DSGVO – Die Uhr tickt

Das Internet hat unsere Kommunikation und den Umgang mit unseren Daten drastisch verändert. Fast alles geschieht heute online. Wir senden E-Mails, teilen Dokumente, nutzen die Cloud, chatten via WhatsApp und shoppen Online. Dabei teilen wir persönliche Daten mit Unternehmen und Organisationen.

Sicherlich haben Sie sich auch schon gefragt, wie viele persönliche Daten Facebook, Google, Apple und andere Firmen von Ihnen gespeichert haben. Warum diese Unternehmen unsere Daten speichern, ob sie sicher sind und was sie damit anfangen. Wir sprechen über Telefonnummern, E-Mail-Adressen, Kontaktdaten, Anschriften, Social Media-Beiträge, Kontonummern, Bilder, Fahrzeugdaten…

Unternehmen, wie Facebook oder Google erklären, dass sie unsere Daten erfassen, um uns einen besseren Service und relevantere, personalisierte Angebote und Informationen anbieten zu können. Doch werden unsere Daten tatsächlich nur für diese Angebote genutzt?

Mit dieser Frage hat sich die EU befasst und eine neue europäische Datenschutz-Grundverordnung (DSGVO) beschlossen, die im Mai 2018 in Kraft tritt und einige Neuerungen zur Erfassung, Aufbewahrung und Verwendung von Kundendaten mit sich bringt. Die DSGVO soll, besser als bisher, erhobene Daten schützen. Das gilt insbesondere für sensible Kundendaten wie Namen, Telefonnummern, Adressen, E-Mail-Adressen und Kfz-Kennzeichen oder Fahrgestellnummern, sofern sich darüber die Identität einer natürlichen Person ermitteln lässt. Mit der DSGVO gibt die EU Einzelpersonen, Interessenten, Kunden, Lieferanten und Mitarbeitern mehr Kontrolle über ihre Daten. Die Kontrolle der Unternehmen, die diese Daten zu kommerziellen Zwecken erfassen und verwenden, wird damit geringer und das hat Auswirkungen auf alle Branchen.

Eine Studie von HubSpot, zeigt das große Interesse von Verbrauchern, stärker über die Nutzung ihrer personenbezogenen Daten verfügen zu können. Gleichzeitig offenbart die Studie bei Unternehmen teils eklatante Lücken und Planlosigkeit hinsichtlich der im Mai in Kraft tretenden EU-Datenschutz-Grundverordnung. Das hat auch die EU-Kommission erkannt und hat eine allein der DSGVO gewidmete Webseite veröffentlicht. Die Webseite wendet sich in englischer Sprache sowohl an EU-Bürger als auch an Unternehmen und Behörden. Hier gibt es Tipps für Unternehmen und einige Mythen werden aus dem Weg geräumt.

Folgende Rechte von Einzelpersonen wurden von der EU gestärkt:

Zustimmung
Unternehmen dürfen personenbezogene Daten nur dann verarbeiten, wenn die betreffende Person freiwillig eine spezifische, wissentliche und eindeutige Zustimmung entweder durch eine Erklärung oder aktive Bestätigung erteilt hat.

Zugang
Personen haben das Recht, auf ihre personenbezogenen Daten zuzugreifen und zu erfahren, wie ihre Daten von dem Unternehmen, das diese Daten erfasst hat, verwendet werden. Unternehmen müssen eine Kopie der personenbezogenen Daten kostenlos und im elektronischen Format bereitstellen, wenn eine Person dies anfragt.

Vergessenwerden
Wenn Kunden einem Unternehmen die Zustimmung zur Verwendung ihrer personenbezogenen Daten entziehen, so haben sie das Recht darauf, dass ihre Daten gelöscht werden. Die Fristen zum Löschen personenbezogener Daten müssen dabei unbedingt eingehalten werden.

Datenportabilität
Kunden haben das Recht, ihre Daten von einem Serviceanbieter auf den anderen zu übertragen.

Informationsrecht
Kunden müssen informiert werden, bevor Daten gesammelt werden. Verbraucher müssen der Erfassung ihrer Daten zustimmen und die Zustimmung muss ausdrücklich und nicht stillschweigend erteilt werden

Berichtigung
Verbraucher können ihre Daten berichtigen lassen, wenn diese veraltet, unvollständig oder falsch sind.

Einschränkung
Verbraucher können verlangen, dass ihre Daten nicht weiterverarbeitet werden.

Einspruch
Natürliche Personen haben das Recht, gegen die Verwendung von Daten für direktes Marketing Einspruch einzulegen. Diese Regelung gilt ausnahmslos. Sobald der Antrag vorliegt, dürfen die Daten nicht mehr verwendet werden. Dieses Recht muss von vornherein mitgeteilt werden.

Hackerangriffe
Müssen sofort (binnen 72 Stunden) der zuständigen Landesdatenschutzbehörde gemeldet werden und den betroffenen Kunden ebenfalls.

Rechenschaftspflicht
Unternehmen sind dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen.

Datenschutzbeauftragter
Nach wie vor müssen Unternehmen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.

Damit räumt das neue Datenschutzgesetz dem Verbraucher mehr Rechte ein und stellt Unternehmen vor die Aufgabe, die neuen Richtlinien zwingend einzuhalten. Die neue Verordnung hat weitreichende Folgen für alle Unternehmen, einschließlich der Marketing-und Vertriebsaktivitäten innerhalb von Unternehmen.

Die Bußgelder bei Verfehlungen wurden empfindlich erhöht. Die nationalen Datenschutzbehörden können jetzt Bußgelder bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro bei bestimmten Verstößen (z.B. bei Missachtung gegen die grundlegenden Prinzipien für die Verarbeitung von personenbezogenen Daten, zu denen die Einwilligung der betroffenen Person gehört) erheben

Die Bedingungen für Unternehmen, unter denen die Zustimmung von Kunden für Marketingnahmen eingeholt werden, sind unter der DSGVO strenger geworden.

So haben Einzelpersonen jetzt das Recht, ihre Zustimmung jederzeit zu widerrufen. Außerdem gilt die Zustimmung erst dann als gültig, wenn getrennte Zustimmungen für verschiedene Bearbeitungsvorgänge eingeholt wurden. Unternehmen müssen nachweisen können, das Kunden eine bestimmte Aktion zugestimmt haben, zum Beispiel dem Erhalt eines Newsletters oder einen postalischen Flyers oder eines Anrufes. Unternehmen müssen nachweisen, dass die Zustimmung erteilt wurde, falls eine Person den Erhalt von Informationen ablehnt.

Beispielsweise dürfen Visitenkarten, die Ihre Vertriebsmitarbeiter auf Messen ausgetauscht haben, nicht mehr in Mailinglisten ihres Unternehmens eingetragen werden. Gerade Unternehmen im B2B müssen jetzt neue Wege finden, um Kundendaten zu sammeln.

Überall, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden, ist daher künftig noch mehr Sorgfalt gefragt. Unternehmen müssen künftig jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten. Alle personenbezogenen Datenverarbeitungstätigkeiten im Unternehmen müssen sorgfältig dokumentiert und jederzeit auf Verlangen der Datenschutzbehörde vorgelegt werden können. Dazu gehört auch ein Verfahrensverzeichnis: Welche Mitarbeiter oder externen Dienstleister haben in welchem Umfang Zugriff auf die gesammelten Daten?

Unternehmen sollten sich jetzt fragen:

Wie stehen meine derzeitigen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?
Welche Maßnahmen zur Datensicherung gibt es bereits im Unternehmen?
Verfügt das Unternehmen über einen betrieblichen Datenschutzbeauftragten?
Wie lösche ich Daten DSGVO-konform und protokolliere dies korrekt?
Was passiert mit aufzubewahrenden Daten?
Wurden Mitarbeiter und Lieferanten darüber informiert, wie sie mit datenschutzrechtlich relevanten Informationen im Rahmen der DSGVO umgehen?
Sind die Einwilligungserklärungen für Kunden an die Anforderungen der DSGVO bereits angepasst worden?
Gibt es für jede Verarbeitungstätigkeit Nachweise, um die Rechtmäßigkeit seiner Verarbeitung nachweisen kann?
Ist sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde möglich ist?
Gibt es bereits ein Verfahren, um Anträgen von betroffenen Personen auf Auskunft zu den über sie gespeicherten Informationen nachkommen zu können?

Nehmen Sie sich die Zeit, um die erforderlichen Schritte zur Einhaltung der neuen Verordnung zu ermitteln. Unternehmen, die ihren Kunden zeigen, dass sie die Privatsphäre schützen und Daten transparent nutzen, schaffen Vertrauen und Erhöhen so die Kundenloyalität.