, falls diese Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Die Daten müssen dann gelöscht werden.

Wenn Unternehmen Daten von einer Person erheben, müssen der betroffenen Person gegenüber unter anderem folgende Bereiche erläutert werden:
Identität und Kontaktdaten des Unternehmens hinter der Datenanforderung

Zweck der Erhebung und Verwendung der Daten

Internationale Übertragung der Daten

Zeitraum der Datenspeicherung

Recht der Person, die Daten abzurufen, zu berichtigen oder zu löschen

Recht der Person, die Einwilligung jederzeit zu widerrufen

Recht der Person, eine Beschwerde einzulegen
Den Verordnungen entsprechend müssen Personen uneingeschränkten Zugang zu Informationen über die Datenverarbeitung haben, die klar und verständlich sein sollten.
Personen können Anträge stellen, die "unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags"6 bearbeitet werden müssen.
Wenn Anträge für den Zugang zu Daten offenkundig unbegründet oder exzessiv sind, können kleine und mittlere Unternehmen eine Gebühr für die Bereitstellung des Zugangs berechnen.

Unternehmen müssen eine Verletzung der Sicherheit melden, "die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden"7.
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss ein Unternehmen die zuständige Aufsichtsbehörde "unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde,"7 benachrichtigen, falls die Verletzung voraussichtlich "zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt".
Im März 2016 veröffentlichte das UK Information Commissioner's Office ("ICO") das Dokument3 "Preparing for the General Data Protection Regulation (GDPR) - 12 Steps to Take Now". Einige dieser Schritte für Unternehmen sind nachstehend zusammengefasst.

Sicherstellung, dass wichtigen Abteilungen die Gesetzesänderung bekannt ist, und Vorwegnahme der Auswirkungen der Datenschutz-Grundverordnung.

Dokumentation, welche personenbezogenen Daten gespeichert werden, woher sie stammen und mit wem sie gemeinsam genutzt werden.


üfung der aktuellen Datenschutzerklärungen und Durchführung erforderlicher Änderungen.

Überprüfung der Verfahren in Bezug auf die neuen Rechte betroffener Personen.

Planung der Abwicklung von Anträgen innerhalb der neuen Zeitrahmen und Bereitstellung der erforderlichen Informationen.

Identifizierung und Dokumentation der rechtlichen Grundlage für jede Art der Datenverarbeitung.

Überprüfung, wie man um Einwilligungen ersucht, diese einholt und aufzeichnet.

Sicherstellung, dass es Verfahren gibt, um Datenschutzverletzungen zu erkennen, zu melden und zu untersuchen.

Ernennung eines Datenschutzbeauftragten, der für die Einhaltung der Datenschutzvorschriften verantwortlich ist.

Preparing for the EU GDPR: What You Need To Know: James Walker. SC Media, 4. März 2016.

A Summary of the EU General Data Protection Regulation: Peter Galdies DataIQ. 14. Januar 2016.

Preparing for the General Data Protection Regulation (GDPR): 12 steps to take now. Information Commissioner's Office, 14. März 2016.

EU General Data Protection Regulation ratified: KPMG 2016

Guidance: what to expect and when: Information Commissioner's Office

Overview of the General Data Protection Regulation (GDPR): Information Commissioner's Office

EU Official Journal, Ausgabe L 119

© Copyright IBM Corporation 2017.
IBM, das IBM Logo und sind eingetragene Marken der IBM Corporation in
den USA und/oder anderen Ländern. Weitere Unternehmens-, Produkt- oder
Servicenamen können Marken oder Servicemarken anderer Hersteller sein.