EU-Datenschutz: Qualität der Kundenadressen schützt vor Strafe
Mitte April verabschiedete das Europäische Parlament nach langen Verhandlungen die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Sie wird im Juni/Juli 2018 in Kraft treten und dann die bisherigen Datenschutzgesetze der 28 Mitgliedstaaten der Europäischen Union ersetzen.
Praktisch alle Firmen, die Waren oder Dienstleistungen anbieten, sind davon betroffen. Genau zwei Jahre haben Unternehmen nun Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen vorzubereiten. Zu den wichtigsten Aspekten der Neuregelung gehören:
• Ende des Adresshandels – Das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen, entfällt. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich.
• Beweislastumkehr – Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip: Die Unternehmen müssen beweisen, dass Sie rechtskonform arbeiten.
• Dokumentationspflicht – Unternehmen müssen künftig dokumentieren, warum und wie sie persönlichen Daten verarbeiten. Zudem sind sie verpflichtet, die Sicherheitsmaßnahmen konkret nachzuweisen.
• Mehr Transparenz – Wer einem Unternehmen Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten zum Beispiel für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.
• Daten mitnehmen – Wer einen bestimmten Dienst wechselt, soll seine Daten bei Bedarf mitnehmen können.
• Recht auf Vergessen – In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“. Die EU-DSGVO regelt dazu, wann nicht mehr benötigte Daten zu löschen sind.
• Meldeauflagen – Datenschutzverletzungen sind künftig der EU und den betroffenen Personen in einem einheitlichen Verfahren zu melden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.
Zusammenhang zwischen Datenqualität und Datenschutz
Künftig müssen Unternehmen genau wissen, wo welche Daten gespeichert sind. Auch die Verwendung der Daten und der Datenschutz müssen klar geregelt sein. Der Zusammenhang zwischen Datenqualität und Datenschutz liegt auf der Hand: So heißt es in der EU-DSGVO gleich an mehreren Stellen:
• „Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.“
• „Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird“.
• „Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit").“
• „Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.“
Stand heute erfüllen die wenigsten Unternehmen sämtliche neuen Vorschriften – aus technischen wie organisatorischen Gründen. Neben einer gründlichen Bestandsaufnahme geht es jetzt vor allem darum, Prozesse mit Blick auf den Datenschutz zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Und auch das Sicherstellen einer hohen Qualität von personenbezogenen Daten steht auf der Tagesordnung.
Bis zu 20 Millionen Euro Geldbuße bei Verstößen
Denn nichts zu tun, ist keine gute Idee: Bei Verstößen gegen die EU-DSGVO steht den Betroffenen ein Schadensersatzanspruch zu. Zusätzlich sind empfindliche Bußgelder vorgesehen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.
Gesamtlösung für das Datenmanagement
Die Datenschutz-Anforderungen werden sich also massiv erhöhen und auch erhebliche Auswirkungen auf die Datenqualität haben – nur ein Beispiel aus den zahlreichen Verschärfungen: Zukünftig können sich Privatpersonen an jedes Unternehmen wenden und Einsicht in die über sie gespeicherten Daten verlangen – und unter Umständen auch Löschung der Daten verlangen. Und diese Löschung muss dann auch geschehen … und zwar überall, wo Daten abgelegt sind! Und hier kommen ausgefeilte Lösungen für das Qualitätsmanagement von Daten ins Spiel, zum Beispiel das DataHub 8.1 Release, das Human Inference gerade angekündigt hat. Dabei steht eine Gesamtlösung für das Datenmanagement im Vordergrund: Es besteht jederzeit ein aktueller Überblick über jeden einzelnen Kunden und seine relevanten Daten – egal in welchen und in wie vielen Quellensystemen diese gespeichert sind.
Praktisch alle Firmen, die Waren oder Dienstleistungen anbieten, sind davon betroffen. Genau zwei Jahre haben Unternehmen nun Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen vorzubereiten. Zu den wichtigsten Aspekten der Neuregelung gehören:
• Ende des Adresshandels – Das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen, entfällt. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich.
• Beweislastumkehr – Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip: Die Unternehmen müssen beweisen, dass Sie rechtskonform arbeiten.
• Dokumentationspflicht – Unternehmen müssen künftig dokumentieren, warum und wie sie persönlichen Daten verarbeiten. Zudem sind sie verpflichtet, die Sicherheitsmaßnahmen konkret nachzuweisen.
• Mehr Transparenz – Wer einem Unternehmen Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten zum Beispiel für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.
• Daten mitnehmen – Wer einen bestimmten Dienst wechselt, soll seine Daten bei Bedarf mitnehmen können.
• Recht auf Vergessen – In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“. Die EU-DSGVO regelt dazu, wann nicht mehr benötigte Daten zu löschen sind.
• Meldeauflagen – Datenschutzverletzungen sind künftig der EU und den betroffenen Personen in einem einheitlichen Verfahren zu melden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.
Zusammenhang zwischen Datenqualität und Datenschutz
Künftig müssen Unternehmen genau wissen, wo welche Daten gespeichert sind. Auch die Verwendung der Daten und der Datenschutz müssen klar geregelt sein. Der Zusammenhang zwischen Datenqualität und Datenschutz liegt auf der Hand: So heißt es in der EU-DSGVO gleich an mehreren Stellen:
• „Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.“
• „Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird“.
• „Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit").“
• „Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.“
Stand heute erfüllen die wenigsten Unternehmen sämtliche neuen Vorschriften – aus technischen wie organisatorischen Gründen. Neben einer gründlichen Bestandsaufnahme geht es jetzt vor allem darum, Prozesse mit Blick auf den Datenschutz zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Und auch das Sicherstellen einer hohen Qualität von personenbezogenen Daten steht auf der Tagesordnung.
Bis zu 20 Millionen Euro Geldbuße bei Verstößen
Denn nichts zu tun, ist keine gute Idee: Bei Verstößen gegen die EU-DSGVO steht den Betroffenen ein Schadensersatzanspruch zu. Zusätzlich sind empfindliche Bußgelder vorgesehen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.
Gesamtlösung für das Datenmanagement
Die Datenschutz-Anforderungen werden sich also massiv erhöhen und auch erhebliche Auswirkungen auf die Datenqualität haben – nur ein Beispiel aus den zahlreichen Verschärfungen: Zukünftig können sich Privatpersonen an jedes Unternehmen wenden und Einsicht in die über sie gespeicherten Daten verlangen – und unter Umständen auch Löschung der Daten verlangen. Und diese Löschung muss dann auch geschehen … und zwar überall, wo Daten abgelegt sind! Und hier kommen ausgefeilte Lösungen für das Qualitätsmanagement von Daten ins Spiel, zum Beispiel das DataHub 8.1 Release, das Human Inference gerade angekündigt hat. Dabei steht eine Gesamtlösung für das Datenmanagement im Vordergrund: Es besteht jederzeit ein aktueller Überblick über jeden einzelnen Kunden und seine relevanten Daten – egal in welchen und in wie vielen Quellensystemen diese gespeichert sind.