Compliant trotz Datenschutz-Grundverordnung DSGVO. Wir zeigen Ihnen worauf Sie achten müssen, ganz nach dem Motto "Vorsorge statt Sorge".
Im Mai 2018 tritt die Europäische Datenschutzverordnung (DSGVO) in Kraft, um einen erhöhten Schutz von personenbezogenen Daten innerhalb der Europäischen Union zu gewährleisten. Aber was bedeutet das nun konkret? Hier erfahren Sie was die DSGVO ist, warum Sie in Kraft tritt und warum auch für Sie Änderungen zur Speicherung von personenbezogenen Daten zukommen könnten.
Was ist die DSGVO?
Die DSGVO (oder englisch GDPR) ist eine neue Regelung der Europäischen Union, welche ab dem 25. Mai 2018 die EU Data Protection Directive (DPD) von 1995 ersetzen wird. Ziel ist ein erhöhter Schutz von personenbezogenen Daten. Durch die Festsetzung von verbindlichen Regeln, wird das Speichern von persönlichen Daten sowohl für private Unternehmen, als auch für öffentliche Stellen in der EU verschärft. Im Detail ist die Verordnung eine Erweiterung der 1995-DPD und baut auf dessen Regelungen zur Datensicherheit und Privatsphäre auf. Neu inkludierte Aspekte sind zum Beispiel schärfere Strafen gegen Verstöße der DSGVO und modernere Regelungen auf Grund der digitalen Revolution. Den gesamten Text der DSGVO finden Sie hier.
Ein weiterer wichtiger Unterschied zur alten DPD ist, dass die DSGVO auch für Unternehmen greift, die nicht in der EU angesiedelt sind, wenn:
a) Produkte oder Dienstleistungen an Personen innerhalb der EU angeboten werden.
b) Personenbezogene Daten zu Personen innerhalb der EU erfasst werden.
Ist mein Unternehmen von der Änderung betroffen?
Pauschal kann man das nicht sagen, dennoch ist es bei vielen Neukunden der Fall, dass personenbezogene Daten nicht einfach an einem zentralen Ort gespeichert sind.
Ein Kernaspekt der DSGVO ist aber das Recht auf Löschung von personenbezogenen Daten. Können Sie das nicht gewährleisten, dann sollten Sie dringend handeln. Das wäre beispielsweise dann der Fall, wenn sich Ihre Kundendaten in Daten-Silos befinden oder Sie eventuell sogar eine Schatten-IT betreiben, d.h. das Ihre Daten nicht Teil der offiziellen IT-Infrastruktur sind und ohne das Wissen des IT-Bereichs angesiedelt sind.
In diesen Fällen sollten Sie auf jeden Fall handeln
Hier finden Sie einige Fälle, am Beispiel von HubSpot und Salesforce, bei denen Sie ohne ein Handeln nicht mit der neuen Datenschutzverordnung konform sind:
Szenario 1
Sie werden zum Löschen von personenbezogenen Daten aufgefordert und löschen die Daten in HubSpot. In Salesforce bleiben die Daten bestehen.
Lösung: Anpassung der Salesforce-Integration, damit die Daten zu dieser Person auch in Salesforce gelöscht werden, sobald die Daten in HubSpot gelöscht werden (und umgekehrt).
Szenario 2
Sie verschicken kommerzielle E-Mails und haben ein Abonnementen-Zentrale zum Regeln der E-Mail-Varianten erstellt. Nun sind die Seiten der Abonnementen-Zentrale nur in deutscher Sprache.
Lösung: Das Multi-Language Subscription Center - damit werden alle Seiten und E-Mail-Varianten in der Sprache des Besuchers angezeigt. Dies ist notwendig für Firmen, die zu Personen in mehreren Ländern personenbezogene Daten sammeln. Denn mit der DSGVO muss die Abonnementen-Zentrale in der Landessprache angezeigt werden.
Szenario 3
Sie haben Kontakte in Ihrer Datenbank, die schon lange keine Aktivität mehr aufweisen. Außerdem sich diese Kontakte schon vor einiger Zeit vom E-Mail-Verkehr abgemeldet.
Lösung: Aufbau einer "Löschliste" in HubSpot, damit die Kontakte regelbasiert auf die Liste geschrieben werden. So hat man immer einen Überblick der zu löschenden Kontakte.
Sie sind sich noch unsicher?
Dann finden Sie hier eine hilfreiche GDPR-Checkliste von HubSpot. Damit können Sie prüfen, ob Sie bereit sind für die DSGVO. Bei Fragen nehmen Sie einfach mit uns Kontakt auf.
Disclaimer: Bitte sehen Sie diesen Beitrag nicht als Leitfaden zum EU-Datenschutzrecht oder als rechtlichen Ratschlag. Wir empfehlen bei Zweifeln zu Rechtsfragen immer eine Rechtsberatung heranzuziehen.