Nach jahrelangen Datenschutzverletzungen und der geheimen Nutzung personenbezogener Daten durch Technologieunternehmen hat die EU mit der DSGVO reagiert. Sie regelt und regelt die Erhebung und Verwendung personenbezogener Daten von EU-Bürgern. Das gilt nicht nur für Unternehmen mit Sitz in der EU. Sie gilt für jedes Unternehmen, zu dem EU-Bürger Zugang haben – auch wenn die Organisation nicht direkt an EU-Bürger vermarktet.
Das bedeutet, dass die Einhaltung der DSGVO von entscheidender Bedeutung ist.
Jedes Unternehmen, das sich als nicht konform erweist, wird mit hohen Strafen, einschließlich Geldstrafen, belegt. In einer Umfrage glaubt jedoch jeder fünfte Befragte , dass eine vollständige Einhaltung der DSGVO „unmöglich“ ist. Dies wirft erhebliche Bedenken auf, dass eine große Anzahl kleiner und mittlerer Unternehmen derzeit nicht DSGVO-konform ist.
Das ist nicht nur ein ernsthaftes Risiko für Bußgelder. Aber es ist auch offensichtlich falsch. Die Einhaltung der DSGVO ist für alle Unternehmen problemlos möglich. Es erfordert lediglich, dass Organisationen von den Anforderungen freigesprochen werden.
Hier werden wir untersuchen, wie jedes Unternehmen DSGVO-konform sein kann.
Wer sollte DSGVO-konform sein?
Der erste Bereich der Verwirrung ist, auf wen sich die DSGVO bezieht. Die kurze Antwort lautet: Jeder, der personenbezogene Daten von EU-Bürgern sammelt oder verarbeitet, unabhängig vom physischen Standort der Organisation.
Wenn Sie also ein Online-Händler mit Sitz in den Vereinigten Staaten sind, der an EU-Bürger verkauft, müssen Sie DSGVO-konform sein. Um die Einhaltung der DSGVO zu vermeiden, müssen Sie den Geschäftszugriff auf EU-Bürger beschränken.
Die komplette Checkliste, um DSGVO-konform zu sein
Wenn Sie ein Unternehmen oder eine Organisation sind, die personenbezogene Daten sammelt, ist es schwierig zu wissen, wie Sie mit der Einhaltung der Vorschriften beginnen können. Unwissenheit wird jedoch keine brauchbare Verteidigung sein. Aus diesem Grund haben wir eine vollständige 9-Schritte-Checkliste zusammengestellt, die Ihnen hilft, DSGVO-konform zu werden.
1. Welche Daten erheben Sie?
Das ist die grundsätzliche Frage. Informieren Sie sich, welche Daten Sie benötigen, um den angegebenen Service bereitzustellen. Denken Sie jedoch daran, dass Sie gemäß der DSGVO nur personenbezogene Daten erheben sollten, die für den angegebenen Zweck unerlässlich sind.
Bevor Sie diese Daten erheben, sollten Sie die ausdrückliche Zustimmung der betroffenen Person einholen. Das kann eine schriftliche Zustimmung sein oder das Ankreuzen eines Kästchens. Sie müssen jedoch nachweisen können, dass die Einwilligung erteilt wurde.
Darüber hinaus sollte die Einwilligung nur für einen bestimmten Zweck erteilt werden. Wenn Daten für mehrere Zwecke verwendet werden sollen, sollte für jeden eine informierte, ausdrückliche Zustimmung erteilt werden. Sie sollten auch die verschiedenen Zwecke klar angeben. Transparenz ist einer der Grundsätze der DSGVO.
2. Wie lange werden die Daten gespeichert?
Entscheiden Sie, wie lange die Informationen benötigt werden. Nach der DSGVO dürfen Daten nicht länger als nötig aufbewahrt werden. Definieren Sie daher klar, zu welchem Zeitpunkt die Daten wie und warum entsorgt werden.
Sie müssen auch einen Mechanismus bereitstellen, mit dem eine betroffene Person ihre Einwilligung widerrufen kann. Das bedeutet, dass Sie ihre personenbezogenen Daten löschen müssen.
3. Wie werden die Daten gespeichert?
Eines der grundlegenden Ziele der DSGVO ist die Begrenzung von Datenschutzverletzungen. Das bedeutet, dass Sie sich viele Gedanken darüber machen müssen, wie Daten gespeichert werden, um sicherzustellen, dass Sie ihre Integrität und Vertraulichkeit wahren.
Darüber hinaus sind Sie gemäß Artikel 33 verpflichtet, die Datenschutzvereinigung innerhalb von 72 Stunden zu informieren, wenn eine Datenschutzverletzung auftritt. Sie müssen auch die betroffene Person über die Datenschutzverletzung informieren und angeben, welche personenbezogenen Daten offengelegt wurden.
4. Wie alt ist die einwilligende Person?
Nach der DSGVO dürfen nur Personen, die mindestens 16 Jahre alt sind, in die Erhebung personenbezogener Daten einwilligen. Wenn Sie also personenbezogene Daten über jüngere Nutzer sammeln, sind Sie DSGVO-konform und die Einwilligung ist ungültig.
5. Ernennung eines Datenschutzbeauftragten (DSB)
Gemäß der DSGVO muss eine Organisation einen Datenschutzbeauftragten für einen der folgenden Punkte ernennen:
– Wenn Daten von einer Behörde verarbeitet werden
– Wenn die gesammelten Daten einem systematischen Monitoring unterzogen werden
– Wenn gesammelte Daten in großem Umfang verarbeitet werden
Hier gibt es eindeutig Unklarheiten – da die DSGVO nicht definiert, wie groß ein Umfang ist. Daher ist es oft sinnvoll, einen Datenschutzbeauftragten zu ernennen, der Ihre Datenschutzstrategie überwacht, unabhängig vom Umfang Ihrer personenbezogenen Datenerhebung.
6. Führen Sie ein DSGVO-Tagebuch
Hier wäre es am besten, wenn Sie dokumentieren, wie Ihr Unternehmen die Einhaltung der DSGVO praktiziert. Dazu gehört die Zuordnung der Datenflüsse durch Ihr Unternehmen, aller Datenquellen und die Art und Weise, wie Sie das Risiko von Datenschutzverletzungen mindern.
Es bietet auch Schutz für den Fall, dass Ihr Unternehmen während der Implementierung seines Compliance-Frameworks eine Datenschutzverletzung erleidet.
7. Double-Opt-in für neue E-Mail-Listen-Anmeldungen
Ja. Für jeden, der sich für Ihre E-Mail-Liste anmeldet, fügen Sie einen Double-Opt-in-Prozess hinzu. Das bedeutet, dass sie ihre Zustimmung zweimal bestätigen müssen. Die erste tritt auf, wenn das Anmeldeformular ausgefüllt ist. Die zweite Einwilligung erfolgt, indem der Benutzer auf den Bestätigungslink klickt, der nach dem Ausfüllen des Anmeldeformulars automatisch gesendet wird.
Die DSGVO schreibt zwar keine obligatorischen Double-Opt-in-Anmeldungen vor, ist aber der derzeit hohe Standard für Datenschutz und Einwilligung.
8. Schreiben oder aktualisieren Sie Ihre Datenschutzerklärung
In einer Datenschutzerklärung sollte eine Organisation klar angeben, welche personenbezogenen Daten gesammelt und wie sie verwendet werden. Es muss immer auf dem neuesten Stand und auf der Website der Organisation verfügbar sein.
9. Bewerten Sie routinemäßig Risiken von Drittanbietern
DSGVO-konform zu sein bedeutet nicht nur, Ihr Haus in Ordnung zu halten. Sie bezieht sich auch auf das Datenrisiko, das von Dritten ausgeht. Hier können Daten zwischen Organisationen ausgetauscht werden. Dies erfordert ein kontinuierliches Bewusstsein für die Sicherheitsrisiken und Abhilfemaßnahmen.
Obwohl kein System zu 100 % risikofrei sein kann, ist die routinemäßige Bewertung potenzieller Sicherheitsrisiken von entscheidender Bedeutung. Sie sollten Ihre Erkenntnisse und Maßnahmen im DSGVO-Tagebuch festhalten.
Schlussfolgerung
Die Einhaltung der DSGVO kann einen erheblichen Aufwand erfordern, ist aber für alle Unternehmen möglich. Die Nichteinhaltung der DSGVO kann zu Geldstrafen in Höhe von 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro führen – je nachdem, welcher Betrag höher ist.
Daher ist die Einhaltung der DSGVO keine Option. Es ist eine rechtliche und finanzielle Notwendigkeit. Weitere Informationen entnehmen Sie bitte der 88-seitigen Verordnung selbst.
Quellen:
https://iapp.org/resources/article/iapp-ey-annual-governance-report-2018/
https://gdpr.eu/tag/gdpr/
https://www.upguard.com/blog/how-to-be-gdpr-compliant
https://www.imperosoftware.com/how-to-be-gdpr-compliant/
https://gdpr.eu/what-does-it-stand-for/