DSVGO - das ist die Abkürzung für die Datenschutz-Grundverordnung, die für alle Länder, die Mitglied der Europäischen Union sind, gilt. Seit dem 25. Mai 2018, dem Tag, an dem sie in Kraft trat, soll sie die Verbraucherrechte stärken und den Datenschutz auf europäischer Ebene vereinheitlichen. Gerade als neues Unternehmen weiß man bei den ganzen Verordnungen, Regeln und anderen Verpflichtungen, wie zum Beispiel für ergonomische Möbel zu sorgen, meist gar nicht, wo man anfangen soll. Deswegen haben wir die wichtigsten Maßnahmen in diesem Artikel für dich zusammengefasst.
Wer sich nicht an die Verordnung hält, fährt Gefahr, ein happiges Bußgeld zu bekommen und bei den insgesamt 99 Artikeln, die in der Datenschutzgrundverordnung stehen, muss so einiges beachtet werden. Das Bußgeld kann bis zu vier Prozent des Bruttojahresumsatzes sein, maximal jedoch 20 Millionen Euro. Es kann außerdem auch zu Klagen oder Abmahnungen kommen. Nicht nur Unternehmen müssen sich an die DSGVO halten, sondern auch Vereine, Freiberufler oder Selbstständige müssen sich daran halten, sobald sie mit Daten von Bürgern der Europäischen Union arbeiten.
Das Ziel der DSGVO
Mit der Datenschutz-Grundverordnung sollen Daten so gut wie möglich vor dem Zugriff Dritter geschützt werden und so vertraulich wie möglich behandelt werden. Besonders gilt dies für persönliche Daten wie Name, Adresse, Kontaktdaten, Geburtsdatum oder der IP-Adresse, denn wenn diese Daten an die falschen Hände geraten, dann kann das so einige Konsequenzen haben. Das kann bis hin zum Identitätsdiebstahl gehen, allerdings kann auch das Bekanntwerden bestimmter Informationen über eine Person, wie zum Beispiel über Erkrankungen oder über eine sexuelle Ausrichtung Nachteile für diese Person haben. Nur in Ausnahmefällen, zum Beispiel, wenn ein Arzt schnell Informationen über einen Patienten braucht, kann man den besonderen Schutz umgehen. Auch Daten wie die sexuelle Ausrichtung dürfen, wenn es relevant ist, abgefragt werden. Das wird zum Beispiel dann gemacht, wenn eine Person Blut spenden will. Hier können sogar auf Seiten der Person rechtliche Sanktionen folgen, wenn falsche Angaben gemacht werden. Die DSVGO gilt dabei sowohl analog bei Daten auf dem Papier als auch bei der digitalen Verarbeitung von Daten. Sogar Daten, die bei der Videoidentifizierung mit dem VideoIdent-System erfasst werden, sind in der Regelung mit miteinbegriffen. Da die Grundverordnung alle Bürger der EU schützen will, müssen sich sogar Unternehmen außerhalb der EU an die Verordnung halten, sobald sie ihr Produkt innerhalb von Europa vermarkten wollen. Konzerne wie Meta, Google, Samsung oder Microsoft müssen sich zum Beispiel genauso wie deutsche Unternehmen an die DSGVO halten. Auch für diese Unternehmen drohen sonst dieselben Strafzahlungen, die bei so großen Unternehmen wie Google oder Apple besonders hoch ausfallen würden.
Um zu verhindern, dass das passiert, haben wir hier die wichtigsten Punkte der DSVGO zusammengefasst:
Einwilligung nötig
Um Daten zu verarbeiten ist immer eine Einwilligung zur Datenverarbeitung nötig. Ansonsten fand die Verarbeitung der Daten nicht rechtens statt und es drohen rechtliche Konsequenzen. Das fängt bereits schon an, wenn man einen Newsletter für das Unternehmen hat, bei dem die Person lediglich die E-Mail-Adresse angibt.
Internetpräsenz sicher gestalten
Wenn bei deiner Internetpräsenz, zum Beispiel auf einer Webseite, aber auch auf Profilen auf Social Media, Daten verarbeitet werden, ist es wichtig die Seiten sicher zu gestalten. Zur Leitung von Daten des Benutzers sollte unbedingt eine SSL-Verschlüsselung genutzt werden, um dies sicherer zu gestalten. Jedes Mal, wenn auf der Seite oder auf dem Profil etwas geändert wird, sollte auch geprüft werden, ob die Einstellungen für die Sicherheit aus Versehen mit verändert wurden oder sich von selbst mit verändert haben.
Bei einem Angriff durch einen Hacker hat zwar der Hacker selbst die Tat begangen, allerdings kann der Angriff vor dem Gericht auch zulasten deines Unternehmens gewertet werden, wenn es auf deinen Seiten nicht ausreichend Schutz gab.
Hackerangriffe mit Datendiebstahl können Ihnen zur Last gelegt werden, wenn Ihnen nachgewiesen werden kann, dass Sie Ihre Seiten nicht ausreichend geschützt haben.
Digitale Daten und Dokumente richtig aufbewahren
Sicherheit geht bei der Speicherung oder Aufbewahrung von Daten absolut vor. Wenn du einen Cloud-Service nutzt, solltest du auf die Professionalität und die Sicherheit des Services achten. Auch Festplatten sollten immer passwortgeschützt sein und, genauso wie wichtige Papiere an einem diebstahlsicheren Ort aufbewahrt werden.
Verarbeitungstätigkeiten verzeichnen
Wer genau die Daten empfängt, die verarbeitet werden, und was mit den Daten passiert, soll nach Artikel 30 der DSGVO in einer schriftlichen Dokumentation rund um den Umgang mit personenbezogenen Daten dargestellt werden.
Auch wer einen externen Dienstleister beauftragt, kann sich nicht aus dieser Verpflichtung entziehen, sondern braucht trotzdem eine Stellungnahme oder einen entsprechenden Vertrag, in dem alles Wichtige steht.
Manche Firmen brauchen einen Datenschutzbeauftragten
Sobald eine Firma eine gewisse Größe erreicht hat oder auch wenn das Unternehmen bestimmte Tätigkeiten anbietet, muss dieses Unternehmen einen Datenschutzbeauftragten haben, der sich um die Umsetzung der DSGVO kümmert. Diese Person kann direkt bei deinem Unternehmen angestellt sein oder von außerhalb kommen, muss aber auf jeden Fall die nötigen Qualifikationen haben. Wenn das Unternehmen einen Datenschutzbeauftragten hat, dann muss dieses auch die Kontaktdaten dieser Person veröffentlichen, denn sie ist Ansprechpartner für Behörden und Betroffene und kümmert sich um das Verzeichnis der Verarbeitungstätigkeiten. Gleichzeitig hat der Datenschutzbeauftragte aber auch die firmeninternen Aufgaben der Aufklärung über die durch die DSVGO auferlegten Pflichtung und der Überwachung der Umsetzung.
Die richtige Reaktion nach einem Hackerangriff
Hackerangriffe können potenziell jedem passieren. Wer Opfer von digitalen Datendiebstahl wurde, sollte dies auf jeden Fall der Polizei melden und alle wichtigen Passwörter ändern sowie die Sicherheitseinstellungen aktualisieren. Es ist außerdem bei Webseiten sinnvoll, diese vom Netz zu nehmen, bis sich das Problem beseitigen ließ.
Als Unternehmen sollte man außerdem die Kunden frühzeitig informieren. Dann kann auch hier gegebenenfalls das Passwort geändert werden und die Kunden bekommen die Nachrichten nicht über die Medien mit, was das Vertrauen in das Unternehmen deutlich erschüttern würde.