Seit dem 25. Mai 2018 muss sich jedes europäische oder nicht-europäische Unternehmen, wenn es seine Produkte oder Dienstleistungen in einem Land der Europäischen Union vertreibt, an die Allgemeine Datenschutzverordnung (DSGVO) oder general data protection regulation anpassen.
Was ist die DSGVO?
Die Datenschutzverordnung oder EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates trat am 27. April 2016 in Kraft und ist seit dem 25. Mai 2018 für alle Unternehmen in der Europäischen Union verbindlich. Sie gewährt den Bürgern mehr Kontrolle und Sicherheit über ihre personenbezogenen Daten in der digitalen Welt. Die DSGVO erweitert ihre Rechte zu entscheiden, wie ihre Daten verarbeitet werden sollen und wie sie Informationen von Unternehmen erhalten möchten.
Was müssen Unternehmen in Bezug auf die DSGVO beachten?
Abgesehen von den Strafen, die aus der Nichteinhaltung der DSGVO resultieren können, gibt es immer noch viele KMU, die angesichts dieser europäischen Verordnung nichts unternehmen. Im Wesentlichen stärkt die DSGVO die Kontrolle über personenbezogene Daten und gibt jedem Einzelnen das Recht, diese Daten von jeder öffentlichen oder privaten Einrichtung nutzen zu lassen oder nicht, sowie die Möglichkeit, auf diese Daten zuzugreifen und den Zugriff darauf zu entziehen.
Viele andere Unternehmen suchen jedoch nach Hilfe, um die DSGVO zu einem differenzierenden Aspekt und einer Quelle der Wertschöpfung zu machen. Ihre neue Strategie besteht darin, dass sie davon ausgehen, dass es keinen größeren Geschäftswert gibt, als die Daten, die ihnen von ihren derzeitigen und zukünftigen Kunden zur Verfügung gestellt werden, genau zu kennen.
Angesichts des rechtlichen Rahmens, der sich aus der EU-Datenschutzverordnung ergibt, müssen die Unternehmen folgende Aspekte berücksichtigen:
Dies sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die Unterschiede zum früheren Organgesetz über den Datenschutz (LOPD) aufweisen. Dabei kann es sich um einen Namen, eine DNI, Standortdaten, eine Online-Kennung oder ein oder mehrere Elemente der physischen, physiologischen, genetischen, psychologischen, wirtschaftlichen, kulturellen oder sozialen Identität der betreffenden Person handeln.
Es gibt mehr Transparenz gegenüber den Personen, deren Informationen zugänglich sind. Jetzt, mit der EU-Datenschutzverordnung, müssen Unternehmen den Nutzern, von denen sie Daten sammeln, erklären, warum sie das tun, und nachweisen, dass die Daten nur für die Zwecke verwendet werden, für die sie gesammelt wurden.
Die Nutzer/innen haben ihrerseits die Möglichkeit, ihre Zustimmung zu widerrufen und die Informationen von den Servern des Unternehmens zu löschen. Es gibt keine stillschweigende Zustimmung mehr. Die Datenschutz-Grundverordnung DSGVO verlangt viel mehr Kontrollen, um sicherzustellen, dass die Personen, die ihre Daten weitergeben, dies in voller Kenntnis der Sachlage tun. Von nun an müssen die Unternehmen alle Verträge und Klauseln überprüfen und neu gestalten.
Jedes Unternehmen muss selbst entscheiden, wie hoch sein Risiko ist und welche Maßnahmen es ergreifen muss, um sicherzustellen, dass die Informationen aller europäischen und nicht-europäischen Einwohner ordnungsgemäß gespeichert und verwendet werden. Es gibt keine Einheitlichkeit mehr bei der Datensicherheit. Niemand sollte sich die Frage stellen, was die DSGVO ist.
Unternehmen müssen bei der Meldung von Mängeln proaktiv handeln. Angesichts eines Datenlecks muss der für die Datenverarbeitung Verantwortliche die Commission nationale de l’informatique et des libertés (CNIL) über Sicherheitslücken informieren. Dieser Experte muss über ein effektives System verfügen, um den betroffenen Personen Bericht zu erstatten oder ihnen die Entscheidung mitzuteilen, wenn ihre Rechte gefährdet sind.
Die DSGVO ermutigt öffentliche und private Einrichtungen, einen Datenschutzbeauftragten (DSB) einzusetzen. Es handelt sich dabei um eine unumgängliche Figur der neuen EU-Verordnung. Seine Aufgabe ist es, alle möglichen Risiken zu identifizieren und nach Lösungen zu suchen. Seine Anwesenheit ist für alle öffentlichen Verwaltungen und in Organisationen mit einer umfangreichen Verarbeitung personenbezogener Daten verpflichtend. Er kann innerhalb oder außerhalb des Unternehmens tätig sein.
Die allgemeine Datenschutzverordnung geht davon aus, dass die elterliche Zustimmung erforderlich sein wird, um die Daten von Minderjährigen unter 16 Jahren in Online-Diensten zu verarbeiten. Die Mitgliedsstaaten können Gesetze erlassen, um das Alter der Zustimmung zu senken, obwohl in keinem Land die Anforderung der elterlichen Zustimmung unter 13 Jahren liegen darf.
Die Datenschutzverordnung widmet der Umsetzung von Zertifizierungsschemata besondere Aufmerksamkeit und eröffnet verschiedene Möglichkeiten für deren Verwaltung. Zertifizierungen können von den Datenschutzbehörden, sowohl einzeln als auch gemeinsam vom Europäischen Ausschuss, oder von ordnungsgemäß akkreditierten Stellen vergeben werden.
Privacy by Design besagt, dass jede Aktion eines Unternehmens, bei der personenbezogene Daten verarbeitet werden, in jeder Phase unter Berücksichtigung des Datenschutzes und der Privatsphäre durchgeführt werden muss. Dies schließt interne Projekte, Produktentwicklung, Softwareentwicklung, IT-Systeme und vieles mehr ein. In der Praxis bedeutet dies, dass die IT-Abteilung oder jede andere Abteilung, die mit personenbezogenen Daten umgeht, dafür sorgen muss, dass der Schutz der Privatsphäre während des gesamten Lebenszyklus eines Systems in dieses integriert wird. Bisher war es ziemlich Standard, am Ende eines langen Produktionsprozesses Sicherheits- oder Datenschutzfunktionen hinzuzufügen.
Privacy by default bedeutet, dass, sobald ein Produkt oder eine Dienstleistung der Öffentlichkeit zugänglich gemacht wurde, die strengsten Datenschutzeinstellungen standardmäßig ohne manuelles Eingreifen des Endbenutzers gelten sollten. Darüber hinaus sollten alle persönlichen Daten, die der Nutzer zur Verfügung stellt, um die optimale Nutzung eines Produkts zu ermöglichen, nur so lange gespeichert werden, wie es für die Bereitstellung des Produkts oder der Dienstleistung erforderlich ist. Wenn mehr Informationen offengelegt werden, als für die Bereitstellung der Dienstleistung erforderlich sind, liegt eine Datenverletzung vor.
Aufgrund aller Änderungen, die das Gesetz ber den Datenschutz betreffen, müssen sich die Unternehmen auf Leitfäden beziehen, in denen die zu befolgenden Konzepte, Methoden, Beispiele und Modelle, Empfehlungen und sogar Listen mit möglichen Risiken für Verstöße gegen die DSGVO festgelegt sind. Dies sind keine Standardleitfäden, sondern müssen an das jeweilige Unternehmen angepasst werden.
