Die neue EU-Datenschutzverordnung – DSGVO
Mit Inkrafttreten der EU-DSGVO (EU Datenschutz-Grundverordnung) ab 25.5.2018 wird das Datenschutzrecht EU-weit vereinheitlicht. Ziel ist es, natürliche Personen bei der Verarbeitung personenbezogener Daten besser zu schützen. Wir zeigen dir die wichtigsten Fakten und Eckpunkte rund um die neue Datenschutz-Verordnung.
Inhaltsverzeichnis
Beschluss und Inkrafttreten der DSGVO
Die Verordnung wurde bereits im April 2016 von der Europäischen Union beschlossen und ersetzt mit 25. Mai 2018 die national geltenden Datenschutzgesetze der einzelnen Mitgliedsstaaten. Die Verordnung enthält insgesamt 69 Öffnungsklauseln, die spezielle Regelungen auf nationaler Ebene erlauben und vorsehen. Ergänzt wird die DSGVO durch die E-Privacy-Verordnung, die unter anderem auch den Einsatz von Cookies im Werbebereich und den Datenschutz bei Chat- und VoIP-Diensten wie WhatsApp und Skype regulieren soll.
Wer ist von der DSGVO betroffen?
Die DSGVO ist von allen Unternehmen einzuhalten, die personenbezogene Daten erfassen oder weiterverarbeiten. Dabei genügt es schon, wenn nur der Name einer Person erfasst wird. Dies gilt auch für Unternehmen mit Sitz außerhalb der EU, die Ihre Leistungen in den EU-Ländern anbieten.
Welche Strafen drohen bei Missachtung der DSGVO?
Bei Vergehen gegen die DSGVO drohen extrem hohe Strafen, weshalb diese nicht als Kavaliersdelikte auf die leichte Schulter genommen werden sollten. Während bei administrativen Verstößen bis zu zehn Millionen Euro (oder zwei Prozent des globalen Umsatzes) fällig werden, können bei grundsätzlichen ethischen Vergehen bis zu zwanzig Millionen Euro (oder vier Prozent des globalen Umsatzes) Strafe verhängt werden.
Interne Dokumentation
Zusätzlich zur Einhaltung der DSGVO sind Unternehmen dazu verpflichtet, das gesamte Customer Relationship und Social Media Managements intern zu dokumentieren. Dabei sind alle Schritte zu dokumentieren, um im Falle einer Nachfrage einer Behörde die Befolgung der DSGVO belegen zu können. Ist eine solche Dokumentation nicht vorhanden, droht ein Verfahren.
Datenschutzbeauftragte
Da die Meldeverpflichtung an das DVR (Datenverarbeitungsregister) mit einem enormen bürokratischen Mehraufwand einhergehen würde, soll stattdessen eine Risikoabschätzung mit geeigneten Maßnahmen erstellt werden. Ergibt die Abschätzung ein hohes Risiko, so ist eine Folgenabschätzung durchzuführen.
Nähere Informationen zur DVR Meldeverpflichtung und Risikoabschätzung findest du hier:
Profiling & Targeted Ads
Die systematische Auswertung des Nutzerverhaltens mit anschließender Erstellung eines Kundenprofils („profiling“) für Marketingzwecke wird mit Inkrafttreten der DSGVO mit strengen Informationspflichten einhergehen. Bei der Erhebung von personenbezogenen Daten müssen Nutzer künftig über das Ausmaß und die beabsichtigten Ziele der Datenverarbeitung informiert werden bzw. müssen die Nutzer jederzeit die Möglichkeit haben der Datenerfassung widersprechen zu können.
Nicht nur bei der Datenerhebung muss die Zustimmung des Nutzers eingeholt werden – auch bei gezielten Werbeeinschaltungen (Targeting, Retargeting und Programmatic Advertising) muss zuerst die Einwilligung des Users erfolgen. Bis jetzt ist jedoch noch nicht vollständig geklärt, wie diese Zustimmung eingeholt werden soll.
Printwerbung
Für Printwerbung (Prospekte, gedruckte Mailings, usw.) gilt weiterhin die Opt-out-Regel: Eine explizite Zustimmung seitens des Kunden ist nicht erforderlich. Ein Abgleich mit der Robinsonliste, die Personen in Österreich beinhaltet, die keine personalisierten Zusendungen bekommen wollen, ist jedoch weiterhin durchzuführen.
Digitale Werbung
Im Gegensatz zur Printwerbung gelten für digitale Werbemedien strengere Regeln: Bei SMS, E-Mails und telefonischer Kaltakquise sieht die DSGVO eine unmissverständliche Zustimmung vor. Als „unmissverständliche Zustimmung“ zählt jedoch bereits die Interaktion eines Kunden mit einem Unternehmen – mit dieser Interessensbekundung am Unternehmen hat der Kunde bereits sein Einverständnis dargelegt.
Recht auf Vergessenwerden
In der DSGVO ist das „Recht auf Vergessenwerden“ verankert. Dieses Recht stellt sicher, dass personenbezogene Daten in digitaler Form nicht dauerhaft zur Verfügung stehen und der Kunde jederzeit die Löschung seiner Daten (auch deren Sicherungskopien) beantragen kann.
In 14 Monaten tritt das EU-DSGVO in Kraft. Bis dahin solltest du deine Datenanwendungen an die neue Rechtslage anpassen. Bei Fragen helfen wir von LOGMEDIA dir gerne weiter.
Mit der cloudbasierten Datenschutzsoftware von LOGMEDIA zur DSGVO-Konformität
Um Unternehmen den Einstieg in den DSGVO-konformen Datenschutz zu erleichtern, haben wir den Service DSGVO-Berater.at ins Leben gerufen. Hier haben Sie die Möglichkeit sich mit zertifizierten Datenschutzexperten zu vernetzen und nähere Informationen zur DSGVO zu erlangen. Darüber hinaus bieten wir Ihnen mit der DSMS.cloud eine cloudbasierte Softwarelösung zur Protokollierung und Dokumentation aller datenschutzrelevanten Prozesse. Unsere Aufgabe ist Unternehmen fit für die DSGVO zu machen und eventuelle Bedenken und Sorgen aus dem Weg zu räumen. Gerne informieren wir Sie über unsere Leistungen im Rahmen eines kostenlosen Beratungsgesprächs.
Weiterführende Links zum Thema DSGVO
horizont.at – EU-DSGVO : Die wichtigsten Punkte
wko.at – EU-Datenschutz-Grundverordnung Kurzüberblick und Zeitplan