Verbinden. Lernen. Teilen.

Blog > Mai 2017 > Sind Sie bereit für GDPR? Sieben häufige Irrtümer bei der Vorbereitung.

Sind Sie bereit für GDPR? Sieben häufige Irrtümer bei der Vorbereitung.

Der Countdown der Compliance-Uhr läuft. Bis zum 25. Mai 2018 ist es nicht mehr weit hin, sodass viele Unternehmen GDPR (General Data Protection Regulation) als Top 1 auf ihrer Prioritätenliste stehen haben. Ich möchte Ihnen hier einige gängige Fragen und Irrtümer bzgl. des Umfangs der Regelungen vorstellen und Ihnen zeigen, wie Sie Ihr Unternehmen entsprechend darauf vorbereiten können.

Annahme:  Ich habe eine beträchtliche Datenmenge erfasst, noch bevor die GDPR in Kraft getreten ist. Damals hat man uns die Zustimmung und grünes Licht für die Erfassung gegeben, also können wir diese Daten ja wohl weiterhin verwenden.
Realität: Falsch. Sie können nur dann personenbezogene Daten verwenden und verarbeiten – so schreibt es die Regelung vor –, wenn Sie eine Zustimmung für die spezifische geplante Verwendung haben. Zudem müssen Sie diese Zustimmung regelmäßig aktualisieren.

Annahme:  Wir haben immer ein „Opt-out“ Modell verwendet, d. h. unsere Besucher müssen uns explizit mitteilen, dass wir ihre Daten NICHT verwenden dürfen, sonst gehen wir davon aus, dass wir das dürfen. Da dieses Verfahren immer noch Standard ist, sehe ich da keine Probleme.
Realität:  Falsch. Im Rahmen der alten Regelungen war das „Opt-out“ Modell" ausreichend. Der neue Standard innerhalb der EU ist nun jedoch „Opt-in“, was bedeutet, dass Sie von jedem Besucher eine spezifische und aktive Zustimmung brauchen.

Annahme:  Wir können jeder Person in unserer Datenbank eine E-Mail schicken und sie um diese Zustimmung bitten, und dann ist für uns alles in Ordnung
Realität:  Seien Sie hier vorsichtig. Zwar scheint dieser Ansatz ganz vernünftig, doch sollten Sie sicherstellen, nur die Personen zu kontaktieren, die für spezifische Zwecke auch ihre Zustimmung gegeben haben. Die Datenschutzbehörde (ICO) Großbritanniens hat zwei Unternehmen mit empfindlichen Geldstrafen belegt, die nicht beweisen konnten, dass sie für die Kontaktaufnahme zu Einzelpersonen zu Marketingzwecken auch deren spezifische Zustimmung hatten. Darüber hinaus können Sie keine Blanko-Zustimmung für jede Verwendung von Daten bekommen. Sie müssen den Personen mitteilen, wie Sie ihre Daten verwenden werden und wie sie ihre Zustimmung später wieder zurückziehen können. Und achten Sie auch darauf, die Antworten und Ihre Handlungen aufzuzeichnen; das ist für ein späteres Audit extrem hilfreich. Da dies ein ziemlich kniffliger Bereich ist, empfehle ich, dass Sie sich vor jeder weiteren Handlung eine Rechtsberatung einholen.

Annahme:  Ich glaube nicht, dass irgendjemand weiß, wo sich in unserem umfassenden Datenspeicher all die persönlichen Daten befinden. Also fahren wir einfach mit neuen Daten fort.
Realität: Stimmt. Alle Daten in einem großen Unternehmen zu finden, kann ganz schön kompliziert sein. Dennoch sollten Sie das nicht auf die leichte Schulter nehmen! In Ihrem Unternehmen gespeicherte, nicht verwendete personenbezogene Daten sind einem hohen Risiko für Sicherheitsverletzungen und einer Haftung unter GDPR ausgesetzt. Anstrengungen, diese nicht verwendeten Daten zu finden und zu löschen, können im Ernstfall die Strafen erheblich reduzieren. Da Sie diese Daten sowieso nicht verwenden können, ist es wohl am besten, sie alle zu finden und zu löschen.

Annahme:  Ich habe gehört, dass die Strafen wirklich hoch sind, doch man sagt auch, dass sie nicht wirklich eingezogen werden.
Realität:  Falsch. Die Strafen sind in der Tat ziemlich hoch – 20 Millionen Euro oder 4% der weltweiten Umsätze. Doch die Regulierungsbehörden haben diese Geldstrafen ja nicht ohne Grund festgesetzt und werden sie daher auch höchstwahrscheinlich einziehen. Mit der Gnade der Behörden zu rechnen und darauf zu spekulieren, dass sie vielleicht ein Auge zudrücken, ist bei all dem, was hier auf dem Spiel steht, eine schlechte Strategie.

Annahme:  Wir sind ein Unternehmen mit Hauptsitz in den USA, daher bin ich ziemlich sicher, dass wir uns über diese Regelungen keine Sorgen machen müssen.
Realität:  Auch für Unternehmen mit Hauptsitz außerhalb der EU sollte dieses Thema eine Priorität sein. Weltweit agierende juristische Personen, die von geschützten Personen, wie in der GDPR definiert (im Grunde jeder Mensch mit Hauptwohnsitz innerhalb der EU), personenbezogene Daten erfassen, müssen diese Regelungen befolgen. Und auch der Brexit bedeutet für Unternehmen in Großbritannien nicht, dass ihnen diese Regulierungen gleichgültig sein können, wenn sie Daten von Bürgern ihres ehemaligen Handelsblocks erfassen. Bürger Großbritanniens sind in der Tat diesbezüglich nicht länger geschützt.

ASG bietet eine Palette an Funktionalitäten, die GDPR-Compliance-Programme unterstützen können. Die Enterprise Data Intelligence Lösung kann beispielsweise Ihren Datenbestand durchscannen und wichtige Datenabstammungen melden. Die ASG Content-Lösungen können die Lebensdauer von personenbezogenen Daten verwalten und zugleich die Zustimmung einer Person erfassen. Eine solide Technologie-Plattform stellt die Basis für Compliance dar. Alle Bemühungen zur Einhaltung der Regelungen lassen sich einfach aufzeigen und nachweisen, sollten die Behörden wirklich mal an Ihre Tür klopfen.

Ich hoffe, ich konnte hier einige Irrtümer aufklären und Ihnen einige Ideen anbieten, wie Sie GDPR-Compliance zukünftig sicherstellen können. Haben Sie schon mit den Vorbereitungen auf GDPR begonnen? Ich würde mich sehr freuen, wenn Sie mir Ihre Fragen in den Anmerkungen mitteilen.
 
 
Posted: 17.05.2017 12:11:59 by Rob Perry
Filed under :content, Data, Enterprise, GDPR, governance, Intelligence, lineage, privacy, solutions