Nur noch 2 Wochen bis zum Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und noch immer fragen sich viele, was es damit auf sich hat. Dieser Beitrag erklärt die GDPR in ihrer einfachsten Form.
Ich bin mir sicher, dass die meisten von uns E-Mails erhalten haben, in denen es heißt, dass ihre Organisation GDPR-konform ist oder darauf hinarbeitet. Was bedeutet das? Lassen Sie uns weiter lesen...
Datenschutz" ist im Zeitalter von Datenschutzverletzungen und Hacks zu einem wichtigen Thema geworden. Mit dem Aufkommen der sozialen Medien sind persönliche Daten allgegenwärtig. Unternehmen verlangen von Einzelpersonen, dass sie persönliche Informationen wie Name, Geburtsdatum, E-Mail-Adressen und Bilder eingeben, um sich auf ihrer Website anzumelden. Beim Online-Einkauf müssen auch Kreditkartennummern eingegeben werden, und es besteht die Möglichkeit, dass diese Nummern zur späteren Verwendung gespeichert werden. Diese Daten werden auf den Servern eines Unternehmens gespeichert (für eine beliebige Zeitspanne). Die Daten werden auch von Unternehmen zu Unternehmen weitergegeben, ohne dass der Einzelne davon Kenntnis hat oder sie kontrollieren kann. Ein unwissentlicher Benutzer könnte (im Eifer des Gefechts) sein Einverständnis geben, dass seine persönlichen Daten an Dritte oder andere Unternehmen, mit denen das Hauptunternehmen Geschäfte macht, "verkauft" werden.
Bei so vielen persönlichen Daten, die in einer Organisation verstreut sind, ist es nur allzu offensichtlich, dass diese privaten Daten der Bürger von Unternehmen abgegriffen werden. Der Benutzer hat keine Ahnung, wer seine Informationen hat und was damit gemacht wird. Zu all dem Elend kommt noch hinzu, dass jeden Tag Nachrichten über die Gefährdung der eigenen persönlichen Daten auftauchen. Jetzt ist der Benutzer noch ahnungsloser über seine Daten. Wer hat sich illegal Zugang zu seinen Daten verschafft? Was wird dagegen unternommen? Verfolgen ihn unsichtbare Bösewichte online und offline? All das wird sich ändern, wenn der 25. Mai in der Europäischen Union anbricht.
25. Mai 2018:
Was passiert also am 25. Mai 2018? An diesem Tag tritt die Datenschutz-Grundverordnung in Kraft. Was ist GDPR? Für Uneingeweihte: GDPR steht für "Global Data Protection Regulation". Dies ist der Tag, an dem der Datenschutz für die Bürger der Europäischen Union Realität wird. Die GDPR gibt den Bürgern der Europäischen Union mehr Kontrolle über ihre Daten. Hier sind die wichtigsten Merkmale der GDPR:
- Zu Beginn wird die geografische Reichweite der Datenschutz-Grundverordnung dargelegt. Es gibt keine Unklarheiten bei der Definition des Geltungsbereichs der GDPR-Compliance. Die GDPR-Compliance gilt für alle Organisationen, die in der EU tätig sind. Sie gilt auch für alle Unternehmen, die Daten von EU-Bürgern verarbeiten, unabhängig vom Standort des Unternehmens. Die Bedingungen der GDPR sind jetzt in einer absolut eindeutig Weise.
- Die Begriffe "Auftragsverarbeiter" und "für die Verarbeitung Verantwortlicher" sind nun definiert. Die für die Verarbeitung Verantwortlichen sind diejenigen Organisationen, die kontrollieren, wer die von ihnen erworbenen personenbezogenen Daten verarbeitet. Verarbeiter sind die Organisationen, die sich mit der Verarbeitung der Daten der für die Verarbeitung Verantwortlichen befassen. Die für die Verarbeitung Verantwortlichen oder "für die Verarbeitung Verantwortlichen", wie sie genannt werden, haben im Rahmen der DSGVO auch eine Reihe von Pflichten. Die "für die Verarbeitung Verantwortlichen" müssen verantwortliche "Datenverarbeiter" oder solche Verarbeiter beschäftigen, die die DSGVO einhalten.
- Hohe Strafen werden Organisationen auferlegt, die sich nicht an die DSGVO halten. Organisationen können sein mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist).
- Es muss nun festgelegt werden, wie lange Organisationen die personenbezogenen Daten einer Person aufbewahren dürfen. Dies ist das Konzept der 'Vorratsspeicherung von Daten'. Der Nutzer bestimmt, wie lange seine Daten auf den Servern einer Organisation aufbewahrt werden sollen (vielleicht 14 oder 16 Monate). Nach Ablauf dieses Zeitraums müssen die Daten endgültig gelöscht werden.
Als Beispiel seien hier die Aussagen auf der Google-Analytics-Website genannt: "Mit den Steuerelementen für die Google Analytics-Datenaufbewahrung können Sie den Zeitraum festlegen, nach dem die von Google Analytics gespeicherten Daten auf Nutzer- und Ereignisebene automatisch von den Analytics-Servern gelöscht werden." Dies ist die 'Recht auf VergessenwerdenDies ist ein großer Schritt zur Verbesserung des Datenschutzes. - Unternehmen müssen die Bedingungen für die Nutzung von Nutzerdaten einfach und leicht verständlich formulieren. Im Rahmen der DSGVO gibt es keinen Platz für komplizierte juristische Fachbegriffe. 'Transparenz' ist nach dem neuen Gesetz von großer Bedeutung. Die Zustimmung des Nutzers kann nur eingeholt werden, wenn er alle Bedingungen und Konditionen versteht.
- Wenn es zu einem Verstoß kommt, bei dem die Nutzerdaten kompromittiert werden, erhält eine Organisation 72 Stunden dies den betroffenen Personen mitzuteilen.
- Die betroffenen Personen haben das Recht zu erfahren, wofür ihre personenbezogenen Daten verwendet werden. Sie haben das Recht zu erfahren, welcher Teil ihrer Daten verwendet wird, und sie können dies auch in elektronischer Form erfahren. Dies ist das "Recht auf Zugang" für "betroffene Personen".
Sind Organisationen bereit für die GDPR?
Da der Datenschutz im Rahmen der neuen Datenschutz-Grundverordnung (DSGVO) komplett überarbeitet wird, müssen Unternehmen die Art und Weise, wie sie Daten verarbeiten und speichern, ändern. Laut dieser BerichtNur 11% der Organisationen sind vollständig auf die GDPR vorbereitet und 33% sind weitgehend darauf vorbereitet. Werden alle Organisationen 100% bereit sein? Das wird sich erst am 25. Mai 2018 zeigen!
____
Möchten Sie für den Kolabtree-Blog schreiben? Kontakt aufnehmen!