Ein einfacher Leitfaden für DSGVO-Compliance
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das von der Europäischen Kommission und dem Europäischen Parlament eingeführt und verabschiedet wurde und im Mai 2018 in Kraft trat.
Die DSGVO bietet sowohl europäischen als auch außereuropäischen Unternehmen, die Daten ihrer europäischen Nutzer erfassen, teilen und verwalten, Regeln und Leitlinien. Sie räumt EU-Bürgern das Recht ein, zu erfahren, welche Daten über sie erfasst werden und wie diese gespeichert, geschützt und übertragen werden. Die DSGVO umfasst auch das Recht auf Vergessenwerden und das Recht auf Auskunft. Das bedeutet, dass Kunden verlangen können, die erfassten Daten einzusehen oder zu löschen.
Muss ich die DSGVO einhalten?
Alle Unternehmen (egal, wo sie ihren Sitz haben), die Daten von Nutzern in der EU erfassen, müssen die DSGVO einhalten. Bei Verstößen drohen saftige Geldbußen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.
Die Einhaltung der DSGVO-Compliance-Standards zum Schutz der personenbezogenen Daten Ihrer Nutzer betrifft das gesamte Unternehmen, da wahrscheinlich die meisten Prozesse überarbeitet und angepasst werden müssen. Es gibt jedoch keine klaren Regeln, die für jedes einzelne Unternehmen gelten. Wie die Daten zu schützen sind, hängt von der Art der Daten ab, die das Unternehmen verarbeitet.
Manche DSGVO-Berater sagen, dass es eine 100-prozentige DSGVO-Konformität gar nicht gibt und dass es bei der Erfüllung der DSGVO-Anforderungen eher darum geht, die Datenver- und -bearbeitungsaktivitäten unter ethischen Gesichtspunkten zu überprüfen, als die Kästchen einer Checkliste abzuhaken. Ein guter Ausgangspunkt ist die Betrachtung der sieben Grundsätze der DSGVO.
Die Anforderungen der DSGVO
Die DSGVO hat erhebliche Auswirkungen auf die Datenschutz- und Sicherheitspraktiken weltweit, einschließlich auf Unternehmen mit Sitz in den USA. Um die Compliance-Anforderungen der DSGVO besser zu verstehen, ist es wichtig, die wichtigsten Grundsätze und Bestimmungen der Verordnung zu kennen.
In erster Linie gelten die Anforderungen der DSGVO für US-Unternehmen, wenn das Unternehmen personenbezogene Daten von in der EU ansässigen Personen verarbeitet, unabhängig vom physischen Standort des Unternehmens. Im Wesentlichen muss jedes in den USA ansässige Unternehmen, das mit Daten von Personen mit Wohnsitz in der EU arbeitet, die DSGVO-Vorschriften einhalten.
Eine der wichtigsten Sicherheitsanforderungen der DSGVO ist die Gewährleistung des Schutzes personenbezogener Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Zerstörung. Zur Erfüllung der Anforderung haben Unternehmen geeignete technische und organisatorische Maßnahmen zu implementieren, wie beispielsweise Verschlüsselung, Zugangskontrollen und routinemäßige Prüfungen der Sicherheit.
Darüber hinaus sehen die Anforderungen der DSGVO für US-Unternehmen die Ernennung eines Datenschutzbeauftragten (DSB) vor, wenn das Unternehmen in großem Umfang sensible Daten verarbeitet oder Personen systematisch überwacht. Der DSB sollte für die Überwachung der Compliance mit der DSGVO verantwortlich sein, sowie für die Beratung in Datenschutzfragen und als Ansprechpartner für die Datenschutzbehörden fungieren.
Darüber hinaus müssen US-Unternehmen bei der Erfassung, Verarbeitung und Speicherung personenbezogener Daten transparent sein. Dies beinhaltet die Bereitstellung klarer Mitteilungen zum Datenschutz, die Einholung einer gültigen Einwilligung der betroffenen Personen und die Möglichkeit für Einzelpersonen, ihre Rechte nach der DSGVO auszuüben, z. B. das Recht auf Zugang, Berichtigung oder Löschung ihrer Daten.
Die sieben Grundsätze der DSGVO
Die sieben Grundsätze der DSGVO lauten:
Rechtmäßigkeit, Fairness und Transparenz. Die Daten sollten auf rechtmäßige, faire und transparente Weise verarbeitet werden.
Zweckbindung und Datenminimierung. Daten sollten nur für spezifische und legitime Geschäftszwecke erfasst werden.
Datenminimierung: Die erfassten personenbezogenen Daten sollten auf das beschränkt werden, was für den Zweck, für den sie erfasst wurden, erforderlich ist.
Genauigkeit. Es sollten alle Anstrengungen unternommen werden, um die Daten auf dem neuesten Stand zu halten, sofern dies erforderlich ist. Wenn Daten ungenau oder veraltet sind, sollten sie gelöscht werden.
Speicherbegrenzung. Die Daten sollten nur so lange gespeichert werden, wie es für die Bereitstellung von Produkten oder Dienstleistungen erforderlich ist. Eine darüber hinausgehende Speicherung ist nur für Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig.
Integrität und Vertraulichkeit. Das Unternehmen sollte alles in seiner Macht Stehende tun, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Es sollte sie vor unrechtmäßigem Zugriff, wie z. B. Datenverletzungen, sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung schützen.
Rechenschaftspflicht. Die meisten Unternehmen sind verpflichtet, Datensätze über die Datenverarbeitung aufzubewahren und sie bei Bedarf den Aufsichtsbehörden vorzulegen.
So werden Sie DSGVO-konform
Es ist zu beachten, dass die folgenden Informationen nur als grobe Richtlinie zu verstehen sind. Sie dienen nur der allgemeinen Information und stellen keine Rechtsberatung dar. Die DSGVO besteht aus 11 Kapiteln, 99 Artikeln und fast zweihundert Erwägungsgründen. Um der DSGVO in vollem Umfang nachzukommen, empfehlen wir, sich von einem Rechtsanwalt oder der Aufsichtsbehörde rechtlich beraten zu lassen.
Überprüfen Sie alle Datenverarbeitungsverfahren
Nehmen Sie sich Zeit und erstellen Sie eine Übersicht darüber, wie Ihr Unternehmen vom Anfang bis zum Ende Ihres Kundenerlebnisses Daten erhebt. Dies soll Ihnen dabei helfen, Punkte zu identifizieren, die Sie genauer überprüfen sollten. Beispiel:
Möglicherweise müssen Sie Ihre Mailing- und E-Mail-Listen überprüfen. Wenn Sie keine legitimen Gründe für die Verarbeitung der Daten Ihrer Kunden zu Marketing- oder anderen Zwecken haben, dürfen Sie diese personenbezogenen Daten nicht verwenden. Prüfen Sie, ob es sinnvoll ist, segmentierte Listen für Ihre europäischen Kunden zu erstellen.
Sie müssen prüfen, ob Sie legitime Gründe (beispielsweise Einwilligung, legitimes Interesse) für die Verarbeitung personenbezogener Daten für alle verschiedenen Datenerfassungskanäle haben, einschließlich Veranstaltungen, Newsletter-Abonnements oder sogar bezahlte Listen.
Überprüfen Sie Ihre zukünftigen EU-Marketingkampagnen, die möglicherweise darauf abzielen, Benutzerdaten zu erheben – möglicherweise müssen Sie die zugehörigen Prozesse anpassen.
Zu diesem Zeitpunkt ist es auch ratsam, eine Person (oder das gesamte Team) in Ihrer Marketingabteilung damit zu beauftragen, eine Rechtsanwaltskanzlei zu konsultieren, die sich auf die DSGVO spezialisiert hat. Diese Person oder dieses Team sollte eng mit einem Datenschutzbeauftragten (DSB) zusammenarbeiten, wenn das Unternehmen eine solche Person ernannt hat. Datenschutzbeauftragte können Ihre Marketingkampagnen überprüfen und genehmigen.
Gestalten Sie Ihre Website DSGVO-freundlich.
Wenn Sie eine Website haben, erheben Sie bestimmt auf die eine oder andere Weise Daten. Damit Ihre Website der DSGVO entspricht, sollten Sie Folgendes beachten:
Ein Cookie-Einverständniserklärung einfügen. Sämtliche Web-Formulare sollten eine Cookie-Einverständniserklärung enthalten, die die Besucher über die Art der von Ihnen erfassten Daten informiert und ihnen die Wahl lässt, ob sie einem solchen Tracking zustimmen.
Erstellen einer Altersverifizierung. Wenn Ihre Besucher jünger als 16 Jahre sind (die Altersgrenze kann in einigen EU-Ländern abweichen), erfordert die DSGVO die Einwilligung der Eltern, um Daten zu erfassen. Stellen Sie sicher, dass eine solche Verifizierung vorhanden ist.
Aktualisieren Sie Ihre Datenerfassungsformulare. Sie müssen in einer leicht verständlichen Sprache angeben, welche Daten erfasst werden und zu welchem Zweck (eine vollständige Liste der Informationen, die einem Nutzer vorgelegt werden müssen, finden Sie in Artikel 13 und 14 DSGVO). Wenn Ihr Unternehmen auch außerhalb der EU agiert, sollten Sie in Erwägung ziehen, das Feld "Wohnsitzland" hinzuzufügen, damit Sie Ihre Datenbanken bei Bedarf unterteilen können.
Aktualisieren Sie Ihre aktuelle Datenbank.
Es ist ratsam, Ihre Datenbank regelmäßig zu aktualisieren. Sie können dies tun, indem Sie Ihren Kunden eine E-Mail schicken, in der sie auswählen können, welche Art von Informationen sie erhalten möchten. Dann ist es wahrscheinlicher, dass sich Ihre Kunden nicht ganz abmelden. Jede Korrespondenz sollte auch einen Button "Abbestellen" oder "Präferenzen aktualisieren" enthalten.
Außerdem dürfen Sie keine Benutzer kontaktieren, die sich zuvor abgemeldet haben. Dies verbietet die Datenschutzrichtlinie für elektronische Kommunikation.
Machen Sie sich auf das Schlimmste gefasst
Zu den Hauptzielen der DSGVO zählt, dass Unternehmen ihre Datenverarbeitungsaktivitäten transparenter machen. Daher müssen Sie auch Ihre Datenschutzrichtlinie mit allen Änderungen aktualisieren, die Sie implementiert haben. Formulieren Sie diese klar und prägnant. Ihre Nutzer sollten problemlos Informationen darüber finden, welche Daten Sie erfassen, zu welchem Zweck, mit wem Sie sie teilen und warum, wie sie gespeichert werden, wie sie auf diese Daten zugreifen können und wie sie ihre Löschung beantragen können (die vollständige Liste der in Ihrer Datenschutzerklärung enthaltenen Angaben finden Sie in Artikel 13 und 14 DSGVO).
Aktualisieren Sie Ihre Datenschutzrichtlinie immer dann, wenn Sie Ihre Datenverarbeitungsprozesse aktualisieren. Es ist auch ratsam, regelmäßige Datenschutz- und Sicherheitsprüfungen durchzuführen. Lassen Sie nichts im Unklaren. Informieren Sie Ihre Kunden über alle Änderungen Ihrer Datenverarbeitungsprozesse und alle Probleme, die ihre Privatsphäre in positiver oder negativer Hinsicht beeinflussen könnten.
Aktualisieren Sie Ihre Datenschutzerklärung
Im Falle einer Datenschutzverletzung verlangt die DSGVO, dass Sie diese innerhalb von 72 Stunden melden (mit einigen Ausnahmen). Daher ist es eine gute Idee, einen Plan für Datenschutzverletzungen zu erstellen und Ihre Mitarbeiter darüber zu informieren, was in solchen Fällen zu tun ist. Sie sollten Folgendes berücksichtigen:
Wie Ihre Mitarbeiter mit Kundenkontakt auf die Kunden reagieren sollten.
Wie Sie Social-Media-Kanäle handhaben wollen und ob Sie genügend Mitarbeiter haben, um auf alle Nachrichten zu reagieren.
Über welche Kanäle Sie die betroffenen Parteien, wie etwa Ihre Kunden und Anbieter, informieren werden, falls erforderlich.
Wie Sie die Medien informieren und welche Kanäle Sie für Aktualisierungen nutzen werden.
Wie Sie intern über die Verletzung kommunizieren werden.
Welche Verfahren Sie für Beschwerden oder Rückerstattungen Ihrer Kunden vorsehen.
Wie stellen Sie sicher, dass sich ein solcher Fall nicht wiederholt?
Was ist das Recht auf Vergessenwerden?
Das Recht auf Vergessenwerden stellt eine grundlegende rechtliche Innovation dar, die es Einzelpersonen ermöglicht, die Löschung bestimmter Informationen über sich selbst aus dem Internet zu verlangen. Dieses überzeugende Konzept wurde von der EU entwickelt und ist in der DSGVO als ein Grundrecht der EU-Bürger verankert.
Das Recht auf Vergessenwerden verkörpert im Kern den Gedanken, dass Menschen die Kontrolle über ihre personenbezogenen Daten haben sollten und die Möglichkeit, ihre Vergangenheit hinter sich zu lassen.
Obwohl das Recht auf Vergessenwerden nicht absolut ist, gibt es dennoch eindeutige Fälle, in denen es greift. Wenn die Daten nicht mehr relevant sind, unrichtig sind oder unrechtmäßig verarbeitet wurden, können Einzelpersonen einen Antrag auf ihre Löschung stellen.
DSGVO vs. CCPA
Sowohl das kalifornische Verbraucherschutzgesetz CCPA als auch die europäische Datenschutz-Grundverordnung (DSGVO) wurden geschaffen, um die Rechte von Verbrauchern zu stärken. Dennoch weißen die beiden Gesetzestexte einige markante Unterschiede auf.
Zunächst unterscheiden sich die Vorschriften in Bezug auf ihren rechtlichen Spielraum. Die DSGVO hat im Allgemeinen einen breiteren Geltungsbereich, da sie für alle Organisationen gilt, die personenbezogene Daten innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) erfassen und speichern. Das CCPA (California Consumer Privacy Act) wiederum gilt nur für gewinnorientierte Organisationen, die eine bestimmte Umsatzgrenze überschreiten, Kriterien hinsichtlich des Datenvolumens erfüllen und Daten von kalifornischen Einwohnern erheben.
Das CCPA und die DSGVO unterscheiden sich außerdem in der Art und Weise, wie sie die Zustimmung von Nutzern erhalten. Dem CCPA entsprechend wird im Zuge der Datenerhebung nicht explizit die Zustimmung der Nutzer eingeholt, außer es handelt sich um Minderjährige. Die DSGVO fordert andererseits die explizite Zustimmung für jede Datenerhebung.
Ein weiterer bemerkenswerter Unterschied zwischen den beiden Verordnungen ist der Gesetzestyp, den sie verkörpern: Die DSGVO ist ein Ordnungsrecht, während das CCPA ein Gesetzesrecht ist. Im Grunde bedeutet dies, dass jeder Verstoß gegen das CCPA zu einer Zivilklage im Bundesstaat Kalifornien führen kann. Die DSGVO nimmt nicht direkte Einfluss auf Zivilprozesse, kann aber in die von EU-Staaten ausgearbeiteten Gesetze aufgenommen werden.
Nicht zuletzt gestalten sich die Gesetzesvollstreckung und die Strafen bei Nichteinhaltung der Vorschriften sehr unterschiedlich. Die DSGVO wird von der EU durchgesetzt und kann Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Die Befugnis zur Durchsetzung des CCPA liegt beim Büro des Generalstaatsanwalts von Kalifornien. Die Nichteinhaltung kann bis zu 2.500 $ pro Verstoß und 7.500 $ pro vorsätzlichem Verstoß kosten.
Ist NordPass DSGVO-konform?
Wir von NordPass nehmen Datenschutz und Privatsphäre ernst. Als sichere und zuverlässige Lösung für die Verwaltung sensibler Informationen ist NordPass bestrebt, allen Aspekten der DSGVO zu entsprechen.
Die Zero-Knowledge-Architektur gewährleistet, dass sämtliche sensiblen Daten lokal auf Ihrem Gerät verschlüsselt werden, bevor sie unsere Server erreichen. Das bedeutet, dass wir keinen Zugang zu Ihren Passwörtern oder sonstigen Daten haben, die von Ihrem Unternehmen bei NordPass gespeichert werden, was ein Maximum an Datenschutz gewährleistet.
Wir stehen für Transparenz und bieten eine detaillierte Datenschutzrichtlinie, die unsere Datenverarbeitungspraktiken beschreibt, einschließlich der Art der erfassten Daten, der Erfassungszwecke und der getroffenen Sicherheitsmaßnahmen.
Darüber hinaus umfassen unsere robusten Sicherheitsmaßnahmen Multi-Faktor-Authentifizierung (MFA) und biometrische Authentifizierung, die eine zusätzliche Schutzebene bieten.
Im seltenen Fall einer Datenschutzverletzung ist es unser Ziel, betroffene Nutzer und die zuständigen Behörden umgehend zu informieren, wie es die DSGVO vorschreibt.
Denken Sie daran, dass die DSGVO kein Einmal-Projekt ist und dass Sie sie nicht als solches handhaben sollten. Ziel ist die die kontinuierliche Arbeit an der Verbesserung der Datenschutz- und Sicherheitsstandards Ihres Unternehmens.
Entscheiden Sie sich für NordPass, eine zuverlässige und transparente Lösung für das Passwortmanagement, die Ihnen beim Einhalten von Richtlinien hilft und das Risiko von Datenschutzverletzungen minimiert.