intelliAd Blog

Zurück zum Blog

EU-DSGVO – Das sollten Sie beachten

Das Thema DSGVO ist in aller Munde. Die Entwicklungen der letzten Jahre zeigen, dass globaler vernetzter Datenverkehr stetig zunimmt und keine Grenzen mehr kennt. Auch aus diesem Grund schafft der Gesetzgeber mit der Datenschutz-Grundverordnung (DSGVO) ab dem 25.05.2018 eine europaweit einheitliche Gesetzgebung zum Datenschutz.

Für wen gelten die Neuerungen?

In Kraft treten soll die Richtlinie am 25.05.2018 und beschäftigt bereits jetzt nicht nur Unternehmen selbst, sondern auch deren Kunden. Die Neuerungen betreffen alle Unternehmen, die über einen Sitz oder eine Niederlassung in der Europäischen Union verfügen oder ihre Produkte sowie Dienstleistungen dort anbieten und dadurch Daten von EU-Bürgern verarbeiten. Somit gilt das Gesetz oftmals auch für Unternehmen mit einem Standort außerhalb der EU.

Wieso gibt es ein Update des Gesetzes?

Ziel der Anpassungen im Gesetz ist die stärkere Verankerung von Datenschutz im Unternehmensalltag sowie der transparente und einheitliche Umgang mit Daten innerhalb der EU. So haben Bürger mehr Kontrolle darüber, wie und wofür ihre personenbezogenen Daten verwendet werden. Für Unternehmen bedeutet dies allerdings mehr Pflichten bei Dokumentation, Nachweis sowie Rechenschaft und dadurch höhere Anforderungen an das Datenschutzmanagement. Verletzungen der Verordnungen werden abgestraft – von Unternehmen können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verlangt werden, je nachdem, welcher Betrag höher ist. Einzelne verantwortliche Personen müssen dabei mit eigenen Bußgeldern sowie persönlicher Haftung rechnen.

Auf welche Bereiche wirken sich die Neuerungen aus?

Das Datenschutzmanagement betrifft die gesamte Organisation. Der Verantwortungsbereich der jeweiligen Datenschutzbeauftragten erweitert sich durch die neuen Verordnungen und umfasst u.a. die Unterrichtung sowie die Einhaltung der neuen Verordnungen und Vorschriften. Den zuständigen Personen müssen dabei alle benötigten Ressourcen zur Verfügung gestellt werden.

In der IT können die Neuerungen technische Änderungen mit sich bringen. Zum einen müssen in IT-Systemen bspw. Zugriffsberechtigungen überarbeitet, Voreinstellungen zur Minimierung von verarbeiteten Daten festgelegt oder Prozesse für Betroffenenrechte wie Auskunft, Löschen oder Archivieren implementiert werden.

Wie sollte man strategisch vorgehen?

Um sich gezielt vorbereiten zu können, gilt es zunächst den Status Quo folgender Bereiche zu analysieren:

  • Aufbau- und Ablauforganisation
  • Governance-Strukturen
  • Richtlinien
  • Verträge
  • IT

Dazu gehört die Überprüfung von Verträgen und Vereinbarungen, wenn in diesen der Umgang mit personenbezogenen Daten beinhaltet ist. Es müssen Folgen und Auswirkungen eingeschätzt, Konzepte für Prozesse und Verfahrensweisen zur Archivierung, zum Löschen oder zur Bearbeitung von Anfragen aktualisiert und umgesetzt werden. Für die Implementierung selbst wird ein Projektplan mit der Einschätzung des benötigten Budgets vorausgesetzt. Um die Umsetzung später bewerten zu können, müssen ein Zielbild, mit Blick auf Geschäftsmodell und möglichen Risiken, sowie der zeitliche Rahmen und eine Qualitätsdefinition als Maßstab festgelegt werden. Der Gesamtansatz sollte dabei ganzheitlich und praxistauglich gestaltet sein. Zudem muss nach der erfolgreichen Implementierung der gesetzmäßige Umgang mit den Daten nachgewiesen werden können. Zur Messung selbst werden passende Monitoring-Prozesse und Dokumentationen benötigt.

Worauf sollte man bei der Implementierung achten?

Wichtig ist, dass im gesamten Unternehmen ein Bewusstsein für das Thema Datenschutz sowie die Neuerungen geschaffen wird. Mitarbeiter müssen in der Lage sein, Anpassungen erfolgreich vornehmen zu können und die neuen Vorgehensweisen beherrschen. Prozesse sollten daher systematisch im gesamten Unternehmen nicht nur implementiert sondern auch gelebt werden. Dazu bedarf es einer verständlichen Kommunikation, notwendigen Ressourcen, Akzeptanz und Praxistauglichkeit. Hier können Trainings und Übungen zu kritischen Prozessen sehr hilfreich sein.

Fazit und Ausblick

Wir empfehlen daher, sich frühzeitig intensiv mit dem Thema zu befassen und gegebenenfalls externe Berater und Experten hinzuziehen, damit Sie Ende Mai gut gerüstet sind. Ferner ist im Bereich des Online-Marketings auch die e-privacy-Verordnung zu beachten, die für Anbieter von elektronischen Kommunikationsdiensten gelten und nicht nur in Bezug auf die Verarbeitung personenbezogener Daten Anwendung findet, sondern auch elektronische Prozesse als solche regelt. Nach derzeitigem Stand erfordert diese grds. ein Opt-In für das Cookie-Tracking. Es ist allerdings völlig offen, ob dies so in Kraft treten wird. Die Verhandlungen sind noch nicht abgeschlossen und der ursprüngliche Termin des Inkrafttretens der e-privacy-Verordnung zum 25.05.2018 wird sich wohl eher in das Jahr 2019 verschieben. Das weitere Verfahren muss daher verfolgt werden.

 

Alle Informationen zur EU-DSGVO und deren Impact auf das intelliAd Tracking finden Sie im Beitrag des intelliAd Datenschutzbeauftragten Michael Schunke: intelliAd Suite ermöglicht EU-DSGVO-konformes Tracking.

Top