Inhaltsverzeichnis:
Video: 34a-Prüfung: Datenschutzrecht (DSGVO, BDSG 2018) (November 2024)
Für viele Unternehmen, insbesondere für viele kleine bis mittelständische Unternehmen (KMUs), ist der tatsächliche Speicherort ihrer Daten möglicherweise ein Rätsel. Angenommen, Sie arbeiten auf einem cloudbasierten Servercluster in der Region Northern Virginia, die zu Amazon Web Services (AWS) gehört. Das heißt, Ihre Daten befinden sich in Nord-Virginia, oder? Na ja, wahrscheinlich. Angenommen, Sie arbeiten mit Unternehmen oder Einzelpersonen in Europa zusammen. Dann sind die Daten über diese Entitäten wahrscheinlich auch in dieser Region. Und in sehr kurzer Zeit könnte dies ein Problem sein.
Abgesehen von der DSGVO gibt es noch weitere Bestimmungen zu grenzüberschreitenden Datenflüssen, die Sie ebenfalls berücksichtigen müssen. Dies liegt daran, dass es möglicherweise problematisch ist, Daten eines EU-Bürgers (oder eines in der EU lebenden Bürgers, der kein Staatsbürger ist) auf dem Weg durch ein anderes Land zu senden. Das bedeutet, dass Sie mehr wissen müssen als nur, wo es sich befindet, wenn Sie es aufbewahren: Sie müssen wissen, wohin es sich zwischen Ihnen und Ihrem Kunden oder Mitarbeiter bewegt.
Ich werde nicht auf die drakonischen Strafen eingehen, die möglicherweise auf Sie warten, wenn Sie gegen die Regeln der DSGVO verstoßen, da sie in dieser Kolumne und an vielen anderen Stellen in der Vergangenheit beschrieben wurden. Sagen wir einfach, Sie möchten nicht, dass diese Strafen jemals auf Sie angewendet werden.
7 Wege zur Einhaltung der DSGVO
Solange Sie jedoch einige vorbeugende Maßnahmen ergreifen, sollten Sie sich keine Gedanken über Strafen machen müssen. Es gibt einige ziemlich einfache Dinge, die Sie tun können, um Probleme zu vermeiden. Hier sind sieben davon, in der Reihenfolge, in der es am einfachsten oder am schwierigsten ist.
Sammeln Sie keine persönlichen Daten von Personen in der EU. Wenn Ihre Website die Möglichkeit bietet, persönliche Informationen (z. B. Name und Adresse) bei der Registrierung auf Ihrer Website anzugeben, akzeptieren Sie entweder keine Registrierungen aus der EU oder akzeptieren Sie diese überhaupt nicht.
Wenn Sie personenbezogene Daten von Personen in der EU akzeptieren müssen (möglicherweise, weil Sie eine E-Commerce-Website haben, auf der Inhalte verkauft werden), müssen Sie die Daten auf einem Cloud-Server innerhalb der EU-Grenzen speichern. In vielen Fällen handelt es sich lediglich um die Konfiguration eines Infrastructure-as-a-Service-Serverclusters (IaaS) mithilfe der europäischen Website Ihres aktuellen Cloud-Anbieters. Wenn Sie eine kurze Zusammenarbeit mit den meisten professionellen Dienstleistern der Cloud-Anbieter finanzieren, übernehmen diese diese Aufgabe für Sie. Und wenn Sie das Glück haben, mit ihren in Europa ansässigen Beratern in Kontakt zu treten, erhalten Sie wahrscheinlich auch zertifizierte Tests und die richtige Dokumentation.
Es gibt zwar Zeiten, in denen Sie Daten in die USA oder in eines der wenigen anderen Länder in Europa verschieben können, aber es gibt Grenzen. In den USA basieren sie auf dem Privacy Shield, einem Abkommen zwischen den USA, der EU und der Schweiz, das Schutzanforderungen für Daten festlegt, die zwischen den USA und diesen Ländern fließen. Es ist wahrscheinlich eine gute Idee, wenn Ihre Organisation bescheinigt, dass sie die Datenschutzanforderungen der DSGVO erfüllt. Das EU-Recht sieht jedoch vor, dass die Erfassung und Speicherung von Daten nur auf das beschränkt ist, was zur Ausführung der unmittelbaren Aufgabe erforderlich ist. Das bedeutet, dass jemand, der mit GDPR-Details vertraut ist, Ihre verschiedenen Datenflüsse verfolgt. Dies ist zwar mühsam, aber die einzige Möglichkeit, um sicherzustellen, dass Sie die Vorschriften einhalten.
Wenn Sie Daten verarbeiten müssen, sei es in der EU oder in den USA, müssen Sie bestimmte Anforderungen erfüllen, einschließlich der Ernennung eines Datenschutzbeauftragten. Sie müssen auch einen Workflow einrichten, der dem Entfernen von Daten gewidmet ist, wenn diese nicht mehr benötigt werden. Dies kann besonders komplex werden, da sichergestellt werden muss, dass Sie die persönlichen Informationen von Personen entfernen können, die vergessen werden möchten. Ehrlich gesagt, ist dies ein weiterer Grund, zweimal darüber nachzudenken, Informationen über Personen aus der EU zu speichern.
Wenn Sie wirklich in der EU Geschäfte tätigen müssen, sollten Sie sich wahrscheinlich überlegen, ob Sie dort präsent sind und nicht nur einen Cloud-Account mit einem Server oder einem Filesharing-Dienst für Unternehmen in Europa. Vielleicht möchten Sie ein Unternehmen engagieren, um Ihre Angelegenheiten in Europa zu erledigen, oder Sie möchten ein Büro eröffnen, da die Besetzung von GDPR-Experten und -Beratern auf dieser Seite des Teiches einfacher ist Die Welt wird in Europa von Natur aus einfacher sein als anderswo.
Wenn Sie ein Büro eröffnen, müssen Ihre Mitarbeiter in Europa auch ihre Informationen gemäß den Regeln der DSGVO behandeln lassen. Während in den USA Mitarbeiterakten geführt werden können, müssen Sie die Regeln einhalten, einschließlich der Tatsache, dass keine Informationen gespeichert sind, die für einen Mitarbeiter zur Ausübung seiner Arbeit nicht unbedingt erforderlich sind. Sie müssen auch die Erlaubnis des Mitarbeiters einholen, persönliche Informationen zu speichern (möglicherweise, damit er oder sie bezahlt werden kann), aber Ihr Datenschutzbeauftragter muss alle gespeicherten Daten auswerten, um sicherzustellen, dass dies erforderlich ist. Zum Beispiel kann man nicht nach dem Foto fragen, es sei denn, es gibt einen Grund, und dann muss man eine genaue Begründung geben, wie es verwendet wird. Dem Mitarbeiter muss gestattet werden, ohne Auswirkungen abzulehnen.
Nun zum komplizierten Teil: Die IT-Abteilung muss jederzeit feststellen können, wo sich die geschützten Daten befinden, wo sie sich während der Verwendung befinden, wo sie gespeichert sind und wie sie geschützt sind. Nur zu sagen, dass es sich auf Ihrem Cloud-Server in Irland befindet, reicht nicht aus. Ihre Mitarbeiter müssen wissen, wie es auf diesen Server gelangt, was mit ihm geschieht, wenn es verwendet wird, und wie es geschützt ist - im Detail. Am besten stellen Sie Experten ein, die dies für Sie erledigen, zumindest die ersten Zuordnungen und die Auswahl der Verwaltungstools, mit denen diese Informationen verwaltet werden. Ein Datenschutzbeauftragter und Support-Mitarbeiter werden eventuell erforderlich sein, aber kurzfristig tun die meisten Unternehmen gut daran, zumindest einen Berater zu engagieren, der über nachweisliches Fachwissen verfügt.
Für die Procrastinators
Natürlich, um es nicht zu genau zu sagen, aber das alles hättest du schon tun sollen. Trotzdem ist die Realität des Alltagsgeschäfts so, wie sie ist. Viele von Ihnen, die dies lesen, haben sie wahrscheinlich nicht gelesen. Nun, da das Datum im Grunde genommen bei Ihnen liegt, sollten Sie zumindest wissen, wo sich Ihre Daten befinden. Und wenn es nicht dort ist, wo es sein soll, dann siehe Punkt 1 oben, bis Sie es herausgefunden haben.
Während Sie dies tun, ist es eine gute Idee, ein Einwilligungsformular zu veröffentlichen, bevor jemand auf den Teil Ihrer Website zugreifen kann, der nach persönlichen Informationen fragt. Sagara Gunathunge, Vice President des Apache Web Services-Projekts und Director bei WSO2, bietet einige frei verfügbare Beispiele für Einverständniserklärungen für eine Vielzahl von Zwecken. Denken Sie jedoch daran, dass Sie nachverfolgen müssen, wer diese Formulare ausfüllt, damit Sie einen direkten Link zu den von Ihnen gesammelten Informationen anzeigen können und ob diese in der EU oder anderswo gespeichert sind. Stellen Sie sicher, dass die Informationen klar und präzise formuliert sind und sagen Sie genau, was mit den gesammelten Informationen geschieht. Ja, es ist ein Schmerz im Nacken. Die andere Wahl ist Option 1.
