Am 25. Mai 2018 tritt innerhalb der EU die Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Bis zu diesem Zeitpunkt müssen Unternehmen die Anforderungen dieser Datenschutz-Grundverordnung umgesetzt haben. Das bedeutet, dass viele Firmen umfassende Änderungen an ihren internen Vorgängen und Verfahren vornehmen müssen.
Betroffen sind Unternehmen, die persönliche Identifikationsdaten von Bürgern der EU verarbeiten. Verbraucher sollen durch neue Regularien in Zukunft besser geschützt werden und ihre persönlichen Angaben einfacher kontrollieren können. Unternehmen, die ihre internen Prozesse nicht an die neue Regelung anpassen, verlieren unter Umständen Kundenvertrauen sowie eine gute Unternehmensreputation. Außerdem kann es zu hohen Geldstrafen kommen, sollte die Verordnung nicht den Vorgaben entsprechend umgesetzt werden.
%CAD2%
Häufige Irrtümer bei der Datenschutz-Grundverordnung
Viele Unternehmen haben in den letzten Jahren personenbezogene Daten gesammelt. Vor der Ankündigung der Datenschutz-Grundverordnung haben sie grünes Licht für die Erfassung dieser Informationen bekommen. Ab sofort dürfen sie diese jedoch nicht mehr ohne weiteres verwenden. Personenbezogene Daten dürfen nämlich nur dann verarbeitet werden, wenn es eine Zustimmung für die spezifische geplante Verwendung dieser Informationen gibt. Erfolgt eine Genehmigung dafür, muss diese regelmäßig erneuert werden.
Auch die Verwendung von Opt-out-Modellen führt häufig zu Verwirrungen. Zahlreiche Firmen verwenden dieses Verfahren, um an personenbezogene Daten zu gelangen. Besucher müssen explizit mitteilen, dass ihre Daten nicht verwendet werden dürfen. Geschieht das nicht, bedeutet das automatisch, dass die Informationen genutzt werden können. Das Verfahren ist immer noch Standard in Deutschland, führt allerdings jetzt durch die EU-DSGVO zu Problemen. Im Rahmen der alten Regelungen war das Opt-out-Modell ausreichend, allerdings ist der neue Standard innerhalb der EU jetzt das Opt-in-Modell. Das bedeutet, dass von jedem Besucher eine spezifische und aktive Zustimmung eingeholt werden muss, ehe Daten verwendet werden dürfen.
Wie kann diese Zustimmung erfolgen?
Oft wird angenommen, dass lediglich eine E-Mail an die Datenbank ausreicht, um eine Zustimmung der Besucher zu erhalten. Leider ist das ein weitverbreiteter Irrtum. Zwar scheint der Ansatz vernünftig, jedoch sollten wirklich nur die Personen kontaktiert werden, die ihre explizite Zustimmung für solche Zwecke abgegeben haben. Datenschutzbehörden belegen Unternehmen mit erheblichen Geldstrafen, sollten sie nicht beweisen können, dass sie für die Kontaktaufnahme mit Personen zu Marketingzwecken auch deren spezifische Zustimmung haben. Dabei ließe sich eine Zustimmung für jede Verwendung von Daten einholen. Personen müssen erfahren können, wie ihre Daten verwendet werden und wie sie ihre Zustimmung zu einem späteren Zeitpunkt wieder zurückziehen können. Dafür sollte jedes Unternehmen darauf achten, Antworten und Handlungen aufzuzeichnen, damit ein Audit danach leichter gelingt. Daneben ist auch eine Rechtsberatung sehr hilfreich, um weitere Vorgänge sorglos durchzuführen.
Alte Datensätze müssen nicht berücksichtigt werden – oder doch?
Der Datenspeicher ist voll, aber das Wissen über die persönlichen Informationen darin ist gering. Häufig ist in Unternehmen nicht einheitlich festgelegt, wo sich diese Daten befinden und wer für die allgemeine Speicherung zuständig ist. Ein Problem, mit dem sich viele Firmen konfrontiert sehen. Dennoch ist es nicht möglich, einfach mit den neuen Daten fortzufahren und die alten nicht zu berücksichtigen. Alle personenbezogenen Informationen in einem großen Unternehmen ausfindig zu machen, gleicht einem Mammutprojekt. Firmen sollten diesen komplizierten Prozess deshalb nicht auf die leichte Schulter nehmen. Denn sie sind aufgrund der gespeicherten und ungenutzten Daten einem hohen Risiko für Sicherheitsverletzungen und einer Haftung unter EU-DSGVO ausgesetzt. Anstrengungen diese nicht verwendeten Daten zu finden und zu löschen, können im Ernstfall die Strafen erheblich reduzieren.
Strafen sind hoch und werden eingezogen – oder nicht?
Wacker hält sich auch das Gerücht, dass die Strafen nicht allzu hoch oder in manchen Fällen gar nicht eingezogen werden – eine Fehlannahme. Strafen können sehr teuer werden und bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes ausmachen. Mit der Gnade der Behörden zu rechnen und darauf zu spekulieren, dass sie vielleicht ein Auge zudrücken, wäre bei allem was auf dem Spiel steht, fatal.
Auch für Unternehmen mit Hauptsitz außerhalb der EU sollte das Thema EU-DSGVO Priorität haben. Weltweit agierende juristische Personen, die personenbezogene Daten erfassen, müssen diese Regelungen befolgen. Auch politische Gegebenheiten wie der Brexit bedeuten für Unternehmen in Großbritannien nicht, dass ihnen diese Regulierungen gleichgültig sein können.
Unterstützung für Firmen bei EU-DSGVO-Umsetzung
Die Vorbereitung auf EU-DSGVO steigert außerhalb von Unternehmen die Glaubwürdigkeit bei Kunden und Regulierungsbehörden. Dadurch können sich Unternehmen als verlässliche und vertrauenswürdige Partner positionieren. Viele Firmen setzen bei den Vorbereitungen auf Datenlösungen, um Informationen besser darstellen, verwalten und regeln zu können. Durch die Enterprise-Data-Intelligence-Lösung von ASG Technologies lassen sich beispielsweise Datenbestände durchscannen und DSVGO relevante Felder markieren. Die ASG-Content-Lösungen können die Lebensdauer von personenbezogenen Daten verwalten und zugleich die Zustimmung einer Person erfassen. Eine solide Technologie-Plattform stellt die Basis für Compliance dar. Alle Bemühungen zur Einhaltung der Regelungen lassen sich einfach aufzeigen und nachweisen, sollten die Behörden tatsächlich mal an die Tür klopfen.
Jan Falkenstein, Senior Solutions Engineer bei ASG Technologies
Bildquellen
- Flags-of-europe-dsgvo: unsplash.com - Tracy Thomas
No Comment