Am 25. Mai 2018 tritt die im April 2016 verabschiedete EU-Datenschutz-Grundverordnung in Kraft. Vielleicht haben Sie an anderer Stelle bereits darüber gelesen – Man spricht hier ebenfalls von der EU-DSGVO oder auf Englisch von der General Data Protection Regulation, kurz GDPR.
In Vorbereitung auf die EU-DSGVO, welche allgemein die Verarbeitung personenbezogener Daten regelt, arbeiten Unternehmen allerorts mit Hochdruck daran, ihre Datenschutzorganisation fristgemäß anzupassen. Dies ist auch dringend notwendig, denn bei einem Verstoß gegen die EU-DSGVO drohen Strafzahlungen von bis zu 20 Mio Euro bzw. 4% des Jahresumsatzes im letzten Geschäftsjahr eines Unternehmens. Darüber hinaus, stehen einer Person, deren Daten ohne Einwilligung verarbeitet wurden, umfangreiche Schadensersatzansprüche zu.
Warum gibt es neue Regelungen?
Die EU-Datenschutz-Grundverordnung ersetzt die Richtlinie 95/46/EG (Datenschutzrichtlinie), die 1995 von der Europäischen Gemeinschaft zum Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten erlassen wurde. Bei Datenschützern ist die veraltete Richtlinie unbeliebt, da sie für mangelnde Kontrollmöglichkeiten, schwache externe Übertragungsstandards sowie schlechte Durchsetzungsverfahren bekannt ist. Die EU-DSGVO zielt darauf ab, jedes der drei Ziele zu etablieren, zu stärken und zu vereinheitlichen. Der offizielle Implementierungs- und Durchsetzungsplan der EU-DSGVO beginnt am 25. Mai 2018 und wird für jeden gelten, der personenbezogene Daten in der Europäischen Union erhebt.
Die EU-DSGVO erhöht das Level des Datenschutzes für EU-Bürger und sieht sehr hohe Bußgelder für „Verantwortliche“ sowie „Auftragsverarbeiter“ vor, die sich nicht an die neuen Vorgaben halten. Darüber hinaus erweitert mit der EU-DSGVO die Befugnisse bereits etablierter lokaler Aufsichtsbehörden teilweise deutlich gestärkt.
Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?
Der „Verantwortliche“ bezieht sich auf jene, die über die Verarbeitung personenbezogener Daten entscheiden und der „Auftragsverarbeiter“ auf die, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten:
Der Verantwortlichen definiert sich wie folgt:
“Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.”
Personenbezogene Daten sind folgende:
“Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”
Auftragsverarbeiter definiert sich wie folgt:
“Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.”
Wen betrifft die EU-DSGVO?
Die Regelungen der EU-DSGVO betreffen jeden Verantwortlichen und Auftragsverarbeiter, der mit Daten in Berührung kommt. Es spielt keine Rolle, ob ein Unternehmen in den Vereinigten Staaten oder einem anderen Land außerhalb der Europäischen Union seinen Sitz hat. Sobald ein Unternehmen Daten eines EU-Bürgers erhebt, ist dieses an die EU-DSGVO gebunden.
Was Sie als unser Kunde jetzt tun sollten?
Der Verantwortliche hat die Pflicht, die Einhaltung der Vorgaben im Rahmen der EU-DSGVO zu gewährleisten. Unabhängig davon mit welchem Dienstleister (Auftragsverarbeiter) Sie aktuell zusammenarbeiten, ist zukünftig sicherzustellen, dass keine personenbezogenen Daten erfasst werden und die Datenverabreitung im Optimalfall ausschließlich innerhalb der EU stattfindet.
Als Kunde von Mouseflow empfehlen wir Ihnen die folgenden Vorkehrungen frühstmöglich zu treffen:
- Exkludieren Sie sämtliche personenbezogenen Daten (PII) der Besucher Ihrer Website vom Tracking
- Zeichnen Sie sich selbst auf, um sicherzustellen, dass keinerlei PII mehr in den Aufzeichnungen auftauchen
- Führen Sie Testbesuche auf Ihrer eigenen Website durch und prüfen Sie anschließend Ihre Aufzeichnungen
- Wenn Sie sich nicht sicher sind, kontaktieren Sie alsbald unseren Support, um Ihnen auch helfen zu können
Bitte beachten Sie: Sämtliche Ausführungen in diesem Artikel sind nur beispielhafte Hinweise und stellen keine Rechtsberatung dar – wir empfehlen Ihnen ausdrücklich, die spezifischen Anforderungen für Ihr Unternehmen zur Erfüllung der EU-DSGVO mit einem Anwalt zu besprechen.