Der Facebook-Skandal als Auslöser
Man könnte sagen es fing alles mit dem Facebook (Cambridge Analytica) Skandal an - Die Privatsphäre von Millionen Nutzer ist missbraucht geworden.. und die Reaktionen waren heftig! Privatsphäre ist allen heilig, zumindest sobald sie missbraucht wird. Und als Konsequenz, mit bestem Timing, greift die EU nun endlich ein und genehmigte die 4-Jahre-lang diskuttierte Regulation des Datenschutzrechts, die Privatsphäre etwas besser schützen soll. Die GDPR bzw. EU-DSGVO soll am 25. Mai 2018 in Kraft treten. Bis dann müssen Firmen, die Daten von EU-Bürgern sammeln (auch kleine Firmen, die z.B. Email-Adressen für Newsletter sammeln) die Richtlinien kennen und nötigenfalls Änderungen vornehmen. Sonst risikieren sie eine Busse von bis zu 4% vom Umsatz!
Entscheidende Änderungen der GDPR/EU-DSVGO
Im Grunde genommen sollen folgende Änderungen dazu beitragen:
- Erweiterter Geltungsbereich: Alle Firmen sind nun betroffen, sobald diese mit Daten von EU-Bürgern umgehen oder in Kontakt geraten. Das heisst also auch Schweizer Firmen können betroffen sein! (Mehr dazu in den verlinkten Artikeln unten)
- Neue, härtere Strafmassnahmen: Firmen können bis zu 4% von ihrem Umsatz und max. 20 Millionen Euro gebüsst werden, falls sie gegen die Richtlinien verstossen.
- Neue Zustimmungsrichtlinien: Die Zeit, in der alles in den AGBs versteckt sind, sind (endlich) vorbei! Jeder (EU-)Nutzer, muss in einem einfachen Formular in verständlicher und einfacher Sprache darauf hingewiesen werden, wofür seine Daten gebraucht werden. Zudem soll es genauso einfach sein Zustimmung zu entziehen, wie es ist Zustimmung zu geben.
- Benachrichtung bei Datenpannen: Es wird obligatorisch, die betroffenen Nutzer einer Datenpanne innert 72h darüber zu informieren.
- Offene Einsicht: Betroffene müssen auf Anfrage jederzeit Einsicht in ihre Daten haben, bezüglich Verwendungszweck sowie auch Verwendungsort. Zudem muss eine Kopie bereitgestellt werden, wenn danach gefragt wird.
- Das Recht vergessen zu werden: Betroffene haben das Recht auf Anfrage ihre Daten löschen zu lassen. Zudem müssen zu dieser Zeit Ausbreitung und Verarbeitung der Daten durch Dritte gestoppt werden.
- Recht auf Datenübertragbarkeit: Betroffene haben das Recht ihre Daten anzufordern und diese zu einem anderen "Aufseher" zu portieren.
- Privatsphäre durch bestimmte Massnahmen: Es ist nun rechtlich reguliert die Privatsphäre und damit die Daten der Betroffenen zu schützen. Der "Aufseher" soll effektiv angebrachte, technische und organisatorische Massnahmen vorsehen.
- Data Protection Officers: Für grössere Datensammler (wo die Datensammlung und Verarbeitung ein Kernbereich ist) ist es nicht mehr obligatorisch ihre Aktivitäten zu melden, sondern es gelten neu interne Dokumentations-Regulation, also ähnlich wie bei der Buchhaltung. Dazu muss dann ein sogenannter "Data protection officer" angestellt werden.