• 12/09/2017
• Marktinformationen

Was sind die geschäftlichen Konsequenzen der Datenschutz-Grundverordnung (DSGVO)?

Für all jene, die nicht wissen, was die DSGVO ist – und noch nicht meinen ersten Blog zu diesem Thema gelesen haben: DSGVO steht für die Datenschutz-Grundverordnung (oder übersetzt auf Englisch: General Data Protection Regulation (GDPR)). Sie ist die neue Bestimmung über den Datenschutz in der Europäischen Union. Die DSGVO wird die bestehende Datenschutzrichtlinie ersetzen – auch wenn ihr Grundgedanke rund um den Datenschutz generell bestehen bleibt. Ab dem 25. Mai 2018, wird die Datenschutz-Grundverordnung in allen Ländern der Europäischen Union umgesetzt und hat entsprechend weitreichende Auswirkungen auf alle Unternehmen in jedem einzelnen Land der EU.

Was Sie alles über die DSVGO wissen müssen!

Wir beobachten derzeit, dass das Interesse und Rechercheverhalten der TechTarget-Nutzer in letzter Zeit enorm angestiegen ist. Sie informieren sich über die Auswirkungen und möchten genau wissen, was sie tun müssen, um sich für die Umstellung zu rüsten. Wir sehen bereits jetzt eine fünffache Steigerung bei den Rückmeldungen unserer Benutzer auf Newsletter zur DSGVO. Das Beste daran ist, dass sich Ihre Kunden oder potentiellen Neukunden nicht nur intensiv mit diesem Thema beschäftigen, sie haben auch für 2017 und 2018 das nötige Budget, um erforderliche IT-Änderungen durchzuführen. Dies ist ein Budget, um das sich nun Ihre Marketing- und Vertriebsteams bemühen müssen.

IT- und Hightech-Unternehmen sind am meisten von der DSGVO betroffen. Entsprechend müssen insbesondere Marketing-Teams dieser Organisationen bereit sein, ihre Position in Bezug auf diese neuen Vorschriften zu kommunizieren. Im Folgenden finden Sie daher Informationen aus einem Interview mit einem Experten zu diesem Thema: Bryan Glick, Computer-Weekly-Chefredakteur. Seine Expertise soll Ihnen helfen, besser zu verstehen, was die DSGVO ist und was ihre Hauptauswirkungen für Sie bedeuten.

[Falls Sie mehr von Bryan Glick über Marketing Best Practices unter der DSGVO hören wollen, schauen Sie sich sein Video vom 2017 TechTarget London ROI Summit an!]

Wie sieht es bei der Datenspeicherung aus? Dürfen Daten die EU verlassen?

Die generelle Frage, wo sich Daten physisch befinden (dürfen), ist noch immer kontrovers. Streng genommen sagt die EU, dass sich alle personenbezogenen Daten der EU-Bürger physisch nur in einem Land außerhalb der EU befinden dürfen, wenn dieses ein vergleichbares Schutzniveau dieser Daten hat.

Das wurde früher in einem Safe-Harbor-Abkommen sichergestellt; der sogenannte Safe Harbor wurde jedoch durch ein Gerichtsverfahren in Irland im Jahr 2016 für ungültig erklärt. Die Begründung lautete, dass der US Patriot Act Vorrang erhält, wenn die Daten in die USA gelangen, wodurch die Daten der EU-Bürger schlechter geschützt waren.

Im Jahr 2016 schlossen die USA und die EU ein neues Abkommen mit der Bezeichnung Privacy Shield. Aber auch mit diesem sogenannten Privacy Shield bleibt die Frage über die Übertragung von Daten in Länder außerhalb der EU offen. Die DSGVO hingegen führt ein viel höheres Niveau in Bezug auf den Datenschutz ein – viel höher als in den bisher geltenden Gesetzen. Aber es stellt sich immer noch die Frage, in welchem Maß Daten aus der EU transferiert werden dürfen.

Und was ist mit Datenmanagement? Auf welche neuen Faktoren müssen Firmen achten?

Einige der strengeren Anforderungen, die durch die DSGVO einführt werden, betreffen die Datenspeicherung, vor allem bezüglich Backups, Archivierung und Datenmanagement, denn die DSGVO erweitert die Definition der „persönlichen Daten“. Diese Definition beinhaltet nun, dass persönliche Daten „alle Daten [sind], die verwendet werden könnten, um eine Person zu identifizieren“. So können beispielsweise genetische Daten, die keinen Namen beinhalten, verwendet werden, um eine Person zu identifizieren. Anonyme Gesundheitsakten gelten ebenfalls als erfasste, aber bisher unbestimmte Formen von personenbezogenen Daten. In Ihrem Datenmanagement müssen Sie also in der Lage sein Daten zu kennzeichnen, die verwendet werden könnten, um eine Person zu identifizieren, auch wenn diese in Verbindung mit anderen Daten stehen. Wenn Sie Daten in Ihrer Datenbank haben, die verwendet werden können, um eine Person zu identifizieren, hat diese Person unter der Datenschutz-Grundverordnung das Recht zu verlangen, dass Sie diese Daten löschen.

Die DSGVO verschärft auch die Vorschriften für die Einverständniserklärung. Derzeit müssen Unternehmen eine Einverständniserklärung besitzen, um personenbezogene Informationen sammeln zu können. Unter der Datenschutz-Grundverordnung müssen sie nun jedoch in der Lage sein zu beweisen, dass Nutzer erklärt haben, wofür die Daten verwendet werden sollen. Zudem sollen nun Kontrollmechanismen vorhanden sein, die sicherstellen, dass die Daten wirklich nur für den Zweck, für den sie gesammelt wurden, verwendet werden. In der Praxis bedeutet das viel mehr Disziplin im Metadatenmanagement. Außerdem wird es unerlässlich sein, dass die Sie die Daten unter der jeweils erteilten Zustimmung speichern müssen.

Verändert sich auch die Löschung von Daten durch die DSGVO?

Der dritte Aspekt der Datenschutz-Grundverordnung betrifft die Datenminimierung. Die DSGVO verlangt, dass Sie die Daten nur so lange aufbewahren, wie sie gebraucht werden und dass jeder Einzelne das Recht hat, vergessen zu werden. In der Vergangenheit haben Sie vielleicht Informationen über eine Person gesammelt und diese nach einer gewissen Zeit nicht mehr verwendet; die Daten aber dennoch aufbewahrt. Jetzt benötigen Sie jedoch genaue Regeln für das Löschen von Daten nach einer gewissen Zeit. Sobald die DSGVO gilt, macht der Gesetzgeber keinen Unterschied mehr zwischen dem Archivieren vor der DSGVO und sobald sie eintritt: Alle Daten einer Person dürfen nur noch geliehen werden; Sie besitzen diese Daten nicht mehr. Sollten Sie also Datenmanagement betreiben, führt dies zu einer Reihe von Fragen darüber, was Sie mit dieser Leihgabe tun. Es ist wie bei einem Bankdarlehen; die Bank hat Vorschriften über die Verwaltung und die Überwachung Ihres Darlehens. Die DGVSO verlangt etwas Ähnliches, aber eben mit Daten.

Hat dies auch Einfluss auf personalbezogene Daten?

Daten aus der Personalabteilung werden auch durch die DSGVO beeinflusst, aber es gibt zusätzlich noch Beschäftigungsbedingungen. Obwohl Sie als Arbeitgeber verpflichtet sind, die Datenschutzgesetze einzuhalten, sind die Beziehungen zu den Arbeitnehmern anders und werden letztlich durch die Arbeitsverträge abgewertet.

Wie sieht es mit der Sicherheit der Daten aus? 

Es gibt zwei besondere Themen in Bezug auf die Sicherheit. Die EU führt erstmals eine Meldepflicht für Datenschutzverletzungen ein. In einigen Ländern gab es eine solche Verpflichtung schon in der Vergangenheit. In den Ländern, wo dies noch nicht gehandhabt wurde, verpflichtet die DSGVO Unternehmen, ihre Nutzer innerhalb von 72 Stunden nach dem Bekanntwerden darüber zu informieren. Jede Datenschutzverletzung muss gemeldet werden. Kontrovers wird das Thema bei großen Organisationen, wie zum Beispiel Banken und Einzelhändlern, bei denen Datenschutzverletzung aufgetreten sind, die sie bisher nie berichtet haben. Denn jetzt sind sie gesetzlich dazu verpflichtet, ihre Kunden zu informieren. Gleichzeitig erhöht die DSGVO massiv die Strafen gegen die Unternehmen, die die Datenschutz-Grundverordnung nicht einhalten.

Der andere Sicherheitsaspekt ist, dass die DSGVO verlangt, dass die Sicherheit von Anfang an bei der Entwicklung des Designs mitberücksichtigt werden muss. Das bedeutet, dass Sie, wenn Sie neue Prozesse oder IT-Systeme aufbauen, von Anfang an den Datenschutz nachweisen müssen. Sie können ihn nicht am Schluss oben draufsetzen, sondern Sie müssen ihn von Beginn an einbauen. So wird dies zur Hauptüberlegung beim Entwurf von Software-Systemen. Zusätzlich sind Sie für Ihre gesamte Lieferkette Ihrer Daten verantwortlich. Wenn Sie einen Software-Entwickler beauftragen, etwas für Sie zu entwickeln, liegt es in Ihrer Verantwortung, die Software so in Auftrag zu geben, dass der Datenschutz in der Entwicklung enthalten ist. Wenn Sie ein anderes Unternehmen durch eine Auslagerung beauftragen Arbeiten an Ihrem Netzwerk zu erledigen, liegt es in Ihrer Verantwortung sicherzustellen, dass diese geeignete Sicherheitsmaßnahmen anwendet. Wenn Sie ein Cloud-Provider sind, müssen Sie in der Lage sein zu zeigen, dass Sie die DSGVO einhalten oder Ihre Kunden werden nichts in Ihrer Cloud speichern können. Die drei größten Cloud-Provider haben sich bereits dazu verpflichtet. Für einige der kleineren Cloud-Provider könnte dies jedoch einen Wettbewerbsnachteil bedeuten, wenn sie diese Vorschrift nicht einhalten können.

Datenschutz, Datenschutzgrundverordnung, DSGVO, EU-Datenschutz, European marketing trends, General Data Protection Regulation