Sind Sie auf GDPR /EU-DSGVO vorbereitet?
©
Ab Mai 2018 regelt die General Data Protection Regulation (GDPR) der Europäischen Union, zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO), die Erfassung und Verarbeitung von EU-Kundendaten durch weltweit tätige Unternehmen. Die Bundesregierung hat bereits einen Entwurf vorgelegt, durch den das deutsche Datenschutzgesetz auf die neue Verordnung abgestimmt werden soll.
Für Unternehmen bedeuteten diese neuen Bestimmungen eine einzigartige Gelegenheit, sichere Datenverarbeitung zu gewährleisten, das Vertrauen der Verbraucher zurückzugewinnen und ihre Daten damit langfristig gewinnbringender einzusetzen. Doch während der Countdown bis zur Einführung bereits läuft, wissen überwältigende 91 % der deutschen Unternehmen noch nicht genau, was die neuen Bestimmungen für sie bedeuten und welche Vorbereitungen es im kommenden Jahr zu treffen gilt. Damit riskieren sie Strafen in einer Höhe von bis zu 4 % des Jahresumsatzes.
Was bedeutet also die DSGVO für Unternehmen und mit welchen Maßnahmen können diese bis zu deren Inkrafttreten die Einhaltung der Verordnung sicherstellen?
Vor dem Hintergrund der zunehmenden Bedeutung von Daten im Alltag zielt die Verordnung auf die Stärkung des Grundrechts der EU-Bürger auf Datenschutz sowie auf die Vereinfachung des Verkehrs personenbezogener Daten auf dem europäischen Binnenmarkt ab. Bereits die EU-Datenschutzrichtlinie von 1995 geht implizit auf Transparenz und Haftung ein. In der neuen Verordnung werden diese Punkt jetzt explizit geregelt.
Dies sind die wichtigsten Veränderungen, die die DSGVO mit sich bringt:
Weltweite Gültigkeit: Die Verordnung regelt die gesamte Verarbeitung personenbezogener Daten von EU-Bürgern, ungeachtet vom Ort dieser Verarbeitung. Nicht in der EU ansässige Unternehmen sind verpflichtet, einen Vertreter innerhalb der EU zu benennen, wenn diese Daten von EU-Bürgern verarbeiten.
Ausdrückliche Zustimmung: Benutzer müssen der Verwendung ihrer Daten ausdrücklich zustimmen und über den jeweiligen Zweck der Datenverarbeitung informiert werden. Bei einer Verarbeitung, die nicht dem ursprünglichen Zweck dient, ist eine erneute Zustimmung erforderlich. Die Aufforderung zur Zustimmung muss einfach und verständlich gehalten werden, ohne schwierige rechtliche Fachbegriffe. Außerdem müssen Benutzer ihre Zustimmung ebenso einfach widerrufen wie erteilen können.
Datenrechte: Die Verordnung schreibt die Rechte der Benutzer fest, beispielsweise das Recht auf Zugang. Dadurch werden Unternehmen verpflichtet, auf Anfrage mitzuteilen, welche Daten diese zu einer Person gespeichert haben, wo diese Daten verarbeitet und zu welchem Zweck diese verwendet werden. Diese Auskunft muss kostenlos erfolgen. Das Recht auf Löschung („Recht auf Vergessenwerden“) ermöglicht Benutzern, die Löschung ihrer Daten zu verlangen. Das Recht auf Datenübertragbarkeit gestattet Benutzern die Übertragung von Daten zwischen Anbietern. Außerdem haben Benutzer das Recht auf Widerspruch gegen automatische Entscheidungen einschließlich Profiling.
Umfänglicher Datenschutz: Die Verordnung verlangt von Unternehmen geeignete technische und organisatorische Datenschutzmaßnahmen, die gewährleisten, dass personenbezogene Daten ausschließlich bei Bedarf gespeichert werden und dass der Zugriff auf die mit der Verarbeitung betrauten Personen beschränkt bleibt. Als mögliche Maßnahme schlägt die DSGVO eine zweigleisige Verarbeitung vor, bei der jeweils ein Originaldatensatz und ein pseudoanonymisierter Datensatz verwendet werden.
Meldepflicht: Die Verordnung verpflichtet Unternehmen zur Meldung von Datenschutzverletzungen, die für Betroffene ein persönliches Risiko bedeuten, innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde. Außerdem müssen die Betroffenen selbst unverzüglich informiert werden.
Im Folgenden finden Sie einige Vorschläge, anhand derer sich Marketingunternehmen auf das Inkrafttreten der DSGVO vorbereiten können:
Systeme nicht vorschnell ersetzen
Der Austausch der gesamten vorhandenen Technik zur Einhaltung der Verordnung ist teuer und meist überflüssig. Marketingunternehmen benötigen zur effizienteren Datenverarbeitung sowie zur Gewährleistung, dass sie die neue Verordnung einhalten, lediglich eine zentrale Stelle, die die Steuerung der Datennutzung auf den vorhandenen Plattformen ermöglicht.
Internes Datenaudit
Anhand einer Dateninventur können Unternehmen ermitteln, welche Daten sie erfassen, wo diese gespeichert und wie diese geschützt werden. Dies umfasst auch die Ermittlung, welche Auftragnehmer Zugang zu den gespeicherten Daten haben und wie diese die Daten verarbeiten. Risiken lassen sich durch die Löschung entbehrlicher Daten minimieren.
Geltende Datenrichtlinien prüfen und überarbeiten:
Überprüfen Sie zunächst die Sicherheitsrichtlinien hinsichtlich der technischen, administrativen und physischen Maßnahmen zum Schutz von Daten vor, während und nach der Verarbeitung. Die Einhaltung der Verordnung sollte anhand interner Maßnahmen fortlaufend überwacht werden. Datenschutzrichtlinien und Aufforderungen zur Zustimmung müssen auf die Einhaltung der neuen Verordnung geprüft werden.
Änderungen bei der Datenverarbeitung kommunizieren:
Neue Verfahren und Richtlinien müssen gegenüber den eigenen Mitarbeitern sowie Vertragsnehmern und Kunden klar kommuniziert werden. Eingehende Schulungen von Mitarbeitern sowie die Teilnahme an Zertifizierungsprogrammen sollten in Betracht gezogen werden.
Die Einhaltung der neuen Verordnung mit ihren komplexen Bestimmungen und hohen Strafen mag Marketingunternehmen als Herausforderung erscheinen. Dabei ist es wichtig, sich vor Augen zu halten, dass die DSGVO einen wichtigen Schritt vorwärts für den Datenschutz bedeutet, Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten verspricht und von Unternehmen angemessene Sicherheitsmaßnahmen verlangt, die letztendlich die Beziehung zu ihren Kunden verbessern.
Für Unternehmen bedeuteten diese neuen Bestimmungen eine einzigartige Gelegenheit, sichere Datenverarbeitung zu gewährleisten, das Vertrauen der Verbraucher zurückzugewinnen und ihre Daten damit langfristig gewinnbringender einzusetzen. Doch während der Countdown bis zur Einführung bereits läuft, wissen überwältigende 91 % der deutschen Unternehmen noch nicht genau, was die neuen Bestimmungen für sie bedeuten und welche Vorbereitungen es im kommenden Jahr zu treffen gilt. Damit riskieren sie Strafen in einer Höhe von bis zu 4 % des Jahresumsatzes.
Was bedeutet also die DSGVO für Unternehmen und mit welchen Maßnahmen können diese bis zu deren Inkrafttreten die Einhaltung der Verordnung sicherstellen?
Vor dem Hintergrund der zunehmenden Bedeutung von Daten im Alltag zielt die Verordnung auf die Stärkung des Grundrechts der EU-Bürger auf Datenschutz sowie auf die Vereinfachung des Verkehrs personenbezogener Daten auf dem europäischen Binnenmarkt ab. Bereits die EU-Datenschutzrichtlinie von 1995 geht implizit auf Transparenz und Haftung ein. In der neuen Verordnung werden diese Punkt jetzt explizit geregelt.
Dies sind die wichtigsten Veränderungen, die die DSGVO mit sich bringt:
Weltweite Gültigkeit: Die Verordnung regelt die gesamte Verarbeitung personenbezogener Daten von EU-Bürgern, ungeachtet vom Ort dieser Verarbeitung. Nicht in der EU ansässige Unternehmen sind verpflichtet, einen Vertreter innerhalb der EU zu benennen, wenn diese Daten von EU-Bürgern verarbeiten.
Ausdrückliche Zustimmung: Benutzer müssen der Verwendung ihrer Daten ausdrücklich zustimmen und über den jeweiligen Zweck der Datenverarbeitung informiert werden. Bei einer Verarbeitung, die nicht dem ursprünglichen Zweck dient, ist eine erneute Zustimmung erforderlich. Die Aufforderung zur Zustimmung muss einfach und verständlich gehalten werden, ohne schwierige rechtliche Fachbegriffe. Außerdem müssen Benutzer ihre Zustimmung ebenso einfach widerrufen wie erteilen können.
Datenrechte: Die Verordnung schreibt die Rechte der Benutzer fest, beispielsweise das Recht auf Zugang. Dadurch werden Unternehmen verpflichtet, auf Anfrage mitzuteilen, welche Daten diese zu einer Person gespeichert haben, wo diese Daten verarbeitet und zu welchem Zweck diese verwendet werden. Diese Auskunft muss kostenlos erfolgen. Das Recht auf Löschung („Recht auf Vergessenwerden“) ermöglicht Benutzern, die Löschung ihrer Daten zu verlangen. Das Recht auf Datenübertragbarkeit gestattet Benutzern die Übertragung von Daten zwischen Anbietern. Außerdem haben Benutzer das Recht auf Widerspruch gegen automatische Entscheidungen einschließlich Profiling.
Umfänglicher Datenschutz: Die Verordnung verlangt von Unternehmen geeignete technische und organisatorische Datenschutzmaßnahmen, die gewährleisten, dass personenbezogene Daten ausschließlich bei Bedarf gespeichert werden und dass der Zugriff auf die mit der Verarbeitung betrauten Personen beschränkt bleibt. Als mögliche Maßnahme schlägt die DSGVO eine zweigleisige Verarbeitung vor, bei der jeweils ein Originaldatensatz und ein pseudoanonymisierter Datensatz verwendet werden.
Meldepflicht: Die Verordnung verpflichtet Unternehmen zur Meldung von Datenschutzverletzungen, die für Betroffene ein persönliches Risiko bedeuten, innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde. Außerdem müssen die Betroffenen selbst unverzüglich informiert werden.
Im Folgenden finden Sie einige Vorschläge, anhand derer sich Marketingunternehmen auf das Inkrafttreten der DSGVO vorbereiten können:
Systeme nicht vorschnell ersetzen
Der Austausch der gesamten vorhandenen Technik zur Einhaltung der Verordnung ist teuer und meist überflüssig. Marketingunternehmen benötigen zur effizienteren Datenverarbeitung sowie zur Gewährleistung, dass sie die neue Verordnung einhalten, lediglich eine zentrale Stelle, die die Steuerung der Datennutzung auf den vorhandenen Plattformen ermöglicht.
Internes Datenaudit
Anhand einer Dateninventur können Unternehmen ermitteln, welche Daten sie erfassen, wo diese gespeichert und wie diese geschützt werden. Dies umfasst auch die Ermittlung, welche Auftragnehmer Zugang zu den gespeicherten Daten haben und wie diese die Daten verarbeiten. Risiken lassen sich durch die Löschung entbehrlicher Daten minimieren.
Geltende Datenrichtlinien prüfen und überarbeiten:
Überprüfen Sie zunächst die Sicherheitsrichtlinien hinsichtlich der technischen, administrativen und physischen Maßnahmen zum Schutz von Daten vor, während und nach der Verarbeitung. Die Einhaltung der Verordnung sollte anhand interner Maßnahmen fortlaufend überwacht werden. Datenschutzrichtlinien und Aufforderungen zur Zustimmung müssen auf die Einhaltung der neuen Verordnung geprüft werden.
Änderungen bei der Datenverarbeitung kommunizieren:
Neue Verfahren und Richtlinien müssen gegenüber den eigenen Mitarbeitern sowie Vertragsnehmern und Kunden klar kommuniziert werden. Eingehende Schulungen von Mitarbeitern sowie die Teilnahme an Zertifizierungsprogrammen sollten in Betracht gezogen werden.
Die Einhaltung der neuen Verordnung mit ihren komplexen Bestimmungen und hohen Strafen mag Marketingunternehmen als Herausforderung erscheinen. Dabei ist es wichtig, sich vor Augen zu halten, dass die DSGVO einen wichtigen Schritt vorwärts für den Datenschutz bedeutet, Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten verspricht und von Unternehmen angemessene Sicherheitsmaßnahmen verlangt, die letztendlich die Beziehung zu ihren Kunden verbessern.