search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

DSGVO: Wer ist von dieser neuen EU-Verordnung betroffen?

DSGVO: Wer ist von dieser neuen EU-Verordnung betroffen?

Von Alexis Quentrec

Am 12. November 2024

Die Allgemeine Datenschutzverordnung, auch als "DSGVO" oder "GDPR" bezeichnet, wird am 25. Mai 2018 in Kraft treten.
Diese EU-Verordnung legt neue Verpflichtungen in Bezug auf die Verwendung (d. h. die Verarbeitung) personenbezogener Daten von EU-Bürgern fest und verschärft diese.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Daten, die sich auf eine natürliche Person beziehen und diese charakterisieren. Klassischerweise handelt es sich also um Name, Vorname, Adresse, E-Mail-Adresse, aber auch um das Geburtsdatum, die IP-Adresse... Kurz gesagt, jede Information, die es ermöglicht, eine natürliche Person direkt oder indirekt zu identifizieren.

Die Herausforderung der DSGVO besteht darin, diese Daten bei ihrer Verarbeitung in einen Rahmen zu stellen. Unter Verarbeitung versteht man die Nutzung von Daten durch einen IT-Dienst, um einen bestimmten Zweck zu erreichen.

Eine Verarbeitung besteht beispielsweise darin, dass ein Newsletter an alle Personen verschickt wird, die ihre Zustimmung gegeben haben: Die E-Mail-Adresse (eventuell mit Vor- und Nachnamen) wird verarbeitet, um den Versand des Newsletters vorzunehmen.
Eine Verarbeitung kann auch darin bestehen, Statistiken zu erstellen, um seine Kunden mithilfe von Big-Data-Tools besser kennen zu lernen, mit dem Ziel, ein Profil des Kundenstamms zu erstellen.
Schließlich darf man einen Fall nicht vergessen, der ausnahmslos alle Unternehmen betrifft: Die Verwaltung der Lohn- und Gehaltsabrechnung beruht ebenfalls auf der Verarbeitung personenbezogener Daten.

Welche Verpflichtungen sind zu beachten?

Wie der Name schon sagt, geht es in der Verordnung um den Schutz, der rund um personenbezogene Daten zu gewährleisten ist. Die 88 Seiten der Verordnung geben einen Rahmen vor, der eingehalten und aufgebaut werden muss. Im Folgenden haben wir einige bemerkenswerte Punkte aufgelistet.

So ist die Verordnung weit davon entfernt, technische Punkte aufzulisten, die erfüllt werden müssen, sondern verlangt vor allem, dass jedes Unternehmen seine Daten genau kennt, wie sie verarbeitet werden, nach welchem Verfahren und von wem/wem.
Dies führt zur Führung eines Verarbeitungsverzeichnisses, d. h. eines Referenzhandbuchs, um im Falle eines Sicherheitsvorfalls die Beteiligten und die betroffenen Daten eindeutig und schnell zu identifizieren.

Die Verordnung bildet auch einen Rahmen für das Verhalten, das Unternehmen im Umgang mit den Daten von Endnutzern fördern sollten, nämlich mehr Transparenz und Verantwortlichkeit.
Besonders hervorzuheben sind die Verpflichtungen, den Nutzer im Vorfeld darüber zu informieren, wie lange seine Daten verwendet werden, aber vor allem zu welchem Zweck, und zwar auf präzise und explizite Weise.

Die Ernennung eines Datenschutzbeauftragten (oder Data Privacy Officer in der englischen Version) ist ebenfalls ein unumgängliches Element. Denn dieser ist der wichtigste Handwerker für die Einhaltung der Verpflichtungen der DSGVO: Als Verantwortlicher für Folgenabschätzungen, als Kontaktperson für Endnutzer und Behörden verkörpert er den Grundstein für die Einhaltung der DSGVO.
Dieser Garant der DSGVO kann mehreren Unternehmen gemeinsam sein, insbesondere in derselben Branche: Der DSB kann somit eine treibende Kraft sein, um die Sicherheit personenbezogener Daten innerhalb verschiedener Abteilungen zu gewährleisten, die jedoch denselben Schutz für die verarbeiteten personenbezogenen Daten bieten.

Schließlich müssen die Unternehmen über den DSB den zuständigen Behörden Datenlecks innerhalb von höchstens 72 Stunden ab dem Zeitpunkt, an dem sie davon Kenntnis erhalten, melden. Die Verpflichtung, die Nutzer, deren Daten durchgesickert sind, zu informieren, ist ebenfalls festgelegt und muss mit den Mitteln einhergehen, die zur Behebung des Problems eingesetzt werden.

Für wen ist diese Verordnung verbindlich?

Diese Verordnung ist für Unternehmen verbindlich, die Daten von EU-Bürgern oder Personen auf europäischem Hoheitsgebiet verarbeiten. Diese Verpflichtungen gelten für jedes Unternehmen, das eine Geschäftstätigkeit in Europa hat, und damit natürlich auch für alle in Europa ansässigen Unternehmen.

Schließlich ist auch der Fall von Unternehmen, die im Ausland ansässig sind, aber personenbezogene Daten zugunsten von europäischen Unternehmen verarbeiten, von der DSGVO betroffen.

Es gibt also keinen Unterschied zwischen Herausgebern und Nutzerunternehmen: Die gleiche Sorge um den Schutz personenbezogener Daten gilt für beide Arten von Unternehmen.

Abschreckende Sanktionen

Die Einhaltung der Verordnung muss zu einem wichtigen Bestandteil der Unternehmensstrategie werden: Wenn die Verpflichtungen aus der Verordnung nicht wirklich und ernsthaft berücksichtigt werden, drohen schwere Sanktionen.

Eine Sanktion bei einem einfachen Verstoß kann bis zu 2% des Umsatzes des Unternehmens (bei einem Unternehmen, das Teil eines internationalen Konzerns ist, sind es 2% des Konzernumsatzes) oder bis zu 10M Euro betragen.
Im Falle eines schweren Fehlverhaltens wird die Strafe verdoppelt. In allen Fällen wird der höchste Betrag angesetzt.

Abgesehen vom finanziellen Schaden werden die Auswirkungen auf das Image des fehlbaren Unternehmens am stärksten sein. Denn das Ziel dieser Verordnung ist es nicht, Datenlecks zu bestrafen, sondern riskante Verhaltensweisen von Unternehmen zu verhindern, die mit persönlichen Daten nicht sorgsam umgehen.

Herausgeber und Nutzer, derselbe Kampf?

Wenn sie das gleiche Bedürfnis nach dem Schutz personenbezogener Daten erfüllen müssen, gibt es einen gemeinsamen Hebel: Diese Verpflichtungen verkörpern eine Chance.

Die Verordnung wurde nämlich so konzipiert, dass jeder Nutzer eines Dienstes die Kontrolle über Daten zurückgewinnen kann, die relativ leicht weitergegeben und manchmal ohne Rücksicht auf ihren Zweck verarbeitet werden.

Unternehmen und Verlegern, die dies wünschen, steht eine Tür offen, um ein respektvolles und integres Image in den Vordergrund zu stellen, indem sie einen ethischen Umgang mit personenbezogenen Daten fördern.
Um dies zu erreichen, sollten sie den Verpflichtungen der DSGVO vorgreifen, indem sie den Nutzern beispielsweise Folgendes anbieten:

  • Die Kontrolle über ihre Daten und deren Nutzung zu übernehmen, indem sie die verschiedenen Verarbeitungen klar und präzise auflisten und die Möglichkeit haben, ein Opt-in durchzuführen.
  • Die Übertragbarkeit ihrer Daten durch einen Export in ein Standardformat (csv, rtf,...) zu ermöglichen.
  • Ihre Daten klar und einfach von einem speziellen Bereich aus zu löschen.
  • Eine spezielle Kontaktstelle für alle Fragen zur Datenverarbeitung zu haben.

Für einen Herausgeber besteht der Mehrwert darin, sich als Vermittler zu positionieren und seinen Kunden die Mittel an die Hand zu geben, um insbesondere in den folgenden Punkten aktiv zu werden:

  • Die Kontrolle über die Daten (Standort, Möglichkeit zur Maskierung/Verschlüsselung, ...).
  • Die Kommunikation im Falle eines Vorfalls.
  • Die Transparenz in Bezug auf den Zugang und die eingesetzten Schutzmittel.
  • Das Vorhandensein einer dedizierten Kontaktstelle für alle Fragen zum Datenschutz und zur Datenverarbeitung.

Ein Rennen bereits im Endspurt

Die DSGVO tritt morgen in Kraft. Um die Einhaltung der in dieser Verordnung festgelegten Verpflichtungen zu gewährleisten, ist es von entscheidender Bedeutung, sich bereits jetzt mit der Verordnung zu befassen und die erforderlichen Anstrengungen zu antizipieren.

Denn das Wissen und die Kontrolle über den eigenen Datenbestand ist eine intensive Arbeit, die von Geschäftsteams durchgeführt werden muss, deren Anliegen weit von diesen Herausforderungen entfernt sind.
Alle Akteure müssen zusammenarbeiten und sich koordinieren, um die Einhaltung der DSGVO zu gewährleisten: Die Übernahme der tiefgreifenden Herausforderungen dieser Verordnung ist eine echte Chance, einen differenzierenden Wert zu bieten, in einem datenbezogenen Kontext, der sich nachhaltig verändert.

Artikel übersetzt aus dem Französischen