Anonim

Bildnachweis: Gualberto Becerra / Shutterstock

Die DSGVO ist eines der größten und weitreichendsten Datenschutzgesetze der Welt. Die Anforderungen gelten für alle Unternehmen, die mit den Verbraucherdaten von Bürgern in der Europäischen Union (EU) umgehen, unabhängig von deren Größe, Branche oder Herkunftsland.

Wenn Sie feststellen, dass Änderungen der Datenschutzbestimmungen Ihren Posteingang von anderen Unternehmen wie Microsoft oder Facebook überschwemmen, liegt dies an der Datenschutzrichtlinie. Jetzt, da die Vorschriften die Kraft des Gesetzes haben, werden Unternehmen mit hohen Geldstrafen für die Nichteinhaltung konfrontiert.

"Hauptziel ist es, den Bürgern die persönliche Kontrolle über ihre Daten zurückzugeben [und] die Regulierung für Unternehmen zu vereinfachen", sagte Peter Milla, Chief Data Officer bei Cint. "Es gilt für alle Mitgliedstaaten."

Die Vorschriften haben viele Unternehmen etwas unvorbereitet getroffen. Einer Umfrage der ESG zufolge waren Anfang 2018 nur 11 Prozent der 700 Organisationen vollständig einsatzbereit, und nur 33 Prozent gaben an, dass ihre Pläne für die Reaktion auf Vorfälle den GDPR-Anforderungen entsprechen, diese Zahl könnte jedoch noch niedriger sein.

Mögliche Bußgelder für Verstöße oder Verletzungen der Privatsphäre hängen davon ab, welche höher sind. 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes eines Unternehmens, abhängig von Faktoren wie der Unternehmensgröße und der Einschätzung der Aufsichtsbehörde, dass das Unternehmen nach Treu und Glauben Anstrengungen unternommen hat, um seine Daten zu sichern.

Hier erfahren Sie, was Sie über die GDPR-Anforderungen wissen müssen und wie Sie Ihr US-Geschäft vorbereiten können.

Was ist die DSGVO?

Die DSGVO wurde erstmals im Jahr 2012 vorgeschlagen, um in den EU-Mitgliedstaaten einheitliche Datenschutzgesetze zu schaffen. Die Gesetzgebung ersetzte die Datenschutzrichtlinie von 1995, die eine Reihe von Empfehlungen enthielt, die die EU-Länder anleiten sollten, eigene Gesetze zum Datenschutz zu erlassen.

Der endgültige Text der DSGVO, der 2015 verabschiedet wurde, enthält die folgenden DSGVO-Anforderungen, die von TechCrunch gemeldet wurden:

  • Jeder, der an der Verarbeitung von EU-Verbraucherdaten beteiligt ist, einschließlich Dritter, die an der Verarbeitung von Daten zur Erbringung einer bestimmten Dienstleistung beteiligt sind, kann für einen Verstoß haftbar gemacht werden .
  • Wenn eine Person nicht mehr möchte, dass ihre Daten von einem Unternehmen verarbeitet werden, müssen die Daten gelöscht werden, "vorausgesetzt, es gibt keinen berechtigten Grund für ihre Speicherung."
  • Unternehmen müssen einen Datenschutzbeauftragten ernennen, wenn sie sensible Daten in großem Umfang verarbeiten oder Informationen über viele Verbraucher sammeln (kleine und mittlere Unternehmen sind davon ausgenommen, wenn die Datenverarbeitung nicht ihr Kerngeschäft ist).
  • Unternehmen und Organisationen müssen der zuständigen nationalen Aufsichtsbehörde schwerwiegende Datenschutzverletzungen so schnell wie möglich melden .
  • Für Kinder unter einem bestimmten Alter ist die Zustimmung der Eltern erforderlich, um soziale Medien nutzen zu können (ein bestimmtes Alter innerhalb einer Gruppe zwischen 13 und 16 Jahren wird von den einzelnen Ländern festgelegt).
  • Es wird eine einzige Aufsichtsbehörde für Datenschutzbeschwerden geben, die die Einhaltung von Vorschriften für Unternehmen straffen soll.
  • Einzelpersonen haben ein Recht auf Datenübertragbarkeit, damit sie ihre personenbezogenen Daten einfacher zwischen Diensten übertragen können.

Wie wirkt sich die DSGVO auf kleine Unternehmen aus?

Auf den ersten Blick scheint es, dass die DSGVO nur für große, globale Unternehmen gilt, die viele Geschäfte im Ausland tätigen. Aber das ist eine falsche Vorstellung, die vielen kleinen Unternehmen schaden könnte, sagte Milla.

Unabhängig von der Größe Ihres Unternehmens sind Sie gesetzlich zur Einhaltung der DSGVO-Bestimmungen verpflichtet, wenn Sie personenbezogene Daten über Bürger in der Europäischen Union erfassen, von E-Mail-Adressen bis hin zu medizinischen Unterlagen.

"Jedes Unternehmen, das in Europa geschäftlich tätig ist, wird von der Änderung betroffen sein und muss seine Verantwortung für die Einhaltung der Vorschriften verstehen", sagte Daren Glenister, Technischer Leiter von Intralinks. "[Unternehmen] müssen Verfahren und Systeme einrichten, um sicherzustellen, dass sich [europäische] Bürgerdaten im Aufnahmeland befinden, und müssen validieren, wie personenbezogene Daten gesammelt, gespeichert, verarbeitet und weitergegeben werden."

Von diesem Punkt sind die meisten Unternehmen weit entfernt: "Nur 25 Prozent der Kundendaten erfüllen die GDPR-Anforderungen", sagte Milla. Selbst Aufzeichnungen, die Unternehmen für harmlos halten, gelten als geschützte Daten, wenn sie zur Identifizierung eines Verbrauchers verwendet werden können.

"Der Name eines Arztes, eine Postleitzahl und eine Bedingung in einem kleinen ländlichen Gebiet - das sind Informationen, mit denen Sie jemanden identifizieren können", fügte er hinzu. "Versicherungsmarken müssen möglicherweise bis zu zwei Drittel ihrer bisherigen Kundendaten löschen."

Brexit und die DSGVO

Da sich Großbritannien auf den Austritt aus der Europäischen Union im Jahr 2019 vorbereitet, gehen viele Unternehmen davon aus, dass die Datenschutzgesetze in Großbritannien weniger streng sind als in Europa. Dies sei nicht unbedingt der Fall, sagte Milla.

"In Großbritannien herrscht eine erhöhte Sensibilität für die GDPR, da sie GDPR-konform sein müssen, bevor der Brexit tatsächlich stattfindet", warnte Milla.

Tatsächlich könnte die Kontrolle der Datenschutzpraktiken in Großbritannien strenger sein als in anderen Ländern, da sich Milla bereits zu strengeren Sicherheitsvorkehrungen verpflichtet hat. Die in Großbritannien geltenden Vorschriften könnten jedoch für viele amerikanische Unternehmen - und für Unternehmen auf der ganzen Welt - ein hilfreiches Modell darstellen, um die GDPR-Konformität zu gewährleisten.

"[Britische Vorschriften] könnten eine gute Quelle für Amerika sein, da alle [DSGVO] -Materialien in englischer Sprache veröffentlicht werden", fügte Milla hinzu.

Was können Sie tun, um sich vorzubereiten?

Wenn Ihr Unternehmen derzeit Geschäfte in Europa tätigt oder darüber nachdenkt, können Sie Maßnahmen ergreifen, um die Einhaltung der DSGVO zu gewährleisten.

1. Führen Sie eine Analyse durch.

Wenden Sie sich zunächst an einen Rechtsexperten, um zu erfahren, welche Datenschutzbestimmungen gelten und wie sie sich auf Ihr Unternehmen auswirken können. Dann schauen Sie sich die Systeme an, die Sie bereits installiert haben, und finden Sie heraus, wo Schwachstellen bestehen.

"Holen Sie sich jemanden, der Ihnen helfen kann", riet Milla. "Führen Sie eine Datenschutz-Analyse durch … Überdenken Sie, wie Sie Einverständniserklärungen und Mechanismen zum Löschen von Daten erhalten."

2. Bilden Sie das gesamte Team.

Die Mitarbeiter sollten über die Verantwortlichkeiten informiert werden, die sie beim Umgang mit persönlich identifizierbaren oder sensiblen persönlichen Informationen von Mitarbeitern, Kunden, Partnern und Auftragnehmern haben. Laut Milla ist es besonders wichtig sicherzustellen, dass das gesamte Management-Team versteht, warum der Datenschutz und die Änderungen, die im Rahmen der DSGVO erforderlich sind, eine Priorität im Budget haben müssen.

3. Wählen Sie eine Punktperson.

Mittelständische Unternehmen könnten die Ernennung eines Compliance-Beauftragten in Betracht ziehen, der für die Überprüfung der ständigen Änderungen der Datenschutzgesetze verantwortlich ist, sagte Glenister. Kleinere Unternehmen, schlug Milla vor, können einen externen Auftragnehmer beauftragen, diese Rolle nach Bedarf zu besetzen. In jedem Fall müssten alle Unternehmen einen primären Ansprechpartner benennen, dessen Aufgabe es sei, sich mit Fragen des Datenschutzes zu befassen. [Benötigen Sie Hilfe bei der Suche nach den richtigen Kandidaten? Informieren Sie sich über unsere besten Empfehlungen für die Rekrutierung von Software für kleine Unternehmen .]

4. Kategorisieren Sie Ihre Daten.

Ermitteln Sie, welche Daten Ihres Unternehmens von den gesetzlichen Richtlinien betroffen sind. Zum Beispiel können EU-Bürgerdaten in Verträgen, HR-Dokumenten, Finanzunterlagen oder in der Bestellhistorie enthalten sein. Sehen Sie, wo diese Daten gespeichert sind, wie sie verarbeitet werden und wer Zugriff darauf hat. Von dort aus können Sie unternehmensweite Richtlinien für den Umgang mit Daten festlegen.

5. Überprüfen Sie Ihre Verträge.

Ihre Drittanbieter sollten klare Richtlinien haben, die den Vorschriften entsprechen. Nur weil Sie einen Vertrag in einem Land unterzeichnen, bedeutet dies nicht, dass Ihre Daten in diesem Land gespeichert oder verarbeitet werden, sagte Glenister. Wie bei Ihrer eigenen internen Datenverwaltung sollten Sie wissen, wie Ihre Lieferanten die Daten Ihres Unternehmens speichern, verarbeiten und darauf zugreifen.

Erkundigen Sie sich außerdem, welche Verfahren Ihr Anbieter eingerichtet hat, um die Vorschriften zu erfüllen, und wie das Unternehmen Verstößen begegnet.

"Die Bußgelder werden auf der Grundlage der landesspezifischen Vorschriften erhoben, die die Unternehmen in Abhängigkeit von der Anzahl der Länder, mit denen Sie Geschäfte abwickeln, einem erheblichen Risiko aussetzen", sagte Glenister.

Milla stimmte zu und fügte hinzu, dass Sie auch dann bestraft werden könnten, wenn ein Drittanbieter Daten falsch behandelt. "Wer wird [die Aufsichtsbehörden] als verantwortliche Partei sehen?" er sagte. "Abhängig von der Beziehung … bist du immer noch verantwortlich."

Einige Unternehmen entscheiden sich für eine nuklearere Option. Sperrung aller Benutzer aus einem EU-Land. GDPR Shield ist eine JavaScript-basierte Lösung, mit der Benutzer in der Europäischen Union am Zugriff auf die Website eines Unternehmens gehindert werden können. Dies scheint die Compliance-Anforderungen zu umgehen. Aber es ist nicht narrensicher. Benutzer mit Skriptblockern wie EFFs Privacy Badger könnten den Block leicht überschreiben und Sie erneut einem Risiko aussetzen. Andere wie F-Secure, Verve, Drawbridge und Unroll.me schließen alle Geschäfte in Europa. Aber diese Maßnahmen werden sich definitiv auf das Endergebnis auswirken.

Wenn Gesetze wie die DSGVO in Kraft treten, müssen Unternehmen ihre Meinung zu Kundendaten und ihrer eigenen Haftung neu bestimmen. Bei sachgemäßer Behandlung könnten diese DSGVO-Bestimmungen sogar zu einer Möglichkeit führen, die Effizienz zu verbessern.

"Gehen Sie risikobasiert vor", empfahl Milla. "Privatsphäre oder Datenschutz müssen eine Komponente sein, die Sie entwerfen."

Glenister stimmte zu: "Je mehr Sie in die Datensicherheit investieren können, um sicherzustellen, dass Sie die richtigen Maßnahmen zum Schutz personenbezogener Daten ergreifen, desto besser."

Datenschutz in den USA

Eine Investition in den Datenschutz ist ein guter Rat für jedes Unternehmen, auch für Unternehmen, die nicht in der Europäischen Union ansässig sind oder Nutzer mit Sitz in der EU bedienen. Datenschutzgesetze kommen in die USA und in einigen Bundesstaaten wie Kalifornien bereits.

Das California Consumer Privacy Act (CCPA) soll 2020 in Kraft treten und gilt für alle in Kalifornien tätigen Unternehmen. Das kürzlich unterzeichnete CCPA legt die strengsten Datenschutzanforderungen der USA fest, um die Transparenz und die Kontrolle der Verbraucher über ihre Daten (wie die DSGVO) zu verbessern. Einige der in der CCPA enthaltenen Anforderungen sind:

  • Benutzer müssen über die von Unternehmen erhobenen Daten sowie deren Verwendung informiert werden.
  • Benutzer müssen die Möglichkeit haben, die Löschung ihrer Daten anzuordnen und den Verkauf ihrer Daten an Dritte zu untersagen. Unternehmen müssen diese Anfragen offenlegen.
  • Unternehmen müssen die Art der Daten, die sie sammeln, offenlegen und verkaufen, sowie die Dritten, denen sie Zugang zu diesen Daten gewähren, nachverfolgen und offenlegen.
  • Benutzer müssen in der Lage sein, ihre Daten in einem druckbaren Format abzurufen.

Inwiefern unterscheidet sich CCPA von GDPR?

An der Oberfläche scheinen die beiden Maßnahmen sehr ähnlich zu sein, es gibt jedoch einige wesentliche Unterschiede. In einigen Bereichen ist die CCPA verzeihender als die DSGVO, in anderen ist sie strenger. Einige dieser Unterschiede umfassen:

  • Die CCPA fordert die Verbraucher auf, die Erhebung, Verarbeitung und den Verkauf von Daten zu unterbinden. Die DSGVO fordert die Verbraucher zur Zustimmung auf.
  • Die DSGVO schreibt vor, dass Unternehmen ihre Richtlinien zur Datenerhebung und -verarbeitung regeln müssen, während die CCPA vorschreibt, dass der Generalstaatsanwalt ein Regelwerk entwickelt.

Die Strafen für die Nichteinhaltung der CCPA sind ziemlich hoch, aber im Vergleich zur existenziellen Bedrohung durch die GDPR von mehr als 20 Millionen Euro oder 4 Prozent des Umsatzes eines Unternehmens sind sie geringer. Die CCPA erhebt stattdessen eine Geldstrafe von 7.500 USD pro Vorfall. Bei dem Umfang der Datenerfassung, mit dem sich Unternehmen heute beschäftigen, kann sich dies jedoch schnell summieren.

An wen richtet sich die CCPA?

Das kalifornische Gesetz gilt für gewinnorientierte Unternehmen, die in Kalifornien Geschäfte tätigen und mit den personenbezogenen Daten des Bewohners handeln. Diese Unternehmen erwirtschaften einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar oder sie erhalten oder veröffentlichen die personenbezogenen Daten von 50.000 oder mehr Kaliforniern pro Jahr. Oder diese Unternehmen machen 50 Prozent ihres Jahresumsatzes mit dem Verkauf der persönlichen Daten von Einwohnern Kaliforniens. Darüber hinaus gilt dies für Konzernunternehmen derjenigen Unternehmen, die ihre Marke teilen. Das heißt, es gilt für gemeinnützige, kleine bis mittlere Unternehmen und Unternehmen, die keine personenbezogenen Daten kaufen und verkaufen.

Was sollten die von der CCPA erfassten Unternehmen als Nächstes tun?

Viele Unternehmen in Kalifornien oder im Dienste kalifornischer Verbraucher haben die Richtlinien für die Datenerfassung und -verarbeitung bereits überarbeitet, um der EU-DSGVO zu entsprechen. Selbst wenn dies der Fall ist, müssen sie sich wahrscheinlich noch einmal umsehen, um sicherzustellen, dass diese neu geschaffenen Richtlinien auch den in der CCPA festgelegten Standards entsprechen. Andernfalls sind vor 2020 weitere interne Änderungen erforderlich.

Für Unternehmen, die Kalifornier im Rahmen der CCPA bedienen möchten, ist es ratsam, die folgenden "Verbraucherrechte" zu beachten:

  • Das Recht, die Erhebung und den Verkauf von Daten zu widerrufen
  • Das Recht auf Zugang zu personenbezogenen Daten
  • Das Recht, persönliche Daten zu löschen

Wenn Ihr Unternehmen kürzlich eine Datenanalyse durchgeführt hat, um die Einhaltung der DSGVO zu gewährleisten, haben Sie bereits den ersten Schritt unternommen. Zu wissen, was Sie von wem sammeln und was Sie damit tun, ist die halbe Miete, um es effektiv und gesetzeskonform zu verwalten. Überprüfen Sie die Änderungen, die Sie vorgenommen haben, als Sie sich auf die Einhaltung der DSGVO vorbereiteten, und überprüfen Sie die CCPA, um festzustellen, ob sich die beiden Maßnahmen nicht überschneiden. Mit einer umfassenden Sicht auf die Daten, die Sie sammeln, übermitteln und verkaufen, sollte es einfach genug sein, etwaige Lücken vor Ablauf der Durchsetzungsfrist 2020 zu schließen.