Die DS-GVO umfasst ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens empfindlich schrumpfen lassen kann. Ernsthaftere Verstöße können mit Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Dazu gehört beispielsweise die Nichteinhaltung grundlegender Datenschutzprinzipien, zum Beispiel „Privacy by Default“. Geringere – aber immer noch horrende – Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Versäumnisse bei der Meldepflicht für Sicherheitsvorfälle können also durchaus kostspielig werden.
Die DS-GVO ist ein komplexes Gesetz, und dies ist bei weitem keine vollständige Liste aller wichtigen Regeln. In jedem Fall würden die meisten Rechts- und Compliance-Experten zustimmen, dass die Inventarisierung sämtlicher Daten ein erster sinnvoller Schritt in Richtung Compliance ist. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden.
Es dürfen nur Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden.
Kundendaten dürfen nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen.
Die Datenschutzbehörden koordinieren sich europaweit untereinander. Unternehmen müssen sich nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.
Unternehmen müssen einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks informieren. Außerdem können künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden.
Die Datenschutz-Folgenabschätzung löst die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab.
Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gelten strenge Vorschriften.
Eine Öffnungsklausel ermöglicht den EU-Staaten individuelle Regelungen: Deutschland behält den Datenschutzbeauftragten
Betroffenen Personen werden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen.
Das Windows nicht sonderlich viel von Datenschutz hält, dürfte nichts Neues sein. In einem neuen Artikel warnt nun der Verbraucherschutz Rheinland-Pfalz vor genau diesem. Laut dem Artikel handle es sich um „eine Art private Abhöranlage“.
Quelle: www.techniksurfer.de
01
Die Datenschutz-Aufsichtsbehörden legen bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich IT-Sicherheit. Zuletzt hatte die bayrische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben.
02
Das Bayrische Landesamt für Datenschutzaufsicht hat nach eigener Information im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftagsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt.
Quelle: www.iitr.de
Werden personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet, ist gemäß § 11 BDSG ein Vertrag zur so genannten Auftragsdatenverarbeitung abzuschließen.
03
Die Datenschutzbehörden diskutieren schon seit Jahren mit Google um den datenschutzkonformen Einsatz von Google Analytics. Auf Grundlage der im November 2009 beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde nun eine Einigung erzielt.
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics insgesamt 5 Punkte, die einzuhalten sind:
1. Vertrag zur Auftragsdatenverarbeitung mit Google (§11 BDSG-Vertrag)
2. Anonymisierung der IP-Adressen
3. Widerspruchsrecht der Betroffenen
4. Angepasste Datenschutzerklärung
5. Ggf. Löschung von Altdaten
04