Die DSGVO kommt: So bereiten Sie sich vor

Hinweis: Dies dient nur allgemeinen Informationszwecken und stellt keine Rechtsanalyse oder Rechtsberatung dar. Wenden Sie sich an einen Anwalt, um mehr über Ihre besonderen Pflichten gemäß der DSGVO zu erfahren.

Wenn Sie Teil einer Organisation sind, die mit Bürgern der Europäischen Union Geschäfte macht, dann haben Sie vielleicht schon von den bevorstehenden Änderungen im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO) gehört. Die DSGVO ist ein Gesetz der Europäischen Union, das die Datenschutzregeln und -rechte zugunsten der EU-Bürger stärken und vereinheitlichen soll. Die DSGVO gilt für EU-Organisationen und Nicht-EU-Organisationen (jeglicher Größe), die Waren und Dienstleistungen in die EU liefern oder Tracking-Technologien (wie Cookies oder Tracking-Pixel) verwenden, um das Verhalten von EU-Nutzern zu überwachen.

Die DSGVO wird ab dem 25. Mai 2018 durchgesetzt.

Zu diesem Zeitpunkt können alle Organisationen, die die Vorschriften nicht einhalten, mit Bußgeldern und anderen behördlichen Sanktionen belegt werden. Für einen Überblick über die DSGVO ist dieser Artikel ein guter Ausgangspunkt.

Grundprinzipien der DSGVO

Beachten Sie die folgenden Grundsätze, wenn Sie und Ihr Team sich auf die bevorstehende DSGVO vorbereiten:

• Die erhobenen personenbezogenen Daten müssen auf faire, legale und transparente Weise verarbeitet werden. Es sollte nicht auf eine Weise verwendet werden, die eine Person vernünftigerweise nicht erwarten würde.
• Personenbezogene Daten sollten nur zur Erfüllung eines bestimmten Zwecks erhoben und nicht in einer Weise weiterverwendet werden, die mit diesen Zwecken unvereinbar ist. Organisationen müssen angeben, warum sie die personenbezogenen Daten benötigen, wenn sie sie sammeln.
• Die gespeicherten personenbezogenen Daten müssen aktuell und korrekt gehalten werden. Es sollte nicht länger aufbewahrt werden, als es zur Erfüllung seines Zwecks erforderlich ist.
• EU-Bürger haben das Recht auf Zugang zu ihren eigenen personenbezogenen Daten. Sie können auch eine Kopie ihrer Daten anfordern und dass ihre Daten ohne Behinderung aktualisiert, gelöscht, eingeschränkt oder an eine andere Organisation übertragen werden.
• Alle personenbezogenen Daten müssen sicher und geschützt aufbewahrt werden, und Unternehmen, die bestimmte Arten von Aktivitäten durchführen, müssen jetzt einen Datenschutzbeauftragten ernennen.

Was sind personenbezogene Daten?

Die DSGVO-Definition von personenbezogenen Daten umfasst das, was wir normalerweise als persönlich identifizierbare Informationen (PII) betrachten – Name, Passnummer, Geburtsdatum usw. –, aber auch Daten, die wir möglicherweise als Nicht-PII betrachten, wie IP-Adressen oder Geräte Ausweise.

Personenbezogene Daten können sogar Daten über eine Person enthalten, die gehasht oder verschlüsselt wurden.

Für eine umfassende Liste dessen, was die DSGVO als personenbezogene Daten betrachtet, lesen Sie bitte Artikel 4(1) der DSGVO.

Darüber hinaus umfasst die Definition personenbezogener Daten eine Teilmenge von Daten, die als „besondere Kategorien personenbezogener Daten“ bekannt sind. Besondere Kategorien personenbezogener Daten sind eine spezifische Liste von Daten, die ausdrücklich in der DSGVO festgelegt sind und Dinge wie Rasse, Religion, politische Meinungen, Gesundheitsdaten usw. umfassen.

Schritte zur Vorbereitung auf die DSGVO

Datenzuordnung – Bestimmen (und dokumentieren) Sie Folgendes:

• Welche personenbezogenen Daten besitzen oder sammeln Sie?
• Für welche Zwecke werden die personenbezogenen Daten verwendet?
• Woher stammen diese Daten und an welche Parteien wurden sie weitergegeben?
• Wo befinden sich diese Daten derzeit?
• Wie lange werden die Daten gespeichert?
• Wie werden diese Daten gelöscht oder geändert, wenn eine betroffene Person eine Anfrage stellt?

Rechte – Überprüfen Sie Ihre aktuellen Verfahren, um sicherzustellen, dass Sie die Rechte der betroffenen Personen einhalten können. EU-Bürger haben das Recht auf Zugang zu ihren eigenen personenbezogenen Daten. Sie können auch eine Kopie ihrer Daten anfordern und dass ihre Daten unter bestimmten Umständen aktualisiert, gelöscht, eingeschränkt oder ungehindert an eine andere Organisation übertragen werden.

Einwilligung – Wenn Sie sich auf die Einwilligung als Grundlage für die Verarbeitung personenbezogener Daten berufen, gehen Sie darauf ein, wie Sie die Einwilligung einholen, einholen und dokumentieren. Für bestimmte (aber nicht alle) Arten von Aktivitäten sollte im Allgemeinen die Zustimmung einer Person eingeholt werden, um ihre Daten zu verwenden – zum Beispiel bei der Verarbeitung besonderer Kategorien personenbezogener Daten. Die DSGVO besagt, dass die Einwilligung durch eine eindeutige bestätigende Handlung erteilt werden sollte – Schweigen, vorab angekreuzte Kästchen oder Inaktivität stellen in der Regel keine Einwilligung dar. Auch die Einwilligung sollte mitgeteilt werden.

Organisationen müssen Informationen darüber bereitstellen, warum sie die personenbezogenen Daten sammeln und wofür sie verwendet werden.

Sie müssen auch Aufzeichnungen über alle erhaltenen Einwilligungen führen, einschließlich der Frage, wer wann zugestimmt hat und welchen spezifischen Aussagen sie zugestimmt haben. EU-Bürger haben das Recht, die Einwilligung jederzeit zu widerrufen.

Datenschutzrichtlinien – Überprüfen Sie Ihre aktuelle Datenschutzrichtlinie und stellen Sie fest, ob Aktualisierungen erforderlich sind.

Produktdesign – Sie sollten Privacy by Design in Projekte integrieren und überlegen, wie Sie die Auswirkungen Ihrer Produkte auf die Privatsphäre minimieren können. Versuchen Sie, wo angemessen oder notwendig, Pseudonymisierung, Anonymisierung und Verschlüsselung zu verwenden. Nähere Informationen zum Datenschutz durch Design finden Sie in Artikel 25 der DSGVO.

Verfahren bei Datenschutzverletzungen – Stellen Sie sicher, dass Sie über Verfahren verfügen, um Datenschutzverletzungen zu erkennen, zu melden und zu untersuchen. Die DSGVO verlangt von Organisationen, dass sie Datenschutzbehörden im Allgemeinen innerhalb von 72 Stunden nach Entdeckung einen Verstoß melden, es sei denn, der Verstoß führt voraussichtlich nicht zu einem Risiko für die Datenschutzrechte von Einzelpersonen.

Datenschutzbeauftragter – Bestimmen Sie, ob Sie einen Datenschutzbeauftragten (DPO) ernennen sollten. Die DSGVO besagt, dass ein Datenschutzbeauftragter ernannt werden muss, wenn die Kerntätigkeiten der Organisation eine „regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang“ beinhalten oder wenn die Organisation eine umfangreiche Verarbeitung von „besonderen Kategorien personenbezogener Daten“ durchführt. Der Datenschutzbeauftragte ist für die Überwachung der Einhaltung der DSGVO-Anforderungen verantwortlich und dient als Kontaktstelle zwischen der Organisation und den Aufsichtsbehörden.

Drittanbieter – Erstellen Sie eine Liste aller Lösungen von Drittanbietern, die Sie derzeit verwenden (einschließlich Website-Tracking-Cookies), die Zugriff auf die personenbezogenen Daten der betroffenen Personen haben oder diese verarbeiten. Sie sollten alle Ihre Verträge mit Drittanbietern überprüfen. Nehmen Sie Vertraulichkeits- und Datenschutzklauseln in Ihre Verträge auf, die ggf. DSGVO-konform sind. Fragen Sie Drittanbieter, von denen Sie festgestellt haben, dass sie in den Anwendungsbereich fallen, ob sie die DSGVO-Verordnung einhalten.

Sensibilisierung – Informieren Sie Ihre Mitarbeiter über die DSGVO und ihre Auswirkungen auf die Erfassung und Verarbeitung personenbezogener Daten von Kunden.

Was ist mit dem Datenschutzschild?

Die DSGVO hat spezifische Anforderungen an die Übermittlung personenbezogener Daten außerhalb der EU.

Beispielsweise darf die Datenübertragung nur in Länder erfolgen, in denen festgestellt wurde, dass sie über angemessene Datenschutzgesetze verfügen, oder in denen Sie geeignete Datenexportmechanismen eingerichtet haben.

Die EU ist der Ansicht, dass die USA keine angemessenen Datenschutzgesetze haben – das Privacy Shield ist jedoch ein freiwilliges Selbstzertifizierungsprogramm, an dem US-Unternehmen teilnehmen können, um nachzuweisen, dass sie über angemessene Datenschutzpraktiken verfügen, um diese Anforderung der DSGVO zu erfüllen .

SendGrid ist Privacy Shield-zertifiziert und bietet Kunden auch Standardvertragsklauseln als alternativen Datenexportmechanismus an.

Wie wirkt sich dies auf E-Mails aus?

Die DSGVO wird Auswirkungen auf die Marketingpraktiken haben. Alle E-Mail-Vermarkter, die sich mit der DSGVO befassen, müssen sich damit befassen, wie sie die Zustimmung einholen, einholen und dokumentieren, wo dies erforderlich ist. Vermarkter sollten auch sicherstellen, dass sie die Daten einer Person auf Anfrage aktualisieren, löschen, einschränken oder verschieben können. Indem Sie die DSGVO einhalten und die E-Mail-Adressen unerwünschter Personen aus Ihren Listen entfernen, können Sie Ihre Zustellbarkeit verbessern!

Was als nächstes?

Wenn Sie glauben, dass Ihre Organisation von der DSGVO betroffen sein wird, wenden Sie sich bitte an einen Anwalt, um mehr über Ihre besonderen Verpflichtungen gemäß der DSGVO zu erfahren. Der Zweck dieses Beitrags besteht darin, einige der Änderungen hervorzuheben, die sich für Organisationen aufgrund der DSGVO ergeben können. Den vollständigen Text der DSGVO finden Sie hier. Weitere Informationen zur Verwendung von Cookies, der E-Privacy-Verordnung und deren Bezug zur DSGVO finden Sie hier.