Die DSGVO (Datenschutz-Grundverordnung) wurde mit guten Absichten verfasst… das Ergebnis lässt Sie möglicherweise anders darüber denken. Das übereifrige Bemühen um Einhaltung der gesetzlichen Vorschriften ohne eine Analyse der möglichen finanziellen Folgen des Gesetzes führt dazu, dass Unternehmen die gegen die DSGVO verstoßen, mit Geldbußen in Höhe von zehn Millionen Euro rechnen müssen. CiraSync ging anfangs davon aus, die DSGVO betreffe ausschließlich die Datenresidenz und wenn wir alle EU-Kundendaten in einem europäischen Rechenzentrum verorten, wäre das für die Einhaltung ausreichend. Diese Annahme war falsch. Es geht um mehr. Deshalb halten wir dies für eine gute Gelegenheit, unsere Kunden und Leser über die DSGVO aufzuklären.
Kurz, was ist die DSGVO?
Skandale wie bei Equifax und Facebook verseuchten im letzten Jahrzehnt das Internet und die DSGVO sollte das Heilmittel sein, das ähnliche Ereignisse zukünftig verhindert. Am 25. Mai 2018 beginnt die EU damit, die Seuche zu bekämpfen. Es würde Wochen dauern, die DSGVO in Gänze zu erklären, deshalb soll hier kurz zur Definition gesagt sein, dass die DSGVO eine EU-Gesetzgebung ist, die dem Datenschutz im Internet dienen soll. Im Unterschied zu typischen Gesetzen basiert die DSGVO weitgehend – aber nicht gänzlich – auf Idealen und nicht auf kodifizierten Gesetzen. Das ist so, weil die Verordnung ein „lebendes Dokument“ sein soll (ähnlich wie eine Verfassung) mit vielen aktuellen und praktikablen Normen, über die von einem ernannten Gremium nach Bedarf entschieden werden soll. Das klingt auf dem Papier gut, erschwert aber die Einhaltung, weil viele Vorschriften noch unbekannt sind. Die DSGVO ist eine umfassende und weitreichende Gesetzgebung, über die „wir nicht alles wissen können, ebenso wenig wie die Autoren, die sie im Komitee verabschiedet haben“. Es wird jedoch erwartet, dass die Bestimmungen und Ideale die Leitlinien für den künftigen Schutz und die Verwaltung der Daten im Internet vorgeben. Sie enthalten Vorsichtsmaßnahmen und Vorschriften für das Speichern, die Verarbeitung und die Kontrolle personenbezogener Daten. Es muss beispielsweise ein System für die Löschung personenbezogener Daten auf Verlangen der Benutzer geben.
Für Unternehmen aus den USA ist die exterritoriale Anwendbarkeit wichtig. Sie bedeutet, dass amerikanische Unternehmen, die mit den DSGVO-Richtlinien nicht konform sind, keine Geschäfte innerhalb der EU oder mit EU-Unternehmen tätigen dürfen, wenn sie nicht potenziell katastrophale Strafen in Kauf nehmen möchten. Verständlicherweise ist die Einhaltung für die Unternehmen, die ihre EU-Kunden und Partner behalten möchten, von vitaler Bedeutung. Der Regulierungsstil und die Durchsetzung können zurecht als sehr streng bezeichnet werden. Obwohl viele Unternehmen und Personen empört sind, wird die Einhaltung wahrscheinlich hoch sein. Das vorausgeschickt, finden Sie hier eine Aufschlüsselung der Bedeutung der DSGVO für die amerikanischen Unternehmen und die Richtlinien der neuen Vorschriften.
Die neuen Richtlinien
Die DSGVO zielt darauf ab, die EU-Bürger mit einer Reihe von Kernverordnungen vor Datenschutzverletzungen zu schützen und mehr Privatsphäre zu gewährleisten. Diese Verordnungen umfassen Folgendes:
Benachrichtigung über Datenschutzverletzungen
Gemäß den neuen Richtlinien sind Unternehmen verpflichtet, die betroffenen Personen bei Verletzungen des Datenschutzes ihrer Informationen zu informieren. Bei einer Datenschutzverletzung muss innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung eine Benachrichtigung erfolgen.
Zugriffsrecht
Die DSGVO enthält eigentümliche Begriffe und es ist nützlich zu wissen, was Datenverantwortlicher, für die Verarbeitung Verantwortlicher und Datensubjekt bedeuten. Google und Facebook beispielsweise sind Datenverantwortliche, d. h. sie können Daten bearbeiten, speichern, übertragen und verkaufen. Diese Akteure verdienen mit der Verwendung der persönlichen Informationen und demografischen Daten ihr Einkommen und erstellen Zielgruppen. Nachdem die Gruppen sortiert und definiert wurden, verkaufen sie Platz auf Ihren Plattformen an Werbetreibende, die diese Zielgruppen erreichen möchten.
Der für die Verarbeitung Verantwortliche dagegen speichert oder überträgt die Daten im Namen der Benutzer. CiraSync ist ein für die Verarbeitung Verantwortlicher. Die Lösung verarbeitet Daten im Rahmen der Synchronisierungsregeln, die der Kunde festlegt. Kontaktlisten und freigegebene Kalender werden beispielsweise ausschließlich von Abonnenten verwendet. CiraSync verschlüsselt diese Daten und verwendet sie nur für die Zwecke der Abonnenten.
Schließlich sind die Benutzer die Datensubjekte. Wenn sich die DSGVO auf Datensubjekte bezieht, sind Sie gemeint, die Person, die im Internet surft oder ihr Profil in den sozialen Netzwerken eingibt. Das Zugriffsrecht berechtigt die Datensubjekte, vom Datenverantwortlichen Auskunft darüber zu verlangen, wofür ihre personenbezogenen Daten verwendet werden, welche Daten gesammelt werden und ob (und an wen) die genannten Daten weitergegeben werden. Die Benutzer haben das Recht, alle über sie gesammelten Daten kostenlos und in einem gut lesbaren Format einzusehen.
Recht auf Vergessenwerden
Einer der bekannteren Aspekte der EU Datenschutzrichtlinie ist das Recht auf Vergessenwerden, d. h. die Datenlöschung. Er schreibt einem Verantwortlichen oder Datenverarbeiter vor, jegliche personenbezogenen Daten auf Verlangen der anderen Partei zu löschen, die Verbreitung dieser Informationen sofort einzustellen und in bestimmten Fällen die Verarbeitung der genannten Daten durch Dritte zu beenden. Für diese Regel gelten eine Reihe von Ausnahmen, aber Änderungen dieser Art zeigen, was die DSGVO anstrebt. Hier einige Beispiele. Ihr gesamtes Profil in sozialen Medien und alle Daten über Sie werden gelöscht, einschließlich der Metadaten. Eine Suchmaschine muss Sie aus dem Suchindex entfernen, damit Ihre Informationen in den Suchergebnissen nicht mehr angezeigt werden. Ihre Informationen werden aus Datenbanken gelöscht, die z. B. für das E-Mail-Marketing oder gezielte Telefonwerbung verwendet werden. Es gibt die unterschiedlichsten Formen wie Daten gesammelt wurden und gesammelt werden können. Die DSGVO ermöglicht den Datensubjekte eine erhebliche Kontrolle darüber, wohin die Daten gehen und wer sie verwenden darf.
Datenübertragbarkeit
Datenübertragbarkeit schreibt den Unternehmen vor, jegliche personenbezogene Informationen, die sie über eine Person haben, auf deren Anfrage an die Person zu übermitteln. Die Daten müssen zeitnah und in gut lesbarer Form kostenlos übermittelt werden.
Eingebauter Datenschutz
Etwas ausgefallener ist die Bestimmung zum eingebauten Datenschutz. Ihr Ziel ist ein Datenschutzsystem, das bereits bei der Entwicklung wirksam ist und nicht erst später hinzugefügt wird. Das ist eine kaum durchsetzbare und bedeutungslose Bestimmung, ein schönes Ideal, aber ohne praktische Richtlinie grundsätzlich unnütz.
Datenschutzbeauftragter
Ohne zu sehr ins Detail zu gehen, folgende Unternehmen müssen einen Datenschutzbeauftragten ernennen, der die ordnungsgemäße Handhabung und die Kontrolle der personenbezogenen Daten überwacht: (a) Behörden oder öffentliche Stellen, (b) Organisationen, deren Zwecke eine umfangreiche regelmäßige und systematische Überwachung ist oder (c) Organisationen, die in großem Umfang sensible personenbezogene Daten verarbeiten (Art. 37). Es gibt unzählige Regeln und Vorschriften in Bezug auf diese Person, auf die hier nicht eingegangen werden soll, Sie können sie auf der Webseite der DSGVO recherchieren. Es gibt eine lange Liste von Regeln in Bezug auf den Datenschutzbeauftragten, hier sind zwei Richtlinien, die die Absurdität gut illustrieren:
- Der Datenschutzbeauftragte ist direkt dem höchsten Angestellten des Unternehmens unterstellt und niemand anderem. (Stimmt, CEO/Vorstand/usw.)
- Der Datenschutzbeauftragte darf im Unternehmen keine anderen Aufgaben erfüllen, er muss vor allen politischen Aspekten/Parteien des Unternehmens geschützt werden und eine neutrale Rolle im Unternehmen einnehmen… und gleichzeitig muss er Mitarbeiter dieses Unternehmens sein.
Nur Datenverantwortliche müssen Datenschutzbeauftragte benennen. Wenn Sie ein kleines Serviceunternehmen sind und in diese Kategorie gehören, werden Sie das so absurd finden, wie es ist.
Einwilligungserklärung
Die DSGVO verändert, auf welche Weise es den Unternehmen erlaubt wird, Benutzerinformationen zu sammeln. Ab Mai ist beim Sammeln von Benutzerinformationen die Hürde einer Einwilligungserklärung zu nehmen.
Früher – Die Unternehmen konnten aktiv Mailinglisten kaufen. Von Data-Mining bis zu allgemeinen Erhebungen usw. Ein Marketingunternehmen konnte effektiv E-Mail-Adressen der Benutzer ohne deren Einwilligung sammeln.
Heute – Unternehmen können keine E-Mail-Listen mehr kaufen (in der Regel), die Benutzer müssen stattdessen der Aufnahme in eine Mailingliste zustimmen, oft durch eine Registrierung.
Zukünftig – Einwilligungserklärung, d. h. doppelte Zustimmung. Die Benutzer müssen sich zuerst für eine E-Mail anmelden und dann ausführlich informiert werden, welche ihrer Informationen verwendet werden, wie sie verarbeitet werden und wer sie künftig handhabt usw. usw. usw. Das ist eine große Hürde für das Sammeln der Benutzerinformationen. Viele Marketingfirmen sind der Ansicht, dass die durchschnittlichen Mailinglisten um mehr als 50 % sinken werden.
Darüber hinaus müssen Benutzer, auch wenn sie sich erst kürzlich angemeldet haben, in Bezug auf die geänderte Datenschutzrichtlinie aktualisiert werden. Die zuvor vorhandenen Anmeldungen entsprechen den Anforderungen einer Einwilligungserklärung nicht.
Data Residency
Die DSGVO äußert spezifische Überlegungen für den Fall, dass EU-Daten außerhalb der EU gespeichert werden oder in Länder außerhalb der EU transferiert werden. Viele Unternehmen sehen sich jetzt gezwungen, Speicherplatz auf physischen Servern in der EU zu mieten, um diese Vorschrift einhalten zu können. Darüber hinaus kann eine weitere Einschränkung gelten, wenn Sie auf Daten in der EU zugreifen.
Die weitere Entwicklung
Diese lange Änderungsliste wird nicht sofort voll wirksam werden. Lesen Sie hier, was CiraSync in der Zwischenzeit unternimmt, um die DSGVO-Konformität zu gewährleisten und die personenbezogenen Daten unserer Benutzer zu schützen:
- Wir haben Arbeitsserver in einem europäischen Data Center eingerichtet. Alle Daten werden in der EU verarbeitet oder befinden sich dort. Mit anderen Worten, wir erfüllen die DSGVO-Anforderungen in Bezug auf ihren räumlichen Anwendungsbereich.
- CiraSync liest die Kontaktliste und schreibt und sendet sie dann unzählige Male zurück an die Benutzer-Postfächer. Dazu benötigen wir eine intermediäre Datenbank für das Zwischenspeichern dieser Daten. Alle Benutzerdaten der EU-Abonnenten sind jetzt auf EU-Servern gespeichert.
- Im zweiten Quartal 2018 wird die Verschlüsselung aller persönlich identifizierbaren Daten implementiert.
- Verbesserung der Webseite zur Einhaltung der DSGVO.
Die Richtlinien der DSVO führen in allen Branchen zu großen Veränderungen im Umgang und Herangehen an die Benutzerinformationen. Es ist im Grund nicht schwierig, diese Änderungen zu implementieren. Möglicherweise wird es erforderlich sein, einen Datenschutzbeauftragten zu benennen.
Es bleibt abzuwarten, was dies für die Unternehmen bedeutet. Wahrscheinlich wird es mehrere Jahre dauern, bis die Auswirkungen dieser Änderungen in ihrer Gesamtheit verstanden werden.
Wir möchten, dass die Leute sich den konkreten Fragen zuwenden und überlegen, ob die DSGVO tatsächlich zu weit geht.
- Was geschieht mit einem Unternehmen, das bei der Umsetzung nicht konsequent ist und bestraft wird?
- Sind Änderungen erforderlich?
- Wie wird die Einhaltung sein?
Damit befassen wir uns, wenn die Verordnung in Kraft getreten ist. Übrigens haben wir uns beim Titel einige redaktionelle Freiheiten erlaubt. Es ist nicht wahr, jedenfalls noch nicht.
Mehr Storys vom technischen Support
• Obligatorische Kennwortaktualisierungen beeinträchtigen Benutzersicherheit: Änderung der Kennwortrichtlinie von Microsoft
• Gerührt, nicht geschüttelt: Neue Tools blockieren automatisierte Werbeanrufe.
• Die Aufhebung der Netzneutralität: Was die neue Regelung für Smartphone-Benutzer bedeutet
• SaaS-Sicherheit: So schützt CiraSync die Benutzerdaten