Derzeit findet in Köln die führende europäische digitale Medienkonferenz Dmexco statt. Während sich globale Marken, Verlage und führende Werbetechniker treffen, um Chancen und Herausforderungen in den digitalen Medien zu diskutieren, sind die in der Europäischen Union vorgeschlagenen neuen Datenschutzgesetze schnell zum heißesten Diskussionsthema geworden.
Dies ist Ihr Leitfaden zum Verständnis Allgemeine Datenschutzverordnungoder DSGVO und was es für Sie bedeutet.
Was ist die DSGVO?
Allgemeine Datenschutzverordnung ist der neue Regulierungsrahmen, der die ersetzen wird Datenschutzrichtlinie von 1995Das bereits seit zwei Jahrzehnten bestehende Gesetz regelt in Verbindung mit den nationalen Datenschutzgesetzen derzeit die Art und Weise, wie Unternehmen und öffentliche Stellen personenbezogene Nutzerdaten in der Europäischen Union erheben, speichern und nutzen.
In diesen zwei Jahrzehnten ist die internetbasierte Wirtschaft zum Mainstream geworden und hat die Art und Weise verändert, wie Benutzerdaten von Unternehmen erfasst und verwendet werden – sowohl in Bezug auf Größe als auch Umfang, wodurch die ältere Richtlinie weitgehend obsolet wurde.
Nach jahrelangen Diskussionen und Verhandlungen wurde die neue DSGVO im April 2008 sowohl vom Europäischen Parlament als auch vom Europäischen Rat verabschiedet Regulierung und Richtlinien wurden bald darauf veröffentlicht. Die Verordnung soll im Mai 2018 in Kraft treten, sodass den von der Verordnung erfassten Organisationen genügend Zeit zur Vorbereitung gegeben wird.
Die neue Verordnung wird den Benutzern neue Zugriffsrechte auf Informationen einräumen, die Unternehmen über sie haben, Richtlinien für eine bessere Datenverwaltung und Informationssicherheit sowie eine neue Reihe von Bußgeldern bei Nichteinhaltung.
Muss es wissen
Wer wird betroffen sein: Jede Organisation, die Informationen über EU-Bürger sammelt
Wann: 25th Mai, 2018
Durchsetzungsbehörde: Das Büro des Informationskommissars im Vereinigten Königreich (ICO)
Organisationen, die unter die Kategorie fallen Datenverantwortliche oder Datenverarbeiter werden verpflichtet sein, die neue Verordnung einzuhalten. Dies gilt für Startups, gemeinnützige Organisationen und Unternehmen – im Grunde für jeden.
Das ist hier zu beachten Die DSGVO ist kein europaspezifisches Thema, betrifft es jede Organisation, die Nutzern in der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Menschen in Europa überwacht, unabhängig davon, wo sich ihre Büros oder Datenserver befinden.
Die DSGVO deckt beides ab persönliche und empfindlich Benutzerdaten. Zu den personenbezogenen Daten können Name, E-Mail-Adresse, Adresse, IP-Adresse usw. sowie andere Daten gehören, die üblicherweise bei Anmeldungen erfasst werden. Zu den sensiblen Daten gehören unter anderem genetische Informationen, biometrische Scans, politische oder religiöse Ansichten und sexuelle Orientierung.
Eine wichtige Änderung der neuen Verordnung besteht darin, dass sie im Gegensatz zur früheren Richtlinie auch die unter einem Pseudonym gespeicherten Nutzerdaten erfasst, sofern über das Pseudonym eine persönliche Identifizierung möglich ist.
Neue Benutzerrechte
In der vorherigen Regelung mussten Benutzer einen Subject Access Request (SAR) stellen und 10 £ bezahlen, um Zugang zu den Informationen zu erhalten, die ein Unternehmen möglicherweise über sie gemäß der DSGVO gespeichert hat. Anfragen zu personenbezogenen Daten können kostenlos gestellt werden. Darüber hinaus müssen diese Daten dem Nutzer nun innerhalb von 30 Tagen nach Erhebung der Anfrage zur Verfügung gestellt werden.
Die Verordnung gewährt den Nutzern auch das Recht auf Löschung ihrer Daten unter bestimmten Umständen, unter anderem wenn die Daten unrechtmäßig oder ohne berechtigtes Interesse erhoben werden, wenn die Einwilligung widerrufen wird und wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind.
Datensicherheit und Compliance
Neben Richtlinien zur Datenerfassung und Benutzerrechten enthält die DSGVO auch Richtlinien zur Einrichtung und Gewährleistung festgelegter Datensicherheitsstandards, einschließlich Datenprüfung und -bewertung, Schutzrichtlinien und Dokumentation.
Eine Möglichkeit für Unternehmen, diese Anforderungen zu erfüllen, ist die Implementierung eines Data Security Posture Management (DSPM) Strategie, die die kontinuierliche Identifizierung, Überwachung und Sicherung vertraulicher Daten in Cloud- und On-Premise-Umgebungen umfasst.
In den letzten Jahren kam es zu mehreren groß angelegten Datenschutzverstößen, unter anderem gegen Benutzerkontoinformationen von Unternehmen wie Yahoo und LinkedIn. Nach der DSGVO sind Unternehmen nun für „Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf“ Benutzerdaten verantwortlich.
Im Falle eines Datenverlusts oder einer Datenschutzverletzung müssen Organisationen die Regierung innerhalb von 72 Stunden, nachdem sie von dem Vorfall erfahren haben, informieren, in der darauffolgenden Zeit mit den Aufsichtsbehörden zusammenarbeiten und möglicherweise rechtliche Schritte einleiten.
Startups verzichten in der Regel auf die Sorgfaltspflicht bei der Datenerfassung und -sicherheit zugunsten von Geschwindigkeit und Skalierung. Dies wird nicht mehr ohne Bußgelder möglich sein.
Für Organisationen mit mehr als 250 Mitarbeitern ist eine Dokumentation darüber, warum Benutzerinformationen erfasst werden, wo und wie lange sie gespeichert werden, sowie technische Daten mit detaillierten Angaben zu den getroffenen Sicherheitsmaßnahmen obligatorisch. Große Organisationen müssen möglicherweise auch speziell einen „Datenschutzbeauftragten“ einstellen, der die Einhaltung der Richtlinien überwacht und sicherstellt.
Geldbußen
Einer der am meisten diskutierten Aspekte der DSGVO ist die damit verbundene neue Bußgeldregelung. Bußgelder können mittlerweile sowohl bei kleinen als auch bei großen Verstößen erhoben werden.
Haben Sie keinen Datenschutzbeauftragten eingestellt, als die DSGVO es verlangte? Ihnen kann eine Geldstrafe auferlegt werden. Gab es eine Sicherheitsverletzung? Dafür gibt es ein Bußgeld. Unvollständige Dokumentation? Geldstrafe verhängt. Du hast die Idee. Und anders als bei der früheren Richtlinie können die Geldstrafen erheblich sein.
Bei kleineren Verstößen drohen Unternehmen Bußgelder in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes der Organisation, je nachdem, welcher Betrag höher ist. Bei schwerwiegenderen Verstößen können Bußgelder bis zu fast dem Doppelten dieses Betrags verhängt werden. Dies ist ein großer Fortschritt gegenüber der Obergrenze von 500,000 £, die in der vorherigen Datenschutzrichtlinie galt.
Allerdings hat ICO klar zum Ausdruck gebracht, dass es „das Zuckerbrot der Peitsche vorzieht“ und seinen Teil dazu beigetragen, die Panik in der Branche zu beruhigen.
„Es ist Panikmache, zu behaupten, dass wir bei geringfügigen Verstößen frühzeitig an Organisationen statuieren oder dass Höchststrafen zur Norm werden“, schrieb Elizabeth Denham, die britische Informationskommissarin, kürzlich in einem Blogbeitrag.
Shubham ist ein digitaler Vermarkter mit umfangreicher Erfahrung in der Werbetechnologiebranche. Er verfügt über umfassende Erfahrung in der Programmbranche und leitet Geschäftsstrategien und Skalierungsfunktionen, einschließlich, aber nicht beschränkt auf, Wachstum und Marketing, Betrieb, Prozessoptimierung und Vertrieb.
