Die DSGVO ist gerade ein Jahr alt geworden. Um diesen Meilenstein für den Datenschutz in der EU zu feiern, hat AT Internet einen Leitfaden geschaffen, um der Verordnung einen Schritt voraus zu sein und sicherzustellen, dass Ihre Datenverarbeitung vollständig konform ist. Um den Guide zu begleiten, haben wir eine Blog-Serie und ein DSGVO-Quiz geschrieben, mit denen Sie auf dem Laufenden bleiben!
Im ersten Blogartikel haben wir uns die top 12 Kinderkrankheiten in den ersten 12 Monaten der DSGVO angesehen. Teil zwei befasst sich mit der Zukunft der Verordnung. Wie geht es mit der DSGVO von hier aus weiter?
Viele Unternehmen sind noch immer nicht vollständig konform …
Zum ersten Jahrestag der DSGVO wurden eine Reihe von Umfragen veröffentlicht, in denen festgestellt wurde, dass viele Unternehmen noch immer gegen die Verordnung verstoßen. Eine Umfrage von Infosecurity Europe ergab, dass mehr als zwei Drittel der Unternehmen nach einem Jahr noch nicht DSGVO-konform sind. Viele Befragte in der Umfrage sind der Ansicht, dass Organisationen die Verordnung nicht ernst nehmen und das die DSGVO-Regulierungsbehörden bei der Durchsetzung der Verordnung zu entspannt und nachsichtig sind. Eine frühere Umfrage, die von IT Governance mit Unternehmen aus mehreren Branchen durchgeführt wurde, ergab, dass nur 29% alle notwendigen Änderungen umgesetzt hatten, um DSGVO-konform zu sein. Bis zu 25 der 28 offiziellen Websites von EU-Regierungs-Behörden sind wahrscheinlich auch nicht konform.
Auch die US-Tech-Riesen halten sich bei weitem nicht an die europäische Regelung von 2018. Die jüngste Welle von Beschwerden gegen Echtzeit-Gebote (RTB) in Belgien, Luxemburg, den Niederlanden und Spanien hat die Tatsache deutlich gemacht, dass RTB „weitreichende und systemische“ Verstöße gegen Europas Datenschutzsystem verursacht. Googles Praxis, personenbezogene Daten zu sammeln, um Internetnutzer für Ad-Targeting in Profile einzuteilen (und an ein breites Spektrum von Bietern in der gesamten Adtech-Kette zu senden) wurde von Johnny Ryan, Chief Policy Officer bei Brave, als „Massives und andauerndes Datenleck“ bezeichnet.
Bußgelder kommen
Die CNIL hat dem französischen Immobilienkonzern Sergic bereits Ende Mai eine zweite Geldstrafe in Höhe von 400.000 Euro auferlegt, weil das Unternehmen die Daten der Nutzer seiner Website nicht angemessen schützt und Verfahren zur Speicherung unangemessener Daten umgesetzt hat.
Die irische Datenschutzbeauftragte Helen Dixon sagte in den „kommenden Monaten“ seien erhebliche Bußgelder auf dem Weg. Derzeit laufen 18 Untersuchungen bei der irischen DPA, die für die Mehrheit der dort ansässigen großen Tech-Unternehmen zur führenden DSGVO-Regulierungsbehörde geworden ist.
Sie wies aber auch darauf hin, dass „erhebliche Sanktionen Zeit brauchen, aufgebaut, durchgeführt und abgeschlossen zu werden“ und dass es eine Reihe von Verfahrensschritten gibt, um die Grundlage für eine Untersuchung zu schaffen. Dazu gehören zum Beispiel die Erlaubnis, dass Betroffene sich beteiligen und die Zusammenarbeit mit anderen Aufsichtsbehörden im Rahmen der grenzüberschreitenden Bearbeitung. Seit ihrem Inkrafttreten hat sie Ermittlungen bei Facebook und dessen Abteilungen für WhatsApp und Instagram gestartet, drei Anfragen bei Twitter, zwei bei Apple, eine bei LinkedIn und neueste gegen Googles Anzeigenbörse.
In Großbritannien erklärte Informationskommissarin Elizabeth Denham, dass die britische ICO „ein paar sehr große Fälle habe, die in Bearbeitung sind“. Sie betonte aber auch, dass es wichtig sei, dass die Aufsichtsbehörden sich „darauf konzentrieren, welche Maßnahmen sie ergreifen“. Die ICO konzentriert sich vor allem auf Werbung und die Verarbeitung der Daten von Kindern.
Obwohl die Einführung der DSGVO die Grundlagen für Informationssicherheit und Maßnahmen in Bezug auf die Privatsphäre gelegt hat, ist 2019 ein entscheidendes Jahr, um zu sehen, ob die Verordnung strengere Maßnahmen zu ihrer Durchsetzung bringt.
Die ePR
Nach der DSGVO und an dieser ausgerichtet ist die ePrivacy-Regulation (ePR) für 2019 angekündigt. Sie hebt die ePrivacy Directive von 2002 auf und zielt darauf ab den gleichen Schutzstandard zu erreichen, den die DSGVO für EU-Bürger bietet. Sie wird sämtliche elektronischen Kommunikationsmittel einbeziehen. Die neue Verordnung wird für Unternehmen gelten, die einen Service für Online-Kommunikation anbieten oder sich mit elektronischem Direkt-Marketing befassen.
Die Verordnung zielt darauf ab, die Kommunikationsdaten der Nutzer, insbesondere Metadaten, zu schützen. Mit neuen Diensten wie WhatsApp, Facebook Messenger und Skype, die derzeit diese Art von Nutzerinformationen besitzen, wird die neue ePR den Nutzern deutlich mehr Kontrolle darüber geben, welche Arten von Metadaten gespeichert werden. Wenn die Menschen keine Einwilligung geben, müssen die Unternehmen diese Informationen löschen und könnten sie standardmäßig nicht mehr sammeln.
Das wird auch die Regeln für Cookies vereinfachen und rationalisieren,wobei die neuen Regeln benutzerfreundlicher sind. Browser-Einstellungen werden Nutzern eine einfache Möglichkeit geben, Cookies und andere Identifikatoren zu akzeptieren oder abzulehnen. Das wird auch klarstellen, dass keine Zustimmung erforderlich ist für:
- Cookies, die nicht in die Privatsphäre eingreifen und nur das Interneterlebnis verbessern (z.B. durch das Speichern der Warenkorb-History)
- Cookies, die von einer Website verwendet werden, um die Anzahl der Besucher zu zählen.
Ein weiterer wichtiger Vorschlag in der ePR ist der Schutz vor Spam (einschließlich Telefonanrufen), das Verbot von unerwünschter elektronischer Kommunikation per E-Mail, SMS und automatisierten Anrufmaschinen. Je nach nationalem Recht werden die Menschen entweder standardmäßig geschützt sein oder eine Schwarze Liste für Anrufe verwenden können um damit zu verhindern, dass sie Werbeanrufe bekommen. Bei Werbeanrufen muss die Telefonnummer angezeigt oder eine spezielle Vorwahl verwendet werden, die eindeutig für Werbeanrufe steht.
Bestimmte DSGVO-Bußgelder werden auch Verstöße gegen ePrivacy abdecken
Obwohl die ePR durch nationale Gesetze umgesetzt wird und die Geldbuße von Nation zu Nation variieren kann, sind sie fast immer geringer als die maximal zulässige DSGVO-Strafe. Laut EDPB fallen bestimmte Datenverarbeitungsaktivitäten, wie etwa die Verwendung von Cookies für Behavioural Advertising, jedoch sowohl unter den Anwendungsbereich der DSGVO als auch der ePrivacy Regulation.
Die ePrivacy-Verordnung wird auch in Bezug auf die Zustimmung der Nutzer mit der DSGVO abgestimmt. Der Nutzer wird verpflichtet, seine Zustimmung zu geben, indem er eine „eindeutige Affirmative Maßnahme“ vornimmt – wie bei den DSGVO werden vorausgefüllte Auswahlfelder verboten. Der Ansatz der DSGVO zur Zustimmung wurde im März 2019 im Fall Planet49 bekräftigt, wo das Büro der Hauptversammlung festlegte, dass vorausgefüllte Felder nicht als ausdrückliche Zustimmung des Nutzers für Cookies gelten.
Die Strategie für den digitalen Binnenmarkt
2019 wird entscheidend sein, um dem Rechtsrahmen der DSGVO Glaubwürdigkeit zu verleihen und zu beweisen, dass dieses ehrgeizige europäische Vorhaben in der Praxis tatsächlich funktionieren können. Die DSGVO und ePR sind Teil der EU-Strategie für den digitalen Binnenmarkt – eine Initiative, die darauf abzielt, digitale Möglichkeiten für Menschen und Unternehmen zu eröffnen und Europas Position als Weltmarktführer in der digitalen Wirtschaft zu stärken. Die Strategie ist Teil der Digitalen Agenda der EU für Europa 2020 und eine Initiative von Europa 2020. Sie zielt darauf ab den Zugang zu Online-Produkten und -Dienstleistungen, die Bedingungen für digitale Netzwerke und Services zu verbessern und das Wachstum der digitalen europäischen Wirtschaft zu fördern.
Zu den behandelten Themen gehören:
- Reform des europäischen Urheberrechts
- Überprüfung der Regeln für audiovisuelle Medien
- Geo-Blocking
- Grenzüberschreitender Verkauf
- Reform der EU-Telekommunikationsregeln
- Umgang digitaler Dienste mit personenbezogenen Daten
- und Aufbau einer datengetriebenen Wirtschaft
Die Einführung der CCPA
Der kalifornische Consumer Privacy Act soll am ersten Tag des Jahres 2020 in Kraft treten. Obwohl sie Teil der globalen Datenschutzbewegung ist, unterscheidet sie sich in mehrfacher Hinsicht von der DSGVO. Erstens verlangt die CCPA von Unternehmen, dass sie spezielle Kommunikationskanäle einrichten, also Telefonnummern und Websites, damit kalifornische Einwohner Informationen über ihre Daten anfordern können. Sie erweitert die Definition personenbezogener Daten in Kalifornien um Haushaltsinformationen und Daten von Geräten, die mit dem Internet der Dinge (IoT) verbunden sind. Die CCPA legt eine Reihe unterschiedlicher Anforderungen an die Datenlöschung fest und schafft neue Anforderungen rund um den Verkauf von Daten für kommerzielle Zwecke.
Ein Großteil des neuen Gesetzes wird noch definiert, einschließlich Änderungen bei der Definition von persönlichen Daten. Nichtsdestotrotz wird es einen großen Einfluss haben, da es US-Unternehmen zum ersten Mal dazu zwingen wird, sich Gedanken über den Begriff Datenschutz zu machen. Es sieht so aus als hätte sie als die bisher strengste US-Datenschutzverordnung einiges an Arbeit vor sich – nur 14% der kalifornischen Unternehmen berichten bisher, dass sie CCPA-konform sind …
Stellen Sie sicher, dass Ihre digitalen Analysen DSGVO-konform sind!
Die Analytics Suite von AT Internet erfüllt zu 100% die Bestimmungen der DSGVO. Der Schutz der Nutzerdaten und die Wahrung der Privatsphäre der Nutzer stehen seit über 20 Jahren im Mittelpunkt unseres Analyseansatzes.
Als unabhängiger europäischer Anbieter haben wir uns vom ersten Tag an stark an den strengen europäischen Datenschutz-und Privatsphäre-Richtlinien orientiert. Unsere Lösung wurde von Anfang an auf dem Prinzip des Privacy-by-Design entwickelt.
Unsere langjährigen guten Beziehungen zur CNIL, der französischen Datenschutzbehörde und dem TÜV in Deutschland sprechen Bände. Diese vertrauenswürdigen Behörden erkennen die Konformität und Sicherheit der Analytics Suite an und haben uns Jahr für Jahr ihr Compliance-Zertifikat verliehen.
Comments are closed.