EU-DSGVO – sind Sie bereit? (Teil 1 von 2)

Ob Online-Shopping, E-Mail-Kampagnen oder Speicherung sensibler Nutzer- und Mitarbeiterdaten: Datenschutz spielt für alle Unternehmen eine übergeordnete Bedeutung. Bisher regelte das Bundesdatenschutzgesetz (BDSG) mit vorgeschriebenen Compliance-Bestimmungen den Datenschutz. Doch mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO, englisch: GDPR) werden viele der bisherigen Richtlinien auf den Kopf gestellt. Diese ist ab dem 25. Mai 2018 rechtskräftig. Neben vielen offenen Fragen schrecken viele Unternehmen vor allem vor hohen Bußgeldern zurück.

Hiervon betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten – wer ist das heutzutage nicht? In diesem Video-Blog gibt Ihnen Mirco Müller, Geschäftsführer der Insignio CRM, in zwei Videos einen kurzen Überblick darüber, was sich mit der neuen Datenschutzgrundverordnung ändert (Video 1). In Video 2 gibt er Tipps, wie Sugar-User diese Anforderungen umsetzen können. An dieser Stelle jedoch noch der Hinweis, dass wir keine Rechtsberater sind und als Dienstleister lediglich Ratschläge für die Umsetzung der neuen Richtlinien geben möchten. 

 

Was ist GDPR / EU-DSGVO: Video 1 

Das Thema DSVGO ist sehr umfassend und ist schon im Mai 2016 in Kraft getreten. Ziel der Richtlinien ist die EU-weite Vereinheitlichung von Rahmenbedingungen zur Datensicherheit. Allerdings kann es trotzdem länderspezifische Bestimmungen geben, die durch DSVGO nicht außer Kraft gesetzt werden. Das Thema betrifft jedes Unternehmen, das online aktiv ist. Doch viele von ihnen haben sich dem Thema noch nicht in ausreichender Form angenähert.

Die wesentlichen Eckpfeiler der Datenschutzgrundverordnung

• Transparenz
• Sicherheit
• Verbindlichkeit
• Vorsorge

Transparenz der Datenverwendung

Was in Deutschland bereits seit Anbeginn der online Datenverwendung Gang und Gebe ist, muss ab Mai 2018 transparent dargestellt werden – beispielsweise welche personenbezogenen Daten verarbeitet werden, wie lange diese vorgehalten oder angereichert werden. Dazu kommt auch die richtige und vollständige Löschung der Daten zum beschriebenen Zeitpunkt.  Genaue Informationen zu der Datenspeicherung, wie die Speichernotwendigkeit müssen in verständlicher und einfacher Form dargelegt werden. Das führt nicht selten zur Überarbeitung bestehender Webseiten-Inhalte und Systeme, um diese Transparenz gewährleisten zu können.

Auch gegenüber der Einzelperson besteht eine individuelle Auskunftspflicht – so ist jedes Unternehmen zur Herausgabe der personenbezogenen Daten in maschinenlesbarer Form verpflichtet.

Die mögliche Weitergabe an Drittanbieter und Datenverarbeiter (diejenigen, die bei der Datenverarbeitung unterstützend tätig sind) muss beschrieben sein. Auch diese müssen konform mit der EU-DSGVO sein. Jede Person muss individuell informiert werden, sobald sich an der Vorgehensweise der Datenspeicherung etwas ändert. Es reicht also nicht mehr aus, lediglich einen Hinweis auf der Webseite zu ergänzen.

Daher ist es auch verpflichtend, umgehend Auskunft über aufgetretenen Einbrüche oder auch „Datenhacks“ an die Datenschutzbehörde und betroffene Individuen zu geben.

Sicherheit der Daten

Sicherheit heißt in Zukunft nicht nur, dass Systeme technisch abgesichert sind, sondern dass  jedes datenbezogene Vorgehen auch dokumentiert wird. Die Einhaltung der Sicherheitsmaßnahmen muss daher stets beweisbar sein.

Neu ist hierbei, dass eine Risikobewertung der Sicherheitsrisiken erstellt werden muss.  Das heißt, dass im Zuge dessen Systeme hinsichtlich des Risikos für Datensicherheit bewertet werden. Die Ergebnisse der Risikobewertung müssen ebenfalls einsehbar dokumentiert werden. Das hält die Datensicherheit in Unternehmen immer auf einem aktuellen Stand und ermöglicht die Weiterentwicklung bestehender Systeme.

Hier bezieht sich der Datenschutz auch auf Mitarbeiterdaten. Diese müssen ebenso aus den Systemen gelöscht werden, sobald ein Mitarbeiter ausscheidet. Hierbei ist ein besonderer Aspekt auch das Handling der Daten auf einem Testsystem. Diese müssen in Zukunft unbedingt anonymisiert sein – auch zu Testzwecken dürfen keinerlei Daten aus dem Live/Produktivsystem übernommen werden.

Verbindlichkeit der Unternehmen im Datenschutz

Sobald ein Individuum darum bittet, dass seine Daten gelöscht werden, muss dies in allen Systemen geschehen –  beispielsweise auch in den Inhalten von E-Mails. Wichtig ist hierbei auch die Auskunftspflicht über diese Datenlöschungen im Blick zu halten. Denn an dieser Stelle herrscht das sogenannte Recht auf Vergessen und gilt für jedes Individuum. Hierbei gibt es jedoch eine Ausnahme: Daten, die wegen der Aufbewahrungsfrist und Kundenprozesse vorgehalten werden müssen, können bis zum vorgeschriebenen Zeitraum behalten werden.

Vorsorge: Tipps zum Umgang mit der neuen DSGVO

Als CRM-Experten raten wir Ihnen, sich das Thema DSGVO bewusst zu machen und sich zielgerichtet anzunähern. Dabei helfen kann im ersten Schritt die Bildung eines Teams, das die Einhaltung der Anforderungen prüft und das Bewusstsein im Unternehmen dafür erweitert. Wir empfehlen Prozesse und Kontrollvorgänge zu etablieren – so wird eine dauerhafte Einhaltung der Vorgaben gesichert. Am besten verwenden Unternehmen nur Daten, deren Ursprung bekannt ist und für die ein eindeutiges Einverständnis zur Nutzung vorhanden ist.

Was vielen Unternehmen Kopfzerbrechen bereitet ist das Risiko vor hohen Bußgeldern –Strafen für Verstöße betragen bis zu 4% des Jahresumsatzes oder 20 Mio. EUR. Für kleine und mittelständische-Unternehmen (bis zu 250 Mitarbeiter) gelten gemäßigtere Anforderungen als für große Konzerne. So ist beispielsweise kein Datenschutzbeauftragter in Vollzeit Pflicht. Unsere Kunden liegen uns am Herzen. Und damit auch die Datensicherheit personenbezogener Daten unserer Kunden.

Sie haben Fragen zum Thema DSGVO / GDPR insbesondere im CRM-System? Dann kontaktieren Sie uns einfach!