Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Zusammen mit den Auflagen und Bußgeldern schüren die kursierenden Informationen oftmals Angst vor den bevorstehenden Änderungen.

 

Illustration: Absmeier

 

Die EU-DSVGO als Chance verstehen

Dabei birgt die DSGVO große Chancen: Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen. Im Zeitalter rasanter Digitalisierung und datengetriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar – Geschäfte und Prozesse im Einklang mit der EU-DSGVO belegen eine solche Handhabung.

Ein weiterer Vorteil: Um nachweisen zu können, dass ein Unternehmen datenschutzrechtliche Vorgaben einhält, muss es ein Datenschutzmanagementsystem einführen. Diese notwendige Bedingung der Verordnung, stellt einen hohen Nutzen für das Unternehmen dar. Der Datenschutzbeauftragte erhält über ein risikobasiertes Managementsystem schnell eine Übersicht über die laufende Verarbeitung von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen. Zudem ist im Falle einer Prüfung durch die zuständige Aufsichtsbehörde für Datenschutz die Vorlage des Verfahrensverzeichnisses jederzeit möglich. Darüber hinaus gewährleistet ein solches Verzeichnis Transparenz und Qualität – auch gegenüber Dritten. Hinzu kommt: Die EU-DSGVO schließt Backdoor-Lösungen rigoros aus. Damit verschafft sie europäischen Unternehmen einen Vorteil gegenüber dem globalen Wettbewerb.

 

Grundsätze zur Gewährleistung der Datenverordnung

Konkret wird die Modernisierung des Datenschutzes durch mehrere Grundsätze gewährleistet, die in Art. 5 der EU-DSGVO festgelegt sind. Die zentralen Prinzipien der neuen Verordnung lauten:

  • Rechtmäßigkeit und Transparenz: Ohne eine Ermächtigungs- beziehungsweise Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
  • Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.
  • Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.
  • Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung beziehungsweise Löschung.
  • Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.
  • Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, hat dieses Prinzip in der EU-Verordnung einen neuen Stellenwert.
  • Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden.

 

Zentrales Thema: Sicherheit der Datenverarbeitung

Ein wesentlicher Aspekt der EU-DSGVO ist die Sicherheit der Datenverarbeitung. Um Integrität und Vertraulichkeit zu gewährleisten, müssen Unternehmen bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen ergreifen, die einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten, ihren Verlust sowie ihre unbeabsichtigte Zerstörung oder Schädigung sicherstellen. Die Wahl der konkreten Technologien und Maßnahmen soll dabei gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden.

 

Konkrete Herausforderungen für Unternehmen

Die neuen Prinzipien stellen Unternehmen vor konkrete Herausforderungen. Sie müssen Maßnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederherstellung der Daten ermöglichen. Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet: Datenschutzfolgenabschätzungen – stellt eine erhöhte Anforderung an Unternehmen dar. Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.

 

Ein konzeptioneller Ansatz schafft Abhilfe

Um sich diesen Herausforderungen zu stellen empfiehlt sich die Einführung eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen zunächst definiert, dann umgesetzt und kontinuierlich verbessert wird. Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es zudem eines breit aufgestellten Portfolios an IT-Sicherheitslösungen, die auf allen Ebenen zusammenarbeiten und ineinandergreifen. Dazu gehört das Einrichten sicherer Netzwerke, des Monitorings, der Endpoints, Applikationen und Clouds. Verantwortlich für die Initiierung und Umsetzung der oben genannten Maßnahmen ist immer der Datenschutzbeauftragte und teilweise der IT-Sicherheitsbeauftragte.

 

Schlussfolgerungen

Unternehmen bietet die EU-DSGVO viele Chancen: Das Vertrauen seitens der Kunden kann gestärkt und die nötige Transparenz gegenüber Dritten untermauert werden. Um sich den konkreten Herausforderungen der EU-DSGVO erfolgreich zu stellen, empfiehlt sich ein Ansatz, der Datenschutz und Informationssicherheit gleichermaßen betrachtet. Ein breit aufgestelltes auf allen Ebenen nahtlos zusammenarbeitendes Lösungsportfolio, bestehend aus sicheren Netzwerken, Monitoring, Endpoints, Applikationen und Clouds, ist dabei unabdingbar. (Zeichen: 6.115)

Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity

 

Rohde & Schwarz Cybersecurity bietet Beratung rund um die Umsetzung der EU-DSGVO an. Hier finden Sie hilfreiche Leitfäden, können sich das Webinar – »EU-DSGVO konkret umsetzen« ansehen sowie Ansprechpartner finden, die Ihnen weiterhelfen. (https://cybersecurity.rohde-schwarz.com/de/webinar-eu-dsgvo)

 


 

DSGVO: Verbraucher wollen die Kontrolle personenbezogener Daten von den Unternehmen zurück

Eine internationale Studie von Pegasystems hat ergeben, dass eine große Mehrheit der europäischen Verbraucher die neuen Rechte, die sie mit GDPR erhalten, auch tatsächlich ausüben wollen. Informationen, die Unternehmen über sie sammeln, wollen sie sehen, begrenzen oder auch löschen. Mit der im Mai 2018 in Kraft tretenden EU-Verordnung müssen Unternehmen in der Lage sein, diesen Forderungen nachzukommen. Andernfalls riskieren sie hohe Geldstrafen.

Die EU-Datenschutzgrundverordnung DSGVO (General Data Protection Regulation – GDPR) wird den europäischen Konsumenten die Kontrolle über alle Daten geben, die Unternehmen über sie speichern und verarbeiten – von Name, Adresse und Telefonnummer bis zu Kaufhistorie, Web-Browsing-Aktivität und Echtzeit-Standort. Betroffen sind also die Informationen, die Unternehmen typischerweise im Rahmen von CRM-Systemen verwenden.

Da viele Unternehmen jedoch noch immer mit schwerfälligen Legacy-Systemen arbeiten, wissen sie oft gar nicht, wo überall in ihren siloartigen Organisationsstrukturen sie diese Informationen speichern. Zwar versuchen Unternehmen nun verstärkt, ihre IT neu zu strukturieren, um sich auf einen Ansturm von GDPR-Anfragen vorzubereiten. Die Analysten von Gartner prognostizieren jedoch, dass »bis Ende 2018 mehr als 50 Prozent der von der GDPR betroffenen Unternehmen ihre Anforderungen nicht vollständig erfüllen werden« [1].

Damit Unternehmen besser abschätzen können, was sie diesbezüglich ab Mai 2018 erwartet, hat Pega mehr als 7.000 Konsumenten in sieben EU-Ländern befragt; darunter 1.188 in Deutschland.

Eine große Mehrheit der Konsumenten erwartet von den Unternehmen Auskunft über die gespeicherten persönlichen Informationen. So wollen 90 % wissen, wie Unternehmen ihre Daten verwenden; nur etwa 4 % hatten daran erklärtermaßen kein Interesse. Dementsprechend möchte auch eine große Mehrheit eine »direkte Kontrolle« über die Nutzung persönlicher Daten durch Unternehmen haben: für 57 % ist das sehr wichtig, für weitere 31 % zumindest noch wichtig.

Die Befragten gaben an, dass die Speicherung folgender Informationen für sie akzeptabel ist:

Basisdaten

  • E-Mail-Adresse: 77 %
  • Name: 75 %
  • Geschlecht: 60 %
  • Postanschrift: 54 %
  • Geburtsdatum: 52 %
  • Familienstand: 43 %
  • Telefonnummer: 29 %
  • Anzahl der Kinder: 27 %
  • Einkommen: 11 %

 

Marketing-Daten

  • Kaufhistorie beim betreffenden Unternehmen: 42 %
  • Kontakt-Logs mit dem betreffenden Unternehmen: 20 %
  • Browsing-Verlauf auf der Website des betreffenden Unternehmens: 12 %
  • Verbindung zu Social Media (etwa Twitter-Adresse): 11 %
  • Kredit-Historie: 11 %
  • Erkenntnisse aus allgemein zugänglichen persönlichen Daten: 7 %
  • Echtzeit-Lokalisierung: 7 %
  • Öffentliche Social-Media-Aktivitäten: 7 %
  • Daten von Dritten: 4 %

 

Wie wichtig für die Konsumenten der Umgang mit persönlichen Daten ist, zeigen diese Antworten:

  • 93 % der Befragten würden das Recht zur Löschung von Daten in Anspruch nehmen, wenn ein Unternehmen persönliche Daten in einer Weise nutzen würde, mit der sie nicht einverstanden sind.
  • 89 % der Befragten erklärten, sie würden die Geschäftsverbindung zu einem Unternehmen beenden, wenn dieses persönliche Daten in einer Weise nutzen würde, mit der sie nicht einverstanden sind.
  • Korrespondierend dazu erklären 78 % der Befragten, dass sie bevorzugt mit einem Unternehmen Geschäfte machen würden, das mit ihren Daten offen und transparent umgeht; 22 % nahmen hier eine neutrale Position ein – Ablehnung wurde hier überhaupt nicht verzeichnet.

 

Der wichtigste Anlass für Konsumenten, von Unternehmen die Löschung von Daten zu fordern ist der Austausch von Daten mit anderen Unternehmen oder gar der Verkauf von Daten – 47 % gaben dies als Hauptgrund an. Belästigungen durch Anrufe oder durch andere Marketingmaßnahmen für uninteressante Produkte spielen hier mit 20 % eine geringere Rolle.

Dass auf Unternehmen tatsächlich eine Welle von GDPR-Anfragen zukommen wird, belegen besonders diese Zahlen: 26 % der Befragten halten es für sehr wahrscheinlich, dass sie ab Mai 2018 von Unternehmen Informationen über den Umgang mit persönlichen Daten verlangen, beziehungsweise dass sie die Nutzung von Daten begrenzen oder auch eine Löschung verlangen wollen; weitere 54 % halten das noch für wahrscheinlich und nur 13 % für unwahrscheinlich.

Allerdings gaben lediglich 14 % der Befragten an, mit GDPR vertraut zu sein. Das deutet nach Auffassung von Pega darauf hin, dass Aktivitäten von Konsumenten auf breiter Front erst mit Verzögerung zu erwarten sind, also sobald sich die Betroffenen dieser Rechte stärker bewusst sein werden. Insofern haben die Unternehmen derzeit noch einen Aufschub.

»Unsere Studie zeigt, dass die Konsumenten offenbar dazu bereit sind ihre neue Macht zu nutzen, um den Umgang mit ihren Daten genauer zu kontrollieren«, erklärt Harald Esch, Geschäftsführer und Vice President Sales DACH bei Pegasystems. »Etliche der hier von den Konsumenten sehr kritisch betrachteten Verfahren sind heute im Marketing gang und gäbe, etwa der Browsing-Verlauf oder die Lokalisierung in Echtzeit. Hier müssen Unternehmen mit Blick auf GDPR nachbessern und ihre Systeme entsprechend anpassen. Langfristig aber bietet GDPR die Chance, mehr Transparenz und Vertrauen aufzubauen und so bessere Kundenbeziehungen zu schaffen.«

Die vollständigen Daten der Studie sind zu finden unter: »GDPR: Show Me The Data«, https://www.pega.com/GDPR-survey.
Unter www.pega.com/products/cloud/pega-trust-center/gdpr zeigt Pega, wie sich Unternehmen auf GDPR vorbereiten können.
[1] Gartner, Inc., »Focus on Five High-Priority Changes to Tackle the EU GDPR,” by Bart Willemsen, September 30, 2016

 

Die EU-DSGVO als Herausforderung für Data Management – vier zentrale Eigenschaften geeigneter Lösungen

Illustration: Absmeier, Allyartist

Im Rahmen der Datenschutzgrundverordnung (DSGVO/GDPR) der EU treten in den Mitgliedsstaaten am 25. Mai 2018 gesetzliche Änderungen in Kraft. Ebenso aber sind auch Unternehmen in Nicht-EU-Ländern betroffen, die Daten von EU-Bürgern verarbeiten. Die europäischen Bürger erhalten damit umfassende Rechte hinsichtlich personenbezogener Daten, die von Unternehmen gespeichert und verarbeitet werden. Die DSGVO ist aber auch eine zusätzliche Herausforderung für Unternehmen – prozessual, personell und technologisch. Den Unternehmen, die ihren umfassenden Pflichten nicht nachkommen, drohen hohe Bußgelder.

Die Frist naht in schnellen Schritten, aber viele Unternehmen haben trotzdem noch nicht mit der Vorbereitung begonnen, ihre IT-Systeme entsprechend anzupassen. Es gibt nicht die spezielle Lösung, um die Einhaltung der DSGVO zu gewährleisten, da die Vorschriften sehr weitreichend sind und verschiedenste Elemente der IT betreffen.

Bei der Evaluation der eingesetzten Technologie für Data Management, empfiehlt Rubrik die folgenden vier Schlüsselkomponenten zu berücksichtigen:

 

Unified Management

Unternehmen halten häufig persönliche Daten über Kunden, Mitarbeiter, Lieferanten, Auftragnehmer und Partner vor. Diese Daten können über eine Vielzahl von Quellen wie virtuelle Maschinen, Datenbanken, Dateien und Exchange-Postfächer verteilt werden. Leider macht diese fragmentierte Infrastruktur das Management und den Schutz von Workloads zu einer großen Herausforderung.

Ein Patchwork von punktuellen Lösungen kann nicht nur aufwändig in der Handhabung sein, sondern auch die DSGVO-Compliance erschweren. Mithilfe einer einzigen umfassenden Lösung könnten Benutzer jedoch eine Datenverwaltungsrichtlinie in ihrer gesamten Infrastruktur definieren und durchsetzen. Im Falle einer Cloud-Data-Management-Lösung unterstützt eine Plattform alle gängigen Datenverwaltungsszenarien (Backup, Disaster Recovery, Archivierung etc.) und schützt eine Vielzahl von Workloads wie virtuelle Maschinen (VMs), physische Server, Datenbanken, NAS-Freigaben und öffentliche Clouds. Diese breit gefasste, mitwachsende Matrix unterstützt Unternehmen bei der Durchsetzung ihrer IT-Richtlinien von einer einzigen Oberfläche aus.

 

Richtliniengesteuerte Automatisierung

Unter dem DSGVO-Regime müssen Unternehmen Richtlinien definieren, in denen die Daten gespeichert werden und wie lange sie auf der Grundlage von Geschäftsanwendungsfällen beibehalten werden. Bei Rubrik erfolgt das gesamte Datenmanagement über kundendefinierte Service-Level-Agreements (SLAs). Mit diesen SLAs können Kunden die Häufigkeit von Sicherungen, Aufbewahrungszeiten, ebenso wie die Dauer, wie lange Backups vorgehalten werden müssen, und den Speicherplatz festlegen. Darüber hinaus sorgt die Auto-Discovery-Funktion für die Sicherheit, dass ein SLA automatisch auf jede neu hinzugefügte VM angewendet wird. Dies hilft den Unternehmen dabei, Richtlinien zu automatisieren und die Compliance zu vereinfachen, während ihre Umgebung wächst.

 

End-to-End-Verschlüsselung

Ein Hauptprinzip der DSGVO ist »Security by Design«, was bedeutet, dass eine Lösung von Grund auf im Hinblick auf Sicherheit erstellt werden muss. Die DSGVO sieht die Verschlüsselung als Möglichkeit vor, um die Risiken für Einzelpersonen aufgrund von Datenverletzungen oder -verlusten zu reduzieren. Eine moderne Plattform verschlüsselt Daten sowohl im Ruhezustand als auch in Bewegung. Es sollte dabei softwarebasierte AES-256-Verschlüsselung für alle von der Appliance geschützten Daten unterstützt werden. Die Appliance bietet außerdem hardwarebasierte Verschlüsselung nach dem Standard FIPS-240-2 Level 2. Die Verschlüsselung ist für alle unterstützten Archivierungsstandorte Standard.

 

Rollenbasierter definierter Zugriff

Sicherheit bezieht sich auch auf den Schutz vor internen Bedrohungen durch Mitarbeiter. Um diesem Prinzip gerecht zu werden, können Mitarbeiter innerhalb eines Unternehmens nur auf relevante Daten zugreifen. Mit der rollenbasierten Zugriffssteuerung (RBAC) können Unternehmen Zugriffsrichtlinien für verschiedene Teilmengen von Ressourcen definieren und festlegen, welche Aktionen ausgeführt werden können. Dadurch wird sichergestellt, dass jeder Benutzer nur mit den Daten in Berührung kommt, die er besitzt. So wird das Risiko für persönliche Daten durch menschliches Versagen oder böse Absicht verringert.

 

»Zu sagen, dass die DSGVO eine umfassende Regelung ist, ist sogar noch eine Untertreibung – und der Stichtag zur Umsetzung dieser Vorschriften nähert sich rasch. Die Erstellung eines IT-Aktionsplans für die Umsetzung der DSGVO kann wie eine entmutigende Aufgabe erscheinen«, so Roland Stritt, Director Channels EMEA bei Rubrik. »Mit einer zeitgemäßen Lösung für Date Management ist der Weg zur Compliance jedoch wesentlich einfacher, indem das Datenmanagement in der gesamten IT-Infrastruktur zentralisiert wird.«


 

Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen

Illustration: Absmeier, DasWortgewand

Am 25. Mai 2018 startet europaweit mit der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Ihr Ziel: Die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und Unternehmen bei Datenschutzverstößen empfindlich zu treffen.

 

Die neuen oder gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind allerdings riesige Bausteine der DSGVO und für viele Unternehmen eine echte Herausforderung. »Spätestens jetzt sollten Unternehmen mit den Vorbereitungen zur Datenschutzgrundverordnung beginnen und Maßnahmen ergreifen, wie sie Datenspeicherung und etwaige Datenweitergaben künftig behandeln. Denn mit den neuen Rechten kommen auf Unternehmen etliche Mehraufwände zu, die es zu bewältigen gilt«, so Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de)

 

Auskunftsrecht: Auskunftsfunktionen in Unternehmenssoftware integrieren

Künftig können Betroffene jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Die Trennung von Informationen über Betroffene von denen über Dritte sowie von den eigenen Geschäftsgeheimnissen wird damit zur Herausforderung. Unternehmen, die hier im Voraus planen, welche Daten überhaupt herausgegeben werden können, müssen im Nachhinein weder aussieben noch in Hektik verfallen.

»Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind«, rät Christian Heutger, Geschäftsführer der PSW GROUP.

Doch Vorsicht: Um dabei nicht gleich grobe Datenschutzfehler zu begehen, muss die Identität desjenigen geprüft werden, der Auskunft verlangt. »Bei der Identitätsprüfung jedoch ist Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei berechtigten Zweifeln – und auch dann dürfen nur sehr sparsam Informationen angefordert werden«, warnt Heutger.

 

Widerspruchsrecht: Datenverarbeitung nur bei schwerwiegenden Nachteilen

Ab Mai können betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies kommt eher selten vor und richtet sich für gewöhnlich gegen Direktmarketingmaßnahmen. Wird ein solcher Widerspruch vorgelegt, muss er unbedingt umgesetzt werden. Unternehmen können die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstehen. Dies wäre der Fall, wenn ein Kunde zahlungssäumig ist und seiner Datenverarbeitung widerspricht. Das gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt«, informiert Heutger.

 

Recht auf Vergessenwerden: Eine Frage der Abwägung

Dieses ganz neue Recht dient dem Reputationsschutz Betroffener – und macht es Unternehmen nicht gerade einfacher zu entscheiden, unter welchen Umständen welche Informationen gelöscht werden dürfen. »Das Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Es ist allerdings bislang sehr diffus und erst die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen«, schätzt Christian Heutger.

 

Recht auf Datenübertragbarkeit

Beim Recht auf Datenübertragbarkeit geht es weniger um den Datenschutz als eher um Eigentum an Daten. Es erlaubt Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Dies können auch Konkurrenzunternehmen sein. Ganz gleich also, ob künftig der Steuerberater oder das Social Network gewechselt werden: Alle eigenen Daten müssen auf Wunsch maschinenlesbar an den neuen Steuerberater oder eben das neue Social Network lückenlos übertragen werden. Immerhin: Betroffen sind ausschließlich jene Daten, die beim Schließen eines Vertrags bereitgestellt wurden, nicht aber die für Werbezwecke gespeicherten Daten.

»Auch hier lohnt es sich, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Keinesfalls darf erst in letzter Minute damit begonnen werden, einen Mechanismus zu integrieren, der kundenbezogene Vertragsdaten von eigenen, geschäftsrelevanten Daten trennt. Andernfalls kann der Aufwand für die Datenübertragungen immens hoch werden«, rät Heutger.

 

Datenschutzerklärung laut DSGVO

Betroffene müssen über die Verarbeitung der eigenen Daten informiert werden – und zwar vollständig und verständlich. Die folgenden Inhalte müssen deshalb in der Datenschutzerklärung enthalten sein:

  • Name/ Firma und Adresse
  • Kontaktangaben, beispielsweise E-Mail-Adresse
  • E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
  • Welche Daten für welche Zwecke verarbeitet werden. Heißt konkret: Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davon betroffen sind. So muss beispielsweise auch die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden.
  • Werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden. Im Falle von Marketingmaßnahmen wären dies etwa »wirtschaftliche Interessen«.
  • Es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden.
  • Der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden.
  • Teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden.
  • Sämtliche Rechte des Nutzers müssen benannt werden. Besondere Aufmerksamkeit erhält das Widerspruchsrecht; dieses muss gesondert aufgeführt werden und erhält idealerweise einen eigenen Unterpunkt.

 

Weitere Informationen unter: https://www.psw-group.de/blog/betroffenenrechte-datenschutzerklaerung-nach-dsgvo/4648

 


Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO

EU-DSGVO & personenbezogene Daten: Diese sechs Fragen müssen Unternehmen sich jetzt stellen

EU-DSGVO: Mitarbeiter-Smartphones werden zur Gefahrenquelle

Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend

Globale Unternehmen sind nicht bereit für die DSGVO

Personenbezogene Daten: Sichere Datenlöschung gemäß DSGVO