Salesforce möchte Kunden durch umfassende Datenschutz- und Sicherheitsmaßnahmen bei der Einhaltung der DSGVO unterstützen. Die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) erweitert die Datenschutzrechte natürlicher Personen in der EU und legt neue Verpflichtungen für alle Organisationen fest, die personenbezogene Daten in der EU vermarkten, nachverfolgen oder verarbeiten.
Was ist die DSGVO?
Die DSGVO ist ein umfassendes Datenschutzgesetz der EU. Darin werden die bisher geltenden Datenschutzgesetze in Bezug auf persönliche Daten vor dem Hintergrund der schnell voranschreitenden technologischen Entwicklungen, der zunehmenden Globalisierung und komplexeren internationalen Datenflüssen von personenbezogenen Daten verschärft. Sie ersetzt die in den einzelnen Mitgliedsstaaten geltenden unterschiedlichen nationalen Datenschutzgesetze durch einen einheitlichen Regelsatz, der in allen Mitgliedsstaaten direkt umzusetzen ist.
Die DSGVO regelt die Verarbeitung, die die Erhebung, Speicherung, Übermittlung oder Nutzung personenbezogener Daten von EU-Bürgern umfasst. Jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, einschließlich der Verfolgung ihrer Online-Aktivitäten, fällt in den Anwendungsbereich des Gesetzes, unabhängig davon, ob die Organisation eine physische Präsenz in der EU hat. Wichtig ist, dass gemäß DSGVO der Begriff der personenbezogenen Daten weit gefasst ist und alle Informationen beinhaltet, die sich auf eine identifizierte oder identifizierbare Person (auch als "Datensubjekt" bezeichnet) beziehen.
Sicherheitsmaßnahmen und Anforderungen an die Berichterstellung
Organisationen müssen angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor unbefugter Verarbeitung und unbeabsichtigter Offenlegung, Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Abhängig vom konkreten Anwendungsfall und den verarbeiteten personenbezogenen Daten wird die Verwendung von Datenseparation, Verschlüsselung, Pseudonymisierung und Anonymisierung zum Schutz personenbezogener Daten empfohlen und in einigen Fällen auch gefordert.
Es ist wichtig, darauf hinzuweisen, dass die für die Verarbeitung Verantwortlichen laut DSGVO jeden Verstoß gegen die Datenschutzbestimmungen so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden des Verstoßes, ihrer Datenschutzbehörde melden müssen, es sei denn, der Verstoß wird den betroffenen Personen wahrscheinlich keinen Schaden zufügen. Bei hohem Schadensrisiko müssen die für die Datenverarbeitung Verantwortlichen den Betroffenen so schnell wie möglich Datenverstöße melden. Die Datenverarbeiter müssen zudem die für die Verarbeitung Verantwortlichen so schnell wie möglich über Verstöße gegen die Datenschutzbestimmungen informieren.
Welche Sicherheitsmaßnahmen muss ich aufgrund der DSGVO implementieren?
Verschlüsselung
Obwohl nicht erforderlich, fördert das Gesetz die Verschlüsselung als wirksame Methode, um die Sicherheit und Vertraulichkeit personenbezogener Daten sicherzustellen.
Pseudonymisierung
Durch die DSGVO werden Organisationen aufgefordert, die Pseudonymisierung als risikobasierte Maßnahme zum Schutz der Datensicherheit und der Rechte des Einzelnen einzusetzen.
Anonymisierung
Im Vergleich zur Pseudonymisierung geht die Anonymisierung von Daten noch einen Schritt weiter und ist der sicherste Weg zum Schutz personenbezogener Daten. Damit eine Person als wirklich anonym gilt, muss es unmöglich sein, sie durch eine weitere Verarbeitung oder durch die Kombination von Daten mit anderen Informationen aus den Daten zu identifizieren.
Rechenschaftspflicht
Laut DSGVO gibt es einen für die Verarbeitung Verantwortlichen, der die Verantwortung für die Implementierung der Maßnahmen zur Sicherstellung der ordnungsgemäßen Handhabung entsprechend den Prinzipien der DSGVO trägt. Dazu gehören die Ernennung eines Datenschutzbeauftragten, vertragliche Verpflichtungen für den Verarbeiter und die Anwendung der Grundsätze des "eingebauten Datenschutzes" und der "datenschutzfreundlichen Grundeinstellungen". Darüber hinaus muss ein für die Verarbeitung Verantwortlicher in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, unter anderem durch Aufzeichnungen über die Verarbeitungstätigkeiten und die Durchführung von Datenschutzverträglichkeitsprüfungen.
EU-Trailhead: Informationen zur DSGVO und zu deren Einhaltung
Absolvieren Sie das Modul "EU-Datenschutzgesetze – Grundlagen", um die wichtigsten Grundsätze des Datenschutzes kennenzulernen und zu erfahren, wie Sie ein Programm zur Einhaltung der DSGVO implementieren.
US-Trailhead: Informationen zu US-Datenschutzgesetzen und zu deren Einhaltung
Absolvieren Sie das Modul zu den Grundlagen der US-Datenschutzgesetze und erfahren Sie mehr über Datenschutz im Gesundheitswesen, im Finanzwesen und im staatlichen Recht in den USA.
California Consumer Privacy Act
Der California Consumer Privacy Act ("CCPA") ist ein umfangreiches Datenschutzgesetz, das am 1. Januar 2020 in Kraft getreten ist. Obwohl Salesforce der Meinung ist, dass ein Bundesgesetz zum Datenschutz notwendig ist, damit der Datenschutz einer Person nicht von ihrer Postleitzahl abhängt, begrüßen wir den CCPA als einen Schritt nach vorn bei der Gestaltung der Datenschutzanforderungen in den USA und als eine Gelegenheit für Salesforce, sein Engagement für den Schutz der Privatsphäre und den Datenschutz weiter zu stärken.