Neue Regeln für den Umgang mit personenbezogenen Daten von Europäern

Websites, die mit Kunden aus EU-Ländern zusammenarbeiten, können in letzter Zeit Geldstrafen von bis zu 20 Millionen Euro erhalten, wenn sie die neuen Bestimmungen zu personenbezogenen Daten der DSGVO nicht mehr einhalten. Es gibt noch keine Opfer, aber dies ist kein Grund, das Gesetz zu brechen. Besser sicher :-)

Die Allgemeine Datenschutzverordnung (DSGVO) ist eine extraterritoriale Verordnung, die die Datensicherheit aller EU-Bürger schützt. Wenn Sie personenbezogene Daten (einschließlich Cookies) von mindestens einem Kunden aus Europa erheben, speichern oder verarbeiten, müssen Sie die Vorschriften einhalten, unabhängig davon, wo die Website und das Unternehmen registriert sind.

Wenn Sie eine Site haben, die ausschließlich in Russland arbeitet, können Sie sich keine Sorgen über die Einhaltung der Anforderungen der DSGVO machen. Nichtsdestotrotz dürfen wir nicht vergessen, dass in Russland 152-FZ „Über personenbezogene Daten“ in Kraft ist (die aktualisierte Version trat am 1. Juli 2017 in Kraft), was die Anforderungen der DSGVO etwas wiederholt und auch die Arbeit mit personenbezogenen Daten von Kunden einschränkt.

Wer braucht eine Datenschutzerklärung auf der Website und wie man sie entwickelt

Was sind personenbezogene Daten?

Eine spezifische Liste von Informationen, die als personenbezogene Daten gelten, wird nirgendwo bereitgestellt. Personenbezogene Daten sind alle Informationen über eine Person, mit denen diese Person direkt oder indirekt identifiziert werden kann.

Grundprinzipien der Verordnung und Rechte der betroffenen Personen

Kurz gesagt, alle Regeln können als Offenheit und Respekt für die persönlichen Informationen Ihrer Kunden formuliert werden. Hier sind fünf Grundprinzipien:

  • Der Grundsatz der Legalität, Gerechtigkeit und Transparenz: Erklären Sie in Ihrer Datenschutzrichtlinie offen alle Methoden zur Erhebung und Verarbeitung personenbezogener Daten.
  • Das Prinzip der Zielbegrenzung: Geben Sie deutlich an, warum Sie diese Daten erfassen.
  • Das Prinzip der Speicherbeschränkungen: Geben Sie die Aufbewahrungsdauer an. Es ist nicht möglich, personenbezogene Daten länger als nötig zu speichern, um die angegebenen Ziele zu erreichen.
  • Das Prinzip der Datenminimierung: darf nur das für Ihre Zwecke notwendige Minimum sammeln.
  • Grundsatz der Integrität, Vertraulichkeit und Richtigkeit gesammelten Daten. Die Daten müssen korrekt und vertraulich sein.

Somit hat jeder Einwohner der EU-Länder eine Reihe von Rechten, die Sie respektieren müssen:

  • wissen, welche personenbezogenen Daten erhoben werden (welche, zu welchen Zwecken und wie lange sie gespeichert werden);
  • fordern Sie sie bei der Firma an;
  • verlangen, alle Daten zu löschen (das sogenannte Recht auf Vergessen).

Was der Websitebesitzer tun muss

  1. Stellen Sie sicher, dass das von Ihnen verwendete CRM-System die Grundrechte Ihrer Kunden bietet, dh Sie können:
    • Auskunft über die erhobenen personenbezogenen Daten geben,
    • ändern und ergänzen;
    • Daten auf Anfrage löschen.

Interessanterweise gibt es so etwas wie "das Recht auf Datenübertragbarkeit" (Recht auf Datenübertragbarkeit). Dies bedeutet, dass Sie auf Anforderung des Subjekts personenbezogener Daten alle seine Daten an eine dritte Organisation übertragen müssen - dies vereinfacht die Übertragung eines Kunden von einem Unternehmen zu einem anderen. Sei bereit dafür.

  1. Warnen Sie vor dem Sammeln von Informationen. Es reicht aus, ein Schild mit Text im unteren Bereich der Seite zu platzieren. Dies geschieht im Sinne von "Wir sammeln Cookies, um den Inhalt der Website zu personalisieren. Wenn Sie die Website weiterhin nutzen, stimmen Sie dem zu."

Hier zum Beispiel, wie Meduza vor der Verwendung von Cookies warnt. Link führt zum Artikel.

  1. Bestätigung zum Versenden von Mailings anfordern. Im E-Mail-Marketing wird dies als Double-Opt-In bezeichnet. Indem Sie einen Brief mit dem Text "Klicken Sie auf die Schaltfläche, um die Zustimmung zum Newsletter zu bestätigen" senden, erhalten Sie ausdrücklich die Zustimmung des Benutzers und beweisen, dass Sie diese E-Mail ehrlich erhalten haben (und beispielsweise keine Spam-Datenbank gekauft haben).

Hier ist der standard Mailchimp Double Opt-In Brief:

  1. Bitten Sie die Benutzer um Zustimmung zur Erhebung personenbezogener Daten. Die DSGVO verlangt von den Nutzern, dass sie der Verarbeitung personenbezogener Daten in expliziter Form (wie im obigen Beispiel) zustimmen. Setzen Sie dazu ein Häkchen neben das Datenerhebungsformular und klicken Sie auf das Häkchen, mit dem der Nutzer der Verarbeitung seiner personenbezogenen Daten zustimmt. Bitte beachten Sie, dass dieses Kontrollkästchen standardmäßig nicht aktiviert werden kann - der Benutzer muss dies selbst tun.
  1. Datenverlust melden. Die persönlichen Daten Ihrer Kunden sollten sehr sorgfältig überwacht und an einem sicheren Ort aufbewahrt werden. Wenn die Daten an Dritte weitergegeben werden, für die sie nicht bestimmt waren (Sie werden gehackt, gehen aufgrund von Unachtsamkeit oder Nachlässigkeit verloren oder verlieren sie auf andere Weise), müssen Sie die Benutzer innerhalb von fünf Tagen darüber informieren. Natürlich wird dies kein so großes Ereignis sein, wie Facebooks sensationelles Facebook im März durchgesickert ist, aber es gibt immer noch wenig Angenehmes.

Was passiert bei Nichteinhaltung?

Wie bei Verstößen werden die Schwere, die Anzahl der Opfer und die Ursachen berücksichtigt. Die Höchststrafe für Verstöße gegen die Verordnung kann bis zu 20 Millionen Euro oder 4% des Jahresumsatzes des Unternehmens betragen. Fallen Sie jedoch nicht sofort in Panik - dies ist die maximale Stufe, die bei der ersten Verletzung nicht angewendet wird. Zum ersten Mal werden Sie wahrscheinlich gewarnt und gebeten, alles mit den Vorschriften in Einklang zu bringen. Sie können auch ein Verbot oder eine Einschränkung der Verarbeitung personenbezogener Daten erhalten und nur als letztes Mittel eine Geldbuße (nicht unbedingt einen Millionen-Dollar).

Darüber hinaus kann die Nichteinhaltung der Gesetze Ihren Ruf und Ihr Vertrauen in das Unternehmen beeinträchtigen. Niemand möchte Ihren Newsletter abonnieren und dann unverständlichen Inhalt von Drittanbieterorganisationen erhalten.

Um die Rechte der Nutzer in jedem EU-Land zu schützen, wurden spezielle Datenschutzbehörden (Data Protection Authorities, DPA) eingerichtet. Nicht-EU-Länder müssen einen Vertreter in Europa benennen, der mit DPA zusammenarbeitet. Einzelheiten der Arbeit mit Ländern, die keinen Vertreter benannt haben, werden nicht bekannt gegeben. Es ist auch nicht vollständig bekannt, wie Unternehmen außerhalb der EU für Verstöße haftbar gemacht werden. Es ist jedoch wichtig zu verstehen, dass die Regeln trotz dieser Mehrdeutigkeit nicht ignoriert werden dürfen.

Es gibt keine Präzedenzfälle für dieses Gesetz. Es ist jedoch besser, alle Vorschriften zu erfüllen und auf sich selbst zu vertrauen.

Lassen Sie Ihren Kommentar