Die Einhaltung der Datenschutz-Grundverordnung kann sehr frustrierend sein, da eine unglaubliche Menge an Informationen überall im Internet verfügbar ist.
Einige der Inhalte, die man online findet, sind unscharf und liefern nicht die Details, die man tatsächlich braucht, um die Vorschriften einzuhalten. Eine gut zusammengestellte GDPR-Checkliste ist pures Gold, denn sie bietet Ihnen einen Schutz vor den angekündigten Geldbußen.
Auch wenn die Einhaltung der DSGVO eine Menge Arbeit zu sein scheint, kann die Organisation und Strukturierung dieses Arbeitsaufwands die Dinge erheblich erleichtern.
Eine Checkliste ist der erste Schritt auf Ihrem Weg zur Einhaltung der neuen Vorschriften. Schließlich müssen Sie irgendwo anfangen.
Kann ich Ihre Zustimmung haben?
Der Eckpfeiler der Datenschutz-Grundverordnung ist die Einwilligung. Vor der DSGVO brauchte man eine Einwilligung, aber es war viel einfacher, sie zu erhalten. Jetzt, im Kontext der neuen Vorschriften, ist die Einholung der Zustimmung keine sichere Sache mehr. Die Datenschutz-Grundverordnung besagt eindeutig, dass die Zustimmung der Kunden, sofern es sich nicht um ein berechtigtes Interesse handelt, auf ausdrückliche Weise eingeholt werden muss, wobei eine klare Sprache zu verwenden ist und die Gründe, aus denen die Zustimmung eingeholt wird, zu klären sind. Der Nutzer muss genau wissen, wofür und von wem seine personenbezogenen Daten verwendet werden sollen.
Ein berechtigtes Interesse ist nicht gleichbedeutend mit einer Einwilligung, da die gewonnenen Daten nicht für andere Zwecke als die implizierten verwendet werden dürfen.
Sobald die Einwilligung heroisch eingeholt wurde, müssen Sie sie aufzeichnen und aufbewahren und darauf vorbereitet sein, sie auf Verlangen auszuhändigen. So weit, so gut, aber was bedeutet das im Hinblick auf die Einhaltung der Datenschutzgrundverordnung genau?
Im Klartext: Sie müssen etwas Geld oder Zeit in die Entwicklung eines neuen Designs für Einwilligungserklärungen stecken, die angekreuzten Kästchen vergessen, den Nutzern ausführliche Informationen über Ihre Maßnahmen zur Verfügung stellen, Ihre Allgemeinen Geschäftsbedingungen aktualisieren und sie nicht mehr im Kleingedruckten verstecken. Einverstanden?
Ihr professioneller eCommerce-Partner
Keine Integrationen von Drittanbietern. Keine versteckten Kosten. Keine verschwendete Zeit.
Nur eine Lösung, die so einzigartig ist wie die Bedürfnisse Ihres Unternehmens.
Sprechen Sie lauter
Mit diesem neuen, verbesserten Datenschutzgesetz hat die betroffene Person, d. h. jede identifizierbare Person, eine ganze Reihe interessanter Rechte erhalten, daher DSR, was eigentlich eine Abkürzung für Data Subject Rights ist. Sie sind alle einfach und verständlich, aber irgendwie haben wir uns in den letzten zehn Jahren nie wirklich Gedanken darüber gemacht.
Wenn wir das täten, würden wir mit Sicherheit in Panik geraten und das dringende Bedürfnis verspüren, uns alternative Marketingstrategien einfallen zu lassen. Diese Rechte sind es jedoch, die Sie von einem rebellischen Unternehmen zu einem GDPR-konformen Unternehmen machen werden. Gehen wir sie also der Reihe nach durch und schauen, was wir als Nächstes tun können.
-
Alle Macht dem Volke
Sie müssen alle Informationen, die Sie über Ihre Kunden haben, speichern und organisieren. Es reicht nicht aus, ihnen einfach eine E-Mail zu schicken, in der Zahlen und Buchstaben stehen. Sie müssen den Kunden strukturierte, leicht verständliche Informationen in einem gemeinsamen Format zur Verfügung stellen.
Was die Einhaltung der Vorschriften betrifft, so können Sie sich vorstellen, dass dies verschiedene Investitionen in neue Instrumente bedeutet, die entweder den Nutzern einen einfachen Zugang ermöglichen oder die Informationen, die Sie über sie haben, strukturieren und den Prozess rationalisieren und so bestmöglich optimieren.
- Vergessen und Vergeben
Ohne in philosophische Diskussionen über die conditio humana einzusteigen, haben die Menschen dieses Recht, und Sie sind verpflichtet, ihnen den Rahmen dafür zu bieten.
Wenn Sie einen Antrag auf Löschung erhalten, müssen Sie ihn in die Tat umsetzen. Der knifflige Teil ist hier die Frist, denn es wird erwähnt, dass der für die Verarbeitung Verantwortliche "ohne unangemessene Verzögerung" handeln muss. Im Klartext heißt das schnell, aber im juristischen Sprachgebrauch sind die Dinge etwas unscharf. Man kann nur vermuten, dass es tatsächlich darum geht, schnell zu handeln.
Was nun die Umsetzung betrifft, so ist es wichtig zu verstehen, dass Sie, wenn eine Person darum bittet, vergessen zu werden, alle bestehenden Daten über sie löschen müssen, einschließlich Kopien, die in der Cloud gespeichert oder von Dritten gesammelt wurden.
Sie müssen also über Systeme verfügen, die die Daten und die Orte, an denen sie gespeichert sind, schnell identifizieren und eine schnelle Löschung gewährleisten.
-
Stand korrigiert
Ab dem 25. Mai können alle Nutzer eine Berichtigung ihrer Daten beantragen.
Sie müssen einen Weg finden, wie sie dies tun können. Auch hier gilt: Wer die DSGVO einhalten will, muss in Tools investieren.
-
Die große Ankündigung
Dies bedeutet, dass Sie verpflichtet sind, alle Daten, die Sie über eine Person haben, in einem allgemein gebräuchlichen, strukturierten Format an eine andere Organisation zu übermitteln, wenn Sie von der betroffenen Person dazu aufgefordert werden.
Dies würde natürlich voraussetzen, dass Sie ein robustes System zusammenstellen, mit dem sich die Übertragbarkeit leicht bewerkstelligen lässt.
-
Zeit zum Umziehen
Dies bedeutet, dass Sie verpflichtet sind, alle Daten, die Sie über eine Person haben, in einem allgemein gebräuchlichen, strukturierten Format an eine andere Organisation zu übermitteln, wenn Sie von der betroffenen Person dazu aufgefordert werden. Wie nicht anders zu erwarten, setzt dies natürlich voraus, dass Sie ein robustes System einrichten, mit dem die Übertragbarkeit problemlos möglich ist.
-
Zeit für Einwände
Auch wenn Sie eine Einwilligung eingeholt haben, könnte der Nutzer seine Meinung ändern und sich gegen die Verarbeitung personenbezogener Daten durch Sie aussprechen. In diesem Fall haben Sie keine andere Möglichkeit, als der Aufforderung nachzukommen und die Verarbeitung personenbezogener Daten zu beenden.
Bereit für Datenschutzverletzungen
Sie haben also eine Lücke im System entdeckt. Es ist an der Zeit, sich zu fragen: Was würde GDPR von mir erwarten?
Wenn dieser Tag kommt, müssen Sie, sobald Sie die Verletzung bemerken, die Bedrohung identifizieren. Fangen Sie an, so zu handeln, als ob Sie angegriffen würden.
Zunächst muss die Bedrohung in Betracht gezogen werden. Wenn die Datenverletzung als Bedrohung für die Nutzer angesehen wird, muss der für die Datenverarbeitung Verantwortliche die Aufsichtsbehörde für die Datenschutz-Grundverordnung innerhalb von 72 Stunden nach Feststellung der Verletzung informieren. Danach müssen auch die Nutzer informiert werden.
Aufbau der Abwehrkräfte
Sie haben die Erlaubnis erhalten. Ihr Kunde hat die Frage nach dem Einverständnis mit "Ja" beantwortet. Machen Sie sich keine allzu großen Hoffnungen, auch wenn es heutzutage schwieriger zu sein scheint, eine Einwilligung einzuholen als alles andere. Jetzt müssen Sie all diese persönlichen Daten sichern. Stellen Sie sicher, dass die persönlichen Daten der Nutzer gut aufgehoben sind, indem Sie sie durch verschiedene Mittel wie Verschlüsselung oder Anonymisierung schützen. Sie werden persönliche Daten verwenden, entspannen Sie sich! Sie müssen es nur anders machen. Der beste Weg, personenbezogene Daten zu verwenden, ohne die Sicherheit zu gefährden, ist die Pseudonymisierung. Die Daten sind immer noch sicher geschützt, aber Sie können sie analysieren, was diese Methode zur ultimativen Kombination macht.
Man darf hier nicht alles durcheinanderbringen, denn Anonymisierung und Pseudonymisierung sind zwei völlig unterschiedliche Konzepte. Die DSGVO hat sie aus gutem Grund unter dem Dach der Sicherheit zusammengeführt.
Während bei der Anonymisierung jede Möglichkeit zur Identifizierung des Nutzers vollständig zerstört wird, wird bei der Pseudonymisierung, dem Zodiac-Killer der IT-Welt, die Identität der betroffenen Person durch zusätzliche Informationen ersetzt, wodurch eine verschlüsselte Sprache entsteht. Die Daten sind weiterhin geschützt, können aber zu Forschungszwecken verwendet werden.
Ihr professioneller eCommerce-Partner
Keine Integrationen von Drittanbietern. Keine versteckten Kosten. Keine verschwendete Zeit.
Nur eine Lösung, die so einzigartig ist wie die Bedürfnisse Ihres Unternehmens.
Bringen wir es zu Ende!
Die DSGVO bringt eine Menge Änderungen mit sich. Das Einholen der Zustimmung ist ein Muss, ebenso wie die Speicherung und Sicherung der erhaltenen Daten. Der Nutzer hat die Macht, und egal, wie sehr man sich bemüht, man bekommt sie nicht zurück. Es geht darum, sich an die neue Ordnung anzupassen.
Denken Sie sich neue Marketingstrategien aus, investieren Sie in Tools zur Verbesserung Ihrer bereits vorhandenen Systeme und organisieren Sie die Daten, die Sie bereits haben, um Ihre künftige Verarbeitung weiter zu optimieren und zu rationalisieren. Es liegen stressige Zeiten vor Ihnen, aber mit einem starken Plan, einem organisierten Geist, dieser Checkliste und einem Team von fleißigen IT-Experten ist die Einhaltung der DSGVO so gut wie erledigt.
Haftungsausschluss: Bitte beachten Sie, dass dieser Artikel nicht als Rechtsberatung für die Einhaltung der Datenschutz-Grundverordnung zu verstehen ist. Der einzige Zweck dieses Artikels ist es, ein besseres Verständnis des genehmigten EU-Datenschutzgesetzes zu ermöglichen.
Wenn Sie in dieser Angelegenheit rechtlichen Rat benötigen, empfehlen wir Ihnen dringend, sich an einen Anwalt zu wenden, der die Datenschutz-Grundverordnung auf die spezifischen Bedürfnisse Ihres Unternehmens anwenden kann.
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
