Die GDPR mag eine EU-Verordnung sein, aber sie hat Auswirkungen auf die Länder weltweit. Das Verständnis und die Einhaltung dieses Gesetzes können Ihr Unternehmen vor Strafen bewahren.

In einfachen Worten ist die General Data Protection Regulation (GDPR), zu Deutsch: Allgemeine Datenschutzgrundverordnung (DSGVO), ein Gesetz der EU zum Schutz der personenbezogenen Daten der Bürger. Diese Verordnung betrifft alle Unternehmen, die in der EU geschäftlich tätig sind, unabhängig vom Standort des Unternehmens.

Was genau ist die GDPR und wie schützt sie die Verbraucher?

Die General Data Protection Regulation (GDPR) ist ein umfassendes Datenschutz- und Cybersicherheitsgesetz, das von der Europäischen Union mit dem ausdrücklichen Ziel verabschiedet wurde, digitale Verbraucher vor Betrug und Übergriffen zu schützen und ihnen mehr Kontrolle über ihre persönlichen Daten zu geben. Die 2016 eingeführte und 2018 als umfassendes Gesetz in Kraft getretene GDPR kombiniert strenge Datenkontroll-, Datenschutz- und Sicherheitsvorschriften mit relativ harten Strafen für alle Unternehmen, die in der EU geschäftlich tätig sind, einschließlich gemeinnütziger und öffentlicher Organisationen, die digitale Daten für Marketingzwecke verarbeiten.

Was bewirkt die GDPR??

Die GDPR kodifiziert im Wesentlichen die Rechte von Verbrauchern und Unternehmen, den Handlungsspielraum, den Unternehmen bei der Verwaltung und Nutzung von Verbraucherdaten haben, und die Art und Weise, wie Verbraucher das Hoheitsrecht über ihre personenbezogenen Daten ausüben können. Das Gesetz erreicht dies durch die Anwendung verschiedener Rechtsordnungen, die als “Rechte der betroffenen Personen” bekannt sind.

Den Vorschriften zufolge ist eine “betroffene Person” jede Person, deren Informationen für Marketing, Geschäftsabwicklung oder andere Unternehmensvorgänge verwendet werden können. Betroffene Personen sind nach der GDPR die alleinigen und endgültigen Eigentümer ihrer Daten und haben als solche viel weitreichendere Entscheidungsbefugnisse über ihre Daten als in anderen Rechtssystemen wie den Vereinigten Staaten.

Zu diesen Rechten gehören insbesondere die folgenden:

  • Recht auf Löschung (“Vergessenwerden”): Eine betroffene Person kann jederzeit und ohne Angabe von Gründen die Löschung der von einem Unternehmen gespeicherten Daten verlangen. Diese Maßnahme muss innerhalb von 30 Tagen erfolgen.
  • Recht auf Zugang zu persönlichen Daten: Der Verbraucher kann jederzeit und ohne Angabe von Gründen Auskunft über die von einem Unternehmen über ihn gesammelten Daten verlangen und erhalten. Diese Informationen müssen innerhalb von 45 Tagen zur Verfügung gestellt werden.
  • Recht auf Richtigstellung: Der Verbraucher kann jederzeit und ohne Angabe von Gründen von einem Unternehmen verlangen, dass es Fehler in seinen Daten ändert oder korrigiert.
  • Recht auf Einschränkung der Datenverarbeitung: Betroffene Personen können verlangen, dass bestimmte Arten der Verarbeitung ihrer digitalen Daten eingestellt werden.
  • Recht auf Widerspruch: Dieses Recht ermöglicht es der betroffenen Person, Unternehmen zu widersprechen, die ihr Recht auf Einschränkung der Verarbeitung verweigern.
  • Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen, dass ihre personenbezogenen Daten an einen Dritten übermittelt werden.
  • Recht auf Benachrichtigung: Betroffene Personen müssen über die Verwendung ihrer personenbezogenen Daten informiert werden und darüber, wie sie Maßnahmen ergreifen können, um Probleme im Zusammenhang mit diesen Daten und ihrer Verwendung zu lösen. Dazu gehört auch die Benachrichtigung über Löschungen oder Änderungen, die nicht auf ihren persönlichen Wunsch hin vorgenommen wurden.
  • Recht auf Ablehnung automatisierter individueller Entscheidungen: Betroffene Personen können die automatisierte Verarbeitung personenbezogener Daten zum Zwecke des automatischen Marketings oder der Entscheidungsfindung ablehnen, wenn diese Entscheidungen negative Auswirkungen auf die betroffene Person haben.

Darüber hinaus erfordert die GDPR die Zustimmung und das Opt-in der betroffenen Person. Im Gegensatz zu anderen Ländern kann ein Unternehmen in der EU nicht willkürlich unangeforderte Materialien versenden, Verbraucherinformationen anfordern oder diese verwenden. Stattdessen muss zuerst die Zustimmung eingeholt werden, d. h. die Verbraucher müssen sich für jede Art von Marketing oder Kommunikation entscheiden.

Außerdem muss diese Art der Zustimmung den genauen Grund für den entsprechenden Antrag enthalten sowie eine Beschreibung, wofür die Informationen verwendet werden sollen. Die Einwilligung muss “freiwillig, spezifisch, in Kenntnis der Sachlage und unzweideutig” erteilt werden.

Was sind die wichtigen Artikel der GDPR?

Diese Rechte sind in den Artikeln der GDPR-Verordnung verankert. Da für verschiedene Anwendungen (Sicherheit, Marketing usw.) unterschiedliche Anforderungen gelten, liegt es nahe, dass Unternehmen mehr Zeit für das Verständnis der jeweils relevanten Artikel aufwenden als für die übrigen.

Einige der wichtigsten und umfangreichsten Artikel sind die folgenden:

  • Artikel 6 – Rechtmäßigkeit der Verarbeitung: In diesem Artikel werden die Vorschriften über die Verarbeitung und die Rechte der betroffenen Personen in diesem Prozess dargelegt. Dazu gehört, wann und wie Verbraucher ihre Einwilligung zur Datenerhebung geben können, wie Unternehmen die Einwilligung dokumentieren müssen und welche Maßnahmen Unternehmen ergreifen müssen, um sicherzustellen, dass die Verarbeitung sicher ist, der Schutz der personenbezogenen Daten gewahrt bleibt und sie nur innerhalb der klar definierten Grenzen der erteilten Einwilligung und der angemessenen geschäftlichen Nutzung erfolgt.
  • Artikel 15 – Auskunftsrecht der betroffenen Person: Dieser Artikel besagt, dass die betroffenen Personen das Recht haben, alle ihre Daten von einem Unternehmen zu erhalten, einschließlich zusätzlicher Informationen darüber, wie ihre Daten verwendet werden oder wie Unternehmen sie in Zukunft verwenden können.
  • Artikel 16 – Recht auf Berichtigung: Die betroffenen Personen haben das Recht, Informationen, die sie für falsch halten, zu ändern oder zu aktualisieren, entweder durch ein automatisches System oder durch Kontaktaufnahme mit dem Unternehmen.
  • Artikel 17 – Recht auf Löschung (“Vergessenwerden”): In diesem Artikel wird erläutert, wie Unternehmen Anträgen auf Löschung nachkommen müssen, einschließlich der Kontexte oder Umstände für die Löschung (widerrufene Einwilligung, Widerspruch gegen die Verarbeitung, unrechtmäßige Verarbeitung, gesetzliche Anforderungen oder fehlende fortbestehende geschäftliche Erfordernisse).
  • Artikel 18 – Recht auf Einschränkung der Verarbeitung: In diesem Artikel wird festgelegt, wie eine betroffene Person die Verarbeitung ihrer Daten durch ein Unternehmen verwalten und ablehnen kann. Zu den Gründen gehören unrichtige Informationen, die berichtigt werden müssen, keine weitere Notwendigkeit für das Unternehmen, die Daten im Rahmen der erteilten Einwilligung zu verarbeiten, oder potenziell rechtswidrige Verarbeitungen.
  • Artikel 20 – Recht auf Datenübertragbarkeit: Dieser Artikel unterstreicht das Recht der betroffenen Personen, dass ihre Daten von Unternehmen an Dritte weitergegeben werden können, sofern dies möglich ist.
  • Artikel 21 – Widerspruchsrecht: Definiert die Möglichkeit der betroffenen Personen, der Verwendung oder Verarbeitung ihrer Daten durch Unternehmen zu widersprechen (außerhalb von Kontexten, die dem öffentlichen Interesse dienen).
  • Artikel 28 – Auftragsverarbeiter: In diesem Artikel werden die spezifischen rechtlichen und technischen Anforderungen erläutert, die jedes Unternehmen, das Nutzerdaten verarbeitet, beachten muss. Dazu gehören das Erfassen und Dokumentieren der Zustimmung, die Verwendung von Daten nur für ausdrücklich angegebene Zwecke und der Verzicht auf den Verkauf von Verbraucherinformationen an Dritte ohne Zustimmung des Nutzers.

Es gibt weitere kleinere Unterabschnitte, in denen spezifische Dinge beschrieben werden, die ein Unternehmen umsetzen muss. Dazu gehören die Ernennung und Aufrechterhaltung der Position eines Datenschutzbeauftragten (DSB) gemäß den Vorschriften, die Bereitstellung aussagekräftiger Haftungsausschlüsse für Einwilligungsformulare und die Verpflichtung, Datenschutzverletzungen den zuständigen Behörden zu melden, sobald sie bemerkt werden.

Wie wirkt sich die GDPR auf US-amerikanische Unternehmen aus? (Best Practices für die GDPR Compliance)

Normalerweise hat ein Compliance Framework für EU-Länder keine Auswirkungen auf Unternehmen in den Vereinigten Staaten. Da sich immer mehr Geschäfte auf digitale, onlinebasierte Plattformen verlagern, ist es jedoch fast unmöglich, Geschäfte in der EU zu vermeiden, es sei denn, Sie schränken Ihr Geschäft ausdrücklich in dieser Hinsicht ein.

Es gibt einige Änderungen, die auf die US-Unternehmen zukommen könnten:

  • Audit aller EU-Daten: Zuallererst müssen Sie verstehen, wie viele Ihrer Daten von betroffenen Personen in der EU stammen, wie Sie diese Daten für geschäftliche Zwecke oder für das Marketing verarbeiten und ob diese Daten mit dem tatsächlichen Geschäft (Waren und Dienstleistungen) für diese Verbraucher zusammenhängen. Auf diese Weise können Sie sich einen Überblick über Ihre Verpflichtungen verschaffen.
  • Einholung der Zustimmung für jegliche Marketingmaßnahmen: Wenn Ihre Website E-Mails oder andere Informationen von Nutzern aus aller Welt sammelt, können EU-Nutzer in dieses Netz geraten. Deshalb fügen viele Unternehmen ausdrückliche Einwilligungsformulare für Landing Pages ein, auf denen E-Mails von Nutzern für Geschäfts- oder Marketingzwecke verwendet werden können. Diese enthalten längere Haftungsausschlüsse und eindeutige Kontrollkästchen, in denen die spezifische Verwendung der gesammelten Daten angegeben ist.
  • Zustimmung zu Tracking-Cookies: Vielleicht haben Sie bemerkt, dass immer mehr Banner für Nachrichten- und Einzelhändler-Websites auftauchen, in denen in langen Passagen um die Erlaubnis gebeten wird, Cookies zu verwenden. Die GDPR betrachtet die Verwendung von Cookies zur Verwaltung von Konten oder des Surfverhaltens als eine Form der Datenerhebung, und als solche müssen alle Unternehmen die GDPR befolgen, wenn sie Cookies von EU-Verbrauchern sammeln.
  • Überprüfen Sie die Beziehungen zu Anbietern: Wenn Drittanbieter die Informationen eines Unternehmens verwalten, liegt es teilweise in Ihrer Verantwortung zu kontrollieren, wie Informationen aus der EU im Rahmen Ihrer Tätigkeit verwendet werden.
  • Bereiten Sie sich auf den Fall einer Datenschutzverletzung vor: Nach EU-Recht müssen Unternehmen schnell auf Sicherheitsverletzungen reagieren. Während die US-Vorschriften mehr Zeit für Meldungen vorsehen, haben Unternehmen nach EU-Recht nur 72 Stunden Zeit.
  • Ernennen Sie einen Datenschutzbeauftragten: Wenn ein Unternehmen keinen Datenschutzbeauftragten hat und in erheblichem Umfang in der EU tätig ist, sollten Sie einen ernennen. Dies hilft dem Unternehmen nicht nur bei der Einhaltung der Vorschriften, sondern kann auch die Bemühungen des Unternehmens um die Einhaltung der GDPR-Vorgaben lenken und leiten.
  • Informieren Sie sich über internationale Datenübertragungsgesetze: Die GDPR enthält Gesetze zur Übertragung von Verbraucherdaten über nationale Grenzen hinweg, und die Nichteinhaltung dieser Gesetze kann viel Zeit und Geld kosten. Die Kenntnis dieser Gesetze ist auch von entscheidender Bedeutung, wenn ein Unternehmen Technologien wie Managed File Transfer (MFT) oder SSH File Transfer Protocol (SFTP) für EU-Geschäfte verwendet. Die Vereinigten Staaten und die Europäische Union haben ein Rahmenwerk, das Privacy Shield Framework, geschaffen, um diese Übertragungen zu erleichtern.

Was sind die Strafen für die Nichteinhaltung der GDPR?

Es mag wie eine große Aufgabe erscheinen, die EU-Vorschriften zu verstehen, aber es ist notwendig. In letzter Zeit wurden internationale Unternehmen wie Google, Facebook und Apple mit mehreren Klagen konfrontiert, weil sie sich nicht an das EU-Recht gehalten haben.

Der wichtigste Aspekt der Compliance und der Bußgelder im Rahmen der GDPR ist, dass diese proportional zu den tatsächlichen Einnahmen des Unternehmens festgelegt werden. Anstatt also eine pauschale Strafe oder einen Strafrahmen festzulegen, verwendet die GDPR zur Berechnung der Strafen einen Anteil am Unternehmensgewinn.

Die GDPR sieht zwei verschiedene Stufen von Geldbußen vor:

  1. Stufe 1 konzentriert sich auf weniger schwerwiegende Verstöße gegen die GDPR-Gesetzgebung, einschließlich Verstößen gegen Vorschriften über Zertifizierungen und Genehmigungen, die Beibehaltung der rechtmäßigen Grundlage für die geschäftliche Verarbeitung und, falls relevant, die Bereitstellung oder Inanspruchnahme von Überwachungsdiensten, die transparent und unparteiisch sind. Grundsätzlich muss das Unternehmen bei der Einhaltung der Vorschriften ehrlich bleiben, die grundlegenden Verarbeitungsstandards einhalten und eine unvoreingenommene Überwachung der Einhaltung der Vorschriften anwenden oder anbieten. Auf dieser Stufe können Geldstrafen von bis zu 10 Millionen Euro oder 2 % aller weltweiten Jahreseinnahmen verhängt werden, je nachdem, welcher Betrag höher ist.
  2. Stufe 2 gilt für schwerwiegendere Verstöße, darunter die unrechtmäßige Verarbeitung von Daten, das Versäumnis, eine Einwilligung einzuholen, das Versäumnis, eine aussagekräftige Information bereitzustellen, um eine Einwilligung zu erhalten, das Versäumnis, das Recht der Verbraucher auf Löschung, Zugang oder andere Rechte zu wahren, und die unrechtmäßige Übermittlung in andere Länder. Auf dieser Stufe können Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

Der Zweck dieser Strafen ist es, jedes Unternehmen – insbesondere globale Unternehmen mit Milliarden von Dollar an Vermögenswerten – davon abzuhalten, das Gesetz nach eigenem Gutdünken zu verletzen.

Möchten Sie mehr über die GDPR Compliance erfahren?

Die GDPR ist die Gegenwart und Zukunft der Cybersicherheit und der Verbraucherrechte. Auch wenn es sich um ein EU-spezifisches Regelwerk handelt, kann man es angesichts der zunehmenden globalen Reichweite des digitalen Handels kaum ignorieren. Außerdem ist es wahrscheinlich, dass die in der GDPR festgelegten Standards eher früher als später auch in anderen Ländern Anwendung finden werden. Schon jetzt nimmt das kalifornische Verbraucherschutzgesetz (CCPA) einige Aspekte der GDPR in seinen Wortlaut auf.

Zur Erfüllung der GDPR-Vorgaben sind solide technische Grundlagen erforderlich, die Sicherheit, Compliance und Protokollierung vereinen, um die Gesetze zur Einwilligung und zum Datenschutz zu erfüllen. Wenn Sie mehr über die Einhaltung der GDPR in Bezug auf die Kommunikation mit sensiblen Inhalten erfahren möchten, lesen Sie unsere Artikel im Kiteworks-Archiv.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks