Wie sich die DSGVO auf Sie auswirkt

Es gab viel Lärm um die bevorstehende Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Unser CEO, John Paterson, betrachtet die Fakten und gibt Geschäftsinhabern praktische Tipps zur Vorbereitung auf die Änderung.

Was ist die DSGVO?

Die DSGVO ist eine EG-Verordnung zum Schutz der Privatsphäre von EG-Bürgern, um sicherzustellen, dass ihre Daten nicht aus der EG in Länder exportiert werden, die keine angemessenen Datenschutzgesetze haben, und um sicherzustellen, dass die Bürger die Kontrolle darüber haben, wie ihre Daten verwendet werden.

Datenschutz – welcher Datenschutz?

Für Leser außerhalb der EG muss es so aussehen, als seien wir auf „Privatsphäre“ fixiert. Das Konzept ist in der Tat ein neues Konzept, das mit dem Wandel entstanden ist, den die Technologie in der Gesellschaft bewirkt hat.

Das Recht auf Privatsphäre vor staatlicher Überwachung ist in vielen Dokumenten verankert, darunter die UN-Menschenrechtserklärung (1948), die Europäische Menschenrechtskonvention und die Vierte Änderung der US Verfassung. Erst mit dem Aufkommen des Internets konnten auch große Konzerne faktisch Massenüberwachung betreiben. Im Jahr 1999 sagte Scott McNealy, der damalige CEO von Sun Microsystems, (un)berühmt:„Datenschutz ist tot. Komm darüber hinweg!" und der damalige Vorsitzende von Google, Eric Schmidt, gab mehrere öffentliche Erklärungen ab, dass Datenschutz eine schlechte Idee sei.

In den USA gibt es fast keine Datenschutzgesetze, HIPAA ist eine Ausnahme, die dem Gott der freien Märkte überlassen wird. Wenn Sie Privatsphäre wünschen, verwenden Sie keine kostenlosen Dienste wie Facebook oder die Google-Suche. Das ist der Deal, die Dienste sind kostenlos und Sie bezahlen, indem Sie ihnen Ihre Daten geben, damit sie sie an Werbetreibende verkaufen können. Es gibt auch eine Vielzahl von Gesetzen, die Regierungsbehörden ungehinderten Zugriff auf Daten mit äußerst begrenzter gerichtlicher Aufsicht ermöglichen, insbesondere in den USA.

Außerhalb der EG nehmen nur wenige Länder den Datenschutz ernst, nämlich Australien, Kanada und Neuseeland. Andere Länder wie Russland und China versuchen ebenfalls durchzusetzen, dass Daten ihrer Bürger nur innerhalb ihrer gesetzlichen Zuständigkeit gespeichert werden, aber dabei geht es weniger um Bürgerrechte als vielmehr um staatliche Überwachung. Mir wurde gesagt, dass in der chinesischen Sprache das Piktogramm, das „Privatsphäre“ am nächsten kommt, „Einsamkeit“ ist.

Die DSGVO exportiert den europäischen Begriff des Rechts auf Privatsphäre effektiv auf jedes Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt, unterstützt durch strenge Strafen für die Nichteinhaltung.

Was die DSGVO für Unternehmen bedeutet

• Zustimmung:Sie können Personen nur dann kontaktieren, wenn sie ausdrücklich zugestimmt haben
• Datenschutzverletzungen:Strenge Melderegeln für Datenschutzverletzungen
• Bußgelder und Sanktionen:Hohe Bußgelder für Regelverstöße
• Recht auf Löschung:eine Aktualisierung des Rechts auf Vergessenwerden
• Datenübertragbarkeit:Personenbezogene Daten müssen dem Bürger auf Anfrage zur Verfügung gestellt werden
• Datenschutz:Daten müssen sicher aufbewahrt werden

Persönliche Daten

Personenbezogene Daten sind alle Daten, die eine Identifizierung einer lebenden Person ermöglichen würden. Dazu gehören insbesondere Cookies, IP-Adressen sowie der offensichtliche Name, die Adresse, die E-Mail-Adresse, Land- und Mobil-/Handynummern.

Zustimmung

Ab dem 25. Mai 2018 darf keine Organisation, unabhängig davon, in welchem ​​Land sie ansässig ist, Marketing-E-Mails oder SMS-Nachrichten an EU-Bürger senden, es sei denn, dieser Bürger hat ausdrücklich zugestimmt, von dieser Organisation zu diesem bestimmten Thema kontaktiert zu werden. P>

Keine vorab angekreuzten Annahmekästchen mehr, kein Text mit der Aufschrift „Siehe unsere Datenschutzrichtlinie“; es muss ein nicht angekreuztes Kontrollkästchen sein, das beschreibt, was passiert, wenn Sie es ankreuzen. Alternativ müssen Sie ein Double-Opt-in über eine Bestätigungs-E-Mail bereitstellen, bei der die Person zur Zustimmung auf einen Link klicken muss.

Sie müssen auch in der Lage sein aufzuzeichnen, wie und wann die Einwilligung erteilt wurde, um einen Nachweis zu erbringen, falls die Aufsichtsbehörde (im Vereinigten Königreich das Information Commissioner’s Office) eine Beschwerde erhält.

Zustimmung einholen

Die Zustimmung kann durch ein spezielles Kontrollkästchen in einem Formular oder durch Klicken auf einen speziellen Link in einer E-Mail eingeholt werden. Das Überreichen einer Visitenkarte oder ein Anruf am Telefon ist keine Einwilligung!

Unnötig zu erwähnen, dass der Kauf personenbezogener Daten in Form von Mailinglisten tot ist, da „gebündelte“ Einwilligungen ausdrücklich verboten sind.

Datenschutzverletzungen

Sie haben 72 Stunden Zeit, Datenschutzverletzungen der Aufsichtsbehörde zu melden. Sie sollten die betroffenen Personen dann „ohne unangemessene Verzögerung“ informieren, wobei der Zeitpunkt von dem wahrscheinlichen Risiko eines Schadens für diese Person abhängt.

Ein Verstoß ist definiert als „ein Sicherheitsverstoß, der zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt“.

Bußgelder und Sanktionen

Es wurden viele beängstigende Schlagzeilen über die drakonischen Strafen für Verstöße gegen die DSGVO geschrieben. Die Höchststrafen betragen 20 Millionen € oder bis zu 4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Dies sind jedoch die Höchststrafen, so wie Sie theoretisch eine Gefängnisstrafe erhalten könnten, wenn Sie kein Zugticket kaufen. In der Praxis wird die Aufsichtsbehörde bei Beschwerden einer Person wahrscheinlich nichts anderes unternehmen als vielleicht eine Abmahnung. Die Strafen sind dazu da, Unternehmen zu stoppen, die die DSGVO offenkundig und wiederholt missbrauchen, wie z. B. Spammer und Unternehmen, die lästige Kaltakquise tätigen. Und natürlich die beliebtesten Prügelknaben der EC, Google und Facebook.

Recht auf Löschung

Einzelpersonen können verlangen, dass die Daten, die Sie über sie gespeichert haben, gelöscht werden. Es gibt einige Ausnahmen, aber in der Praxis müssen Sie die meisten Unternehmen einhalten. Sie müssen unverzüglich und auf jeden Fall innerhalb eines Monats nachkommen.

Datenübertragbarkeit

Einzelpersonen können eine Kopie ihrer Daten in maschinenlesbarem Format anfordern. Dies gilt für Daten, die sie Ihnen gegeben haben, und umfasst neben ihren personenbezogenen Daten gespeicherte E-Mails von ihnen und ihre Kauf- und Zahlungshistorie.

Datenschutz

Wenn Sie personenbezogene Daten besitzen, haben Sie eine Sorgfaltspflicht bezüglich der Sicherung dieser Daten. Dazu gehört, den Zugriff auf diejenigen zu beschränken, die den Zugriff für ihre Arbeit benötigen, und sicherzustellen, dass die Daten sicher aufbewahrt werden. Sie müssen auch die Einhaltung der DSGVO nachweisen.

Unter bestimmten Umständen, wie z. B. der Verarbeitung sensibler Daten (z. B. Strafregister, Gesundheitsdaten) und wenn die Verarbeitung von Daten rechtliche Konsequenzen hat, müssen Sie eine Datenschutz-Folgenabschätzung durchführen.

Sie dürfen personenbezogene Daten nur in Länder innerhalb der EG oder in Länder übermitteln, in denen die Kommission festgestellt hat, dass das Land über ein angemessenes Datenschutzniveau verfügt. Diese Liste umfasst derzeit Andorra, Argentinien, Kanada, die Schweiz, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Uruguay und Neuseeland. Beachten Sie, dass die Liste die USA nicht enthält.

Fakt von Fiktion trennen

Es gab viele Fehlinformationen über die DSGVO. Hier habe ich einen Blick auf die häufigsten Missverständnisse geworfen.

US-Unternehmen können die DSGVO einhalten

US-Unternehmen können wahrscheinlich DSGVO einhalten, jedoch nur, wenn sie personenbezogene Daten auf Servern innerhalb der EG speichern. Wenn sie personenbezogene Daten in den USA speichern, tun sie dies nicht, ungeachtet dessen, was sie behaupten. Dies ist ein komplexes und umstrittenes Thema, aber die Logik geht so:

• Wenn personenbezogene Daten aus der EU übermittelt werden sollen, muss die Person im Voraus informiert werden
• Die zwischen 1998 und 2000 zwischen der EU und den USA ausgehandelte Safe-Harbor-Vereinbarung sollte es US-Unternehmen ermöglichen, die Datenschutzgesetze der EG einzuhalten. Allerdings hat der Europäische Gerichtshof (EuGH) im Oktober 2015 entschieden, dass Safe Harbor ungültig ist, da es keinen ausreichenden Schutz bietet
• Im Juli 2016 wurde das US-EG-Datenschutzschild ausgehandelt, um die Vorbehalte des EuGH auszuräumen. Auch hier ist die DSGVO viel strenger als die vorherigen Datenrichtlinien, und die gleichen Probleme bestehen in den USA fort, was die Fähigkeit der US-Regierung betrifft, auf die Daten aller Personen zuzugreifen. Es gibt minimale Sicherheitsvorkehrungen für die Daten von US-Bürgern, und alle anderen erhalten keine
• Am 12. April 2017 kam die Artikel-29-Arbeitsgruppe zum Datenschutz zu dem Schluss, dass der EU-US-Datenschutzschild nicht den EU-Standards entspricht, unter anderem weil „die Position zur massiven und willkürlichen Erhebung von Daten für nationale Sicherheitszwecke unklar ist .“ Angesichts des aktuellen politischen Klimas in den USA ist es schwer vorstellbar, dass die US-Regierung EU-Bürgern einen besseren Schutz bieten würde als ihren eigenen.
• Es ist strittig, ob Daten absolut sicher sind, wenn sie von US-Unternehmen in der EG aufbewahrt werden. Theoretisch sollte es so sein, aber US-Gerichte versuchen immer noch, Unternehmen wie Microsoft zu zwingen, in der EU gespeicherte Daten herauszugeben

B2B-Marketing fällt nicht unter die DSGVO

Es kursieren einige Artikel, die behaupten, dass die B2B-Kommunikation durch die DSGVO erlaubt sein wird, weil die bevorstehende E-Privacy-Gesetzgebung, die gleichzeitig mit der DSGVO erlassen wird, diese Unterscheidung treffen und ein Opt-out statt einer Opt-in-Zustimmung zulassen wird. Mit anderen Worten ein Link zum Abbestellen.

Die neue e-Privacy-Verordnung ersetzt die bestehende e-Privacy-Richtlinie und soll Klarheit für die elektronische Kommunikation, d. h. E-Mails und SMS-Nachrichten, schaffen. Es handelt sich um eine Verordnung und nicht um eine Richtlinie, was bedeutet, dass die DSGVO zwar automatisch in der gesamten EU zum Gesetz wird, aber jeder Mitgliedsstaat Gesetze erlassen muss, um den Datenschutz in der elektronischen Kommunikation zu ermöglichen. Dies gibt jedem Land einen gewissen Spielraum hinsichtlich des genauen Wortlauts und könnte so zwischen B2B und B2C unterscheiden.

Bis jedes Land die Gesetzgebung verabschiedet hat, wissen wir nicht, wie B2C-Kommunikation behandelt wird, wenn sie überhaupt unterschieden wird. Wir wissen auch nicht, welche Daten als B2B-Daten und nicht als B2C-Daten gelten. Persönliche Gmail-Konten, Mobiltelefonnummern und IP-Adressen können alle persönlich sein. Wir wissen nicht einmal, ob das Gesetz tatsächlich rechtzeitig verabschiedet wird.

Daher ist unsere Schlussfolgerung, dass, solange und bis die e-Privacy-Gesetzgebung eine Unterscheidung zwischen B2B und B2C vornimmt, die DSGVO keine solche Unterscheidung vornimmt und es keine Ausnahmen für B2B-Kommunikation gibt.

Wenn ich nicht in der EU ansässig bin, gilt das Urteil nicht

Wenn Sie personenbezogene Daten von EU-Bürgern besitzen und Geschäfte mit Kunden in der EU tätigen, sind Sie von der DSGVO betroffen. Ob die EG etwas dagegen tun kann, steht auf einem anderen Blatt.

Konformität

Sie haben bis zum ^25. Zeit Mai 2018 einzuhalten, und ab diesem Zeitpunkt können Sie keine elektronischen Mitteilungen mehr an EU-Bürger senden, es sei denn, Sie haben deren ausdrückliche Zustimmung. Für die meisten Unternehmen bedeutet dies, dass sie niemanden in ihrer bestehenden Marketingdatenbank per E-Mail kontaktieren können, da sie solche überprüfbaren Zustimmungen nicht formell eingeholt haben. Sie müssen daher jetzt damit beginnen, solche Einwilligungen einzuholen, sowohl von neuen Leads als auch von Ihrer bestehenden Datenbank.

Checkliste zur Datenschutz-Grundverordnung

1. Ernennen Sie einen Datenverarbeitungsbeauftragten, der sich schnell mit der Gesetzgebung vertraut machen sollte
2. Erstellen Sie eine Liste all Ihrer Systeme, die personenbezogene Daten enthalten:Ihr CRM, Buchhaltungssystem, HR-System, Kontaktdatenbanken in E-Mail-Clients wie Outlook, all diese Tabellenkalkulationen, die auf den Laptops der Leute verstreut sind, mit Kontaktdaten darin
3. Erstellen Sie eine Liste aller Ihrer Datenverarbeiter, der von Ihnen verwendeten externen Systeme, die personenbezogene Daten enthalten. Stellen Sie sicher, dass sie nur Daten in der EU speichern und DSGVO-konform sind oder sein werden. Wenn Sie in einer regulierten Branche tätig sind, besorgen Sie sich ein Zertifikat oder einen Vertrag, der die Einhaltung garantiert
4. Beginnen Sie jetzt mit der Erfassung von Einwilligungen bei neuen Anfragen
5. Überlegen Sie, wie Sie bis zum ^25. die Zustimmungen von Kontakten in Ihrer bestehenden Datenbank erhalten Mai 2018
6. Entwerfen Sie ein Verfahren zur Verwaltung von Meldungen über Sicherheitsverletzungen sowohl für die Aufsichtsbehörde als auch für die Kontaktpersonen selbst. Wenn es zu einem Verstoß kommt, haben Sie keine Zeit, darüber nachzudenken, wie Sie dies am besten tun können. Planen Sie dies also im Voraus
7. Prüfen und aktualisieren Sie die Datenschutzhinweise und Nutzungsbedingungen auf Ihrer Website

Weitere Informationen zur DSGVO

Wir haben eine Reihe von Blogs geschrieben, um Ihnen zu helfen, die DSGVO zu verstehen und was Sie tun müssen, um konform zu sein:

DSGVO-Compliance für Really Simple Systems erläutert unsere CRM-Compliance
Das Gute, das Schlechte und die … DSGVO? befasst sich mit den Vor- und Nachteilen der DSGVO
GDPR Marketing Compliance Launch stellt die erste Phase unserer DSGVO-Compliance-Funktionen vor