EU-Datenschutz-Grundverordnung (DSGVO): Was Sie jetzt beachten sollten, um Datenschutz rechtssicher handhaben zu können

Geeignete Datenstrategie als Grundvoraussetzung für den revisionssicheren Umgang mit personenbezogenen Daten

In vielen Unternehmen lässt sich diese Herausforderung nur meistern, wenn die Datenstrategie grundlegend überarbeitet wird. Unterschiedliche Datenquellen versperren häufig die gesamtheitliche Sicht auf den Datenbestand einer Person. Eine Verknüpfung der Quellen ist notwendig, um den vollständigen Überblick herzustellen.

Alle personalisierten Daten, über die ein Unternehmen verfügt, sollten zunächst identifiziert und dann gekennzeichnet werden. Schon unterschiedliche Datenbanken und Formate können es einem hier schwer machen –, ein besonderes Problem stellen unstrukturierte Datenquellen dar, wie Audio und Video, Social Media und Schriftverkehr. Generell muss ein Unternehmen sich Kenntnis darüber verschaffen, wo Personendaten überhaupt gespeichert sind, für welche Geschäftsprozesse diese Daten genutzt werden und wer darauf zugreifen kann.

Ziel sollte es sein, alle Inhalte zu indizieren – auch in Quellen mit unstrukturierten Daten – damit alle personenbezogenen Daten über einen einzigen Zugriffspunkt lokalisiert werden können. Dies gilt für alle Speicherorte und Applikationen – on premise und in der Cloud: lokale Speicherung auf Endgeräten, Private und Public Clouds, Archive, Backups etc. Transparente Datenmanagement-Prozesse und eine sichere Datenmanagement-Plattform sollten implementiert werden, die alle Speicherorte umfassen, Endgeräte, Rechenzentren und die Cloud.

Personendaten als wichtigstes Kapital für das Marketing

Damit die Marketingabteilungen weiterhin analytisches Marketing betreiben können, müssen die Unternehmen einen Weg finden, wie sie die regelkonforme Datenhaltung gewährleisten und zugleich die Informationen für das Marketing nutzen können. Die indizierten personalisierten Daten können beispielsweise verschlüsselt oder anonymisierte werden.

Auch um Kunden und Interessenten im Rahmen digitaler Massnahmen weiterhin namentlich ansprechen zu können – regelkonform gemäss DSGVO – muss unter anderem gewährleistet sein, dass

• Kontakte lückenlos dokumentiert und an zentraler Stelle gepflegt werden
• Kontakt-Regeln zentral koordiniert werden
• Opt-ins und Opt-outs proaktiv eingefordert werden, Voreinstellungen für die Nutzungseinwilligung reichen nicht mehr aus
• personenbezogene Daten auf Wunsch des Nutzers unverzüglich gelöscht werden können, siehe Kapitel 17 DSGVO

Unternehmen sind verpflichtet, technische und organisatorische Massnahmen zu treffen

Artikel 24 DSGVO regelt unter dem sperrigen Terminus "Verantwortung des für die Verarbeitung Verantwortlichen", wozu die Unternehmen verpflichtet sind, um die Datenschutzverordnung einhalten zu können. Dort heisst es, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Massnahmen umzusetzen hat, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäss der DSGVO erfolgt. Diese Massnahmen werden erforderlichenfalls überprüft und aktualisiert.

Datenschutz durch Technikgestaltung: Was Unternehmen tun können

Weiter heisst es in Artikel 25 DSGVO, dass interne Strategien festgelegt und Massnahmen getroffen werden müssen, die dem Grundsatz des Datenschutzes durch Technik (Data Protection by Design) und durch datenschutzfreundliche Voreinstellungen (Data Protection by Default) gerecht werden. Hier sind unterschiedlichste Massnahmen und Strategien denkbar. Beispielsweise kann die Verarbeitung personenbezogener Daten minimiert werden, Personendaten können pseudonymisiert werden. Transparente Datenverarbeitungsprozesse einzuführen kann ebenso eine solche Massnahme darstellen. Oder Funktionen, die es dem Nutzer selbst erlauben, die Verarbeitung seiner Daten zu überwachen. Solche Ausführungen sind in den Erwägungsgründen zur DSGVO zu finden. Zwei Beispiele: Erwägungsrund 59 und Erwägungsrund 60

Unternehmen ab 250 Mitarbeitern müssen ein Verzeichnis über die Verarbeitungstätigkeiten führen

Unternehmen bzw. Einrichtungen ab 250 Mitarbeitern sind laut Artikel 30 DSGVO dazu verpflichtet, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen. Inhalte müssen sein: Namen und Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter), Zwecke der Verarbeitung, Kategorien von betroffenen Personen und personenbezogenen Daten, Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern), Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation. Und, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen, die sich auf die Sicherheit der Verarbeitung beziehen.

Rechtmässigkeit der Verarbeitung, Einwilligung und Default Einstellungen

Der Nutzer muss dem Prozess der Datenverarbeitung zustimmen, in schriftlicher, elektronischer,  mündlicher Form oder auch in konkludenter Form, also durch stillschweigende Willenserklärung. Es reicht nicht aus, dem Nutzer im Internet eine Einwilligungserklärung für die Verarbeitung seiner Daten zu präsentieren, die so voreingestellt ist, dass der Nutzer selbst aktiv werden muss, um dem zu widersprechen. Denn auch wenn kein Widerspruch erfolgt, gilt dies nicht als Einwilligung. Default gesetzte Häkchen in Checkboxen sind also keine Lösung mehr. Vielmehr müssen Online Services datenschutzfreundlich konzipiert sein, also so, dass der Nutzer nicht erst Änderungen vornehmen muss, um den Schutz seiner Daten zu erwirken.

Werden digitale Services angeboten, dürfen ausserdem nur diejenigen Personendaten abgefragt und verarbeitet werden, die dem Zweck angemessen und relevant sind. Es gilt also das Prinzip der „Datenminimierung“.  Siehe Artikel 16 DSGVO

Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Die Rechte der EU-Bürger: Informationsrecht, Recht auf Vergessenwerden und mehr

Die Datenschutz-Grundverordnung räumt den EU-Bürgern Rechte ein, auf die sich die Unternehmen einstellen sollten, um rechtskonform reagieren zu können, wenn diese Rechte eingefordert werden.

Weiterhin hat der Nutzer das Recht darauf, dass seine Daten im Sinne einer Berichtigung geändert werden. Er kann der Verarbeitung seiner Daten widersprechen oder die Verarbeitung einschränken. Und er kann die Löschung seiner Daten fordern. In der DSGVO heisst dieses Recht auf Löschung auch "Recht auf Vergessenwerden". Siehe Artikel 17 DSGVO  

Der Nutzer kann auch verlangen, dass seine Daten an einen anderen Dienstleister übertragen werden. Das datenverarbeitende Unternehmen hat die Pflicht, diese Forderung zu erfüllen.

Bei Verletzung des Datenschutzes besteht Meldepflicht

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, so muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Siehe Artikel 33 DSGVO. Gemäss Artikel 34 DSGVO muss auch der Betroffene über die Verletzung informiert werden, wenn voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten besteht.

Was bei der Nutzung von Cloud Diensten zu beachten ist

Mit der Datenschutz-Grundverordnung verfügt die EU über ein einheitliches Regelwerk –, das Datenschutzniveau innerhalb der EU wird also harmonisiert. Natürlich ist der internationale Datenverkehr weiterhin zulässig. Doch wenn personenbezogenen Daten übermittelt werden, ist dafür Sorge zu tragen, dass das Schutzniveau gewahrt wird. Die EU legt fest, welche Länder die Voraussetzung dafür erfüllen. Der Datenverkehr zwischen der EU und den USA ist derzeit in einer gesonderten Vereinbarung – dem EU-U.S. and Swiss-U.S. Privacy Shield – geregelt.

Ein guter Start: DSGVO-Checkliste und Tipps für Websites und Webshops

Viel Zeit bleibt nicht mehr. Wenn Sie das Risiko vermeiden wollen, als Präzedenzfall am Pranger zu stehen, sollten Sie spätestens jetzt aktiv werden und die Voraussetzungen dafür schaffen, die EU-DSGVO rechtskonform umsetzen zu können. Es gibt dafür keine allgemeingültige Anleitung. Denn Datenstrategie und Datenmanagement müssen auf Ihr spezifisches Geschäftsmodell abgestimmt sein.

Auf der Internetseite der Wirtschaftskammer Österreich haben wir eine Checkliste gefunden, die Ihnen helfen kann, schnell und effektiv in die Vorbereitungen einzusteigen. Die Checkliste fokussiert auf die wichtigen Fragen, die sich für die Unternehmen aus den neuen EU-Regelungen ergeben. Dort findet sich auch eine Übersichtsseite mit den wichtigsten für Websites und Webshops relevanten Themen inklusive konkreter Beispiele, wie die notwendigen Anpassungen erfolgen können.

Auch intelligente CRM-Systeme, die als zentrale Plattform für die Kundenkommunikation sowie für die Verwaltung der Marketing-Aktivitäten eingesetzt werden können, helfen dabei, mit personenbezogenen Daten rechtskonform umzugehen. Als Inbound Marketing Pionier in der Schweiz stehen wir im konstruktiven Austausch mit unseren Tool-Anbietern, die entsprechende Lösungen entwerfen. Ziel ist es, den Unternehmen die Einhaltung der aus der DSGVO resultierenden zusätzlichen Anforderungen und Einschränkungen zu erleichtern. Wir werden über die Entwicklungen zeitnah informieren.

WEITERE INFOS

Sammle weiterführende Informationen auf anderen Websites:

• EU-Datenschutz-Grundverordnung (DSGVO): Finaler Text inklusive Erwägungsgründe
• Praktische Tipps der Wirtschaftskammer Österreich: EU-Datenschutz-Grundverordnung (DSGVO) – Checkliste
• Praktische Tipps der Wirtschaftskammer Österreich: EU-Datenschutz-Grundverordnung – Auswirkungen auf Websites und Webshops

Du möchtest über Digital Marketing immer informiert sein?

Psst, unser Geheimtipp: Abonniere unsere BEE.News.