search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

DSGVO 2018: Das Wichtigste, was Sie wissen müssen, um Ihr Unternehmen vorzubereiten

DSGVO 2018: Das Wichtigste, was Sie wissen müssen, um Ihr Unternehmen vorzubereiten

Von Grégory Coste.

Am 28. Oktober 2024

Alle unsere Artikel über die DSGVO :

  • Die Sicht von 3 Experten (Google, Crayon, Infoclip).
  • Wer ist von der neuen Regelung betroffen?
  • Das Dossier, das Sie unbedingt lesen sollten, um die Vorschriften einzuhalten, finden Sie hier.
  • Lesen Sie die Meinung eines Experten :
    • Das DSGVO-Audit aus der Sicht von Alexis Quentrec, DSGVO-Spezialist, Nuageo.
    • Ein Glücksfall für Marketingverantwortliche aus Sicht von Olivier Martineau, CEO, Spread
    • Ein Beispiel für ein Register der Datenverarbeitung von Alain Garnier, CEO, Captain DPO
    • Die Pflichten des Auftragsverarbeiters laut Fabrice Perbost, Avocat Associé, Kanzlei Harlay
    • Die Anonymisierung von Daten nach Jérôme Chagnoux, GDPR Champion bei Oracle
  • Die Vorteile der DSGVO nach Julie Paci, Marketing Manager, Mailjet

Was ist die GDPR 2018? Das ist die Allgemeine Verordnung zum Schutz personenbezogener Daten , die am 25. Mai 2018 in der Europäischen Union in Kraft tritt. Die CNIL macht es deutlich: Die Rechte der Menschen werden gestärkt und Unternehmen müssen zahlreiche Verpflichtungen in Bezug auf den Datenschutz und die Datenverarbeitung erfüllen, um der GDPR (General Data Protection Regulation) gerecht zu werden.

appvizer gibt Ihnen alle Schlüssel, um dieses neue Gesetz zu verstehen, die Bedeutung der IT-Sicherheit und teilt mit Ihnen Tools zur Einhaltung der Vorschriften:

Die DSGVO, was ist das?

Beginnen wir mit den einfachsten Begriffen, um die DSGVO und ihr allgemeines Prinzip zu verstehen.

Die DSGVO in Kürze

Das Akronym RGPD steht für General Data Projection Regulation. Es wird auch das englische Akronym GDPR verwendet, das für General Data Protection Regulation steht.

Die DSGVO ist eine europäische Verordnung, die vom Europäischen Parlament und dem Rat der Europäischen Union festgelegt wurde. Diese Verordnung reformiert die Regeln für die Verarbeitung personenbezogener Daten.

Sie gilt ab dem 25. Mai 2018 für jedes Unternehmen, das personenbezogene Daten einer europäischen Person verarbeitet, unabhängig davon, ob diese Organisation innerhalb oder außerhalb der Europäischen Union tätig ist.

Zusammenfassend lässt sich sagen, dass die DSGVO :

  • legt fest, dass die Zustimmung einer Person bedingungslos erforderlich ist, um ihre Daten zu sammeln und zu verarbeiten,
  • legt verpflichtende Maßnahmen zur Einhaltung der Vorschriften durch das Unternehmen fest,
  • verhängt schwere Strafen gegen jedes Unternehmen, das gegen die Bestimmungen verstößt, indem sie dem Bürger Rechtsmittel an die Hand gibt.

Das Recht, über seine persönlichen Daten zu verfügen

Diese Verordnung präzisiert und stärkt die Rechte eines jeden Europäers:

  • Die Übertragbarkeit seiner Daten: Ein EU-Bürger muss seine Daten von einem Dienst übernehmen können, um sie an einen anderen weiterzugeben;

  • Transparenz über die Verwendung seiner Daten: Der Bürger muss darüber informiert werden, wie seine Daten verwendet werden. Er muss auf seine Daten zugreifen und sie nach Belieben ändern können ;

  • Schutz von Minderjährigen unter 16 Jahren: Im Internet muss jede Plattform die Zustimmung eines Elternteils einholen, bevor sich ihr Kind anmelden kann ;

  • eine Schutzbehörde: Wenn ein Bürger auf Schwierigkeiten stößt oder eine Anomalie bei der Verarbeitung seiner Daten feststellt, kann er sich an eine einzige Behörde in seinem Land wenden, um seine Rechte zu verteidigen ;

  • Gesetzlose Unternehmen werden bestraft: Jedes Unternehmen, das die Rechte der Bürger missachtet, muss mit einer Geldstrafe von 4 % des weltweiten Umsatzes seines Unternehmens rechnen;

  • das Recht auf Vergessenwerden: Nach dem Grundsatz des Schutzes der Privatsphäre kann der Bürger verlangen, dass eine Webseite in den Ergebnissen einer Suchmaschine einfach entfernt wird (Deindexierung der Seite).

Welche Daten sind zu schützen?

Unabhängig davon, ob sie über eine sichere Online-Plattform, im Internet oder anderswo gesammelt und verwendet werden, müssen alle personenbezogenen Daten von den Schutzgarantien profitieren, die in der EU-Verordnung festgelegt sind :

Die Grundsätze des Datenschutzes sollten auf alle Informationen über eine identifizierte oder identifizierbare natürliche Person angewendet werden.

Quelle: Richtlinie 2016/680 des Europäischen Parlaments und des Rates über die DSGVO, erschienen im Amtsblatt der Europäischen Union am 27. April 2016.

Beispiele für personenbezogene Daten, die nach der DSGVO geschützt werden müssen:

  • Geschlecht,
  • Alter,
  • Telefonnummer,
  • E-Mail-Adresse,
  • Gehalt oder Vergütung,
  • Fotografie des Gesichts,
  • Postanschrift,
  • Zivilstand,
  • Benutzername und Passwort,
  • Nummer der Bankkarte,
  • Nummer der Sozialversicherung,
  • das Tragen einer Brille (und der Grad der Korrekturen),
  • jedes physische Merkmal,
  • jedes psychologische Merkmal,
  • usw.

Beispiele für sensible Informationen, die z. B. zur Überwachung oder Verwaltung eines öffentlich zugänglichen Ortes gesammelt werden:

  • politische Meinung,
  • gewerkschaftliche Aktivitäten,
  • Religiöse (oder agnostische) Überzeugung,
  • sexuelle Vorlieben,
  • Informationen medizinischer Art,
  • biometrische Analysen,
  • strafrechtliche Verurteilungen,
  • Daten über Minderjährige.

Die Sammlung von Informationen für die Erstellung von Verbraucherprofilen muss ebenfalls geschützt werden und in den gesetzlich vorgeschriebenen Rahmen der Transparenz fallen:

  • Daten, die im Internet mithilfe von Cookies gesammelt werden,
  • Analyse des Verhaltens eines auf der Website identifizierten Internetnutzers (Verhaltensdaten),
  • Online- oder Offline-Konsumgewohnheiten,
  • Praxis des Retargeting von Werbung,
  • Metadaten über eine Einzelperson,
  • usw.

Betroffene Unternehmen

Unabhängig von ihrem geografischen Standort ist jedes Unternehmen von der DSGVO betroffen, sobald es die personenbezogenen Daten eines Europäers verarbeitet. Das Gesetz unterscheidet nicht zwischen einem Unternehmen, das in Europa tätig ist, und einem Unternehmen mit Sitz außerhalb des europäischen Raums, das die Daten eines europäischen Bürgers oder eines ausländischen Bürgers mit Wohnsitz in Europa sammelt und verarbeitet.

Bin ich von der DSGVO betroffen?

Ihre Organisation ist betroffen, wenn Sie bei der Ausübung Ihrer Tätigkeit mindestens eines der folgenden Wörter verwenden: Interessent, Kunde, Mitarbeiter, Kollege, Patient, Steuerzahler, Bürger, Benutzer, Nutzer, Mitglied, Spender.

Sie speichern Daten in einer CRM-Software, auf einer Online-Plattform, in einer Datei?
Sie sammeln, verarbeiten und nutzen private Daten von EU-Bürgern?

Da die DSGVO den Bürger schützt, besteht eine 99,9%ige Chance, dass Sie betroffen sind!

Die EU-Verordnung 2018 gilt für die folgenden Unternehmen und Organisationen:

  • Gebietskörperschaften, Verwaltungen,
  • Unternehmen (Personalverantwortliche, Verantwortliche für die Verarbeitung von Kundendaten),
  • Vereinigungen (beruflich, politisch, religiös usw.),
  • Krankenhäuser und medizinische Fachkreise,
  • Hosting-Unternehmen,
  • Unternehmen, die Datensicherungen in der Cloud anbieten,
  • Datenspeicherungsdienste,
  • Anbieter von Software oder Computersystemen, die in Unternehmen installiert sind,
  • TPE, KMU usw.

Die für den Schutz verantwortlichen Akteure

Das Gesetz legt fest, dass alle Unternehmen, die in irgendeiner Phase einer Datenverarbeitung tätig sind, für den Schutz der Daten verantwortlich sind.

Die Aufsichtsbehörde in Frankreich ist die CNIL. Diese Stelle stellt Zertifizierungen aus, führt Kontrollen durch und bestraft Unternehmen bei Verstößen gegen die Verordnung.

Hier sind die wichtigsten Akteure, die auf Anfrage der CNIL Rechenschaft ablegen müssen:

  • Das Unternehmen, das personenbezogene Daten nutzt: Es ist für die Verarbeitung verantwortlich und muss einen transparenten Verhaltenskodex annehmen, konforme Verfahren einsetzen und im Falle einer Kontrolle dokumentarische Beweise vorlegen;

  • Der DPO ( Data Protection Officer) oder Datenschutzbeauftragte: Dieser Experte wird vom Unternehmen beauftragt, ihm den bestmöglichen Datenschutz zu gewährleisten. Seine Aufgabe ist es, das Unternehmen unabhängig zu begleiten, damit es die DSGVO einhält;

  • Der Auftragsverarbeiter: Er ist verantwortlich, sobald seine Tätigkeit mit einer Datenverarbeitung in Verbindung steht; unabhängig davon, ob er seinen Sitz in Europa oder anderswo hat, muss auch er die Vorschriften einhalten.

Einhaltung der Vorschriften und Pflichten

Um Ihr Unternehmen auf die Einhaltung der DSGVO vorzubereiten, stellt Ihnen appvizer einen detaillierten Leitfaden zur Verfügung. Hier finden Sie die wichtigsten Grundzüge.

4 Artikel, die Sie sich aus dem EU-Gesetz merken sollten

Die Richtlinie 2016/680 des Europäischen Parlaments und des Rates über die DSGVO wurde am 27. April 2016 im Amtsblatt der Europäischen Union veröffentlicht.

Durch seine Gesetzesartikel präzisiert dieser offizielle Text der DSGVO-Verordnung wichtige Begriffe:

  • Artikel 4, "Grundsätze für die Verarbeitung personenbezogener Daten", betont insbesondere die rechtmäßigen und fairen Aspekte der Verarbeitung, die Relevanz der erhobenen Daten für den Verwendungszweck sowie eine angemessene Aufbewahrung der Informationen im Laufe der Zeit (12 Monate).

  • Artikel 28, "Vorherige Konsultation der Aufsichtsbehörde", besagt, dass der für die Datenverarbeitung Verantwortliche verpflichtet ist, seiner Aufsichtsbehörde auf Anfrage eine Folgenabschätzung zur Verfügung zu stellen. Diese Behörde bewertet die Bedingungen für den Datenschutz.

  • Artikel 32, "Bestellung des Datenschutzbeauftragten", verpflichtet jedes Unternehmen, einen Datenschutzbeauftragten (zusätzlich zum für die Verarbeitung Verantwortlichen) einzusetzen, der mit technischen und rechtlichen Fragen vertraut ist und der Aufsichtsbehörde, der er untersteht, Bericht erstatten kann.

  • Artikel 37, "Übermittlungen mit geeigneten Garantien", betont, dass die Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union den für die Verarbeitung Verantwortlichen dazu verpflichtet, die Aufsichtsbehörde zu informieren und ihr eine Dokumentation zur Verfügung zu stellen, in der die "geeigneten Garantien" für den Datenschutz aufgeführt sind.

Obligatorische Maßnahmen und Dokumente

Diese Auszüge aus der EU-Verordnung spiegeln einen Teil der neuen Pflichten des für die Datenverarbeitung verantwortlichen Unternehmens wider.

Diese neue Verordnung nimmt das Unternehmen in die Verantwortung: Es wird zum Verantwortlichen für die Datenverarbeitung und ist verpflichtet, die Einhaltung der Vorschriften durch Dokumentation zu belegen. Dieses Prinzip wird als Accountability (Rechenschaftspflicht) bezeichnet.

Hier sind die wichtigsten Pflichten, die Sie erfüllen und dokumentieren müssen, um die DSGVO einzuhalten:

  • Führen Sie ein Register der Datenverarbeitungen, das die Verantwortlichen, die Art der Daten, die Zwecke, eine Klassifizierung der Verarbeitungen, die Aufbewahrungsdauer, den Fluss und die Übertragung der geografischen Daten umfasst, um eine Rückverfolgbarkeit der Daten zu ermöglichen;

  • Eine Datenschutzanalyse (DPIA, Data Protection Impact Assessment) durchführen: Diese umfassende Studie ermöglicht es, die Risiken von Datenverlust oder -lecks und deren Ursachen zu erfassen und die für den Schutz und die Sicherheit erforderlichen Mittel und technischen Lösungen aufzulisten;

  • Interne Verfahren umsetzen: Sensibilisierung der Mitarbeiter und Einführung von Best Practices, Einführung aller obligatorischen Prozesse, die es dem Dateneigentümer ermöglichen, seine Rechte auszuüben (Berichtigung, Übertragbarkeit, Löschung usw.) ;

  • Einsatz von Technologien zur Gewährleistung der Vertraulichkeit und Sicherheit der Daten: Es ist erforderlich, alle Verfahren schriftlich festzuhalten, und es wird dringend empfohlen, bereits bei der Konzeption einer Verarbeitung und einer damit verbundenen Technologie ein hohes Maß an Sicherheit und Vertraulichkeit zu berücksichtigen;

  • Datenübermittlung außerhalb der Europäischen Union: Überprüfen Sie Ihre Verträge mit Subunternehmern und Lieferanten und stellen Sie sicher, dass sie die DSGVO-Standards einhalten, um jedes Risiko auszuschließen;

  • Beweise für die Zustimmung der Verbraucher oder Nutzer aufbewahren;

  • Detaillierte Angaben zu den etablierten Verfahren im Falle von Datenverletzungen: Sie sind verpflichtet, die betroffene Person so schnell wie möglich zu benachrichtigen und die Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen.

Sanktionen

Auch wenn die Geldstrafen hoch sind, darf man nicht den Schadenersatz vergessen, den jeder Bürger geltend machen kann: Neben dem finanziellen Verlust können die Auswirkungen auf das Image des Unternehmens seinen Ruf zerstören und mathematisch gesehen seine Geschäftstätigkeit aufgrund des Vertrauensverlustes seiner Kunden einschränken.

Die Höhe der Geldbuße

Die Geldbuße kann in diesem Fall bis zu 10 Millionen Euro betragen: Wenn die Aufsichtsbehörde feststellt, dass das Unternehmen seinen Verpflichtungen wie der Folgenabschätzung (DPIA), der Führung eines Registers der Datenverarbeitungen, der Einrichtung von Sicherheitsprozessen (auch für seine Subunternehmer) nicht nachkommt oder auch den Ansatz Privacy by Design nicht integriert, muss das betreffende Unternehmen mit einer Geldbuße in Höhe von 2 % des weltweiten Jahresumsatzes rechnen.

Die Geldbuße kann in diesem Fall bis zu 20 Millionen Euro betragen: Stellt die Aufsichtsbehörde fest, dass das Unternehmen seinen Verpflichtungen in Bezug auf das Zustimmungsprinzip nicht nachkommt und die Rechte der Personen nicht respektiert, beträgt die Geldbuße dann 4 % des weltweiten Jahresumsatzes.

Die Position der CNIL

In einem Artikel in Les Échos (vom 18.02.2018) erläutert Isabelle Falque-Pierrotin, die Präsidentin der Commission Nationale de l'Informatique et des Libertés, die Kontrollstrategie der CNIL wie folgt:

Wir werden pragmatisch und flexibel vorgehen. Es gibt eine Reihe von Grundsätzen der DSGVO, die nicht neu sind. Zum Beispiel die Verpflichtung, angeben zu müssen, zu welchen Zwecken personenbezogene Daten gesammelt werden, oder die Grenzen in Bezug auf die Dauer der Speicherung von Daten. In diesen Punkten werden wir am 26. Mai kontrollieren, wie wir es auch am 12. April getan haben. Bei neuen Grundsätzen oder Instrumenten, wie dem Recht auf Datenübertragbarkeit von einem Dienst zu einem anderen, den Datenschutzbeauftragten oder dem Verarbeitungsverzeichnis, werden wir hingegen eine begleitende Haltung einnehmen. Unser Ziel wird es nicht sein, Verstöße gegen neue Verpflichtungen im Zusammenhang mit der DSGVO sofort zu bestrafen. Dies wird sicherlich die Zeit des Jahres 2018 überdauern. Danach werden wir weitersehen.

Tools zur Einhaltung der Vorschriften

Die CNIL wird sich 2018 gegenüber Unternehmen, die guten Willen zeigen, entgegenkommend zeigen. Wichtig ist, dass Sie den Prozess in Gang setzen und sich die Mittel verschaffen, um die von der Verordnung geforderten Anforderungen zu erfüllen. Hier sind einige Lösungen zur Einhaltung der DSGVO, um das Ziel in aller Ruhe zu erreichen. Details.

ORYGA: Governance von personenbezogenen Daten

  • die Zwecke der Verarbeitung sind auf Ihre Governance der personenbezogenen Daten abgestimmt,
  • je nach Zweck vorausgefüllte Verarbeitungsblätter, um Zeit zu sparen,
  • Integration des Ansatzes Privacy by Design in die Lösung,
  • Rückverfolgbarkeit von Daten und Anträgen auf Ausübung von Rechten,
  • detaillierte Sicherheitsprozesse,
  • integriertes Ereignis- und Risikomanagement.

Compliance Booster: Compliance-Lösung mit DPO auf Abruf

  • die Folgenabschätzung (DPIA),
  • das Register der Datenverarbeitungen,
  • das Outsourcing Ihres DPO (Dienst von spezialisierten Anwälten),
  • die Aufbewahrung des Nachweises der Einwilligungen,
  • die Übermittlung des Nachweises der Einwilligung an die CNIL innerhalb von 72 Stunden,
  • Ihre Dokumente, die Ihre vollständig computergestützten und rückverfolgbaren Sicherheitsprozesse erfassen.

Vertrauensargument: Compliance Booster deckt das finanzielle Risiko bis zu 90 Millionen Euro im Falle eines von ihm zu verantwortenden Fehlers.

Privacil-DMPS: Compliance-Tool für DPOs

  • DPIA-Übersichten zur Bestimmung der vorrangig durchzuführenden Maßnahmen,
  • eine synoptische Übersicht über abgeschlossene und bevorstehende Aktionen,
  • vereinfachte Verfahren für die Verwaltung des Zugangs und die Ausübung von Rechten in Bezug auf personenbezogene Daten,
  • Die Zwecke der Verarbeitung werden festgelegt,
  • Verfahren zur Einschränkung oder Vernichtung im Falle eines Antrags vorgesehen sind.

Die Meldung an die CNIL innerhalb von 72 Stunden im Falle einer Datenverletzung kann Informationen zusätzlicher Art enthalten wie: Name und Kontakt des DSB, Art der Verletzung und betroffene Personen, Folgen und potenzielle Risiken, Auslösung angemessener Verfahren.

Langfristige Vorteile

Die Vorteile der DSGVO für ein Unternehmen oder eine Organisation sind vorteilhaft, wenn man die Verordnung langfristig unter allen Aspekten betrachtet.
Zusammenfassung der künftigen Vorteile.

Eine neue Ära des Vertrauens

Diese Sicherheitsanforderung, die dem Verbraucher die Macht zurückgibt, wird Vertrauen schaffen :

  • Vertrauen der Verbraucher in verantwortungsbewusste Unternehmen, die die Rechte der Menschen in Bezug auf ihre Daten respektieren,
  • Vertrauen der Unternehmen untereinander, die sich nun auf gemeinsame Standards stützen.

Ein neues, geschäftsförderndes Umfeld

Transparenz wird ein neues , geschäftsfreundliches Klima des Vertrauens schaffen .

Ein Unternehmen, das seine Verantwortung wahrnimmt, vermittelt ein positives Image und gewinnt die Loyalität seiner Kunden. Das Kaufverhalten und die Meinungen, die im Internet und in sozialen Netzwerken geäußert werden, werden die Wahl auf die transparentesten und respektvollsten Unternehmen lenken.

Dies wird das Ende der undurchsichtigen Geschäfte einläuten, in denen der Umgang mit persönlichen Daten nicht ernst genommen wird.

Darüber hinaus werden die Handelsbarrieren zwischen den Ländern der Europäischen Union - dies schließt auch Unternehmen außerhalb der Europäischen Union ein, da das Thema DSGVO in den USA sehr populär ist - aufgrund der gemeinsamen Regeln zur Einhaltung der Datenverarbeitung fallen.

Eine Reduzierung der Kosten

Wie machte man es vor der DSGVO? Man multiplizierte seine Kosten für die Einhaltung der Vorschriften mit 28 Ländern (28 verschiedene Gesetze). Die DSGVO wird das derzeitige IT-Wirrwarr vereinfachen.

Der gemeinsame Standard führt dazu, dass "doppelte" Prozesse und Anwendungen erkannt und entfernt werden. Dies führt zu einer Rationalisierung von Ressourcen und Geschäftsprozessen, was wiederum zu Einsparungen im Haushalt führt.

Ein besseres Marketing

Alle digitalen Marketingaktionen profitieren automatisch von :

  • Aktuelle persönliche Daten, keine falschen Informationen mehr,
  • von nachgewiesenen Einwilligungen, was die Zielgruppenansprache und die Wirksamkeit insbesondere von E-Mail-Kampagnen verbessern wird,
  • Zentralisierung der Datenverarbeitung, keine unterschiedlichen Versionen von Kundendateien mehr.

Letztendlich wird die Marketingabteilung Zeit sparen, die Segmentierung verfeinern und bessere Kampagnen zur Kundengewinnung umsetzen.

Artikel übersetzt aus dem Französischen