Ein Leitfaden zur DSGVO: Die Datenschutz-Grundverordnung

Veröffentlicht: 2021-03-09

Die Datenschutz-Grundverordnung (DSGVO) wurde im Mai 2018 verabschiedet, um die Bürger vor Datenschutzverletzungen aufgrund von Fahrlässigkeit oder schlechten Akteuren zu schützen. Die europäische Verordnung ist eine von vielen, die versuchen, digitale Umgebungen für Verbraucher sicherer zu machen: CCPA in Kalifornien, LGPD in Brasilien, PIPL in China, PIPEDA in Kanada.

Die DSGVO ist eine Antwort auf die wachsende Besorgnis der Öffentlichkeit in Europa über den Datenschutz. Die Europäische Union hat die Verordnung genutzt, um den Datenschutz in der EU und im Europäischen Wirtschaftsraum mit strikter Durchsetzung der Vorschriften, Ermittlungsbefugnissen und erheblichen Bußgeldern bei Nichteinhaltung oder im Fall von Datenschutzverletzungen zu gewährleisten.

Die DSGVO bietet den Verbrauchern Datenschutz, einschließlich:

  1. Das Recht, informiert zu werden
  2. Das Zugriffsrecht
  3. Das Recht auf Berichtigung
  4. Das Recht auf Löschung
  5. Das Recht auf Einschränkung der Verarbeitung
  6. Das Recht auf Datenübertragbarkeit
  7. Das Widerspruchsrecht
  8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling

Wer muss sich um die DSGVO-Compliance kümmern?

Es versteht sich von selbst, dass Sie als europäisches Unternehmen oder ein Unternehmen, das in Europa geschäftlich tätig ist, die DSGVO-Anforderungen kennen müssen.

Auch Unternehmen in den Vereinigten Staaten sollten auf die DSGVO achten, denn obwohl die Verordnung europaspezifisch ist, betrifft sie Unternehmen außerhalb der EU und des EWR, die auch mit den Daten europäischer Verbraucher umgehen. Die Weltwirtschaft ist nicht isoliert und es gibt viele Spillover-Effekte; Sie sollten die Anbieter, mit denen Sie zusammenarbeiten, überprüfen, um sicherzustellen, dass sie die Compliance-Anforderungen erfüllen, um jegliche Haftung zu vermeiden.

Wenn Sie ein E-Commerce-Unternehmen sind, sind Sie als Händler der Datenverantwortliche, der für die Daten Ihrer Verbraucher verantwortlich ist. Die Auswahl der richtigen Partner für die Zusammenarbeit ist ein Teil davon, wie Sie vollständige Compliance erreichen. Zum Beispiel verfügt Shopify über zahlreiche Ressourcen im Zusammenhang mit der DSGVO, die Ihnen helfen, Ihre Verpflichtungen zu verstehen und ihre eigene Einhaltung nachzuweisen.

US-Verbraucher sollten auch ein Interesse an der DSGVO haben, da sie davon profitieren könnten, ohne dass sie es überhaupt wissen. Die DSGVO garantiert Schutz nicht nur für europäische Bürger, sondern auch für alle Verbraucher, deren Daten in Europa gehandelt werden, wie z. B. diejenigen, die Urlaub machen oder geschäftlich unterwegs sind. Es sollte auch als Erinnerung daran dienen, welche Art von Daten in den Vereinigten Staaten geschützt sind und welche nicht.

Verbrauchereinstellungen zum Datenschutz

Der RSA Data Privacy & Security Report hat mehr als 7.500 Verbraucher in Frankreich, Deutschland, Italien, Großbritannien und den USA zu „den Auswirkungen von Datenschutz, Daten und Vorschriften auf ihre Beziehungen zu Unternehmen“ befragt.

Es zeigt ein Misstrauen gegenüber Online-Vermarktern und eine Angst vor Hackern, da „mehr als 40 % der Befragten zugeben, persönliche Informationen und Daten gefälscht zu haben, wenn sie sich online für Produkte und Dienstleistungen anmelden“, um zu vermeiden, dass sie vermarktet werden oder sensible Daten verlieren.

80 % der Befragten gaben Finanz- und Bankinformationen als Bedenken hinsichtlich der Offenlegung von Daten bei einer Datenpanne an, ebenso wie ihre Sorge um ihre Passwörter (76 %) und Identitätsinformationen wie Reisepässe und Führerscheine (72 %).

Weitere interessante demografische Daten sind, dass 51 % der deutschen Befragten ihre genetischen Daten schützen und 51 % der jüngeren Millennials (im Alter von 18 bis 24) besorgt darüber sind, dass personenbezogene Daten für Erpressungszwecke verwendet werden.

Es ist zwingend erforderlich, einen Online-Raum zu schaffen, auf den die Verbraucher vertrauen können, aber es gibt auch einen Anreiz für Unternehmen, ihre Datensicherheitspraktiken zu verbessern: 82 % der Befragten in Großbritannien gaben an, dass sie ein Unternehmen boykottieren würden, das ständig demonstriert, dass sie es missachten Kundendaten schützen.

Obwohl die Boykottdrohung für Unternehmen als Anreiz zur Selbstregulierung möglicherweise nicht ausreicht, haben die europäischen Nationen einen umfassenden und fortschrittlichen Regulierungsrahmen entwickelt, der Unternehmen zwingt, das Thema Datensicherheit ernst zu nehmen, und sie haben keine Angst vor Erhebungen hohe Bußgelder, um die Ernsthaftigkeit des Problems zu demonstrieren.

Welche Art von personenbezogenen Daten werden durch die DSGVO geschützt?

Als Teil der umfassenden Compliance-Vorschriften der DSGVO müssen Unternehmen Verbraucherdaten schützen, einschließlich:

  • Personenbezogene Daten (PII), wie Name, Adresse und ID-Nummern.
  • Webdaten wie IP-Adressen, Cookie-Daten und RFID-Tags.
  • Gesundheits- und genetische Daten.
  • Politische Meinungen.
  • Sexuelle Orientierung.

Die Vorteile der DSGVO

Die DSGVO ist gründlich und fortschrittlich. Die verhängten hohen Bußgelder mögen Google geärgert haben, aber sie sind Mittel zum Zweck – ein Ziel, das eine sicherere digitale Umgebung ist, die Verbraucher schützt und Unternehmen zur Verantwortung zieht, bessere Systeme zu entwickeln. Apple-CEO Tim Cook hat gesagt, dass „es auf der ganzen Welt Gesetz sein sollte“ und dass Regierungen sich für den Datenschutz von Verbrauchern einsetzen sollten.

Obwohl die DSGVO möglicherweise nicht für alle nordamerikanischen Unternehmen gilt, ist es für Ihr Unternehmen von Vorteil, Datensicherheitspraktiken frühzeitig einzuführen. Michael Fimin, der im Forbes-Magazin schreibt, erkennt fünf Vorteile der DSGVO-Compliance an.

1. Verbesserte Cybersicherheit

Die DSGVO „verlangt von Organisationen, ihre Sicherheitsstrategie zu ermitteln und angemessene administrative und technische Maßnahmen zu ergreifen, um die personenbezogenen Daten von EU-Bürgern zu schützen.“ Die Umsetzung dieser Praktiken sichert Ihre Daten und verbessert Ihre Cybersicherheit.

2. Verbessertes Datenmanagement

Wenn Sie Ihre Datenerfassung und -speicherung überprüfen, sollten Sie „redundante, veraltete und triviale (ROT) Dateien loswerden, die Ihre Organisation aufbewahrt“, und Ihre Daten durchsuchbar machen. Ihre Mitarbeiter werden effizienter, wenn Ihre Systeme schlank, indexierbar und durchsuchbar sind.

3. Erhöhter ROI mit mehr qualifizierten Leads

Wenn Sie Ihre Cookie-Richtlinie zu einer geändert haben, der Benutzer zustimmen müssen, haben Sie möglicherweise einen kleineren Datenpool, aber da jeder in diesem Pool aktiv eine Entscheidung hätte treffen müssen, um Ihnen die Verwendung seiner Daten zu gestatten, sollten sie dies tun als qualifizierter angesehen werden.

4. Verbrauchervertrauen

Verbraucher sind besorgt darüber, wie ihre Daten gesammelt, verwendet und online Risiken ausgesetzt werden. Dass Sie über die amerikanischen Anforderungen hinausgehen, um die Daten Ihrer Kunden nach dem Standard der DSGVO zu schützen, zeigt, wie sehr Sie ihre persönlichen Daten schätzen und wie ernst Sie die Gefahr von Datenschutzverletzungen nehmen.

5. Marktdifferenzierung

Ein Early Adopter zu sein, hat viele Vorteile. Sie können viele Iterationen von Datensicherheitspraktiken durchlaufen, um Ihre Systeme zu perfektionieren, bevor ein Late Adopter diesen Bereich betritt, Sie können die Anforderungen zukünftiger Vorschriften antizipieren und die Einhaltung erreichen, bevor sie verbindlich oder durchsetzbar sind, und Sie werden sich auf einem Meer vom Markt abheben von Wettbewerbern, die sich noch nicht in Sachen Datensicherheit bewegt haben. Wie Fimin es ausdrückt, ist die Einhaltung der DSGVO Ihre Gelegenheit, „eine neue Geschäftskultur zu implementieren, die die Privatsphäre der Menschen schätzt. Die DSGVO ist Ihre Chance, sich zu übertreffen.“

Nachteile der DSGVO

Ein Problem bei solch strengen Vorschriften ist, dass die Kosten für die Einhaltung ein Hindernis für den Eintritt neuer Unternehmen in den digitalen Raum darstellen könnten, der als ein Umfeld angesehen wird, das Risiken, Innovationen und Störungen durch neue Unternehmen belohnt. Schnell skalierende Unternehmen könnten gegenüber den größeren Wettbewerbern, die bereits auf dem Markt existieren, weniger wettbewerbsfähig sein.

Für größere Unternehmen oder Unternehmen, die mit großen Mengen personenbezogener Daten zu tun haben, fallen Kosten an, die mit der Einstellung oder Beförderung eines Datenschutzbeauftragten verbunden sind, der für die Sicherung von Daten und die Einhaltung europäischer Behörden zuständig ist. Die Bußgelder können hoch und abschreckend sein, aber auch die mit der Einhaltung der Vorschriften verbundenen Kosten. Der zusätzliche Overhead könnte ein Todesstoß für KMUs sein.

Compliance ist etwas, das aktiv gemanagt werden muss. Kleinere Unternehmen sind möglicherweise nicht in der Lage, mit der Einhaltung von Vorschriften in gleicher Weise Schritt zu halten wie größere Unternehmen. Dies bewahrt den Wettbewerbsvorteil, den diese größeren Unternehmen bereits haben.

Die Einschränkungen, wie Unternehmen Daten sammeln, speichern und verwenden können, werden sich auf die technische Seite der Werbung auswirken, auf die sich viele KMUs verlassen. Ohne den Einblick in Qualitätsdaten für Marketingzwecke haben Unternehmen Schwierigkeiten, ihre beabsichtigte Zielgruppe zu erreichen, und den Verbrauchern werden möglicherweise weniger relevante Anzeigen angezeigt. Gute Werbung kommt sowohl dem Verbraucher als auch dem Werbetreibenden zugute, wenn die richtigen Produkte den richtigen Augen präsentiert werden.

Ein weiterer Kritikpunkt an der DSGVO ist, dass sie zu weit gegangen ist und dass die Überregulierung dazu führen wird, dass Verbraucher ständig online um ihre Zustimmung gebeten werden. Entweder werden die Benutzer mit konstanten Cookie-Bannern konfrontiert, oder Unternehmen sammeln sensible Daten gar nicht erst, sondern verwenden alternative Datenanalysen, um Compliance zu erreichen, ohne dass Opt-in-Anfragen an Website-Besucher gestellt werden.

So erreichen Sie DSGVO-Compliance

Datenschutz ist ein globales Thema, und die DSGVO wirkt sich auf jedes Unternehmen aus, das mit in der EU ansässigen Daten umgeht. Wenn Ihre Website Benutzerdaten mit einer Analysesoftware sammelt, betrifft Sie diese Verordnung, und Sie müssen von der Opt-out- zur Opt-in-Datenerfassung wechseln.

Prüfen Sie die Daten, die Sie sammeln.

Verstehen Sie, welche Art von Daten Sie verarbeiten, wie sie gespeichert werden und wer in Ihrem Unternehmen Zugriff darauf hat. Überwachen Sie Ihre Anbieter, die Daten von Ihrer Website sammeln, und überprüfen Sie ihre Aussagen zur Einhaltung der DSGVO.

Behandeln Sie den Datenschutz auf allen Ebenen.

Achten Sie nicht nur darauf, wie Systeme aufgebaut sind oder wie Informationen gespeichert werden, sondern auch darauf, wer lokal Zugriff auf Konten hat.

Gehen Sie risikobasiert vor.

Die Einhaltung der Datensicherheit erfordert Zusammenarbeit; Sammeln Sie Einblicke und Beiträge von allen in Ihrer Organisation. Indem Sie zusammenkommen, um Ihre größten Risiken zu identifizieren und deren Behebung zu priorisieren, können Sie Ihre Risiken effektiv erkennen und Compliance erreichen.

Datenkontrolle

Die europäischen Verbraucher haben jetzt erweiterte Rechte darüber, wie ihre personenbezogenen Daten erfasst und verwendet werden, aber sie haben auch das Recht auf „Datenübertragbarkeit“, was bedeutet, dass sie eine Kopie der über sie gespeicherten personenbezogenen Daten anfordern oder anfordern können korrigiert oder gelöscht werden.

Unternehmen, die stark in den digitalen Raum investiert sind und personenbezogene Daten auf allen Ebenen verarbeiten, müssen Verfahren und Technologien entwickeln, die es ihnen ermöglichen, die Vorschriften problemlos einzuhalten.

  • Kontinuierliche Überwachung und Sicherung digitaler Assets.
  • Richten Sie geeignete Kontrollen ein, um Daten vor Datenschutzverletzungen zu schützen.
  • Stellen Sie den betroffenen Personen Daten innerhalb „einer angemessenen Frist“ zur Verfügung.

Was passiert, wenn Sie sich nicht daran halten: DSGVO-Strafen

Die hochkarätigen Strafen für die DSGVO waren enorm. Im ersten Jahr der neuen Regelung wurde Google mit einer Geldstrafe von 50 Millionen Euro belegt. Intersoft Consulting schreibt zu den DSGVO-Bußgeldern, dass sie „effektiv, verhältnismäßig und abschreckend für jeden Einzelfall“ seien.

Die Verordnung wurde mit einer zweistufigen Feinstruktur zur Bestrafung von Unternehmen verfasst:

Bei geringfügigen Verstößen werden „Verwaltungsgeldbußen bis zu 10 Millionen Euro oder im Falle eines Unternehmens bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist“.

Bei schweren Verstößen drohen „Verwaltungsgeldbußen bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist“.

Strafen können unter Berücksichtigung von Folgendem entschieden werden:

  • die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Anzahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens.
  • den vorsätzlichen oder fahrlässigen Charakter der Verletzung.
  • alle Maßnahmen des Verantwortlichen oder des Auftragsverarbeiters zur Minderung des Schadens, den die betroffenen Personen erlitten haben.
  • der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen implementierten technischen und organisatorischen Maßnahmen.
  • alle relevanten früheren Verstöße des Verantwortlichen oder des Auftragsverarbeiters.
  • der Grad der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern.
  • die Kategorien personenbezogener Daten, die von der Verletzung betroffen sind.
  • die Art und Weise, in der der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und in welchem ​​Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß gemeldet hat.
  • wenn zuvor Maßnahmen gemäß Artikel 58 Absatz 2 gegen den betroffenen Verantwortlichen oder den betroffenen Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordnet wurden, die Einhaltung dieser Maßnahmen.
  • Einhaltung genehmigter Verhaltenskodizes nach Artikel 40 oder genehmigter Zertifizierungsmechanismen nach Artikel 42.
  • alle anderen erschwerenden oder mildernden Umstände, die auf die Umstände des Falles anwendbar sind, wie z. B. unmittelbar oder mittelbar durch die Zuwiderhandlung erlangte finanzielle Vorteile oder vermiedene Verluste.

Wie hoch sind die durchschnittlichen Bußgelder bei DSGVO-Verstößen?

Die DSGVO trat im Mai 2018 in Kraft, und allein im restlichen Jahr wurden 91 Bußgelder in Höhe von insgesamt 55.955.871 € verhängt. Meistens sind es die hochkarätigen Bußgelder mit hohen Summen, die die meiste Aufmerksamkeit auf sich ziehen, aber nicht alle DSGVO-Bußgelder werden veröffentlicht oder machen Schlagzeilen. Wenn Sie die 50-Millionen-Euro-Ausreißerstrafe, die Google verhängt wurde, aus den Daten herausnehmen, betrug die durchschnittliche DSGVO-Strafe, mit der ein Unternehmen konfrontiert war, ungefähr 66.000 Euro.

Die niederländische Datenschutzbehörde (DPA) hat im März 2019 ihre Richtlinien zur Ahndung von Verstößen veröffentlicht. Sie hat ein abgestuftes Strafsystem mit vier Kategorien je nach Schwere des Verstoßes entwickelt.

Kategorie I gilt im Falle von einfachen oder sachlichen Verstößen, wie z. B. „Versäumnis, die Kontaktdaten des Datenschutzbeauftragten (DPO) des Unternehmens weiterzugeben oder die Verantwortlichkeiten von Auftragsverarbeitern oder gemeinsamen Verantwortlichen angemessen aufzuzeichnen.“ Bußgeldbereich von 0 € – 200.000 €; Standardstrafe von 100.000 €.

Kategorie II gilt, wenn ein Unternehmen bestimmte DSGVO-Verpflichtungen und -Anforderungen nicht erfüllt. Bußgeldbereich von 120.000 € – 500.000 €; Standardstrafe von 310.000 €.

Kategorie III gilt, wenn ein Unternehmen sich weigert, gegenüber seinen Benutzern oder der niederländischen Datenschutzbehörde (DPA) transparent zu sein, sich weigert, die DPA über Verstöße zu informieren oder sich weigert, mit der DPA zusammenzuarbeiten. Bußgeldbereich von 300.000 € – 750.000 €; Standardstrafe von 525.000 €.

Kategorie IV gilt, wenn ein Unternehmen an der rechtswidrigen Verarbeitung sensibler Daten, illegaler Profilerstellung oder der Weigerung, bestimmte Richtlinien der niederländischen Datenschutzbehörde einzuhalten, beteiligt ist. Bußgeldbereich von 450.000 € – 1.000.000 €; Standardstrafe von 725.000 €*
*Nur wenn die 20.000.000 € / 4 % des Jahresumsatzes gelten

Bemerkenswerte Fälle der DSGVO-Durchsetzung

Im Herbst 2020 wurden Marriot und British Airways nach getrennten Datenschutzverletzungen im Jahr 2018, die die Verbraucher beeinträchtigten, beide mit erheblichen Geldstrafen belegt.

British Airways | 25,85 Millionen US-Dollar | Vereinigtes Königreich, 2020

British Airways wurde mit einer Geldstrafe von 25,85 Millionen US-Dollar belegt, und 400.000 ihrer Kundendaten waren bei der Datenpanne kompromittiert worden. Die Geldbuße, die ihnen vom Information Commissioner's Office (ICO) auferlegt wurde, bezog sich auf ihre Datensicherheitsschwächen, nachdem die Untersuchung ergab, dass sie „eine erhebliche Menge personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen“ verarbeitet hatten.

Obwohl die Geldbuße die höchste Geldbuße war, die das ICO verhängt hatte, hatten sie ursprünglich eine Geldbuße von 229 Millionen US-Dollar vorgeschlagen, bevor sie die wirtschaftlichen Auswirkungen von Covid-19 auf die Luftfahrtindustrie berücksichtigten. Das ICO würdigte BA auch für die „erheblichen Verbesserungen seiner IT-Sicherheit“ nach dem Angriff und für die Einhaltung der Ermittler – beides trug dazu bei, die ursprüngliche Geldbuße zu senken.

Marriott International | 23,8 Millionen US-Dollar | Vereinigtes Königreich, 2020

Im Jahr 2020 wurde Marriott Hotels eine Geldstrafe von 23,8 Millionen US-Dollar für eine Datenschutzverletzung auferlegt, bei der 339 Millionen Gästedatensätze offengelegt wurden, von denen 30 Millionen Nutzer in der gesamten EU betroffen waren. Das Interessante am Marriott-Fall ist, dass der ursprüngliche Verstoß auf das Jahr 2014 datiert, aber erst 2018 entdeckt wurde, und „die Strafe nur den Teil des Verstoßes abdeckt, der vom 25. Mai 2018 datiert – als die DSGVO in Kraft trat .”.

Wie bei der Geldbuße von British Airways, die nur wenige Wochen vor der Geldbuße von Marriott verhängt wurde, reduzierte die britische Regierung den Gesamtbetrag der Geldbuße von 123 Millionen US-Dollar aufgrund der wirtschaftlichen Auswirkungen von Covid-19 sowie der Minderungsbemühungen und der Einhaltung der Vorschriften durch das Unternehmen.

Google | 57 Millionen US-Dollar | Frankreich, 2018

Google ist seit der Einführung der DSGVO der Zorn der französischen Datenregulierungsbehörden. Im Jahr 2018 wurde das Unternehmen wegen „mangelnder Transparenz, unzureichender Informationen und fehlender gültiger Zustimmung zur Personalisierung von Anzeigen“ mit einer Geldstrafe von 50 Millionen Euro belegt.

Google | 121 Millionen US-Dollar | Frankreich, 2020

Ende 2020 verhängten die französischen Aufsichtsbehörden Google erneut eine Geldbuße in Höhe von 100 Millionen Euro, obwohl Google derzeit vor Gericht gegen den Betrag ankämpft. Die Geldbuße war darauf zurückzuführen, dass beim Besuch von google.fr „sieben Cookies auf ihren Endgeräten platziert wurden, bevor sie etwas unternahmen“.

Amazonas | 42 Millionen US-Dollar | Frankreich, 2020

Amazon wurde von den französischen Aufsichtsbehörden wegen des gleichen Verstoßes gegen Cookies mit einer Geldstrafe von 35 Millionen Euro belegt. Die französischen Behörden stellten fest, dass weder Google noch Amazon „das Erfordernis einer vorherigen, klaren und vollständigen Information der Nutzer oder das Erfordernis, ihre Zustimmung einzuholen, erfüllten und dass der Mechanismus zum Ablehnen dieser Cookies teilweise fehlerhaft war“.

H&M | 41,3 Millionen US-Dollar | Deutschland, 2020

Während die anderen hochkarätigen Fälle der DSGVO-Durchsetzung auf Verbraucher zurückzuführen waren, die von Datenschutzverletzungen und Unternehmenspraktiken betroffen waren, betraf die Geldbuße von H&M die illegale Überwachung seiner eigenen Mitarbeiter in Deutschland.

Die Datenschutzbehörde Hamburg (HmbBfDI) verhängte das bundesweit höchste Bußgeld seit Einführung der DSGVO, nachdem das Unternehmen das Privatleben seiner Mitarbeiter übermäßig überwacht hatte. Mindestens seit 2014 seien einige Mitarbeiter einer „umfassenden Erfassung von Einzelheiten ihres Privatlebens“ unterzogen worden.

„Nach Ausfällen wie Urlaub und Krankheit führten die betreuenden Teamleiter mit ihren Mitarbeitern sogenannte Welcome-Back-Gespräche. Nach diesen Gesprächen wurden in vielen Fällen nicht nur konkrete Urlaubserlebnisse der Mitarbeiter erfasst, sondern auch Krankheitssymptome und Diagnosen“, so der HmbBfDI. „Darüber hinaus haben sich einige Vorgesetzte durch persönliche und offene Gespräche ein breites Wissen über das Privatleben ihrer Mitarbeiter angeeignet, das von eher harmlosen Details bis hin zu familiären Themen und religiösen Überzeugungen reicht.“

Die Datenerfassungspraktiken wurden im Oktober 2019 aufgedeckt, nachdem ein interner Fehler dazu führte, dass die Informationen mehrere Stunden lang zugänglich waren. Prof. Dr. Johannes Casper, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, sagte zum Bußgeld: „Die Höhe des verhängten Bußgeldes ist daher angemessen und wirksam, um Unternehmen davon abzuhalten, die Privatsphäre ihrer Mitarbeiter zu verletzen.“

Unsere Gedanken zur DSGVO

Die DSGVO ist ein fortschrittliches und umfassendes Gesetz, das einen Datenschutzstandard setzt, der die Verbraucher schützt, und das ist eine gute Sache für den Einzelnen. Die Strafen sollen verhältnismäßig und wirksam sein, um Unternehmen zu zwingen, zu sehen, wie ernst das Thema Datenschutz ist, und um von der Nichteinhaltung abzuschrecken.

Ich bin Europäer, also bin ich vielleicht voreingenommen; Die DSGVO entspricht meinem europäischen Empfinden. Aber meine Prioritäten liegen bei den Unternehmen, für die ich Wert biete, und ich glaube, dass verbesserte Datensicherheitspraktiken auch in ihrem besten Interesse sind.

Ja, die Änderung könnte einige Kinderkrankheiten für Unternehmen mit sich bringen, die nicht in der Lage sind, die Vorschriften schnell genug einzuhalten oder sich die Kosten für die Einstellung von Compliance-Experten für das Management bestimmter Risiken leisten können. Dennoch sind die Bußgelder teuer genug, um in Erwägung zu ziehen, in Compliance-Experten zu investieren oder zumindest Ihre bestehenden Risiken zu prüfen.

Es hilft, dass europäische Datendurchsetzungsbehörden mit Datenverantwortlichen zusammenarbeiten, um die Folgen etwaiger oder potenzieller Verstöße zu mindern. Sie verhängen nicht nur Strafen, sie wollen aktiv, dass die digitale Umgebung sicherer, intelligenter und besser wird; Wiederherstellung des Verbrauchervertrauens in digitale Räume; und um Benutzern Rechte und Schutzmaßnahmen in Bezug auf ihre personenbezogenen Daten zu gewähren.

Mit dem Opt-in-Ansatz für das Remarketing an Ihre Website-Besucher könnte das Remarketing schlanker werden. Sie können beruhigt sein, dass die Benutzer auf Ihren Listen eine bewusste Entscheidung getroffen haben, sich dort anzumelden. Wenn Sie Systeme zur Organisation und Prüfung Ihrer eigenen Daten eingerichtet haben, wird auch viel Rauschen in den Daten beseitigt. Entfernen von redundanten, veralteten und trivialen (ROT) Daten. Ihre Daten werden Gold wert sein, Sie werden sie schützen wollen und Ihr Team wird dadurch umso effizienter sein.

Wir sind keine Anwälte; Wir können Ihnen nicht helfen, die Cybersicherheit zu prüfen und Compliance zu erreichen, aber wir können eine tolle Website erstellen, die die DSGVO-Anforderungen erfüllt, und wir können mit Ihrem Datenmanagementteam zusammenarbeiten, um eine digitale Umgebung zu schaffen, die das Vertrauen der Verbraucher in Ihre Marke aufbaut und erfüllt Ihre Unternehmensziele.