Inhaltsübersicht
Was ist GDPR?
Inzwischen haben Sie wahrscheinlich alle den Begriff GDPR gehört. Bis zum 25. Mai 2018 waren die Richtlinien für personenbezogene Daten in Bezug auf den Schutz der Privatsphäre etwas wischiwaschi. Die Datenschutzrichtlinie (1995) enthielt zwar einige grundlegende Leitlinien, aber sie reichten einfach nicht aus.
Wir haben uns schon immer sehr für die Datenschutzgrundverordnung interessiert, da viele der von uns getesteten VPNs ernsthafte Änderungen an ihrer Arbeitsweise vornehmen mussten, darunter auch einige der großen Anbieter wie Avast und NordVPN.
Die Überwachung und Weitergabe von Informationen fällt nun unter die Allgemeine Datenschutzverordnung (DSGVO). Damit soll sichergestellt werden, dass jedes Unternehmen, das mit persönlichen Daten und dem Schutz der Privatsphäre zu tun hat, verantwortungsvoll mit Informationen umgeht.
Laut ICO gibt es 7 Schlüsselprinzipien, die in der GDPR festgelegt sind. Diese sind:
- Rechtmäßigkeit, Fairness und Transparenz
- Zweckbindung
- Minimierung der Datenmenge
- Genauigkeit
- Beschränkung der Speicherung
- Integrität und Vertraulichkeit (Sicherheit)
- Rechenschaftspflicht
Bei den dargelegten Grundsätzen handelt es sich nicht um Regeln im eigentlichen Sinne, sondern vielmehr um einen Überblick über die Grundlagen, die bei der Schaffung einer guten Datenschutzpraxis beachtet werden sollten. Wenn Einzelpersonen oder Unternehmen die Grundsätze nicht einhalten, können sie mit einer Geldstrafe von bis zu 20 Mio. EUR oder 4 % ihres gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) belegt werden.
Was war vor der GDPR?
Die Datenschutz-Grundverordnung wird in ganz Europa angewandt, wobei jedes Land bestimmte Aspekte der Verordnung auf seine Weise kontrolliert. Das Vereinigte Königreich hat den Data Protection Act (2018) eingeführt, der den Data Protection Act von 1998 ersetzt.
Das neue Gesetz wurde kurz vor Inkrafttreten der Datenschutz-Grundverordnung vom Unterhaus und vom Oberhaus verabschiedet.
Auswirkungen auf die Unternehmen
Unabhängig davon, ob Sie eine Einzelperson, eine Organisation oder ein Unternehmen sind, können Sie als “für die Verarbeitung Verantwortlicher” oder “Auftragsverarbeiter” von personenbezogenen Daten bezeichnet werden. Der Information Commissioners Officer (ICO ) erläutert genau, worin der Unterschied zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern besteht.
Unternehmen, die in großem Umfang personenbezogene Daten überwachen oder erhalten, sollten einen Datenschutzbeauftragten (DSB) einstellen. Die Rolle des Beauftragten sollte sicherstellen, dass das betreffende Unternehmen die Datenschutzgrundverordnung einhält. Alle Fragen zum Datenschutz sollten an sie gerichtet werden.
GDPR gilt für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dies gilt auch für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Wie bereits erwähnt, sollte jede Verletzung, die sich auf die Rechte der betroffenen Personen auswirken könnte, dem Information Commissioner’s Office (ICO) gemeldet werden.
Wenn möglich, sollte ein Verstoß innerhalb von 24 Stunden, höchstens jedoch 72 Stunden, protokolliert und gemeldet werden. Die Einzelheiten des Verstoßes und die Art und Weise, wie er eingedämmt und behoben werden soll, müssen der ICO mitgeteilt werden.
Die DSGVO wird dem Einzelnen die Kontrolle darüber geben, wie Unternehmen seine Daten verwenden. Dies gilt auch für Unternehmen, die bereits über Ihre Daten verfügen. So haben Einzelpersonen beispielsweise das Recht auf Vergessenwerden”. Wenn Sie also ein Kunde sind und nicht mehr möchten, dass ein Unternehmen Ihre persönlichen Daten speichert, haben Sie das Recht, Ihre Daten zurückzuziehen.
Hilfreiche Checkliste für kleine Unternehmen
Die DSGVO ist zweifelsohne verwirrend und verständlicherweise ziemlich stressig! Ich dachte, es wäre sinnvoll, eine Checkliste für britische Kleinunternehmen zusammenzustellen, damit Sie wissen, was Sie erwartet und was von Ihnen erwartet wird.
Ihre GDPR-Checkliste für kleine Unternehmen sollte frühere und aktuelle Mitarbeiter, Lieferanten und Kunden berücksichtigen. Sie sollte auch die Daten aller Personen berücksichtigen, die Sie verarbeiten, sammeln, speichern oder aufzeichnen und in irgendeiner Weise nutzen.
1| Verstehen Sie Ihre Daten
Sie müssen verstehen und nachweisen, dass Sie wissen, welche Arten von personenbezogenen Daten Sie und/oder Ihr Unternehmen besitzen. Zum Beispiel Namen, Adressen, IP-Adressen, Bankdaten usw. Dazu gehören auch sensible Daten wie religiöse Ansichten und Gesundheitsdaten. Sie müssen nachweisen, dass Sie wissen, woher diese Daten stammen und wie Sie sie verwenden werden.
2| Denken Sie über Zustimmung nach
Benötigt Ihr Unternehmen die Zustimmung zur Verarbeitung personenbezogener Daten? Einige Marketingtechniken erfordern eine Zustimmung, was die Dinge im Rahmen der DSGVO erheblich erschwert. Wenn Sie also nicht zu 100 % wissen, was Sie tun, sollten Sie sich nicht auf die Einwilligung verlassen, es sei denn, sie ist entscheidend für Ihr Geschäftsmodell.
3| Sicherheitsmaßnahmen berücksichtigen
Ihre bestehenden Sicherheitsmaßnahmen und -richtlinien müssen aktualisiert werden, damit sie mit der DSGVO übereinstimmen. Und wenn Sie noch keine haben, sollten Sie sie ziemlich schnell bekommen! Obwohl es spezifischere Anforderungen an die Sicherheit gibt, können Sie als allgemeine Vorsichtsmaßnahme Verschlüsselung verwenden.
4| Subjektive Zugangsrechte
Der Einzelne hat das Recht auf Zugang zu seinen personenbezogenen Daten. Sie müssen sicherstellen, dass Ihr Unternehmen in der Lage ist, diese Informationen bei Bedarf innerhalb eines kurzen Zeitrahmens bereitzustellen. Es kann sein, dass der Einzelne seine personenbezogenen Daten erhalten möchte, um sie zu berichtigen, um sie einfach zu haben oder um sie ganz zu löschen. Für alle Anfragen gilt eine Frist von einem Monat.
5| Mitarbeiter schulen
Die Mitarbeiter Ihres Unternehmens sollten im Umgang mit personenbezogenen Daten geschult werden. Sie müssen wissen, was personenbezogene Daten sind, und sie müssen wissen, wie sie Verstöße gegen die Datenschutzbestimmungen feststellen können. Die Mitarbeiter sollten wissen, wer Ihr Datenschutzbeauftragter (DSB) ist und welche Teams oder Personen für die Einhaltung des Datenschutzes zuständig sind.
6| Lieferkette
Alle Zulieferer und Auftragnehmer in Ihrem Unternehmen müssen mit der DSGVO konform sein. Damit soll sichergestellt werden, dass sie keine Verstöße begehen und etwaige Strafen oder Bußgelder auf Sie abwälzen. Sie müssen sicherstellen, dass auch die Verträge mit Ihren Lieferanten auf dem neuesten Stand sind, und sich eine Kopie davon besorgen.
7| Faire Verarbeitung
Als Teil der GDPR müssen Sie nun in der Lage sein, Einzelpersonen zu erklären, wofür Sie ihre personenbezogenen Daten verwenden. Dies sollte keine schwierige Aufgabe sein, über die man sich Sorgen machen muss, wenn man die Daten fair und korrekt verwendet.
8|Datenschutzbeauftragter
Es ist an der Zeit zu entscheiden, ob Sie einen DSB einsetzen müssen oder nicht. Kleine Unternehmen sind wahrscheinlich von der Steuer befreit, aber größere Unternehmen möglicherweise nicht. Es lohnt sich, dies zu überprüfen, um sicherzustellen, dass Sie nicht gegen die GDPR-Vorschriften verstoßen.
Definition der Zustimmung
Als Privatperson sind Sie vielleicht mit den angekreuzten Kästchen vertraut, wenn Sie sich für Online-Konten anmelden, Produkte kaufen, sich für Newsletter registrieren usw. Diese Kästchen waren oft schon angekreuzt und etwas versteckt, so dass die Unternehmen Zugang zu Ihren persönlichen Daten hatten. Die Zeiten, in denen man mit unerwünschten Marketing-E-Mails und zufälligen Anrufen bombardiert wurde, sind vorbei.
Die Einwilligung wurde im Rahmen der neuen DSGVO-Vorschriften neu definiert. Vorbei sind die Zeiten des Kleingedruckten und der versteckten Botschaften, bei denen man sich “versehentlich” oder unfreiwillig für Marketing-E-Mails, SMS usw. anmeldet. Die Politik muss jetzt klar und deutlich gemacht und in dieser Form präsentiert werden.
Die Regeln für bereits vorhandene personenbezogene Daten sind ein wenig anders. Sie brauchen dafür zwar keine Einwilligung, aber es muss eine Rechtsgrundlage geben, die dem Datenschutzgesetz (DPA) entspricht. Das Wichtigste dabei ist, dass diese Rechtsvorschriften für Unternehmen und Verbraucher gelten!
Recht auf Zugang
Das Auskunftsrecht (oder das Recht auf Zugang zu personenbezogenen Daten) gibt einer Person das Recht, ihre eigenen personenbezogenen Daten zu erhalten. Das Auskunftsrecht gibt dem Einzelnen die Möglichkeit, zu verstehen, wie seine Daten verwendet werden und warum sie so verwendet werden. Dadurch wird sichergestellt, dass ihre Daten auf rechtmäßige Weise verwendet werden.
Einzelpersonen haben das Recht, von Unternehmen bestimmte Informationen zu erhalten, unter anderem:
- eine Kopie der personenbezogenen Daten einer Person
- die Bestätigung, dass die personenbezogenen Daten einer Person verarbeitet werden
- ergänzende Informationen (entspricht im Wesentlichen den Informationen in einem Datenschutzhinweis)
Der Einzelne hat bekanntlich ein Recht auf seine eigenen personenbezogenen Daten. Sie haben jedoch kein Recht auf Informationen über andere Personen. Andererseits ist es akzeptabel, wenn die Informationen, die sie einholen wollen, sowohl sie selbst als auch eine andere Person betreffen.
Als Einzelperson sollten Sie sich vergewissern, ob die von Ihnen angeforderten Informationen als personenbezogene Daten definiert sind oder nicht. Sie können hier überprüfen, was als personenbezogene Daten gilt (um sicherzugehen).
Bin ich ein für die Datenverarbeitung Verantwortlicher oder ein Datenverarbeiter?
Die DSGVO gilt für die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter, aber was bedeutet das eigentlich? Datenverarbeiter beziehen sich auf Operationen, die mit Daten durchgeführt werden, d. h. wenn Daten gespeichert, erfasst, aufgezeichnet, weitergegeben werden usw. Die für die Verarbeitung Verantwortlichen sind auch Datenverarbeiter, mit dem Unterschied, dass sie entscheiden, was der Zweck oder der Grund für die Verarbeitung von Daten ist.
Datenverarbeiter
Als Datenverarbeiter haben Sie aufgrund der DSGVO bestimmte rechtliche Verpflichtungen zu erfüllen:
- Führung und Aktualisierung von Personaldatensätzen. Dazu gehört auch, dass die Einzelheiten der Verarbeitungstätigkeiten und die Kategorien der betroffenen Personen dargelegt werden. Die Kategorien beziehen sich auf Kunden, Mitarbeiter, Lieferanten und die Art der Verarbeitung – Übermittlung, Empfang, Weitergabe usw.
- Einzelheiten zur Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) aufbewahren und pflegen
- Umsetzung und Aufrechterhaltung angemessener Sicherheitsmaßnahmen, z. B. Verschlüsselung
Wenn ein Datenverarbeiter für einen Verstoß gegen die Datenschutzbestimmungen verantwortlich ist, ist er im Vergleich zur Datenschutzbehörde rechtlich wesentlich stärker haftbar. Einzelpersonen können einen direkten Anspruch gegen den Datenverarbeiter geltend machen, daher müssen Sie unbedingt wissen, welche Verantwortung Sie als Datenverarbeiter tragen.
Datenkontrolleure
Als für die Datenverarbeitung Verantwortlicher sind Sie naturgemäß auch ein Datenverarbeiter. Es gelten daher die gleichen Anforderungen der DSGVO. Die DSGVO verpflichtet Sie und Ihr Unternehmen jedoch, dafür zu sorgen, dass die Verträge mit den Auftragsverarbeitern konform sind und die Standards eingehalten werden.