Heute werden wir über die "große und schreckliche" DSGVO (Allgemeine Datenschutzverordnung) oder die Allgemeine Verordnung zum Schutz personenbezogener Daten sprechen. Trotz der Tatsache, dass das Gesetz im Mai 2018 verabschiedet wurde, erfüllen viele Unternehmen immer noch nicht alle Anforderungen.
Wir haben uns mit unserem Datenschutzbeauftragten getroffen, damit er in einfachen Worten erklären kann, was DSGVO ist und was Unternehmen tun müssen, um hohe Geldbußen zu vermeiden.
Der Artikel enthält Fußnoten, in denen die grundlegenden Definitionen des Gesetzes zitiert werden.
- Was ist DSGVO?
- Die DSGVO ist ein internationales Gesetz ¹, das für die ganze Welt gilt, obwohl es in der EU verabschiedet wurde. Dies ist ein Gesetz, das die Rechte der Nutzer im Internet schützt und insbesondere die Übermittlung, Verarbeitung und Speicherung personenbezogener Daten jeder Person regelt, die sich in der EU befindet oder EU-Bürger ist.
¹ „Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Einrichtung eines für die Verarbeitung Verantwortlichen oder eines Verarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union erfolgt oder nicht.“- Auch wenn er die Dienste / Standorte von Unternehmen außerhalb der EU nutzt?
- Ja, mit dem internationalen Status können Sie die Wirkung des Gesetzes nicht nur in der EU ausweiten. Wenn jemand die ihm zur Verfügung stehenden Ressourcen aus dem Hoheitsgebiet der EU nutzt oder EU-Bürger ist, sich jedoch im Hoheitsgebiet anderer Staaten befindet, unterliegt er weiterhin diesem Gesetz.
- Was war der Grund für die Annahme?- Der Verabschiedung der DSGVO gingen viele Fälle von Datenmissbrauch voraus, auch persönliche. Vermarkter begannen, Menschen mit verschiedenen Arten von Forschung zu „terrorisieren“. Sie begannen, das Verhalten und die Gewohnheiten eines Menschen zu studieren und dieses Wissen zu nutzen, um ihn wehrloser zu machen. Wenn eine Person einige Aktionen auf der Website ausführte, provozierten sie beispielsweise Empfehlungssysteme zu einem bestimmten Verhalten.
Irgendwann begann Facebook, Benutzerdaten legal für Forschungszwecke zu verkaufen . Außerdem wurden alle biometrischen Daten geschützt, und dies ist seitdem sehr wichtig in der EU eingeführte elektronische Pässe.
- Was sollten Unternehmen aus Nicht-EU-Ländern tun, um die Anforderungen dieses Gesetzes zu erfüllen?
- Es ist notwendig, die Regeln zu beachten, die dieses Gesetz definiert. Zunächst müssen Sie die Benutzer über die Sammlung von Informationen informieren. Dies ist der erste Ressourcenbesucher, dem er begegnet. Das Unternehmen muss dem Benutzer absolut klar und einfach (auch durch Designlösungen) vermitteln, was er von ihm will, was seine Daten gesammelt werden und warum er sie benötigt. Wenn zum Beispiel Gewichtsparameter erfasst werden, muss angegeben werden, warum sie verwendet werden (wenn ihr eigentliches Ziel darin besteht, ein Medikament zur Gewichtsreduktion anzubieten, sollte dies geschrieben werden).
- Sollten Daten anonymisiert gespeichert werden?- Das Gesetz verpflichtet, Daten zu anonymisieren und an verschiedenen Orten zu speichern. Tatsache ist jedoch, dass es hier zwei Hauptrollen gibt - Prozessor² und Controller³.
Der Controller ist derjenige, der diese Daten sammelt und verwendet. Er ist verpflichtet, sie anonym und an verschiedenen Orten zu speichern, damit beispielsweise Angreifer, die Zugriff auf eine Datenbank erhalten haben, diese Daten nicht mit einer realen Person vergleichen können. Zum Beispiel Ihr Name, Adresse, Bankkartennummer, Größe, Gewicht, Familienstand usw. Jedes Element sollte in verschiedenen Datenbanken gespeichert werden. In einem Namen, im zweiten Familienstand, in der dritten Adresse usw.
Aber jedes Unternehmen verfügt über Algorithmen, mit denen Sie all dies verbinden und für Ihre eigenen Zwecke verwenden können. Daher ist die Bereitstellung von Datenspeicher eine Sache. Aber die Verarbeitung ist völlig anders. Es sollten Datenzugriffsprotokolle vorhanden sein. Wenn sie nicht vorhanden sind, wird dies im Falle eines Lecks von der Kommission geklärt. Wenn Sie keine Protokolle hatten, entscheidet die Kommission, dass Sie es gut aufbewahren und nicht sehr gut verarbeiten und Maßnahmen ergreifen.
² „Verarbeiter“ ist eine natürliche oder juristische Person, eine Behörde, eine Agentur oder eine andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. “
³ „für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, Behörde, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt; wenn die Zwecke und Mittel einer solchen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt sind, “
⁴ „Verarbeitung“ bezeichnet jede Operation oder jeden Satz von Vorgängen, die mit personenbezogenen Daten oder mit Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert erfolgen oder nicht, wie z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung “.
- Wie ist der Prozess der Übersetzung einer vorhandenen Website / eines bestehenden Unternehmens organisiert, um die Anforderungen dieses Gesetzes zu erfüllen?
- Zunächst muss der aktuelle Stand der Datenerfassung und -verarbeitung analysiert werden. Wenn momentan nur ein Server verwendet wird, muss dieser in mehrere aufgeteilt werden, damit nicht alle Datenbanken aus einer Hand gehackt werden können. Der Schutz sollte bei der Eingabe von Informationen erfolgen, und der Server wird ständig von Antivirensoftware überwacht. Es ist ratsam, den zweiten Kanal mit dem Internet zu versorgen, damit Sie ihn im Falle eines Lecks durch einen der Kanäle ausschalten und Arbeiten ausführen können, um alle Probleme auf dem anderen Kanal zu beseitigen. Der Zugriff sollte nur über eine sichere VPN-Verbindung erfolgen. Jetzt schreiben alle gängigen Browser Warnungen, wenn Sie versuchen, auf Seiten ohne https zuzugreifen.
Wenn https verwendet wird, ist alles in Ordnung. Übrigens berücksichtigt Google, das einige Anforderungen dieses Gesetzes lange Zeit ignoriert hat, das Vorhandensein eines SSL-Zertifikats als einen der Ranking-Faktoren bei der Suche.
- Was droht die Nichteinhaltung der Anforderungen dieses Gesetzes?
- Wenn wir über den EU-Bürger sprechen, dann sind es natürlich Strafen, Anordnungen, die von den Regulierungsbehörden nach der Analyse und Untersuchung erlassen werden. Auf Makroebene wird dies grundsätzlich durch eine hohe Geldbuße von 20 Mio. EUR oder 4% des Jahresumsatzes geregelt. Das europäische Gericht, das den Fall prüfen wird, würde lieber 4% des Umsatzes als 20 Millionen Euro bevorzugen.
Das ist aber das Maximum. Seit Inkrafttreten des Gesetzes ist ein Jahr vergangen, und es gab bereits praktische Fälle. In Fällen, in denen das Leck minimal war und niemand verletzt wurde, wurden die Angreifer gefasst und das Unternehmen erhielt lediglich eine Warnung. Wenn fahrlässig etwas nicht getan wurde, gaben sie eine Geldstrafe von ein paar bis zu hunderttausenden Euro. Bisher hat Google die höchste Geldbuße in Höhe von 50 Millionen Euro verhängt, weil bestimmte gesetzliche Anforderungen weiterhin vernachlässigt wurden. Besonders schwer bestraft für den Verlust biometrischer Daten, zum Beispiel von medizinischen Einrichtungen, wurde dies sofort gewarnt.
- Wer ist zur Einhaltung dieses Gesetzes verpflichtet und für wen gilt die Maßnahme nicht?
- Derjenige, der keine personenbezogenen Daten speichert. ⁵ - Die Daten, mit denen Sie eine Person identifizieren oder ihren Standort bestimmen können, z. B. IP, sind ebenfalls hier enthalten. Derzeit betrachtet die Kommission IP jedoch nicht als personenbezogene Daten. Name und Telefonnummer sind personenbezogene Daten, wenn sie mit der Absicht erhoben werden, die Person nicht nur zu kontaktieren, sondern auch auf andere Weise zu verwenden. Wenn nur zur Kommunikation, haben die Daten nicht die Kraft und die Einschränkungen der Aufbewahrungsfristen. Diese Ziele beinhalten nicht den Verkauf von Waren oder die Vorhersage des Nutzerverhaltens.
Beachten Sie auch, dass E-Mail, Login oder Passwort keine persönlichen Daten sind. Nur speziell die Parameter, mit denen Sie eine Person personalisieren oder bestimmen können, wo sie sich befindet, z. B. IP + Mac-Adressen.
Im postsowjetischen Raum sind wir daran gewöhnt, dass "wenn es nicht erlaubt ist, ist es verboten", in liberalen Ländern im Gegenteil "was nicht verboten ist, ist erlaubt". Dies sind zwei völlig unterschiedliche Paradigmen und Einstellungen zum Gesetz. Und dementsprechend gilt hier die Unschuldsvermutung - bis zum Beweis sind Sie nicht schuldig.
⁵ „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere physikalische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person “;
- Jetzt hat die Kommission ein weiteres Gesetz zum Schutz personenbezogener Daten vorgelegt, das Gesetz über Cookies. Erzählen Sie uns mehr darüber.
- Dies ist nur die Frage der IP-Adressen. Über IP können Sie bestimmen, wo sich die Person befindet, die gesamte Konfiguration des Geräts. Gleichzeitig ist es aber notwendig, dieses Gesetz irgendwie einzuhalten. Jetzt ist ip über den Rahmen dieses Gesetzes hinausgegangen . Aber sie gehen nicht, die Frage bleibt offen, weil sie noch reguliert werden muss. Es gab bereits zwei seiner Ausgaben, bald wird es eine dritte geben. Ihre Verwendung ist großartig zu unterbieten. Großbritannien hat bereits begonnen, sich in diese Richtung zu bewegen .
Wenn das Gesetz in der aktuellen Version übernommen wird, können Google und ähnliche Unternehmen einfach nicht in der EU arbeiten. Jetzt setzen sich alle für die Minderung dieses Gesetzes ein. Aber es lohnt sich, der EU Tribut zu zollen, sie schenken den Menschen, ihren Bürgern und Einwohnern große Aufmerksamkeit und sie fördern dieses Gesetz zugunsten der Menschen. Das Gesetz wurde zwar nicht verabschiedet und befindet sich noch nicht einmal in der letzten Phase des Lesens. Aber von der Praxis geleitet, werden normalerweise 1-2 Jahre gegeben, um alle Angelegenheiten in Ordnung zu bringen, selbst wenn sie 2019 akzeptiert werden.
Jetzt stellt sich nur die Frage, wie tief Unternehmen in das Privatleben der Menschen eindringen dürfen.
- Wie setzt sich das Team zusammen, um Maßnahmen zur Erfüllung der Standortanforderungen dieses Gesetzes umzusetzen?
- In der Regel bedeutet dies eine Teilbeschäftigung. In seltenen Fällen ist es erforderlich, das gesamte Team in Vollzeit einzubeziehen. Der Analyst führt eine Prüfung des aktuellen Zustands des Unternehmens durch und erstellt Spezifikationen für die Ausführung. Ein Systemadministrator oder DevOps, der für Hardware, Kommunikationskanäle und mehr verantwortlich ist, und ein Programmierer werden die Site fertigstellen.
- Was ist das Ergebnis der Arbeit des Teams und der Firma des Kunden?
- Zunächst wird die Arbeit mit personenbezogenen Daten (Verarbeitung) geändert: Die Erhebung, Verarbeitung und Speicherung wird in Übereinstimmung mit dem Gesetz gebracht. Mit hoher Wahrscheinlichkeit wird eine neue Position im Unternehmen des Kunden erscheinen - Data Protection Officer (DPO). Die Arbeiten werden auf der Website des Unternehmens und in der Dokumentation durchgeführt, die den Benutzern zur Verfügung steht (Sicherheitserklärung, Datenschutzrichtlinie, Cookie-Verarbeitungsrichtlinie usw.). Interne Protokolle für den Zugriff und die Verarbeitung personenbezogener Daten von Benutzern werden angezeigt.
Sie können mehr über GDPR erfahren, indem Sie auf den Link klicken: https://www.gdpreu.org/ (die Ressource ist nur in englischer Sprache verfügbar).