Im Zentrum der EU Datenschutz Grundverordnung stehen 7 Grundsätzen zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Es kommt darauf an, dass sich Unternehmen und Organisationen diese Prinzipien zu eigen machen.
Tag: "Datenschutz"
6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Zweifelsohne wird die EU Datenschutz Grundverordnung (DSGVO) vor allem die IT und Rechtsabteilungen von Unternehmen beschäftigen und herausfordern. Aber es hieße die DSGVO in ihrer Tragweite völlig zu unterschätzen, blieben die Herausforderungen darauf beschränkt. Marketing und Vertrieb sind ebenso gefordert und in der Pflicht.
Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Auf Seiten von Unternehmen und Organisationen bedeutet dies umfangreiche Informationspflichten. Diese sind in Artikel 13 und 14 DSGVO geregelt
„Betroffenenrechte” zählen zu den großen Errungenschaften der DSGVO (EU Datenschutz-Grundverordnung). Damit ist die gesetzliche Festschreibung von Rechten Betroffener gemeint, die diese gegenüber all jenen haben, die ihre personenbezogenen Daten verarbeiten (im Gesetz „Verantwortliche” genannt). Zu wenige Menschen wissen um diese Rechte. Am ehesten noch ist aus der medialen Berichterstattung das Recht auf Auskunft (Artikel 15 DSGVO) bekannt. Leider klären viele Unternehmen, Verbände und Organisationen et cetera (also „Verantwortliche”) Betroffene über diese Rechte nicht oder nur unzureichend auf, obwohl sie dazu verpflichtet wären (siehe Informationspflicht nach DSGVO
nach Artikel 13 und 14 DSGVO).
Eine übersichtliche Zusammenstellung der Betroffenenrechte mit Verweis auf die jeweiligen Gesetzestexte:
Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?
Cookies: Beispiele aus der Praxis
Zahllose Unternehmen und Organisationen sind verunsichert, was den rechtskonformen Gebrauch von Cookies und die Nutzung von Cookie-Bannern anbetrifft. Nutzer, die Webseiten aufrufen, wissen zum Großteil nicht, was es überhaupt mit diesen Cookie-Bannern auf sich hat. Die überwiegende Zahl dieser Nutzer empfindet die Banner als Störung und klickt „OK” oder „Akzeptieren”, um die störenden Balken los zu werden, ohne sich damit auseinander zu setzen. Dabei geht es um den Schutz der Privatsphäre, den Schutz personenbezogener Daten. Manche dieser Daten, die durch Cookies gesammelt werden haben immerhin einen hohen monetären Wert: Da werden schon einmal bis zu 350 EUR für eine Information gehandelt.
Dieses Verhalten nutzen manche Webseiten-Betreiber aus, um schnell zu einer vermeintlichen Einwilligung zu kommen. Diese setzt der Gesetzgeber vor einer Verarbeitung personenbezogener Daten voraus. Aber so, wie das oft passiert, sind die Einwilligungen nicht rechtskräftig, da sie nicht rechtskonform zustande gekommen sind. Es zeigt sich also auch hier ein hohe Informationsdefizit bei den Betreibern. Das kann aber durchaus teuer werden. Schon jetzt können bei Missbrauch in Österreich bis zu 37.000 EUR Strafe verhängt werden (§109 Absatz 3 TKG (2003)). (Siehe dazu Cookies und der Datenschutz
)
Diese Seite bespricht einige Beispiele, die zeigen, wie man es nicht machen sollte.
Damit keine Missverständnisse entstehen können, regelt die Datenschutz Grundverordnung (DSGVO) in Art. 7 klar und deutlich, was unter Einwilligung zu verstehen ist, also die Bedingungen, damit eine Verarbeitung rechtmäßig erfolgen kann.
Viele haben eine rosarote Brille auf, wenn es um die Frage geht, wie fit das eigene Unternehmen bzgl. Datenschutz im Sinne der DSGVO ist. Ein Selbsttest bringt Einsichten und vor allem werden auf diese Weise viele Informationen angeboten. Das Kaspersky Lab kann mit einem Selbsttest überzeugen. Auch das Bayerisches Landesamt für Datenschutzaufsicht hat kürzlich einen Selbsttest online gestellt, der ebenfalls zu empfehlen ist.
Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Auskunfteien eines, das mit Aggregation, automatisierter Verarbeitung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.
Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.