Persönliche Daten — es ist ein Schlagwort, das die Nachrichten überflutet und uns dazu bringt, über unsere Online-Identität und deren Verwendung durch andere Websites und Unternehmen nachzudenken.
Online-Unternehmen und Website-Betreiber fungieren oft als Verwalter sensibler persönlicher Daten, die sie gesammelt haben. Mit der kürzlichen Implementierung der DSGVO — umfassenden Vorschriften zur Datensicherheit und Privatsphäre in der EU — könnten Sie sich Sorgen machen, wie Sie die Informationen anderer speichern und schützen und ob diese Daten sicher und geschützt sind.
Sind Sie nicht?
Die neuen Datenschutzgesetze der EU legen die Verantwortung auf Sie, sicherzustellen, dass Sie konform sind, aber wir sind hier,
um Ihnen einige Hinweise zu geben. Die Allgemeine Datenschutzverordnung konzentriert sich darauf, den Bürgern mehr Kontrolle über ihre
Daten im Web zu geben.
Zusätzlich dazu, den Benutzern die Entscheidung zu ermöglichen, was mit ihren Informationen geschieht, beinhaltet die DSGVO auch neue Regeln darüber, wie Organisationen diese Daten behandeln sollten. All dies kann einige Maßnahmen Ihrerseits erfordern — selbst wenn Sie nicht in der EU ansässig sind. Hier ist, was Sie wissen müssen und was Sie tun können, um auf dem Laufenden zu bleiben.
Verwandt: DreamHost ist GDPR-konform
Was Sie über die DSGVO wissen müssen
1. Die DSGVO ist da.
Das ist richtig: Die DSGVO trat am 25. Mai 2018 in Kraft. Das bedeutet, dass, wenn Sie Ihre Website noch nicht aktualisiert haben, um den Anforderungen zu entsprechen, Sie mit dem Nachholen beginnen müssen. Der Rest dieses Artikels wird Ihnen einige Tipps und Ressourcen dazu geben, was das beinhaltet. Keine Panik! Nachdem Sie diesen Artikel gelesen haben, empfehlen wir Ihnen, sich auf der offiziellen DSGVO-Website weiter zu informieren.
2. Die DSGVO gilt für die „personenbezogenen Daten“ von Personen in der EU.
Es kann viele Gründe geben, warum eine Website Benutzerdaten sammelt: um einen Kauf zu erleichtern, eine Mailingliste zu verteilen, Werbung zu
zielen, oder um die beliebteste Art von Inhalt zu bestimmen. Unabhängig vom Zweck, wenn diese Daten eine
Person betreffen, die die Seite aus einem EU-Mitgliedsstaat besucht, gilt die DSGVO.
Website-Besucher müssen nicht einmal EU-Bürger sein — wenn sie aus beispielsweise Ghana oder Brasilien die EU besuchen und
Ihre Seite besuchen, muss Ihre Seite ihre Rechte unter der DSGVO schützen.
Obwohl die Regelung ihren Ursprung in Europa hat, ist sie tatsächlich weitreichender, als es auf den ersten Blick scheint. Wenn Ihr Unternehmen irgendeine Verbindung zu Europa hat, sei es durch Kunden oder Partner (auch nur einen!), sollten Sie sich darüber im Klaren sein, was das Gesetz verlangt.
3. Die Definition von personenbezogenen Daten wird in der DSGVO erweitert.
Wenn wir an persönliche Daten denken, fallen uns Dinge wie Name, Adresse und Telefonnummer ein. Laut der Definition der DSGVO steckt jedoch viel mehr dahinter. Über die Details hinaus, die normalerweise als personenbezogene Informationen betrachtet werden würden, besagt die DSGVO, dass jegliche Informationen, die „spezifisch für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser Person“ sind, unter Schutz stehen.
Angesichts dieser breiten Parameter ist es sicher anzunehmen, dass alles, was eine Person identifiziert, unter die
Definition von personenbezogenen Daten fallen kann. Wenn Sie sich nicht sicher sind, ob es zählt, tut es das wahrscheinlich! Tatsächlich ist die Definition der DSGVO für
personenbezogene Informationen „jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht.“ Also,
da haben Sie es.
4. Jede Einheit, die diese Daten kontrolliert und verarbeitet, muss sich daran halten.
Die tatsächlichen DSGVO-Dokumente beziehen sich auf Sammler und Verarbeiter personenbezogener Daten. Nicht sicher, ob Sie ein
Controller oder ein Verarbeiter sind? Lesen Sie weiter.
Ein Datenverantwortlicher ist eine Einheit — ein Unternehmen, eine Organisation oder eine Einzelperson —, die Entscheidungen darüber trifft, welche Daten gesammelt werden und wie sie verwendet werden. Ein Datenverarbeiter sammelt, speichert und überträgt diese Daten, sobald sie gesammelt sind. Wenn also Ihre Organisation irgendwelche Daten von Personen in der EU handhabt oder mit einer zusammenarbeitet, die dies tut, ist es Zeit, sich anzuschließen.
5. Die neuen Gesetze erfordern eine Zustimmung zur Datenerhebung.
Sie haben vielleicht bemerkt, dass viele Websites und Apps in letzter Zeit ihre Datenschutzrichtlinien und Nutzungsbedingungen aktualisiert haben.
Das liegt alles an der DSGVO. Wenn eine Organisation erwartet, dass jemand aus der EU ihre Website besucht, muss das Unternehmen
Informationen einbeziehen, die um Zustimmung zur Datenerhebung der Nutzer bitten.
Verwandt: Ihre 2020 Website-Redesign-Checkliste
Die aktualisierten Richtlinien müssen Informationen darüber enthalten, welche Daten gesammelt werden, warum sie gesammelt werden, wie lange sie gespeichert werden, sowie wie sie verwendet werden und wer Zugang zu den Daten hat. All dies muss auf der Website an einer gut sichtbaren Stelle klar angegeben werden.
Die GDPR-Konformität erfordert eine aktive Zustimmung — nicht passive Methoden, wie ein vorausgewähltes Kästchen. Die GDPR wird wenig
Toleranz für dunkle UX-Praktiken haben, die
Menschen dazu bringen, sich für Dinge zu entscheiden oder schlechtes Blogdesign zu akzeptieren, das
relevante Informationen verbirgt.
Diese Hinweise sind erforderlich, auch wenn nur die grundlegendsten Arten von Daten gesammelt werden. USA Today hat einen interessanten Ansatz zur Einhaltung der GDPR gewählt, indem zwei separate
Instanzen ihrer Website gehostet werden — eine für EU-Nutzer und eine andere für alle anderen. Die auf die EU ausgerichtete Website sammelt keine
Informationen außer der IP-Adresse eines Benutzers, um ihn auf die richtige Website zu leiten — aber USA Today muss trotzdem
den Nutzern mitteilen, dass das Unternehmen diese Informationen sammelt.
6. Es gibt strengere Anforderungen an die Datensicherheit gemäß der DSGVO.
Im Vergleich zur vorherigen EU-Gesetzgebung zum Datenschutz von personenbezogenen Daten (der Datenschutzrichtlinie, umgesetzt in 1998), hat die DSGVO präzisere Verantwortlichkeiten für Datenverantwortliche und -verarbeiter, wenn es um Sicherheit geht.
Wenn Sie mit persönlichen Daten von Personen umgehen, müssen Sie die notwendige Sorgfalt walten lassen, um sicherzustellen, dass die Informationen vollständig geschützt sind. Es gibt mehrere Lösungen dafür, abhängig von den gesammelten Daten, den verfügbaren Technologien und Ihrem Budget. Einige Sicherheitsmaßnahmen, die die DSGVO vorschlägt, umfassen die Verschlüsselung von Daten, die Gewährleistung, dass Systeme und Dienste Vertraulichkeit ermöglichen, die Bereitstellung der Möglichkeit, den Zugang zu persönlichen Daten wiederherzustellen, und die Aufrechterhaltung eines Prozesses zur Bewertung der Systemsicherheit.
Dies sind nur einige der Strategien, die Organisationen verwenden können, um zu demonstrieren, dass sie die DSGVO einhalten. Sie haben diese möglicherweise bereits berücksichtigt oder müssen einige Komponenten zu Ihrem Sicherheitsplan hinzufügen.
Mit diesen neuen Standards könnten Sie besorgt sein über die Kosten für Ihr Unternehmen, um den Anforderungen gerecht zu werden. Sicherheit muss jedoch nicht teuer sein. Mehrere Anbieter — einschließlich DreamHost — schließen
SSL/TLS-Zertifikate kostenlos ein, um den Webverkehr zu Kundenseiten zu verschlüsseln.
7. Datenverstöße müssen den Personen gemeldet werden, deren Daten kompromittiert wurden.
Ein weiterer neuer Aspekt der Datenschutzgesetze, wie von der DSGVO vorgeschrieben, ist die Verpflichtung, Benutzer zu benachrichtigen, wenn eine Datenschutzverletzung aufgetreten ist und ihre persönlichen Informationen betreffen könnte. Die DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als ein Ereignis, das zur „zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum Zugriff auf übermittelte, gespeicherte oder auf andere Weise verarbeitete personenbezogene Daten führt.“ Dies schützt weit über das Risiko von Betrug oder Identitätsdiebstahl hinaus (was aus dem Zugriff auf Finanzunterlagen resultieren würde), um auch den unbefugten Zugriff auf alles zu umfassen, was als persönlich identifizierbare Informationen definiert ist.
Wenn eine Verletzung personenbezogener Daten eintritt, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt“,
haben die Datenverantwortlichen die Pflicht, die betroffenen Personen schnell zu benachrichtigen. Es gibt wenige Ausnahmen von dieser Regel,
wie etwa, wenn verschlüsselte Daten für unbefugte Benutzer unverständlich wären oder wenn der Verantwortliche nach der Verletzung Maßnahmen ergreift, um das Risiko zu verhindern. Die Einzelheiten dieser Regel können Interpretationen und Diskussionen offenlassen, aber im Zweifelsfall nimmt die DSGVO eine starke, umfassende Haltung zum Schutz der Benutzerdaten ein.
Wenn der Datenverantwortliche eine Hauptniederlassung in der EU hat, muss er auch die Aufsichtsbehörde im EU-Mitgliedstaat benachrichtigen, in dem sich die Organisation befindet. Diese Mitteilung muss innerhalb von 72 Stunden erfolgen, nachdem die Verletzung identifiziert wurde.
Das Hosting der Website Ihrer Organisation auf einem sicheren und stabilen Server hilft, Datenschutzverletzungen zu verhindern. DreamHosts Pläne bieten alle erstklassige Sicherheit durch Let’s Encrypt SSL/TLS-Zertifikate, die Daten, die durch eine DreamHost-Seite reisen, sicher verschlüsseln.
Wenn Sie sich zwischen Shared Hosting und VPS Hosting entscheiden, können Sie sicher sein, dass personenbezogene Daten gesichert sind. Unsere dedizierten Hosting-Pläne schützen persönliche Daten noch strenger.
8. Datenkontrolleure müssen Benutzern Zugang zu ihren Daten gewähren, wenn dies angefordert wird.
Die Bedeutung dieses Aspekts der DSGVO ist klar: Wenn ein Benutzer die Daten sehen möchte, die Sie über ihn gesammelt haben,
müssen Sie diese innerhalb einer angemessenen Zeit übergeben. Der Weg, dies zu erreichen, könnte jedoch etwas mehr
verschlungen sein, je nach Ihren aktuellen Umständen.
Um diese Anfragen zu gewähren, benötigen Sie ein System, über das Kunden Anfragen stellen können, und Personal, das diese erfüllen kann.
Technologie, die den Export persönlicher Daten ermöglicht, ist ebenfalls notwendig. In Artikel 15 skizziert die DSGVO mehrere andere damit verbundene Rechte zur
Information, wie zum Beispiel, wer Zugang zu den Daten hat und wie lange sie gespeichert werden.
9. Nutzer in der EU haben das „Recht auf Vergessenwerden“.
Ein weiterer Bestandteil in Bezug auf den Datenzugriff ist das, was die DSGVO als „das Recht auf Vergessenwerden“ bezeichnet. In Artikel 17 wird den Bürgern das Recht eingeräumt, die Löschung ihrer Daten aus dem System eines Verantwortlichen zu verlangen. Sie können dies aus verschiedenen Gründen tun, zu denen auch der Widerruf der Einwilligung zur Datenverarbeitung gehört.
Das Gesetz liest sich so, als ob es einen legitimen Grund für die Anforderung der Löschung personenbezogener Daten geben könnte. Es gibt jedoch
Hinweise darauf, wann eine Organisation eine solche Anforderung ablehnen könnte. Wenn die Verarbeitung der Daten als notwendig erachtet wird für
„die Ausübung des Rechts auf Meinungsfreiheit und Informationsfreiheit“, die Erfüllung rechtlicher Verpflichtungen oder die Feststellung rechtlicher
Ansprüche, oder das Dienen des öffentlichen Interesses auf bestimmte Weise, muss eine Organisation nicht nachkommen.
10. Brexit schließt das Vereinigte Königreich noch nicht von der DSGVO aus.
Die DSGVO gilt trotz des bevorstehenden Austritts aus der EU weiterhin für Unternehmen in Großbritannien. Sobald der Brexit offiziell vollzogen ist, wird die DSGVO nicht mehr die britische Datensicherheit regeln. Das britische Datenschutzgesetz ist jedoch fast identisch mit der DSGVO — bis hin zum gleichen Startdatum am 25. Mai. Wenn Sie DSGVO-konform sind, sollten Sie auch mit dem britischen Gesetz abgedeckt sein.
11. Die Verletzung der Bedingungen der DSGVO ist mit hohen Kosten verbunden.
Versuchen Sie nicht, sich vor der Einhaltung der DSGVO zu drücken oder sie zu ignorieren — es wird Sie teuer zu stehen kommen. Die höchsten Strafen für Nichteinhaltung umfassen Geldbußen von bis zu 20 Millionen Euro (mehr als 23 Millionen US-Dollar) oder 4 Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Diese Art der Bestrafung wäre für die schlimmsten Verstöße reserviert, aber es lohnt sich nicht herauszufinden, wie kleinere Vergehen behandelt werden.
Abgesehen davon, dass sie Ihr Geld nehmen, könnten die Datenschutzbehörden der EU auch einige Datenverarbeitungsprivilegien
von Ihrem Unternehmen entziehen – oder Ihnen sogar verbieten, Daten vollständig zu sammeln. Tun Sie einfach das Richtige!
12. Der Schwerpunkt der neuen Regeln liegt auf rechtmäßiger Nutzung und fairem Geschäft.
Die DSGVO soll die Datenschutzvorschriften aller EU-Mitgliedstaaten vereinheitlichen. Mit den neuen Gesetzen sind die Regeln klarer
und das Spielfeld ist ausgeglichener, wie EU-Unternehmen die Sammlung und Nutzung persönlicher Daten handhaben. Gleichzeitig
stellt es eine Belastung für Unternehmen in anderen Ländern dar, konform zu sein.
Jedoch könnte der Vorstoß für Sicherheit und Transparenz langfristig gut für das Geschäft sein, und es hat alles mit der Kundenwahrnehmung zu tun. In den letzten Jahren gab es einen Anstieg bei Datenschutzverletzungen, sowie vermehrte Öffentlichkeit rund um die Sammlung und Nutzung von Personendaten.
In diesem Zeitalter des Datenaustauschs soll die DSGVO auch das Vertrauen der Bürger in Unternehmen erhöhen, indem sie ihnen
größeren Schutz bietet. Die Vorschriften gelten weithin als Gewinn für die Rechte an der Privatsphäre von Einzelpersonen. Es mag zwar schmerzhaft sein, Datenschutzhinweise aktualisieren zu müssen — und möglicherweise die Richtlinien zur Datennutzung in Ihrem Unternehmen ändern zu müssen —, die
DSGVO bietet jedoch die Möglichkeit, das Vertrauen der Kunden im Handel zu stärken. Die Philosophie ist kurz gesagt, dass das, was
gut für den Kunden ist, auch gut für das Geschäft ist.