Zwei Wochen in der DSGVO-Durchsetzungsphase, was nun?
Veröffentlicht: 2018-06-08Endlich ist es passiert . Die Datenschutz-Grundverordnung ist am 25. Mai 2018 endlich in ihre Durchsetzungsphase gegangen, Memes und so.
Trotz der Befürchtungen vieler Werbetreibender ist die Welt nicht untergegangen, nachdem die DSGVO in ihre Durchsetzungsphase gegangen ist. Aber es hat sich geändert. Bildnachweis: Datenschutz lehren
War die Industrie bereit? Waren diese Richtlinienaktualisierungen in letzter Minute genug? Was passiert jetzt? In diesem Blogbeitrag werfen wir einen Blick darauf, wie sich die großen Akteure auf die Frist vorbereitet haben, was mit der Einführung der DSGVO kommen wird und wie Ihr Unternehmen von nun an auf die Einhaltung der Vorschriften hinarbeiten kann.
First Strikes auf die größten Spieler
Es dauerte nicht lange, bis die größten Unternehmen den Stachel von Rechtsstreitigkeiten zu spüren bekamen. Nur wenige Minuten nach Inkrafttreten der DSGVO haben der Datenschutzaktivist Max Schrems und seine Organisation None of Your Business Google und Facebook mit Klagen wegen „erzwungener Zustimmung“ angeklagt. In den Klagen wird die Nichteinhaltung der DSGVO-Regeln zur besonderen Zustimmung behauptet, weil diese Unternehmen den Benutzern eine Alles-oder-Nichts-Option geben – stimmen Sie diesen Bedingungen zu, um auf diesen Dienst zuzugreifen – anstatt ihnen zu erlauben, einigen Bedingungen zuzustimmen und anderen nicht.
Google und Facebook antworteten, indem sie darauf bestanden, angemessene Maßnahmen zur Einhaltung der DSGVO ergriffen zu haben.
Dann folgte die französische Gruppe für digitale Rechte La Quadrature du Net und reichte weitere Beschwerden gegen Google, Facebook, Apple, Amazon und LinkedIn ein. Die Beschwerden ähneln denen von Schrems und behaupten Verstöße durch den Einsatz erzwungener Zustimmung. La Quadrature plant auch, formelle Beschwerden gegen Android, WhatsApp, Instagram, Skype und Outlook einzureichen, obwohl zum jetzigen Zeitpunkt noch keine offiziellen Maßnahmen ergriffen wurden.
Wie sich Apple, Facebook und Google vorbereitet haben
Es ist zwar schwer zu sagen, ob die Beschwerden eines dieser Unternehmen wirklich überrascht haben, aber viele von ihnen hatten in den Tagen vor der Durchsetzung ein allgemeines Gefühl der Bereitschaft vermittelt.
Apple hat beispielsweise Ende Mai 2018 eine neue Website eingeführt , die Kunden zeigt, welche persönlichen Daten sie über sie gespeichert haben. Apple-Kunden in der EU können jetzt anfordern, diese Daten einzusehen, vom Anmeldeverlauf bis hin zu Kontakten, Kalendern, Notizen, Fotos und Dokumenten. Kunden können auch Daten korrigieren, ihr Konto deaktivieren und alle Informationen löschen. (Apple bietet diesen Service derzeit nur in EU-Ländern, Island, Liechtenstein, Norwegen und der Schweiz an, plant aber, später in diesem Jahr auf andere Länder auszuweiten.)
Im April 2018 aktualisierte Facebook seine Website mit klareren Versionen seiner Nutzungsbedingungen und Datenrichtlinie und gab den Benutzern sieben Tage Zeit, um Feedback zur neuen Sprache zu geben, bevor sie fertig gestellt und die Benutzer gebeten wurden, ihr zuzustimmen. Facebook gab auch bekannt, dass es die Steuerelemente der App überarbeiten und rationalisieren würde, um die Suche nach Einstellungen zu erleichtern, und sagte: „Anstatt die Einstellungen auf fast 20 verschiedene Bildschirme zu verteilen, sind sie jetzt von einem einzigen Ort aus zugänglich.“
Google war einer der ersten Akteure, da es DSGVO-bezogene Aktualisierungen vornahm und die Nutzer mehr als sechs Monate vor Ablauf der DSGVO-Frist benachrichtigte. Die wichtigsten Aktualisierungen wurden an den Datenverarbeitungsänderungen und Sicherheitsbestimmungen für G Suite und Google Cloud vorgenommen, die sie leichter verständlich machen, um die Anforderung einer „klaren und transparenten Mitteilung“ darüber, wie Daten verwendet werden, zu erfüllen. Andere Updates umfassen neue Optionen und Funktionen zum Exportieren von Daten.
Was steht bevor
Die vollen Auswirkungen der DSGVO müssen noch bestimmt werden und hängen teilweise davon ab, wie stark Kunden und Aktivistengruppen ihre neuen Rechte ausüben. In einer Forrester-Umfrage unter britischen Verbrauchern im August 2017 gaben 51 % der Befragten an, dass sie ihre neuen Rechte gemäß der DSGVO zumindest mit einiger Wahrscheinlichkeit ausüben würden. Das am häufigsten genannte Beispiel war jedoch die Datenlöschung – weit entfernt von vollwertigen Klagen.
Aber der größte Vorteil dieser neuen Verordnung ist nicht, dass mehr Verbraucher Unternehmen unter die Lupe nehmen – es ist, dass mehr Unternehmen andere Unternehmen unter die Lupe nehmen. Da die DSGVO eine gemeinsame Verantwortung für alle Parteien vorschreibt, die mit personenbezogenen Daten in Berührung kommen, prüfen Unternehmen die Prozesse und Handlungen ihrer Geschäftspartner viel gründlicher. Das ist das wahre Genie der DSGVO, erklärt Simon McGarr, Director of Data Compliance Europe, in einem kürzlich erschienenen Quartz-Artikel :
„Europa hat viele Datenschutzbehörden, aber nicht genug, um an jede Tür zu klopfen. Sie haben also eine mehrstufige Compliance-Struktur in das Gesetz eingebaut, bei der große Unternehmen die Einhaltung von Vorschriften für kleine Unternehmen durchsetzen, und so weiter auf der ganzen Linie.“
Unternehmen, die nach dem 25. Mai weniger vorbereitet sind als erhofft, spüren möglicherweise bereits den Druck ihrer Geschäftspartner, und Cybersicherheitsexperte Elliot Rose prognostiziert , dass es viele Unternehmen geben wird, die nach Ablauf der Frist immer noch auf dem neuesten Stand sind. Für diejenigen, die sich in dieser Situation befinden, besteht die erste Priorität darin, sich mit Hochrisikobereichen zu befassen, die mit sensiblen Informationen zu tun haben. Unternehmen sollten sich darauf konzentrieren, sensible Daten zu sichern, zu prüfen, wo sie gespeichert sind und wer Zugriff darauf hat. Das Wichtigste ist, einen Plan aufzustellen und so schnell (und genau) wie möglich loszulegen.
Vorbereitet bleiben
Letztendlich wird die DSGVO sogar dem Spielfeld in Bezug auf Datenschutz und Transparenz helfen und der Kommunikation Türen öffnen, wo sie zuvor verschlossen waren. Hier sind einige Schritte, die Sie als Unternehmen unternehmen können, um das Gespräch am Laufen zu halten:
Bewerten Sie, wie Daten rechtmäßig verarbeitet werden
Haben Sie die Zustimmung Ihrer Endnutzer? Ist es spezifisch, eindeutig und frei gegeben? Verdeutlicht Ihre Endbenutzererfahrung dies? Haben Sie ein berechtigtes Interesse an der Erhebung, Verarbeitung und Speicherung der Daten? Wenn Sie nicht jede Frage mit „Ja“ beantworten können, ist es an der Zeit, einen Schritt zurückzutreten.
Aktualisieren Sie alle erforderlichen Hinweise
Haben Sie Ihre aktuellen Datenschutzrichtlinien, Hinweise oder andere Informationen, die Sie Endbenutzern zur Verfügung stellen, überprüft? Sind das wichtige Hinweise am Sammelpunkt? Eine Überprüfung aller Datenschutzhinweise kann erforderlich sein, um Ihre Datenerfassung, -nutzung und -speicherung für Endbenutzer transparent zu halten.
Nehmen Sie Protokolle zum Datenzugriff, zum Recht auf Berichtigung und zum Recht auf Vergessenwerden an
Diese Grundsätze ermöglichen es Ihren Endbenutzern, veraltete oder ungenaue personenbezogene Daten zu korrigieren und vollständig von der Verarbeitung ausgeschlossen zu werden. Interne Richtlinien und Verfahren sollten implementiert und aufrechterhalten werden, um angemessen auf solche Anfragen zu reagieren.
Verwenden Sie pseudonyme oder anonyme Daten
Erwägen Sie das Entfernen oder Einschränken eindeutiger Kennungen durch die Anonymisierung oder Pseudonymisierung von Daten. Einige Techniken umfassen Hashing, Salting, Verschlüsselung und die Verwendung von Token. Dies kann dazu beitragen, das Potenzial für eine zukünftige Identifizierung von Endbenutzern zu minimieren, und kann auch dazu beitragen, Ihre Compliance-Verpflichtungen zu minimieren.
Um mehr über TUNE und die DSGVO zu erfahren, lesen Sie unsere Seite hier .