GDPR - Ein Kürzel sorgt für viel Wirbel in der EU

Wenn die neue EU-Datenschutzgrundverordnung (DSGVO/GDPR) am 25. Mai dieses Jahres in Kraft tritt, benötigen Sie als Unternehmen eine "ausdrückliche Zustimmung", um bestimmte Formen der Datenverarbeitung zu legitimieren. Der aktuelle Wirbel um DSGVO/GDPR ist groß und die Rechtsabteilungen und Datenschutzbeauftragten bekommen rauchende Köpfe, den zwei essentielle Fragen müssen definitiv geklärt werden: Was ist eine ausdrückliche Zustimmung und an welcher Stelle muss diese explizit eingeholt werden?

Was versteht man eigentlich unter einer ausdrücklichen Zustimmung?

Die explizite Zustimmung kann gleichermaßen wie die Standardanforderungen der Datenschutz-Grundverordnung (DSGVO) für die Einholung der Zustimmung betrachtet werden. Der feine Unterschied besteht allerdings darin, dass die ausdrückliche Zustimmung so für den Endverbraucher beschaffen sein muss, dass für Ihn keinerlei Raum für eine Fehlinterpretation bleibt. Im Klartext, dem Endverbraucher muss schriftlich oder mündlich eine klare Aussage zur Verfügung gestellt werden, die sich spezifisch auf das Element der Datenverarbeitung bezieht, welches eine ausdrückliche Zustimmung erfordert. Die Erklärung für die Erhebung der Daten sollte alle detaillierte Informationen und Auswirkungen der zu übertragenden Daten und der damit verbunden Risiken des Transfers offenlegen.

  

Darüber hinaus müssen die Anforderungen für die ausdrückliche Zustimmung der Definition der Zustimmung der DSGVO entsprechen. Dies bedeutet, dass die Einwilligung explizit eingeholt werden muss. Die klare Zustimmung durch das Setzen eins Häkchens in einem Kästchen ist unabdingbar, ein vorher angekreuztes Kästchen ist rechtswidrig. Die Datenschutz-Grundverordnung (DSGVO) sieht weitere Änderungen hinsichtlich der Art und Weise vor, wie Händler, mittelständische Unternehmen, Konzerne und auch Vereine ihre Zustimmung einholen müssen.

 

  • Sicherstellung, dass die Einverständniserklärungen von anderen Bedingungen getrennt sind.
  • Die Zustimmung sollte keine Voraussetzung für die Anmeldung zu einer Veranstaltung oder einem Dienst sein, es sei denn, dies ist in dem Fall erforderlich.
  • Eine genaue und detaillierte Erläuterung der einzelnen Optionen für die Zustimmung zu verschiedenen Arten der Verarbeitung
  • Geben Sie exakt an, welche Unternehmen bzw. Dritte auf die Einwilligung angewiesen sind, den z.B. genau definierte Kategorien von Drittanbietern werden von der DSGVO nicht akzeptiert.
  • Führen Sie Buch darüber, um abgesichert zu sein, was die Person zugestimmt hat, einschließlich was vermittelt wurde und wann und wie die Zustimmung erfolgte (Zeitstempel).
  • Legen Sie es den Personen offen, dass sie das Recht haben, ihre Einwilligung jederzeit zu widerrufen und stellen sie sicher, dass der Prozess des Widerrufes genauso einfach ist wie der Zustimmung
  • Prüfen Sie, dass es kein Ungleichgewicht in der Beziehung zwischen der Person und Ihrem Unternehmen gibt.

 

 

Wann benötigen Sie eine ausdrückliche Zustimmung?

Eine explizite Zustimmung wird für Unternehmen definitiv erforderlich sein, die die Verwendung von (sensiblen u.a. personenbezogenen) Daten legitimieren möchten. Es kann auch legitime automatisierte Entscheidungen und Überweisungen von Privatunternehmen ohne angemessene Garantien rechtfertigen.

 

 

Der DSGVO/GDPR – Check

Die Datenschutzgrundverordnung (DSGVO) steht bereits auf Ihrer Türschwelle. Am 25. Mai 2018 ist es soweit. Da die neue Verordnung zum Teil drastische Sanktionen vorsieht, ist es zwingend notwendig, dass Sie Ihr Unternehmen und Ihr Data Warehouse für das neue Recht fit machen. Zum Beispiel die Kanzlei Dr. Bahr unterstützt Sie mit 12 Fragen, damit am Ende diesen Checkups Sie sämtliche Hinweise und Empfehlungen als PDF zum kostenlosen Download erhalten. Hier können Sie den Checkup durchführen: https://www.dsgvo-checkup.de/zum-checkup/

 

 

DSGVO/GDPR und ihr Data Warehouse im Unternehmen

Alles könnte so einfach sein ohne personenbezogenen Daten. In ihrem Unternehmen und ihrem aktiv genutztem Data Warehouse ist es wahrscheinlich nicht so und Sie müssen aktiv werden. Die personenbezogenen Daten die Sie in einem Data Warehouse bzw. in einer Business Intelligence Lösung verarbeiten, müssen anonymisiert werden.  Gut zu wissen: Durch die Anonymisierung fallen diese nämlich nicht mehr unter das Recht der DSGVO, womit eine Prüfung und der Nachweis entfallen! 

 

Aktuell sorgt jedoch die DSGVO für viel Wirbel bei den Business Intelligence Lösungen die als zentrale datenverarbeitende Plattform in Unternehmen genutzt werden. Alle Datenbanken und BI-Prozesse stehen auf dem Prüfstand und müssen sich notwendigen Anonymisierungen (Optimierungen) unterwerfen, um aus dem Geltungsbereich der DSGVO-Verordnung zu gelangen. 

 

Die Datenanonymisierung in Ihrem Data Warehouse ist eine Methode zur Wahrung des Datenschutzes, wobei die ursprünglichen Merkmale ihrer Daten so weitgehend wie möglich erhalten bleiben. In der EU ist dies für Unternehmen gesetzlich vorgeschrieben. Eine Grundvoraussetzung für die Datenanonymisierung ist die Auslassung sensibler personenbezogener Daten aus Dokumenten (Verträge), Geschäftsberichten, Kundenanalysen oder Geschäftssystemdatensätzen.

 

Die erste wichtige Anforderung besteht wohl darin, alle Informationen zu entfernen, die leicht zur Identifizierung von Kunden führen können, wie zum Beispiel von Mitarbeitern in einer Bankumgebung oder von großen bekannten Firmen. Damit die BI-Lösungen ihre Integrität bewahren können, müssen die ausgelassenen sensiblen Daten durch fiktive Ersatzdaten ersetzt werden. Sensible Daten von realen Kunden und Entitäten werden durch gültige Daten von fiktiven Kunden und Entitäten ersetzt. Ein direkter Ansatz wäre zum Beispiel das Ersetzen von Vornamen durch fiktive Vornamen und Nachnamen mit fiktiven Nachnamen. Bei komplexen heterogenen Systemen besteht die Umgebung aus mehreren operativen Systemen, Online Database Services, Data Warehouse und anderen Systemen, die bestimmte Unternehmensprozesse abdecken und die Anonymiserung von personenbezogenen Daten erschweren. 

  

An dieser Stelle ist es empfehlenswert auf Spezialisten zurückzugreifen, die sowohl Erfahrung mit den neuen Datenschutzrichtlinien wie auch das Know-how im Bereich Data Warehouse / Business Intelligence besitzen. Am 25. Mai 2018 sicher aufgestellt zu sein und die Unannehmlichkeiten der DSGVO erst gar nicht kennenzulernen ist durchaus sinnvoll, den das kann sehr teuer und unangenehm werden. 

 

Tipp: Auch wir bei der pmOne AG widmen uns aktuell dem Thema mit größter Sorgfalt und stehen Ihnen gerne jeder Zeit im Bereich Business Intelligence und Data Warehouse gerne beratend zur Seite. 

 

 

Kostenloses Webinar ZU GDPR am 8. Juni 2018 von 11:00 - 11:45 Uhr

 

 

 

 

 

DSGVO/GPDR und ihr Internetauftritt

Viele Betreiber von Webseiten haben bereits ein mulmiges Gefühl und haben Angst vor den Kanzleien dieser Welt abmahnt zu werden. Das Fitnessstudio um ihre Ecke, der Kinder- und Bioladen in der Innenstadt oder ihr vertrauter Online-Shop für Essig und Öl sind ebenfalls davon betroffen. 

 

Was ist zu beachten? Wenn Sie Ihre Webseite für berufliche Zwecke verwenden sind folgende Maßnahmen dringend notwendig:

 

  • Sie benötigen eine individuell ausgestaltete Datenschutzerklärung, die klare und leicht verständliche erklärt, was mit den Daten des Nutzers passiert und zu welchem Zweck diese verarbeitet werden. Außerdem muss diese Datenschutzerklärung über einen gut sichtbaren Link auf jeder Ihrer Webseite zu erreichen sein (nur Startseite reicht nicht aus).
  • Wenn Sie Cookies zu Marketingzwecke auf Ihrer Webseite verwenden ist beim ersten Laden Ihrer Webseite der Hinweis zwingend erforderlich. Achtung, der Cookie-Banner darf das Impressum und den Datenschutz der meistens unten auf der Webseite platziert ist nicht verdecken.
  • Eine datenschutzrechtliche Einwilligung ist erst ab 16 Jahren möglich, so soll jüngeren Teenager die Anmeldung bei sozialen Diensten/Plattformen wie unteranderem Facebook oder Instagram erschwert werden.
  • Auf den Einsatz von Google Analytics, Google AdWords oder bei Marketing Automation Tools wie z.B. Marketo oder Mautic muss expliziert auf die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden
  • Beim Platzieren von Social Media Icons auf Ihrer Webseite (z.B. Facebook, Twitter, XING, LinkedIn oder bestimmte LikeButtons) ist sicherzustellen, dass keine Daten des Besuchers ohne dessen Zustimmung erhoben werden und es muss ausdrücklich in der Datenschutzerklärung darauf hingewiesen werden inklusive einer Widerrufmöglichkeit
  • Die Datenschutzerklärung gilt für Sie europaweit, Geschäfte mit z.B. China sind nicht betroffen 

 

Tipp: Aktualisieren Sie Ihre jetzige Datenschutzerklärung, führen Sie ein paar inhaltliche und technische Optimierungen diesbezüglich an Ihrer Webseite durch und beobachten sie die Weiterentwicklung der neuen EU-Datenschutzgrundverordnung (DSGVO/GPDR), dann sind Sie im ersten Schritt gut aufgestellt.

Tim Erben

Head of Digital Marketing

pmOne AG

Tim Erben, Head of Digital Marketing ist seit mehr als 9 Jahren für die pmOne im Bereich Corporate und Online-Marketing tätig. Zuvor war er mehrere Jahre für verschiedene Unternehmen im Bereich Business Intelligence, Performance Management und Enterprise Content Management aktiv. Schwerpunktmäßig beschäftigt sich Tim Erben mit Themen wie Corporate-/Online-Marketing Strategien, Modern Marketing: Content, Automation and Analytics to Drive Growth sowie Technical SEO.

https://www.pmone.com •  Blog-Beiträge von diesem Autor