Allgemeine Datenschutzbestimmungen (DSGVO)
Die Allgemeinen Datenschutzbestimmungen (kurz " DSGVO ") sind in letzter Zeit viel in den Nachrichten gewesen. Aber was sind die neuen Regeln und wie wirken sie sich auf Ihr Geschäft aus?
Der Hintergrund
1995 veröffentlichte die Europäische Kommission die Datenschutzrichtlinie . Dies zwang alle EU-Mitgliedstaaten, ihre eigenen Datenschutzgesetze umzusetzen, um sicherzustellen, dass die personenbezogenen Daten ihrer Bürger angemessen geschützt werden, und sicherzustellen, dass den Bürgern bestimmte Rechte garantiert werden, die wissen, welche Daten von Dritten gespeichert werden gegebenenfalls verlangen, dass die Daten korrigiert oder gelöscht werden.
In den Folgejahren zeigte jedoch die rasante Entwicklung von Social Media, Smartphones und die fortschreitende Entwicklung des Internets, dass die bestehenden rechtlichen Schutzvorkehrungen nicht angemessen waren. Daraufhin schlug die Europäische Kommission eine neue Verordnung vor - die allgemeinen Datenschutzbestimmungen. Im Gegensatz zu der vorherigen Datenschutzrichtlinie, die es den einzelnen EU-Mitgliedern ermöglichte, die Vorschriften auf eigene Weise umzusetzen, sollten die DSGVO-Verordnungen zu einem einzigen Zeitpunkt als einzige EU-weite Verordnung umgesetzt werden: am 25. Mai 2018.
Eines der wichtigsten Ziele der DSGVO war die Ausweitung des bestehenden Datenschutzsystems in Europa, um sicherzustellen, dass alle EU-Bürger das gleiche Schutzniveau genießen, unabhängig davon, ob ihre Daten von einem EU-Unternehmen oder einem Nicht-EU-Unternehmen verarbeitet oder verarbeitet werden. Die Kommission erklärte, ihr Ziel sei es, sicherzustellen, dass alle Bürger in einem Zeitalter, in dem personenbezogene Daten für die digitale Wirtschaft der Zukunft immer wichtiger werden, einen Standardsatz "digitaler Rechte" haben.
Warum ist die DSGVO wichtig?
Die DSGVO ist für alle Unternehmen von Bedeutung, sowohl wegen des breiten Anwendungsbereichs der Vorschriften als auch wegen der erheblichen Strafen für die Nichteinhaltung von Vorschriften. Bei schwerwiegenden Verstößen können Geldbußen entweder um 20 Mio. EUR oder 4% des weltweiten Umsatzes steigen .
Die GDPR erweitert auch den Umfang der möglichen Haftung für Datenverletzungen. Bisher gab es einen Unterschied zwischen Daten- "Controllern", die eigentlich Daten- und Daten- "Prozessoren" besaßen, die vom Controller beauftragt wurden, etwas mit diesen Daten zu tun. Erstere kann für den Verlust oder Missbrauch personenbezogener Daten haftbar gemacht werden, nicht jedoch Letztere. Im Rahmen der DSGVO haften jedoch sowohl der Controller als auch der Verarbeiter gesamtschuldnerisch. Dies bedeutet, dass eine oder beide Parteien von betroffenen Personen verklagt oder von Aufsichtsbehörden mit einer Geldstrafe belegt werden können.
Da viele Unternehmen im Technologiesektor wahrscheinlich Verarbeiter sein werden, bedeutet dies, dass diese Unternehmen unter der DSGVO nun eine potenzielle Haftung haben, die sie zuvor nicht hatten!
Was benötigt die DSGVO eigentlich?
Die GDPR legt eine Reihe von Verpflichtungen für alle fest, die Daten kontrollieren oder verarbeiten. Dies ist kein erschöpfender Leitfaden, aber die grundlegenden Anforderungen lauten wie folgt:
- Wissen Sie, welche Daten Sie kontrollieren und woher Sie diese bekommen haben
- Vergewissern Sie sich, dass alle von Ihnen kontrollierten oder verarbeiteten Daten "rechtmäßig" sind (dies wird später erläutert)
- Ergreifen Sie geeignete Maßnahmen, um alle Daten, die Sie kontrollieren oder verarbeiten, zu schützen und um Risiken für diese Daten zu simulieren
- Wenn Sie Daten verarbeiten, die Sie kontrollieren, müssen Sie sicherstellen, dass der Verarbeiter dieselben Schutzstandards einhält
- Wo Sie "persönliche" oder "sensible" Daten haben, müssen Sie zusätzliche Schritte unternehmen, um den Schutz dieser Daten zu gewährleisten. Personenbezogene Daten werden weitestgehend erfasst - sogar eine E-Mail-Adresse oder eine IP-Adresse kann als personenbezogene Daten angesehen werden!
- Wenn eine Person dies wünscht, müssen Sie eine Kopie aller Daten, die Sie darauf speichern, schnell und in einer geeigneten maschinenlesbaren Form bereitstellen ("Datenportabilität").
- Wenn eine Person Sie dazu auffordert, müssen Sie alle darauf gespeicherten Daten entfernen (das Recht, vergessen zu werden)
"Gesetzliche Basis"
"Lawful Basis" ist einer der wichtigsten Teile der DSGVO. Grundsätzlich ist es erforderlich, dass alle Daten, die erhoben oder verarbeitet werden, auf gesetzlicher Grundlage erfolgen. Liegen keine gesetzlichen Grundlagen vor, können die Daten nicht erhoben oder verarbeitet werden und müssen vernichtet werden.
Es gibt verschiedene Szenarien, die als rechtmäßige Grundlage gelten:
- Der Benutzer hat ausdrücklich Ihrer Erhebung und Verarbeitung seiner Daten zugestimmt. Dies ist die üblichste gesetzliche Grundlage, und es ist auch ziemlich einfach, diese zu befriedigen. Sie müssen dem Benutzer klar und eindeutig mitteilen, welche Daten Sie erheben und warum Sie dies tun. Sie müssen dem Benutzer dann die Möglichkeit geben, sich für diese Sammlung zu entscheiden.
- Wo Sie Daten sammeln müssen, um einen Vertrag zu erfüllen. Dies ist wahrscheinlich auch eine rechtmäßige Grundlage und soll die Erfassung und Verarbeitung von Daten für häufige Situationen ermöglichen, beispielsweise in einem Online-Shop, der Waren oder Dienstleistungen verkauft. In dieser Situation hat der Kunde einen Vertrag durch den Kauf von Waren oder Dienstleistungen abgeschlossen. Es wäre daher legitim, Abrechnungs- und Versandinformationen zu sammeln und an einen Kreditkartenverarbeiter weiterzuleiten, da dies zur Erfüllung dieses Vertrages notwendig ist. Die Verwendung dieser Daten für andere Zwecke (z. B. für Marketingzwecke) wäre jedoch keine rechtmäßige Grundlage, da sie zur Vertragserfüllung nicht erforderlich wäre
- Wo gesetzlich erforderlich. In bestimmten Situationen müssen Daten erhoben und verarbeitet werden, da dies gesetzlich vorgeschrieben ist. Ein gutes Beispiel wäre, dass Banken und Finanzinstitute häufig gesetzlich verpflichtet sind, bestimmte Aufzeichnungen bis zu 6 Jahre aufzubewahren
- Wo es ein vitales Interesse gibt. Diese rechtmäßige Grundlage ist in der Geschäftswelt unwahrscheinlich, da sie für Notfälle im Bereich Leben oder Tod vorgesehen ist und die Verarbeitung von Daten durch Einrichtungen wie die Notdienste abdecken würde
- Wo für eine öffentliche Aufgabe erforderlich. Dies ist auch unwahrscheinlich, da dies beabsichtigt ist, Regierungsstellen oder anderen offiziellen Stellen die Möglichkeit zu geben, Daten zu sammeln und zu verarbeiten, um ihre Arbeit zu erledigen. Beispiele hierfür sind Anwaltskanzleien, die Daten erheben und verarbeiten müssen, um einen Dienst wie das Gerichtsverfahren anbieten zu können
- Schließlich gibt es "berechtigtes Interesse". Dies ist absichtlich ziemlich vage formuliert, ermöglicht jedoch im Wesentlichen die Erhebung und Verarbeitung von Daten, wenn ein berechtigtes Interesse besteht. Ein gutes Beispiel wäre, wenn eine Person gebeten hat, keine Marketing-E-Mails von einem Unternehmen zu erhalten. Dann besteht ein berechtigtes Interesse daran, die E-Mail-Adresse dieser Person zu behalten, um sicherzustellen, dass keine Marketing-E-Mails an diese Person gesendet werden, statt die Daten dieser Person vollständig zu löschen und damit riskieren, sie versehentlich in der Zukunft per E-Mail zu versenden. Es gibt jedoch ein hohes Maß für berechtigtes Interesse - es muss im übergeordneten Interesse des Einzelnen liegen und nicht nur, weil es für das Unternehmen günstig ist
Es ist auch erwähnenswert, dass, wenn die erfassten oder zu verarbeitenden Daten "sensibel" sind (im Wesentlichen in Bezug auf Rasse, Religion, sexuelle Präferenz, politische Zugehörigkeit, Krankenakte oder Gewerkschaftsmitgliedschaft), eine viel strengere gesetzliche Grundlage gilt - Grundsätzlich können Sie solche Daten nur erheben oder verarbeiten, wenn die ausdrückliche Zustimmung des Benutzers vorliegt, im überwiegenden öffentlichen Interesse liegt oder dies gesetzlich vorgeschrieben ist.
Was ist mit Reinkubieren?
Weitere Informationen zu den Rechten und Pflichten von Reincubate im Rahmen der GDPR finden Sie in unserer Datenschutzerklärung .