Was ist GDPR? Bereiten Sie sich auf die Einhaltung der GDPR vor

Dieser Artikel stellt weder eine Rechtsberatung dar, noch sollen diese Informationen eine Beziehung zwischen Anwalt und Mandant begründen oder begründen können. Sie sollten gegebenenfalls professionellen Rechtsrat einholen.

Was ist GDPR? Bereiten Sie sich auf die Einhaltung der GDPR vor

Die Umsetzung der Allgemeinen Datenschutzverordnung (GDPR) wird in allen lokalen Datenschutzgesetzen in allen Ländern innerhalb der EU und der EWR-Region erfolgen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten der Bürgerinnen und Bürger europäischer Länder speichern oder verkaufen, auch für Unternehmen, die auf anderen Kontinenten ansässig sind. Dadurch erhalten die Bürger der EU und des EWR mehr Kontrolle über ihre persönlichen Daten und können sich darauf verlassen, dass ihre persönlichen Daten in ganz Europa ausreichend geschützt sind.

Gemäß der DSGVO werden ein Name, eine E-Mail-Adresse, eine Bild-ID, Aktualisierungen in sozialen Netzwerken, medizinische Daten, Bankdaten, die IP-Adresse eines Computers, geografische Daten und andere Informationen über eine Person als personenbezogene Daten bezeichnet.

Nach der Datenschutz-Grundverordnung gehören zu den Rechten des Einzelnen:

  1. Recht auf Zugang

    Der Einzelne hat das Recht, Zugang zu seinen personenbezogenen Daten zu verlangen und Auskunft darüber zu verlangen, wofür seine Daten von dem Unternehmen verwendet werden, nachdem die Informationen gesammelt wurden. Wenn eine Person einen Antrag stellt, muss das Unternehmen eine Kopie der personenbezogenen Daten in elektronischem Format zur Verfügung stellen, ohne eine Gebühr zu verlangen.

  2. Recht auf Vergessenwerden

    Wenn Verbraucher ihre Zustimmung zur Verwendung ihrer persönlichen Daten durch ein Unternehmen zurückziehen oder die Geschäftsbeziehung mit dem Unternehmen beenden, haben sie das Recht, dass die erfassten Daten gelöscht werden.

  3. Recht auf Datenübertragbarkeit

    Der Einzelne hat das Recht, seine persönlichen Daten für ein Unternehmen, das eine Dienstleistung erbringt, an ein anderes zu übermitteln. Die Übermittlung der Daten muss in einem maschinenlesbaren Format erfolgen, das üblicherweise verwendet wird.

  4. Recht auf Information

    Einzelpersonen haben das Recht, von Unternehmen informiert zu werden, bevor persönliche Daten über sie gesammelt werden. Die Verbraucher müssen sich dafür entscheiden, dass ihre personenbezogenen Daten erfasst werden. Die Zustimmung zur Erfassung der Daten muss von den Verbrauchern freiwillig und ohne Zwang gegeben werden und darf nicht von den Unternehmen impliziert werden.

  5. Recht auf Berichtigung von Informationen

    Wenn die gesammelten Daten unvollständig, veraltet oder unrichtig sind, haben die Betroffenen das Recht, ihre personenbezogenen Daten zu korrigieren oder zu aktualisieren.

  6. Recht auf Einschränkung der Verarbeitung

    Der Einzelne hat das Recht, die Verarbeitung seiner personenbezogenen Daten einzuschränken. Die Daten von Personen können im Unternehmen verbleiben, dürfen aber nicht verwendet werden.

  7. Recht auf Widerspruch

    Einzelpersonen haben das Recht, die Verarbeitung der für das Direktmarketing erhobenen personenbezogenen Daten zu stoppen. Diese Regel kennt keine Ausnahmen, und sobald der Verbraucher einen entsprechenden Antrag stellt, muss die Verarbeitung eingestellt werden. Außerdem müssen die Betroffenen von Beginn der Kommunikation an über dieses Recht informiert werden.

  8. Recht auf Benachrichtigung

    Im Falle einer Datenpanne, die zur Kompromittierung der persönlichen Daten eines Verbrauchers führt, hat der Verbraucher das Recht, innerhalb von 72 Stunden über die Datenpanne informiert zu werden.

Die Nichteinhaltung der DSGVO kann mit einer Geldstrafe von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welche der beiden Strafen höher ist.

Welche Daten fallen unter den Schutz der Datenschutz-Grundverordnung?

  • Name, ID numbers, address and other basic identity information of a consumer
  • Location, cookie data, IP address, RFID tags and other web data
  • Biometric information
  • Health and genetic data
  • Political belief or opinion
  • Ethnic or racial information
  • Sexual orientation

When does compliance with the GDPR begin for any company?

By May 25, 2018, each company must comply with the GDPR.

Hat die Einhaltung der DSGVO Auswirkungen auf Ihr Unternehmen?

Wenn Ihr Unternehmen derzeit nicht über ein Programm zur Einhaltung der DSGVO verfügt, ist es wichtig, dass Sie sich darüber im Klaren sind, ob die Einhaltung der DSGVO Sie betrifft oder nicht. Die Tatsache, dass Ihr Unternehmen nicht in der EU ansässig ist, bedeutet nicht zwangsläufig, dass Sie nicht unter die Verordnung fallen. Die personenbezogenen Daten der EU-Bürger fallen unter die DSGVO. Wenn Ihr Unternehmen also Daten von EU-Bürgern sammelt, muss es die DSGVO einhalten.

Wie im GDPR-Implementierungsleitfaden des ISF dargelegt, betrifft die Anwendung der Verordnung jedes Unternehmen, das gegründet wird:

  • In der EU-Region
  • Außerhalb des EU-Raums, aber für Waren oder Dienstleistungen, die die Erfassung von Daten von Personen im EU-Raum beinhalten
  • Außerhalb des EU-Raums, aber mit der Verfolgung der Aktivitäten von Verbrauchern im EU-Raum befasst

Nach der Datenschutz-Grundverordnung werden Organisationen in zwei Gruppen eingeteilt:

  • Data controller – eine Organisation oder Person, die für die Bestimmung des Grundes für die Datenerhebung zuständig ist
  • Data processor –eine Organisation oder Person, die die im Auftrag des für die Datenverarbeitung Verantwortlichen erhobenen Daten verwendet

In vielen Fällen kann eine Organisation sowohl als Datenverantwortlicher als auch als Datenverarbeiter fungieren.

Wo steht mein Unternehmen in der GDPR-Hierarchie?

Zum besseren Verständnis der Verpflichtungen Ihres Unternehmens gegenüber der DSGVO ist es wichtig, dass Sie wissen, ob Ihr Unternehmen ein Datenverarbeiter oder ein für die Verarbeitung Verantwortlicher ist. Beantworten Sie die folgenden drei Fragen, um die Stellung Ihres Unternehmens zu verstehen:

  • Erhebt, speichert oder verarbeitet Ihr Unternehmen personenbezogene Daten von Bürgern aus der EU?
  • Was sind die Elemente der personenbezogenen Daten, die Ihr Unternehmen speichert?
  • Verwendet Ihr Unternehmen die gesammelten und gespeicherten personenbezogenen Daten unter seiner Kontrolle?

Nach der DSGVO sind Sie nur dann ein Datenverarbeiter, wenn Sie nur die erste Frage mit "Ja" beantworten. Wenn Sie jedoch alle drei Fragen mit "Ja" beantworten, sind Sie an die DSGVO gebunden.

Unabhängig davon, ob Sie ein Datenverarbeiter oder ein für die Verarbeitung Verantwortlicher sind, müssen die Speicherung und der Schutz der von den Verbrauchern erhobenen personenbezogenen Daten mit der DSGVO übereinstimmen.

Mögliche Versäumnisse beim Schutz der Daten

Ihre Fähigkeit, sicherzustellen, dass Sie gegen Datenverlust, Sicherungs- und Wiederherstellungsfehler geschützt sind, sowie die mit diesen Fehlern verbundenen Probleme zu lösen, ist ein Beweis für Ihre Fähigkeit, die Integrität, Sicherheit, Löschung und Zugänglichkeit der personenbezogenen Daten der Verbraucher zu gewährleisten. Diese möglichen Ausfälle werden in drei Gruppen eingeteilt, nämlich

  • Gerätefehler

Dies sind physikalische Fehler, die sich auf Speicherhardwaregeräte wie Datenzentren, Festplatten und Speichercontroller auswirken. Wenn beispielsweise Festplatten versehentlich Magnetfeldern ausgesetzt werden, werden die Daten auf den Festplatten gelöscht.

  • Software- oder Logikfehler

Diese beziehen sich auf vom Menschen verursachte Fehler. Dazu gehören in der Regel Fehler wie das versehentliche Überschreiben oder Löschen von Dateien (z. B. bei der Durchführung eines Sicherungsverfahrens), das unbeabsichtigte Löschen des Master-Boot-Records einer Festplatte oder die unbeabsichtigte Beschädigung von Daten (z. B. bei Vorhandensein eines Fehlers in der Geschäftsanwendung oder einem Skript).

  • Sicherheitsverstöße

Dazu gehören Ausfälle aufgrund von böswilligen Angriffen auf das Netzwerk, Anwendungen, Server, Geräte und andere IT-Infrastrukturen, die von Cyberkriminellen, staatlichen Hackern oder verärgerten Insidern durchgeführt werden können. So kann beispielsweise ein bösartiger Ransomware-Angriff erfolgen, der die Daten auf einer Festplatte verschlüsselt und eine finanzielle Entschädigung fordert, bevor der Entschlüsselungsschlüssel freigegeben wird.

Wie sind indische Unternehmen hiervon betroffen?

Da es möglich ist, dass Daten aus dem EU-Raum heraus übertragen werden, soll die DSGVO sicherstellen, dass die Rechte der EU-Bürger geschützt werden, unabhängig davon, wohin die Daten gelangen. Daher stellt die DSGVO sicher, dass jedes Unternehmen, das Zugang zu den personenbezogenen Daten von EU-Bürgern hat, diesen Regeln unterliegt. Ob ein Kleinstunternehmen oder ein multinationales Unternehmen, kein Unternehmen ist von den Vorschriften ausgenommen, unabhängig von seiner Größe.

Um die Einhaltung der Vorschriften zu gewährleisten, kann ein indisches Unternehmen entweder dafür sorgen, dass EU-Benutzer vollständig gesperrt werden (eine multinationale Marke kann dies nicht tun), oder es kann Verfahren einführen, die die Einhaltung der Vorschriften garantieren.

Wie schützen die Vorschriften Verbraucher?

  • Breite Zuständigkeit

Unabhängig davon, wo ein EU-Bürger lebt, gelten die Vorschriften für alle Unternehmen, die Daten von EU-Bürgern verarbeit

  • Strenge Sanktionen

Verstöße gegen die Vorschriften können mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Obwohl nicht alle Verstöße teuer sind, ist jeder Verstoß mit einer strengen Strafe belegt.

  • Leicht verständliche und verbesserte Zustimmung der betroffenen Personen

Die Einwilligung muss in einer vereinfachten und zugänglichen Form vorgelegt werden, die die Betroffenen leicht verstehen können, und sie muss einen schriftlichen Zweck haben, den die Betroffenen unterschreiben können. Außerdem muss der Nutzer die Möglichkeit haben, seine Einwilligung auf einfache Weise zu ändern.

  • Obligatorische Benachrichtigung bei Verstößen

Wenn eine Datenverletzung vorliegt, die die Rechte und Freiheiten der Verbraucher verletzen kann, muss die Benachrichtigung innerhalb von 72 Stunden nach der Entdeckung der Verletzung erfolgen. Die betroffenen Personen müssen auch von den Datenverarbeitern benachrichtigt werden, sobald sie von der Datenverletzung Kenntnis haben, und zwar ohne ungerechtfertigte Verzögerung.

  • Eine Wiederholung wichtiger Verbraucherrechte

Zu diesen Rechten gehört das Recht der betroffenen Personen, Kopien ihrer persönlichen Informationen und Daten zu erhalten, aus denen hervorgeht, wie sie verwendet werden, sowie das Recht, die Informationen zu vergessen, was auch als Datenlöschung bezeichnet wird. Die Rechte erlauben es den betroffenen Personen auch, personenbezogene Daten von einem Diensteanbieter zu einem anderen zu übertragen.

  • Verbesserte Systeme

Um mit dem Hauptprinzip des Datenschutzes durch Technikgestaltung (Privacy by Design) in Übereinstimmung zu sein, wurde durch die DSGVO vorgeschrieben, dass Prozesse mit Fokus auf Datenschutz entwickelt werden sollten, anstatt lediglich als eine Ergänzung behandelt zu werden.

  • Besonderer Schutz für Kinder

Aufgrund der Verletzlichkeit von Kindern und ihres mangelnden Risikobewusstseins wurde die elterliche Zustimmung für Kinder unter 16 Jahren in die Leitlinien zur Datenschutzgrundverordnung aufgenommen.

Welche Verfahren kann ein Unternehmen zur Vorbereitung anwenden?

Im Folgenden werden einige grundlegende Punkte genannt, die bei der Erstellung eines Plans berücksichtigt werden sollten:

  • Integration der Abteilungen Marketing und IT

Ihre IT-Abteilung wird Ihre zuverlässigste Abteilung sein, wenn es um die Notwendigkeit einer spezifischen Überwachung und Umsetzung Ihrer Pläne und die Risiken der Cyberkriminalität geht. Unternehmen, die Martech-Technologien einsetzen, werden jetzt die Notwendigkeit erkennen, in sicherere und individuellere IT-Lösungen zu investieren und diese zu nutzen, um sicherzustellen, dass sie sowohl den Vorschriften als auch dem Vertrauen der Verbraucher gerecht werden.

  • Inanspruchnahme der Dienste eines Datenschutzbeauftragten (DSB)

Nach der Datenschutz-Grundverordnung sind die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter haftbar, und kleine Unternehmen sind nicht verpflichtet, einen Datenschutzbeauftragten einzustellen. Die Einstellung eines Datenbeauftragten ist jedoch eine lohnende Investition, die in Betracht gezogen werden sollte. Das Risiko könnte für Ihr Unternehmen zu kolossal sein. Die einzige Botschaft, die die Datenschutz-Grundverordnung immer wieder bekräftigt, lautet: Die Informationen der Verbraucher müssen vertraulich behandelt werden. Daher lohnt es sich, alle Maßnahmen zu ergreifen, die Sie ergreifen können, um sicherzustellen, dass Sie dies einhalten.

  • Gründliche Prüfung des aktuellen Sicherheitssystems Ihrer Daten

Der beste Weg, die Einhaltung der Vorschriften zu gewährleisten, ist eine genaue Bewertung Ihres derzeitigen Datensystems. Auf diese Weise können risikoreiche Bereiche identifiziert werden, und alle risikoreichen Bereiche können korrigiert werden, bevor die Vorschriften in Kraft treten.

  • Vermitteln Sie Ihren Mitarbeitern die Bedeutung des Datenschutzes

Die meisten Verantwortlichkeiten, die mit der Einhaltung der Verordnung verbunden sind, betreffen Ihr Sicherheitspersonal; jedoch sollte jeder, der Zugang zu personenbezogenen Daten hat, über die DSGVO informiert sein. Zu den Mitarbeitern, die geschult werden sollten, gehören diejenigen, die mit neuen Nutzern oder Kunden zu tun haben, diejenigen, die für die Dateneingabe zuständig sind, sowie diejenigen, die die CRM-Systeme pflegen.

  • Entwicklung von Tools, die den Datenschutz gewährleisten

Von Zeit zu Zeit entwickeln verschiedene Unternehmen fiktive Lösungen und andere Methoden, die sicherstellen, dass sie die Verordnung einhalten. Sie sollten mit Ihrer IT-Abteilung und Ihrem Datenschutzbeauftragten (DSB) zusammenarbeiten, um eine einzigartige Lösung zu entwickeln, die Ihren Anforderungen entspricht.

  • Wert mit GDPR-konformen Drittanbietern

Ihr CRM-Dienstleister, Ihr E-Mail-Dienstleister, Ihre Marketing- und PR-Agenturen und andere Drittanbieter sollten einbezogen werden. Die Verstöße der Drittverarbeiter, mit denen Sie zusammenarbeiten, können als Ihre Verantwortung betrachtet werden. Daher müssen alle Aspekte Ihrer Datenverarbeitung mit der Verordnung übereinstimmen

Fazit

Der 25. Mai 2018, der als Einführungsdatum der DSGVO festgelegt wurde, rückt schnell näher, ebenso wie die damit verbundenen Strafen, wenn jemand nicht konform ist. Daher sollten Schritte von allen Unternehmen, Dienstleistern und Institutionen unternommen werden, die den Bedürfnissen von EU-Bürgern dienen, um sich auf die Verordnung vorzubereiten. Vor allem sollte ein Verständnis dafür entwickelt werden, wie die individuellen Datenschutzrechte durch die DSGVO im Vergleich zu den bisherigen Vorschriften, die Daten schützen, gestärkt und erweitert werden, einschließlich der Datenschutzrichtlinie von 1995. Gewöhnen Sie sich an die neuen Begriffe, die von den neuen Vorschriften der DSGVO verwendet werden, um ein tieferes Verständnis Ihrer Position zu haben. Die Einhaltungsherausforderungen sollten zuerst umgesetzt werden, damit Ihre Privatsphäre und der Datenschutz sorgfältig geprüft werden können. Schließlich müssen Ihr Service, Datenschutz und Speicherung den neuen Anforderungen der DSGVO entsprechen.

Ansprechpartner für Internetagentur und TYPO3 Projekte

Sven Thelemann

Servicepartner - Deutschland

Sven Thelemann

Comments and Responses

×

Name ist erforderlich!

Enter valid name

Gültige E-Mail ist erforderlich!

Enter valid email address

Comment is required!

* These fields are required.

Be the First to Comment