Ein Europa, eine Datenschutz-Grundverordnung: Die DSGVO, die ab 25. Mai 2018 in allen EU-Mitgliedsstaaten ohne Übergangsfrist in Kraft tritt, setzt vor allem auf strengere Regeln beim Umgang mit personenbezogenen Daten sowie härtere Strafen bei Verstößen. Unsere FAQs beantworten Ihnen die wichtigsten Fragen – auch dazu, wie Lösungen und Services von Dell EMC Unternehmen bei der Einhaltung der neuen DSGVO-Anforderungen unterstützen.
Wen betrifft die DSGVO?
Alle Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten oder auf dem europäischen Markt aktiv sind – auch wenn sie ihren Sitz außerhalb der EU haben.
Was sind personenbezogene Daten?
Alle Informationen, die eine Person identifizieren – beispielsweise direkt durch Name, Bild und Adresse oder indirekt durch Nutzername, Profilbild, Telefonnummer oder eine sonstige persönliche Kennung wie ein Kfz-Kennzeichen oder unter Umständen eine IP-Adresse.
Wer trägt die Verantwortung für personenbezogene Daten?
Die Verantwortung tragen die unmittelbaren Nutzer, aber ebenso die Datenverarbeiter. Ein Unternehmen ist in der Regel auch dann für die Daten verantwortlich, wenn es jemand anderen mit der Verarbeitung beauftragt.
Welche Dokumentationspflichten bestehen für die erhobenen Daten?
Durch den Grundsatz der Rechenschaftspflicht sind Unternehmen verpflichtet, genaue Aufzeichnungen über die erfassten personenbezogenen Daten zu führen – von der Art und Weise der Datenerfassung über die Verarbeitung und den Austausch bis zu den dabei angewandten Prozessen.
In der Praxis bedeutet das unter anderem, dass Unternehmen in der Lage sein müssen, Personen innerhalb eines Monats darüber zu informieren, welche Daten sie von ihnen verarbeiten, aber auch wie und warum sie das tun. Kommt es beim Austausch von personenbezogenen Daten zu Fehlern, besteht für das Unternehmen, das die Daten erhoben hat, die Verpflichtung, alle am Austausch beteiligten Unternehmen zu informieren und die Daten richtigzustellen.
Wie lange dürfen personenbezogene Daten gespeichert bleiben?
Personenbezogene Daten dürfen nur so lange gespeichert bleiben, wie sie ein Unternehmen für den spezifischen Verwendungszweck nachvollziehbar benötigt. Daten aus einem Gewinnspiel beispielsweise sind nach der Aktion wieder zu löschen – wenn sie nicht mehr gebraucht werden. Solange eine Person wiederum einen Newsletter bezieht, darf das Unternehmen seine Daten für den Versand des Newsletters nutzen.
Was ändert sich bei der Nutzungserlaubnis personenbezogener Daten?
Nutzen Unternehmen personenbezogene Daten, benötigen sie immer ein Recht zur Verarbeitung, das sich beispielsweise aus Gesetz, aber auch aus der Erlaubnis der betroffenen Person ergeben kann. Eine solche Einwilligung muss unmissverständlich, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgen.
Erlaubt beispielsweise eine Person die Nutzung einer E-Mail-Adresse, um bei einem Gewinnspiel über den Gewinn benachrichtigt zu werden, ist der Versand von Weihnachtsgrüßen oder eines Newsletters an diese E-Mail-Adresse nicht zulässig. Darüber hinaus besteht auch immer das Recht, eine bereits erteilte Einwilligung zur Nutzung der Daten zu widerrufen oder einzuschränken beziehungsweise die Daten löschen oder berichtigen zu lassen.
Welche Angaben sind in der Datenschutzerklärung zu ergänzen?
Die DSGVO enthält genaue Vorschriften darüber, in welchem Umfang in den verschiedenen Konstellationen zu informieren ist. Die notwendigen Angaben umfassen beispielsweise die Nennung der Rechtsgrundlage, die das Unternehmen zur Datenverarbeitung berechtigt, und Informationen, wie sich ein Betroffener über eine unrechtmäße Datenverarbeitung beschweren kann.
Was bedeutet die DSGVO für die Produktentwicklung?
Entwickeln Unternehmen Systeme oder Dienste, die mit der Verarbeitung personenbezogener Daten in Verbindung stehen, ist nun auch speziell die Datensicherheit zu berücksichtigen – beispielsweise in Form eines „eingebauten Datenschutzes“ (Privacy by Design) oder einer standardmäßigen datenschutzfreundlichen Voreinstellung (Privacy by Default). Gleichzeitig müssen Daten durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt sein.
Wer benötigt einen Datenschutzbeauftragten?
Öffentliche Institutionen, Unternehmen ab einer gewissen Größe sowie Unternehmen, die eine bestimmte Art von personenbezogenen Daten wie Gesundheitsdaten verarbeiten, benötigen einen Datenschutzbeauftragten. Er ist verantwortlich für die Einhaltung der Datenschutzbestimmungen durch das Unternehmen.
Wie hoch sind die Bußgelder bei Rechtsverstößen?
Die Höhe der möglichen Bußgelder bei Verstößen gegen die DSGVO beläuft sich auf bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes (Vorjahr). Bislang lag die Summe bei maximal 300.000 Euro. Zudem besteht die Möglichkeit, nicht nur Unternehmen, sondern auch Geschäftsführer, Mitarbeiter und Datenschutzbeauftragte haftbar zu machen.
Welche Lösungen und Services bietet Dell EMC zur Unterstützung beim Thema DSGVO?
Dell Cybersecurity Services bietet insbesondere für den „eingebauten Datenschutz“ (Privacy by Design) umfangreiche End-to-End-Lösungen. Sie helfen bei der Bewertung, Abwehr und Vermeidung von Bedrohungen und sorgen für eine sichere IT-Umgebung. Ein Team aus IT-Sicherheitsexperten unterstützt Unternehmen, Risiken zu identifizieren, Lösungen zu implementieren und zukünftige Bedrohungen zu verhindern.
Unsere Tipps
| Für Unternehmen |
Für Marketing-Aktionen |
|
Vergewissern Sie sich, dass Unternehmen, mit denen Sie personenbezogene Daten austauschen, die Vorgaben der DSGVO erfüllen.
|
Sorgen Sie für eine vollständige Information der Kunden/Adressaten. |
|
Schließen Sie mit Partnerunternehmen, die Daten für Sie im Auftrag verarbeiten, eine Datenschutzvereinbarung ab.
|
Kommunizieren Sie mit Ihren Kunden/Adressaten klar und transparent und holen Sie sich die ausdrückliche Einwilligung für eine möglichst konkrete Nutzung. |
|
Holen Sie sich im Zweifelsfall den Rat eines Datenschutzbeauftragten oder eines Rechtsanwalts.
|
Verwenden Sie nur die Daten, die Sie tatsächlich brauchen. |
| |
Speichern Sie die Daten nur so lange, wie es sein muss.
|
| |
Anonymisieren Sie die Daten (wenn möglich).
|
Wichtiger Hinweis: Die FLURFUNK FAQs zur Datenschutz-Grundverordnung stellen keine Rechtsberatung dar und behandeln nur ausgewählte Teilaspekte – erheben also keinerlei Anspruch auf Vollständigkeit. Für die praktische Umsetzung gilt es immer, eine Rechtsberatung oder einen Datenschutzexperten zu Rate zu ziehen.