Unser Leitfaden zur neuen DSGVO (Datenschutz-Grundverordnung) – ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE GESCHÄFTE

CCV_GDPR
  1. Was ist das genau?

  2. Wer ist davon betroffen?

  3. Was müssen Sie tun, wenn Sie es noch nicht getan haben?

Die neue europäische Datenschutz-Grundverordnung, auch GDPR (General Data Protection Regulation) genannt, wurde am 25. Mai 2018 von der EU durchgesetzt und ist damit eines der heissesten Gesprächsthemen und bietet Anlass zur Sorge in allen Branchen der EMEA-Region. 

Die Änderungen betreffen die Art und Weise, wie Unternehmen Kundendaten abrufen, verwenden und speichern, mit dem Ziel, den Missbrauch von Personendaten zu begrenzen und Einzelpersonen mehr Kontrolle über ihre persönlichen Daten zu geben.

In einer Umfrage von mehr als 200 Business-Profis von Smart Insights im März 2018, die fragten, ob sie GDPR bereit seien, gaben nur 6% an, bis zum Stichtag vollständig vorbereitet zu sein. Eine weitere Studie unter 800 IT- und Geschäftsleuten, die für den Datenschutz zuständig sind, durchgeführt von Dell and Dimension Research, hat ergeben, dass 80% der Unternehmen sehr wenig oder gar nichts über die DSGVO wissen.  Diese Ergebnisse sind erstaunlich, wenn man bedenkt, wie wichtig die neuen Vorschriften für den Datenschutz sind.

Crimson Hexagon weist darauf hin, dass es zu den wichtigsten Anliegen der DSGVO gehört, in Bezug auf den Datenschutz und die Einhaltung der neuen Gesetzgebung bereit zu sein.

Um Ihnen das Verständnis der neuen Vorschriften zu erleichtern, haben wir die wichtigsten DSGVO-Bereiche zusammengefasst, die für Sie nützlich sein könnten.

  1. Was ist das genau?

Die Datenschutz-Grundverordnung besteht aus 99 Artikeln und vielen Komplexitäten. Sie wurde in allen lokalen Datenschutzgesetzen der EU und des EWR umgesetzt. Eine der wichtigsten Änderungen, die die neue Verordnung bewirken wird, sind die Rechte des Einzelnen in Bezug auf seine personenbezogenen Daten.

Nach der neuen Verordnung haben Einzelpersonen das:

  • Recht auf Information: Dabei handelt es sich um die Erhebung von Daten durch Organisationen, wobei Einzelpersonen vor der Erhebung ihrer Daten informiert werden müssen. Die Kunden müssen sich für die Erfassung ihrer Daten entscheiden und ihre ausdrückliche Zustimmung erteilen. Außerdem müssen Sie den Betroffenen genaue Informationen über die Datenverarbeitungsaktivitäten zur Verfügung stellen, die Sie mit ihren Daten durchführen wollen. 
  • Zugriffsrecht: Personen haben das Recht, ihre persönlichen Daten jederzeit nach ihrer Erfassung einzusehen. Das Unternehmen ist verpflichtet, ihnen innerhalb eines Monats nach Erhalt ein kostenloses Exemplar und ggf. in elektronischer Form zur Verfügung zu stellen. Nach den neuen Gesetzen können Sie einen Antrag auf Zugang nur dann ablehnen, wenn der Antrag „offensichtlich unbegründet oder übertrieben“ ist.
  • Recht auf Vergessenwerden (Recht zur Löschung): Personen haben das Recht auf Löschung ihrer personenbezogenen Daten, wenn diese für den ursprünglichen Zweck nicht mehr erforderlich sind oder wenn sie ihre Einwilligung widerrufen oder der Nutzung und Verarbeitung ihrer Daten widersprechen. Dies gilt auch dann, wenn die personenbezogenen Daten unrechtmässig verarbeitet wurden und aus rechtlichen Gründen gelöscht werden müssen.
  • Recht auf Korrektur von Informationen: mit dem Ziel, die Kontrolle über persönliche Informationen zu stärkengibt dieses Recht den Betroffenen die Möglichkeit, ihre Informationen korrigieren zu lassen, wenn sie ungenau oder unvollständig sind. Es stellt sicher, dass die Daten immer aktuell und relevant sind. Als Unternehmen müssen Sie jeder Anfrage innerhalb eines Monats nach Erhalt nachkommen.
  • Recht zur Einschränkung der Verarbeitung: Dies gibt Einzelpersonen das Recht, die Verwendung ihrer persönlichen Daten einzuschränken, wenn die Verarbeitung rechtswidrig, ungenau oder nicht mehr erforderlich war. Wenn Sie die personenbezogenen Daten an Dritte weitergegeben haben, sind Sie dafür verantwortlich, dass diese sie nicht mehr verarbeiten.
  • Recht auf Datenübertragbarkeit: Personen sollten in der Lage sein, ihre persönlichen Daten einfach und sicher von einem Dienstanbieter zu einem anderen zu übertragen, zu kopieren oder zu verschieben. Dies gibt den Verbrauchern die Möglichkeit, ihre Informationen zu nutzen, um bessere Angebote zu finden. Wenn der Einzelne das Recht auf Datenübertragbarkeit beantragt, sind Sie verpflichtet, die Informationen kostenlos und direkt an eine andere Organisation weiterzugeben, sofern dies technisch möglich ist. Die Daten müssen in lesbarer und strukturierter Form vorliegen.
  • Recht auf Benachrichtigung in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung: Personen haben das Recht zu erfahren, wann sie einer Entscheidung unterliegen, die auf einer automatisierten Verarbeitung basiert, um bestimmte persönliche Aspekte zu beurteilen, z.B. ob sie ihre Fähigkeit, eine bestimmte Arbeit auszuführen, vorhersagen können. Dementsprechend müssen Sie sicherstellen, dass die betroffenen Personen in der Lage sind, sich Eingriffen zu unterziehen, eine Erklärung zu der Entscheidung zu erhalten und die Möglichkeit haben, ihren Standpunkt darzulegen. Die Gesellschaft ist befreit, wenn sie gesetzlich zugelassen ist oder wenn die automatisierte Entscheidung auf einer ausdrücklichen Zustimmung oder aus Gründen eines erheblichen öffentlichen Interesses beruht.
  • Recht auf Widerspruch: Personen können der Verarbeitung ihrer personenbezogenen Daten aufgrund berechtigter Interessen oder wenn Sie diese für Direktmarketing verwenden, widersprechen.  Deshalb darf keine weitere Verarbeitung dieser Daten erfolgen, sobald die Anfrage eingegangen ist. Dieses Recht muss dem Einzelnen von Beginn des Datenaustausches an mitgeteilt werden. Wenn der Betroffene dem Direktmarketing widerspricht, müssen Sie die Verarbeitung sofort und ohne Ausnahme einstellen. 
  1. Wer ist davon betroffen?

Wenn Ihr Unternehmen Daten von EU-Bürgern vermarktet oder besitzt, zu denen Endnutzer, Kunden und Mitarbeiter gehören, müssen Sie sich an die DSGVO-Vorschriften halten. Dazu gehören auch Unternehmen ausserhalb der EU, die personenbezogene Daten europäischer Personen verkaufen und speichern.

Die DSGVO-Richtlinie definiert Persönliche Daten in Artikel 4 als „alle Informationen über eine identifizierte oder identifizierbare Person“. Solche Informationen beinhalten einen oder mehrere Faktoren, die spezifisch für seine physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität sind. Dies gilt auch im Business-to-Business (B2B)-Kontext, wo Kunden beispielsweise Unternehmen sind. Es ist eine weit gefasste Definition, und sie ist technologieneutral, so dass es keine Rolle spielt, ob die Informationen auf Papier oder in einem IT-System gespeichert sind.

  1. Was müssen Sie tun, wenn Sie es noch nicht getan haben?

Inzwischen ist klar, dass die neue Verordnung den Verbraucher in die Pflicht nimmt, aber die Aufgabe, dies alles zu verwirklichen, liegt bei den Unternehmen. Es wird empfohlen, sich von einem Datenschutzbeauftragten beraten zu lassen oder einen Kundendatenmanager anzustellen, um sicherzustellen, dass Sie über einen guten DSGVO-Rahmen verfügen. Unternehmen, die sich nicht daran halten, werden mit harten Strafen und Geldbussen belegt. Dementsprechend müssen Sie sicherstellen, dass alle Abteilungen in Ihrem Unternehmen wissen, wie man mit personenbezogenen Daten DSGVO-konform umgeht. Die alten Methoden zur Erfassung von Kundeninformationen sind unter der neuen Datenschutz-Grundverordnung nicht mehr akzeptabel.

Wenn Sie noch nicht begonnen haben, die Schritte in Richtung DSGVO-Konformität zu unternehmen, sollten Sie das wirklich tun! Hier ein paar Tipps für den Einstieg:

Ihre Unternehmensdaten verstehen

Um zu beurteilen, ob Sie die DSGVO-Vorschriften in der Datenschutz-Grundverordnung einhalten oder nicht, müssen Sie in einem ersten Schritt die Daten Ihres Unternehmens abbilden, feststellen, wo sich alles befindet und wer darauf zugreifen kann. So können Sie die aktuelle Situation im Hinblick auf den Datenschutz und die richtigen Richtlinien beurteilen.

Kennen Sie Ihre Sicherheitsanforderungen und Kundenrechte?

Bewerten Sie den aktuellen Stand Ihrer Sicherheitspraktiken und identifizieren Sie Lücken und entwerfen Sie Sicherheitskontrollen, um diese zu beheben und eventuelle Datenverstösse einzudämmen. Indem Sie Sicherheitsvorkehrungen treffen, können Sie Ihr Unternehmen schützen und sicherstellen, dass die persönlichen Daten Ihrer Kunden geschützt sind. Finden und priorisieren Sie Sicherheitslücken und entwerfen Sie geeignete Kontrollen sowohl intern als auch mit Ihren Lieferanten. Sie müssen überprüfen, ob sie auch die richtigen Sicherheitsmassnahmen getroffen haben.

Review & Upgrade Ihrer Datenschutzerklärung

Nach der neuen Gesetzgebung ist es zwingend erforderlich, dass Sie die Einwilligung des Einzelnen in die Erhebung und Verarbeitung seiner Daten haben. Dementsprechend sind stillschweigende Einwilligungen oder zuvor markierte Felder nicht mehr akzeptabel. Sie müssen Ihre Dokumentation überprüfen und bei Bedarf anpassen, da Sie unter DSGVO gezwungen sind, die Erlaubnis des Kunden einzuholen, die Daten weiter zu verwenden.

Einrichten eines Prozesses zum Empfang von Kundenanfragen

Infolge der neuen Regelung können Sie mehrere Anfragen von Kunden bezüglich ihrer persönlichen Daten erhalten. Durch die Einführung einer gut kommunizierten Strategie zur Bearbeitung dieser Anfragen wird Ihre Organisation besser für die Bearbeitung dieser Anfragen gerüstet sein.  Sie müssen Verfahren für die Übermittlung personenbezogener Daten auf der Grundlage der 8 Grundrechte gemäß DSGVO einrichten.

Es stimmt, dass die neuen DSGVO-Änderungen eine Herausforderung sein können, aber wenn sie angemessen umgesetzt werden, bieten sie auch viele Möglichkeiten. Sie sollten es positiv sehen, um Ihre Kommunikation zu verbessern und eine datengesteuerte Marketingstrategie zu führen.

Da Unternehmen ein Datenaudit durchführen müssen, um sicherzustellen, dass die Daten korrekt sind und die neuen Gesetze eingehalten werden, haben Marketer ein besseres Verständnis für ihre Datenbank und die treuesten Kunden der Marke. Dies ermöglicht es Ihnen als Marke, hyperrelevante neue Angebote und überzeugende Markenkommunikation zu erstellen. Auch weil Sie die Erlaubnis des Kunden benötigen, um Ihre Daten weiter zu verwenden, werden Sie wissen, dass diejenigen, die ihre Zustimmung geben, viel eher mit Ihrer Marke zu tun haben. Dies ist z.B. ideal für neue Marketingkampagnen und Produkteinführungen und bietet Unternehmen die Möglichkeit, seine Kundenbeziehungen zu stärken.