Was ist die DSGVO?

Die DSGVO ist ein EU-weites Datenschutzgesetz, das festlegt, wie die Daten der EU-Bürger durch Unternehmen geschützt werden, und verbessert die Kontrolle, die EU-Bürger über ihre personenbezogenen Daten haben. 

Die DSGVO ist für jedes Unternehmen relevant, das global Geschäfte tätigt, und nicht nur für Unternehmen innerhalb der EU und EU-Bürger. Die Daten unserer Kunden sind immer gleich wichtig, unabhängig davon, wo sie sich befinden. Deshalb haben wir eingeführt, dass weltweit für alle unsere Standorte standardmäßig die Einhaltung der DSGVO kontrolliert wird. Die DSGVO gilt seit 25. Mai 2018.

Was sind personenbezogene Daten?

Alle Daten, die sich auf eine identifizierbare oder identifizierte Person beziehen. Die DSGVO umfasst ein breites Spektrum an Informationen, die einzeln oder zusammen mit anderen Informationen verwendet werden können, um eine Person zu identifizieren. Personenbezogene Daten umfassen mehr als nur den Namen oder die E-Mail-Adresse einer Person. Einige Beispiele sind Finanzdaten, politische Meinungen, genetische Daten, biometrische Daten, IP-Adressen, physische Adresse, sexuelle Orientierung und Religion.

Wie gut ist Zoho für die DSGVO vorbereitet?

Wir haben an vielen Fronten gearbeitet, um diese neue Verordnung einzuhalten.

  • Durch häufige Diskussionen in unseren internen Kanälen haben wir innerhalb des Unternehmens ein entsprechendes Bewusstsein geschaffen. Darüber hinaus haben wir unsere Mitarbeiter im richtigen Umgang mit Daten geschult. Sie verstehen nun, wie wichtig die Sicherheit der Daten und die Einhaltung der hohen in der DSGVO angeforderten Standards sind.
  • Wir haben alle Produkte von Zoho einzeln den Anforderungen der DSGVO entsprechend getestet und haben neue Funktionen implementiert, die Ihnen mehr Kontrolle über Ihre Daten bieten und die Einhaltung der DSGVO einfacher gestalten.
  • Hier erfahren Sie, wie wir einige unserer Produkte in Vorbereitung auf die DSGVO angepasst haben.

  • Wir haben ein Information Asset Register (IAR) erstellt, das Informationen zu allen Rollen von Zoho umfasst, wie z. B. Datenverantwortliche und -verarbeiter. Es enthält Details zu verschiedenen Kategorien personenbezogener Daten, die von unserem Unternehmen verarbeitet wurden, und dazu, welcher Abteilung zu welchem Zweck der Zugriff auf welche Daten gewährt werden muss. Es bietet eine umfassende Abdeckung aller Prozesse und Verfahren.
  • Wir haben unsere Unterauftragsverarbeiter (Drittserviceanbieter, Partner) beurteilt und die vertraglichen Verfahren mit ihnen optimiert, um sicherzustellen, dass sie sich der aktuell drängenden Anforderungen in der Sicherheits- und Datenschutzwelt bewusst sind.
  • Wir haben interne Datenschutz-Champions für alle unsere Teams ernannt. Wir haben außerdem einen Datenschutzbeauftragten (DPO) ernannt. 
  • Unsere Teams haben das Konzept des eingebauten Datenschutzes angenommen und Ihnen mehr Kontrolle über die Daten eingeräumt, die in unseren Systemen gespeichert werden. Diese Maßnahmen können sich je nach Eigenschaften und Domäne eines Produkts unterscheiden. Wir arbeiten ständig an weiteren Verbesserungen, die in Phasen eingeführt werden.
  • Wir haben unser Data Processing Addendum (auf Grundlage von Mustervertragsklauseln) geändert, um die Anforderungen der DSGVO an unsere Datenverarbeitung einzuhalten. Auf Anfrage geben wir das Data Processing Addendum an Sie weiter, damit Sie Ihre Verpflichtungen aufgrund der DSGVO erfüllen können. 

    Wenn Sie der Verantwortliche Ihres Unternehmens sind und ein DPA mit uns unterzeichnen möchten, kann es elektronisch in wenigen einfachen Schritten unterzeichnet werden.

  • Wir haben Datenschutz-Auswirkungsbeurteilungen (DPIAs) durchgeführt. Basierend auf den Ergebnissen haben wir Datenverarbeitung und -verwaltung geeigneten Kontrollmechanismen unterzogen.
  • Wir haben interne Beurteilungen unserer Produkte, Prozesse, Betriebsabläufe und Verwaltung durchgeführt. Die Ergebnisse wurden unseren Teams mitgeteilt, die Lösungen für die identifizierten Probleme ausgearbeitet haben.
  • Auf Grundlage der DPIAs und internen Beurteilungen haben wir unsere Methoden und Prozesse zur Gewährleistung der Datensicherheit verbessert. Dazu gehört z. B. das Verschlüsseln von Daten im Ruhezustand, je nachdem, wie vertraulich die Daten sind und wie hoch die Wahrscheinlichkeit von Risiken ist. Wir haben intern genutzte Tools für eine bessere Verwaltung und Erkennung von Daten entwickelt.
  • Wir haben unsere Datenbanken bereinigt, um sicherzustellen, dass wir nur über aktuelle und sachlich richtige Informationen verfügen. Diese Bereinigung umfasst das Entfernen gelöschter und inaktiver Konten, wie in unseren Nutzungsbedingungen vorgesehen.
  • Wenn nötig werden Datenschutzverletzungen in Übereinstimmung mit unserer internen Datenschutzrichtlinie gemeldet. Kunden werden spätestens 72 Stunden, nachdem Zoho eine Datenschutzverletzung erkannt hat, über diese informiert. Bei allgemeinen Vorfällen informieren wir Benutzer auf unseren Blogs, in unseren Foren und über soziale Medien. Bei Vorfällen, die sich speziell auf einzelne Benutzer oder Unternehmen beziehen, werden wir die betroffenen Beteiligten per E-Mail benachrichtigen (unter Verwendung der primären E-Mail-Adresse).
  • Wir haben unsere Datenschutzrichtlinie geändert, um die Anforderungen der geltenden Datenschutzgesetze auf Grundlage unseres Datenarchivs, unseres Datenflusses und unserer Datenhandhabung zu erfüllen.

Nehmen Sie an der Live Q&A-Sitzung auf dem Forum teil, und erhalten Sie Antworten auf Ihre Fragen zur aktualisierten Datenschutzrichtlinie in Übereinstimmung mit der DSGVO. Stellen Sie Ihre Fragen jetzt!

Häufig gestellte Fragen:

1. Was ist die DSGVO?

  • Die EU-Datenschutz-Grundverordnung (DSGVO) setzt neue Maßstäbe im Hinblick auf Datenschutz und Datenschutzgesetze Die EU ist sich bewusst geworden, dass sich die Technik in den letzten Jahrzehnten rasant weiterentwickelt hat, die Datenschutzgesetze jedoch nicht. 2016 haben die EU-Regulierungsbehörden entschieden, die geltende Datenschutzrichtlinie zu aktualisieren und dem Wechsel der Zeit anzupassen. Dieses Gesetz enthält eine umfassende Liste an Bestimmungen, die die Verarbeitung der personenbezogenen Daten von EU-Bürgern regeln.

2. Für wen gilt die Verordnung?

  • Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dieses Gesetz umfasst neue Verpflichtungen für Datenverarbeiter und legt die Aufgabenbereiche von Datenverantwortlichen eindeutig fest.

3. Wo gilt die DSGVO?

  • Dieses Gesetz ist geografisch nicht begrenzt. Es spielt keine Rolle, wo sich der Sitz Ihres Unternehmens befindet – wenn Sie die personenbezogenen Daten von EU-Bürgern verarbeiten, fallen Sie unter die Rechtsprechung des Gesetzes.

4. Wie sehen die Strafen bei einer Nichteinhaltung aus?

  • Bei einem Verstoß gegen die DSGVO fällt eine Strafe in Höhe von bis zu 4 % des jährlichen weltweiten Umsatzes oder 20 Millionen EUR an (je nachdem, welcher Betrag höher ist).

5. Wer sind die wichtigsten Beteiligten an der DSGVO?

  • Betroffene Person – eine natürliche, in der EU ansässige Person, auf die sich die Daten beziehen.
  • Datenverantwortlicher – bestimmt den Zweck und die Methode der Datenverarbeitung.
  • Datenverarbeiter – verarbeitet Daten gemäß den Anweisungen des Datenverantwortlichen.
  • Aufsichtsbehörden – öffentliche Behörden, die die Anwendung der DSGVO überwachen.

6. Was sind personenbezogene Daten (PII)?

  • Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Identifikatoren werden in zwei Typen aufgeteilt: direkte (z. B. Name, E-Mail, Telefonnummer usw.) und indirekte (z. B. Geburtsdatum, Geschlecht usw.).

7. Wie lauten die wichtigsten Änderungen im Vergleich zu bisherigen Verordnungen?

  • Neue und verbesserte Rechte für betroffene Personen – Dieses Gesetz gewährt Einzelpersonen die vollständige Autorität über ihre personenbezogenen Daten. Einige der in der Verordnung festgeschriebenen Rechte sind:
  • Ausdrückliche Zustimmung: Die betroffenen Personen müssen darüber informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Unternehmen müssen es den betroffenen Person genauso einfach machen, ihre Zustimmung zu widerrufen, wie sie zu erteilen.
  • Recht auf Zugriff: Die betroffene Person kann jederzeit beim Datenverantwortlichen anfragen, welche personenbezogenen Daten zu ihr gespeichert oder aufbewahrt werden.
  • Recht auf Vergessen: Die betroffene Person kann den Datenverantwortlichen auffordern, ihre personenbezogenen Daten aus dem System des Datenverantwortlichen zu löschen.
  • Pflichten der Datenverarbeiter – Die DSGVO setzt auch neue Maßstäbe für die Verantwortlichkeit und Haftbarkeit von Datenverarbeitern. Datenverarbeiter müssen die Einhaltung der DSGVO belegen können und die Anweisungen des Datenverantwortlichen befolgen.
  • Datenschutzbeauftragter- Unternehmen müssen möglicherweise einen Mitarbeiter oder externen Serviceanbieter als Aufsichtsperson über die Einhaltung der DSGVO, die allgemeinen Datenschutzvorkehrungen und die Maßnahmen zur Datensicherung ernennen.
  • Privacy Impact Assessments (PIA)- Unternehmen, die in großem Maßstab Daten verarbeiten, müssen Privacy Impact Assessments durchführen, um die Risiken zu minimieren und Maßnahmen zu Bekämpfung dieser Risiken zu finden.
  • Benachrichtigung bei Verstößen- Datenverantwortliche müssen die Stakeholder (die Aufsichtsbehörde und, falls zutreffend, die betroffenen Personen) innerhalb von 72 Stunden nach Feststellung einer Datenschutzverletzung informieren.
  • Datenübertragbarkeit: Der Datenverantwortliche muss in der Lage sein, betroffenen Personen eine Kopie Ihrer personenbezogenen Daten in maschinenlesbarem Format zukommen zu lassen. Wenn möglich, sollte er in der Lage sein, die Daten an einen anderen Datenverantwortlichen zu übermitteln.

8. Welche rechtlichen Grundlagen kann ein Datenverantwortlicher bei der Verarbeitung von Kundendaten geltend machen?

  • Der Datenverantwortliche kann aus sechs Grundlagen für die Verarbeitung wählen. Diese sind:
  • Vertrag – Dies gilt, wenn Sie die persönlichen Daten des Kunden verarbeiten müssen, um Ihre vertraglichen Verpflichtungen zu erfüllen oder um eine bestimmte Aktion aufgrund der Anfrage eines Kunden (z. B. Senden eines Angebots oder einer Rechnung) durchzuführen.
  • Rechtliche Verpflichtung – Dies gilt, wenn Sie gemäß geltendem Recht eine Verpflichtung erfüllen müssen (z. B. wenn Sie aufgrund einer rechtmäßigen Anfrage, wie bei einer Untersuchung durch eine Behörde, Daten bereitstellen müssen). 
  • Lebenswichtige Interessen – Dies gilt für dringende Angelegenheiten, bei denen es um Leben und Tod geht, insbesondere im Hinblick auf Gesundheitsdaten.
  • Öffentliches Interesse – Dies gilt für Aktivitäten staatlicher Behörden. 
  • Berechtigte Interessen – Zu den berechtigten Interessen können beispielsweise kommerzielle Interessen wie Direktmarketing, individuelle Interessen oder das Allgemeinwohl zählen. Der Datenverantwortliche muss Aufzeichnungen über Entscheidungen hinsichtlich berechtigter Interessen in Form einer Bewertung der Berechtigung dieser Interessen führen.
  • Einwilligung – Eine Einwilligung ist ebenfalls eine gesetzlich zulässige Verarbeitungsgrundlage. Eine Einwilligung einer betroffenen Person ist eine „freiwillig gegebene, konkrete, informierte und eindeutige Angabe der betroffenen Person, bei der er oder sie durch eine Aussage oder durch eine klare, bestätigende Aktion seine/ihre Zustimmung zur Verarbeitung seiner/ihrer personenbezogener Daten ausdrückt.“ 

9. Was ist LIA?

  • LIA steht für „Legitimate Interests Assessment“, eine Bewertung der Berechtigung bestimmter Interessen. Sie gibt den Grund an, warum ein Unternehmen die personenbezogenen Daten eines Kunden verarbeiten möchte. Das Unternehmen muss außerdem eine LIA durchführen, um zu zeigen, dass die Verarbeitung erforderlich ist.
  • Eine Beurteilung, ob ein berechtigtes Interesse besteht.
  • Ein Nachweis der Notwendigkeit der Verarbeitung.
  • Die Ausführung einer Abwägungsprüfung.

10. Fordert die DSGVO, dass die personenbezogenen Daten von EU-Bürgern in der EU bleiben?

  • Nein, die DSGVO fordert nicht, dass die personenbezogenen Daten von EU-Bürgern in der EU bleiben. Des Weiteren enthält sie keine neuen Einschränkungen bezüglich der Übertragung von personenbezogenen Daten außerhalb der EU. Unser Data Processing Addendum, das sich auf die Musterklauseln der Europäischen Kommission bezieht, ermöglicht unseren Kunden auch weiterhin die Übertragung personenbezogener Daten von EU-Bürgern an Standorte außerhalb der EU.

11. Wo befinden sich meine Daten?

  • Die Daten der Kunden von zoho.com befinden sich in den Rechenzentren in den USA und die Daten von zoho.eu befinden sich in unseren Rechenzentren in der EU.

12. Wo finde ich zusätzliche Ressourcen zur DSGVO? 

Ressourcen:

Unser stetiges Engagement für den Schutz Ihrer Daten – Sridhar Vembu, CEO von Zoho Corp.

DSGVO – Die Grundlagen

Zögern Sie nicht, uns unter privacy@zohocorp.com Fragen zu stellen und Bedenken mit uns zu teilen.

Entscheiden Sie sich für Datenschutz. Entscheiden Sie sich für Zoho.

Erfahren Sie mehr darüber, wie sich Zoho auf die DSGVO vorbereitet hat.

  • bsi-assurance
  • Privacy Shield
  • TRUSTe
  • SOC

Haftungsausschluss: Die hier dargestellten Informationen dürfen nicht als Rechtsberatung ausgelegt werden. Wir empfehlen Ihnen, rechtlichen Rat zu ersuchen über das, was Sie tun müssen, um die Anforderungen der DSGVO zu erfüllen.