1. Das Hauptziel der Einführung der DSGVO besteht darin, den Unternehmen das Leben schwer zu machen
Tatsächlich besteht das Hauptziel der DSGVO darin, den Benutzern zu ermöglichen, zu kontrollieren, wer und wie ihre personenbezogenen Daten verwendet, und die Verwendung oder Änderung der Bedingungen für die Verwendung personenbezogener Daten für Marketingzwecke einfach und jederzeit zu verbieten.
Personenbezogene Daten werden von Unternehmen erfasst, um das Marketing zu verbessern und personalisiert zu gestalten. Sie richten sich an jeden einzelnen Benutzer und berücksichtigen dabei seine Vorlieben und Interessen, die auf der Grundlage des Nutzerverhaltens im Internet erfasst werden: Besuche von Websites, Likes links, Mausbewegungen auf der Seite. Im Internet können Sie solche Daten über einen aktiven Durchschnittsbenutzer sammeln
wie: Geschlecht, Alter, Familienstand, Beruf, Interessen, Verbrauchergewohnheiten. Wenn wir die Geolokalisierungsüberwachung hinzufügen, wird die Menge an Informationen über jede Person, die sich in den Händen einiger Unternehmen befindet, erschreckend, insbesondere wenn über das Durchsickern dieser Daten nachgedacht wird. Es wird noch schlimmer, wenn man über die mögliche Manipulation des Benutzerverhaltens und der Entscheidungen nachdenkt - ein Beispiel für Nachrichten im Zusammenhang mit den Aktivitäten von
Cambridge Analytica .
Einige Veröffentlichungen bieten
ein Beispiel für ein Programm , mit dem Sie anhand einer Analyse von nur 10 Likes eine Person besser kennenlernen können, als ihre Kollegen sie kennen. Aus 70 Likes lernt das Programm so viel über eine Person wie seinen engen Freund, aus 150 Likes - wie Eltern, Brüdern oder Schwestern und 300 oder mehr Likes - besser als sein Ehepartner weiß.
Wenn Sie aus Sicht des Benutzers darüber nachdenken, können Sie den bedingungslosen Nutzen der Einführung der DSGVO erkennen. Ihr Hauptziel ist es, die unkontrollierte Verwendung personenbezogener Daten für kommerzielle Zwecke zu begrenzen, wenn der Betroffene keine Ahnung hat, wer, zu welchen Zwecken und wie die aus verschiedenen Quellen im Internet gesammelten Informationen über ihn verwendet werden.
2. Die DSGVO gilt für russische Unternehmen, die personenbezogene Daten von mindestens einem Bürger eines EU-Mitgliedstaats verarbeiten
Dies ist auch ein Irrtum. Die DSGVO regelt die Arbeit mit personenbezogenen Daten nicht von EU-Bürgern, sondern von allen in der EU ansässigen Personen
" Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von betroffenen Personen in der Union ... ".
DSGVO, Art. 3 (2) .
Laut dem Vertreter der Europäischen Kommission (der es geschafft hat, auf der internationalen Konferenz im Juni 2018 inoffiziell einige Fragen zu stellen [1]) gilt die DSGVO nicht für die Verarbeitung personenbezogener Daten von Personen außerhalb der EU, auch wenn diese vorübergehend abgereist sind. Gleichzeitig unterliegt die Verarbeitung personenbezogener Daten russischer Staatsbürger, die in Europa reisen, der DSGVO.
Auch hier ist es unter Bezugnahme auf inoffizielle Erklärungen des Vertreters der Europäischen Kommission erforderlich, in erster Linie eine große Menge von Daten europäischer Nutzer zu verarbeiten, um die Aufmerksamkeit der Regulierungsbehörde auf sich zu ziehen. Wenn das Ziel eines russischen Unternehmens nicht darin besteht, Daten von Europäern zu sammeln oder zu verarbeiten, und diejenigen, deren Daten es gelegentlich verarbeitet, in Europa landen, ist es unwahrscheinlich, dass die Regulierungsbehörde an den Aktivitäten eines solchen Unternehmens im Hinblick auf die Einhaltung der DSGVO interessiert ist.
Es besteht die gegenteilige Meinung, dass die Organisation bei Dienstleistungen außerhalb der EU (z. B. wenn ein Hotelzimmer in Russland von der EU aus gebucht werden kann) nicht der DSGVO unterliegen sollte, da ihre Aktivitäten nicht in der EU durchgeführt werden und nicht vorbehaltlich des EU-Rechts. Diese Stellungnahme entspricht nicht vollständig den Bestimmungen der DSGVO: Wenn ein solches Unternehmen die Daten von Personen verwendet, die hauptsächlich in Europa wohnen, gilt die DSGVO für sie. Wenn Sie das Beispiel eines Hotels nehmen, dann ist der Europäer zum Zeitpunkt Ihres Aufenthalts im Hotel wirklich nicht in Europa. Wenn das Hotel jedoch nach seiner Rückkehr seine Daten weiter verarbeitet und ihm beispielsweise Marketingmaterialien sendet, stellt sich heraus, dass sie mit den Daten einer in Europa lebenden Person arbeitet. Nun, wenn die Daten nicht für Marketingzwecke verwendet werden, sondern nur zur Reservierung und Registrierung des Wohnsitzes erhoben werden, ist dies kein Problem: Die DSGVO ermöglicht die Erhebung und Verarbeitung von Daten zur Vertragserfüllung, und die Zustimmung des Betroffenen ist in diesem Fall nicht erforderlich.
3. Die Zustimmung der Benutzer zur Verwendung ihrer Daten ist immer erforderlich
Nicht wirklich so. Bei einem außereuropäischen Unternehmen wird die DSGVO nur angewendet, wenn personenbezogene Daten für Marketingzwecke (Angebot von Waren oder Dienstleistungen) und zur Überwachung des Nutzerverhaltens in Europa verwendet werden. Werden die Daten nicht für diese Zwecke verwendet, gelten die Bestimmungen der DSGVO nicht.
Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen für die Verarbeitung Verantwortlichen oder Verarbeiter, der nicht in der Union ansässig ist , wobei die Verarbeitungstätigkeiten Folgendes betreffen:
a) das Angebot von Waren oder Dienstleistungen an diese betroffenen Personen in der Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist; oder
b) die Überwachung ihres Verhaltens in Bezug auf ihr Verhalten innerhalb der Union.
DSGVO, Art. 3 (2) .
Wenn Daten zum Zweck der Vertragsausführung erhalten werden, ist keine Zustimmung erforderlich. Es gibt auch andere Fälle, in denen die Verwendung personenbezogener Daten
keine Zustimmung erfordert . Wenn die Daten jedoch nach Vertragsabschluss beim Unternehmen verbleiben und von diesem gespeichert werden (z. B. in CRM), ist in diesem Fall die Zustimmung des Nutzers erforderlich.
4. Bei Verstößen gegen die DSGVO wird sofort eine Geldstrafe verhängt, die Geldstrafe ist sehr hoch
Niemand wird sofort bestraft. Die Regulierungsbehörden in verschiedenen Ländern beginnen gerade mit der Arbeit mit den neuen Regeln und werden sich vor der Bildung von Praktiken mit Blick auf einander in Acht nehmen. Es ist unwahrscheinlich, dass sie es eilig haben, sofort Bußgelder zu verhängen, sondern es wird zunächst Warnungen und Anweisungen geben. Die in der DSGVO angegebenen Geldbußen stellen die Obergrenze dar. Im Falle eines Verstoßes gelten möglicherweise nicht immer Geldbußen und sind möglicherweise gering. Bußgelder werden höchstwahrscheinlich aufgrund der Tatsache anfallen, dass sie verhältnismäßig und effektiv sein sollten, und das Hauptziel besteht nicht darin, das Geschäft zu erwürgen, sondern es auf den richtigen Weg zu lenken.
Parallel dazu wird eine Rechtspraxis (einschließlich des luxemburgischen Gerichtshofs) gebildet, deren Erscheinen auch von den Aufsichtsbehörden erwartet wird, bevor mit Masseninspektionen und Sanktionen begonnen wird.
Während eines informellen Gesprächs mit einem Vertreter der Europäischen Kommission auf der Konferenz wurde die Idee geäußert, dass es möglich sein würde, mehrere Schauprozesse einiger Riesen durchzuführen, damit in der Praxis klar wird, welches Verhalten inakzeptabel ist und wozu es führen kann.
In Bezug auf die Verhängung von Geldbußen wegen Verstoßes gegen die DSGVO sind die folgenden Positionen am zutreffendsten:
"Im Allgemeinen ist es notwendig, große Geldbußen im Gesetz als Sperrmaßnahme zu betrachten und nicht als neuen Weg, um die lokalen Haushalte der EU-Länder aufzufüllen."
„Die spezifische Höhe der Geldbußen wird unter Berücksichtigung einer Vielzahl von Faktoren individuell festgelegt. Eine Geldstrafe von mehreren Millionen Dollar kann gegen eine Organisation verhängt werden, wenn sie bewusst und böswillig die Rechte von Subjekten verletzt, sie sorgfältig versteckt und einen hohen Gewinn aus einer solchen PD-Verarbeitung erzielt. “
Die Bedenken russischer Unternehmen hinsichtlich der Tatsache, dass sie wegen Nichteinhaltung der DSGVO mit einer Geldstrafe belegt werden könnten, werden höchstwahrscheinlich nicht berücksichtigt. Es wird für die Regulierungsbehörde nicht einfach sein, Unternehmen, die keine Repräsentanz in Europa haben, zur Verantwortung zu ziehen. Es wird noch schwieriger sein, die Sanktionen umzusetzen, die gegen das Hoheitsgebiet eines Staates verhängt werden, der nicht Teil der EU ist. Daher wird die Hauptregulierung, die in Bezug auf die DSGVO vorhergesagt wird, die Selbstregulierung in der Branche sein: Die europäische Wirtschaft wird sich nach und nach weigern, mit Unternehmen zusammenzuarbeiten, die die GDPR-Anforderungen nicht erfüllen. Dementsprechend sind die wichtigsten negativen Folgen der Nichteinhaltung der DSGVO keine Geldbußen, sondern ein Verlust der Wettbewerbsfähigkeit auf dem europäischen Markt.
5. Personenbezogene Daten können ohne entsprechende Aufsicht und Genehmigung nicht in andere Länder übertragen werden.
Daten können übertragen werden, wenn eine Vereinbarung mit dem Unternehmen besteht, das die Daten übertragen hat, und wenn in einer solchen Vereinbarung bestimmte Garantien vorgesehen sind. Darüber hinaus gibt es
das Übereinkommen 108 des Europarates (an dem Russland beteiligt ist), in dem Folgendes angegeben ist:
"Eine Partei darf grenzüberschreitende Flüsse personenbezogener Daten, die zum alleinigen Zweck des Schutzes der Privatsphäre in das Hoheitsgebiet einer anderen Vertragspartei gelangen, nicht verbieten oder durch eine Sondergenehmigung konditionieren."
Es gibt keine genaue Antwort auf die Beziehung zwischen den Bestimmungen des Übereinkommens 108 und den GDPR-Beschränkungen für die Datenübertragung. Möglicherweise besteht ein Widerspruch zwischen ihnen. In jedem Fall können Daten jedoch im Vorliegen einer Vereinbarung sowie in einigen anderen in der DSGVO festgelegten Fällen übertragen werden.
[1] Pearse O'Donohue, amtierender Direktor der Direktion für künftige Netze der GD CONNECT bei der Europäischen Kommission.