Was die Datenschutz-Grundverordnung (DSGVO) für Ihr Unternehmen bedeutet
Aktualisiert am 4. September 2023
Datenschutz ist heutzutage ein sehr großes Thema, insbesondere seit der weltweiten massiven Digitalisierung. Der Umgang mit unseren Daten muss überwacht und reguliert werden, um zu verhindern, dass bestimmte Personen sie missbrauchen oder sogar stehlen. Wussten Sie, dass Privatsphäre überhaupt ein Menschenrecht ist? Persönliche Daten sind äußerst sensibel und anfällig für Missbrauch. Daher haben die meisten Länder Gesetze erlassen, die die Nutzung und Verarbeitung von (personenbezogenen) Daten streng regeln. Neben den nationalen Gesetzen gibt es auch übergeordnete Regelungen, die Einfluss auf die nationale Gesetzgebung haben. Die Europäische Union (EU) hat beispielsweise die Datenschutz-Grundverordnung (DSGVO) umgesetzt. Diese Verordnung trat im Mai 2018 in Kraft und gilt für jede Organisation, die Waren oder Dienstleistungen auf dem EU-Markt anbietet. Die DSGVO gilt auch dann, wenn Ihr Unternehmen seinen Sitz nicht in der EU hat, aber gleichzeitig Kunden aus der EU hat. Bevor wir näher auf die DSGVO-Verordnung und ihre Anforderungen eingehen, klären wir zunächst, was die DSGVO bezweckt und warum sie für Sie als Unternehmer wichtig ist. In diesem Artikel erklären wir daher, was die DSGVO ist, warum Sie geeignete Maßnahmen ergreifen sollten, um sie einzuhalten, und wie Sie dies am effizientesten tun können.
Was genau ist die DSGVO?
Die DSGVO ist eine EU-Verordnung, die den Schutz personenbezogener Daten natürlicher Bürger regelt. Es dient daher ausschließlich dem Schutz personenbezogener Daten und nicht beruflicher Daten oder der Daten von Unternehmen. Auf der offiziellen Website der EU wird es wie folgt beschrieben:
„Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.“ Der korrigierte Text dieser Verordnung wurde am 23. Mai 2018 im Amtsblatt der Europäischen Union veröffentlicht. Die DSGVO stärkt die Grundrechte der Bürger im digitalen Zeitalter und fördert den Handel durch Klarstellung der Regeln für Unternehmen im digitalen Binnenmarkt. Dieses gemeinsame Regelwerk hat die durch unterschiedliche nationale Systeme verursachte Fragmentierung beseitigt und Bürokratie vermieden. Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018. Weitere Informationen für Unternehmen und Privatpersonen.[1]"
Es handelt sich grundsätzlich um ein Mittel, um sicherzustellen, dass personenbezogene Daten sicher von Unternehmen gehandhabt werden, die aufgrund der Art der von ihnen angebotenen Waren oder Dienstleistungen einen Umgang mit Daten benötigen. Wenn Sie beispielsweise als EU-Bürger ein Produkt auf einer Website bestellen, sind Ihre Daten durch diese Regelung geschützt, da Sie Ihren Sitz in der EU haben. Wie wir bereits kurz erläutert haben, muss das Unternehmen selbst nicht in einem EU-Land ansässig sein, um in den Anwendungsbereich dieser Verordnung zu fallen. Jedes Unternehmen, das mit Kunden aus der EU zu tun hat, muss die DSGVO einhalten und sicherstellen, dass die personenbezogenen Daten aller EU-Bürger geschützt und sicher sind. So können Sie sicher sein, dass kein Unternehmen Ihre Daten für andere als die ausdrücklich genannten und dargelegten Zwecke verwendet.
Was ist der konkrete Zweck der DSGVO?
Der Hauptzweck der DSGVO ist der Schutz personenbezogener Daten. Die DSGVO-Verordnung verlangt, dass alle großen und kleinen Organisationen, einschließlich Ihres, über die von ihnen verwendeten personenbezogenen Daten nachdenken und sehr sorgfältig und rücksichtsvoll darüber nachdenken, warum und wie sie diese verwenden. Im Wesentlichen möchte die DSGVO, dass Unternehmer sich der personenbezogenen Daten ihrer Kunden, Mitarbeiter, Lieferanten und anderer Parteien, mit denen sie Geschäfte machen, bewusster werden. Mit anderen Worten: Die DSGVO-Verordnung will Organisationen ein Ende setzen, die Daten über Einzelpersonen nur sammeln, weil sie dazu in der Lage sind, ohne ausreichenden Grund. Oder weil sie glauben, dass sie jetzt oder in Zukunft irgendwie davon profitieren können, ohne viel Aufmerksamkeit und ohne Sie zu informieren. Wie Sie in den folgenden Informationen sehen werden, verbietet die DSGVO eigentlich nicht viel. Sie können weiterhin am E-Mail-Marketing teilnehmen, Sie können weiterhin Werbung schalten und Sie können weiterhin die personenbezogenen Daten von Kunden verkaufen und nutzen, solange Sie Transparenz darüber schaffen, wie Sie die Privatsphäre von Einzelpersonen respektieren. Vielmehr geht es bei der Verordnung darum, ausreichend Informationen über die Art und Weise der Datenverwendung bereitzustellen, damit Ihre Kunden und andere Dritte über Ihre konkreten Ziele und Maßnahmen informiert sind. Auf diese Weise kann Ihnen jeder Einzelne seine Daten zumindest auf der Grundlage einer informierten Einwilligung zur Verfügung stellen. Es genügt zu sagen, dass Sie tun müssen, was Sie sagen, und die Daten nicht für andere als die von Ihnen angegebenen Zwecke verwenden dürfen, da dies zu sehr hohen Bußgeldern und anderen Konsequenzen führen kann.
Unternehmer, für die die DSGVO gilt
Sie fragen sich vielleicht: „Gilt die DSGVO auch für mein Unternehmen?“ Die Antwort darauf ist ziemlich einfach: Wenn Sie einen Kundenstamm oder eine Personalverwaltung mit Personen aus der EU haben, dann verarbeiten Sie personenbezogene Daten. Und wenn Sie personenbezogene Daten verarbeiten, müssen Sie die Datenschutz-Grundverordnung (DSGVO) einhalten. Das Gesetz legt fest, was Sie mit personenbezogenen Daten tun dürfen und wie Sie diese schützen müssen. Daher ist es für Ihr Unternehmen immer wichtig, da alle Unternehmen, die mit EU-Bürgern zu tun haben, die DSGVO-Verordnung einhalten müssen. Alle unsere beruflichen und persönlichen Interaktionen finden zunehmend digital statt, daher ist es einfach richtig, die Privatsphäre des Einzelnen zu berücksichtigen. Kunden erwarten von ihren Lieblingsgeschäften, dass sie sorgfältig mit den von ihnen bereitgestellten personenbezogenen Daten umgehen. Daher können Sie stolz darauf sein, dass Ihre eigenen persönlichen Bestimmungen bezüglich der DSGVO in Ordnung sind. Und als zusätzlichen Bonus werden Ihre Kunden es lieben.
Wenn Sie personenbezogene Daten verarbeiten, verarbeiten Sie laut DSGVO fast immer auch diese Daten. Denken Sie an das Sammeln, Speichern, Ändern, Ergänzen oder Weiterleiten von Daten. Auch wenn Sie Daten anonym erstellen oder löschen, verarbeiten Sie diese ebenfalls. Daten sind personenbezogene Daten, wenn es sich um Personen handelt, die Sie von allen anderen Personen unterscheiden können. Das ist die Definition einer identifizierten Person, auf die wir später in diesem Artikel ausführlich eingehen werden. Sie haben beispielsweise eine Person identifiziert, wenn Sie deren Vor- und Nachnamen kennen und diese Daten auch mit den Daten auf ihrem amtlich ausgestellten Ausweis übereinstimmen. Als an diesem Prozess beteiligte Einzelperson haben Sie die Kontrolle über die personenbezogenen Daten, die Sie Organisationen zur Verfügung stellen. Zunächst einmal gibt Ihnen die DSGVO das Recht, darüber informiert zu werden, welche spezifischen personenbezogenen Daten Organisationen verwenden und warum. Gleichzeitig haben Sie das Recht, darüber informiert zu werden, wie diese Organisationen Ihre Privatsphäre gewährleisten. Darüber hinaus können Sie der Verwendung Ihrer Daten widersprechen, die Löschung Ihrer Daten durch die Organisation verlangen oder sogar die Übermittlung Ihrer Daten an einen Konkurrenzdienst verlangen.[2] Im Wesentlichen entscheidet also die Person, der die Daten gehören, was Sie mit den Daten tun. Aus diesem Grund müssen Sie als Organisation bei den von Ihnen bereitgestellten Informationen zur genauen Verwendung der von Ihnen erfassten personenbezogenen Daten sorgfältig vorgehen, da die Person, zu der die Daten gehören, darüber informiert werden muss, aus welchen Gründen ihre Daten überhaupt verarbeitet werden. Nur dann kann der Einzelne entscheiden, ob Sie die Daten korrekt verwenden.
Um welche Daten handelt es sich genau?
Personenbezogene Daten spielen innerhalb der DSGVO die wichtigste Rolle. Der Schutz der Privatsphäre des Einzelnen ist der Ausgangspunkt. Wenn wir die DSGVO-Richtlinien sorgfältig lesen, können wir Daten in drei Kategorien einteilen. In der ersten Kategorie geht es speziell um personenbezogene Daten. Hierzu zählen alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Beispielsweise sein Name und seine Adressdaten, E-Mail-Adresse, IP-Adresse, Geburtsdatum, aktueller Standort, aber auch Geräte-IDs. Bei diesen personenbezogenen Daten handelt es sich um alle Informationen, mittels derer eine natürliche Person identifiziert werden kann. Beachten Sie, dass dieses Konzept sehr weit ausgelegt wird. Dabei handelt es sich sicherlich nicht nur um den Namen, den Vornamen, das Geburtsdatum oder die Adresse. Bestimmte Daten – die auf den ersten Blick nichts mit personenbezogenen Daten zu tun haben – können durch die Hinzufügung bestimmter Informationen dennoch unter die DSGVO fallen. Daher ist es allgemein anerkannt, dass auch (dynamische) IP-Adressen, die eindeutigen Zahlenkombinationen, mit denen Computer im Internet miteinander kommunizieren, als personenbezogene Daten angesehen werden können. Dies muss natürlich im Einzelfall individuell geprüft werden, aber bedenken Sie auch die von Ihnen verarbeiteten Daten.
Bei der zweiten Kategorie handelt es sich um sogenannte pseudo-anonyme Daten: personenbezogene Daten, die so verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr rückverfolgbar sind, eine Person aber dennoch einzigartig machen. Beispielsweise eine verschlüsselte E-Mail-Adresse, Benutzer-ID oder Kundennummer, die nur über eine gut gesicherte interne Datenbank mit anderen Daten verknüpft wird. Auch dies fällt in den Anwendungsbereich der DSGVO. Die dritte Kategorie besteht aus vollständig anonymen Daten: Daten, bei denen alle personenbezogenen Daten, die eine Rückverfolgung ermöglichen, gelöscht wurden. In der Praxis lässt sich dies oft nur schwer nachweisen, sofern die personenbezogenen Daten nicht überhaupt nachvollziehbar sind. Dies liegt daher außerhalb des Geltungsbereichs der DSGVO.
Wer gilt als identifizierbare Person?
Es kann manchmal etwas schwierig sein zu definieren, wer unter eine „identifizierbare Person“ fällt. Zumal es im Internet viele Fake-Profile gibt, etwa von Leuten mit gefälschten Social-Media-Konten. Generell kann man davon ausgehen, dass eine Person identifizierbar ist, wenn sich die personenbezogenen Daten ohne großen Aufwand zurückverfolgen lassen. Denken Sie zum Beispiel an Kundennummern, die Sie mit Kontodaten verknüpfen können. Oder eine Telefonnummer, die Sie leicht zurückverfolgen und so herausfinden können, wem sie gehört. Dabei handelt es sich ausschließlich um personenbezogene Daten. Wenn Sie scheinbar Probleme haben, jemanden zu identifizieren, ist es notwendig, etwas mehr Recherche durchzuführen. Sie können die Person um einen gültigen Ausweis bitten, um sicherzustellen, dass Sie wissen, mit wem Sie es zu tun haben. Sie können auch in verifizierten Datenbanken nach Informationen über die Identität einer Person suchen, beispielsweise in einem digitalen Telefonbuch (das tatsächlich noch existiert). Wenn Sie sich nicht sicher sind, ob ein Kunde oder ein anderer Dritter identifizierbar ist, versuchen Sie, diesen Kunden zu kontaktieren und nach personenbezogenen Daten zu fragen. Wenn die Person Ihre Anfrage nicht beantwortet, ist es im Allgemeinen am besten, alle Daten zu löschen, die Sie haben, und die Informationen, die Sie erhalten haben, zu verwerfen. Die Chancen stehen gut, dass jemand eine gefälschte Identität verwendet. Ziel der DSGVO ist es, Einzelpersonen zu schützen, aber auch Sie als Unternehmen müssen geeignete Maßnahmen ergreifen, um sich vor Betrug zu schützen. Leider können Menschen falsche Identitäten verwenden, daher ist es wichtig, wachsam im Hinblick auf die von ihnen bereitgestellten Informationen zu sein. Wenn jemand die Identität einer anderen Person verwendet, kann dies schwerwiegende Folgen für Sie als Unternehmen haben. Es ist stets geboten, sorgfältig vorzugehen.
Berechtigte Gründe für die Nutzung von Daten Dritter
Ein wesentlicher Bestandteil der DSGVO ist die Regel, dass Sie Daten Dritter nur für festgelegte und legitime Zwecke verwenden dürfen. Aufbauend auf dem Gebot der Datenminimierung schreibt die DSGVO vor, dass Sie personenbezogene Daten nur für einen angegebenen und dokumentierten Geschäftszweck verwenden dürfen, gestützt auf eine der sechs verfügbaren DSGVO-Rechtsgrundlagen. Mit anderen Worten: Ihre Nutzung personenbezogener Daten ist auf einen angegebenen Zweck und eine bestimmte Rechtsgrundlage beschränkt. Jede von Ihnen vorgenommene Verarbeitung personenbezogener Daten muss unter Angabe des Zwecks und der Rechtsgrundlage in einem DSGVO-Register dokumentiert werden. Diese Dokumentation zwingt Sie, über jede Verarbeitungstätigkeit nachzudenken und den Zweck und die Rechtsgrundlage dafür sorgfältig zu prüfen. Die DSGVO ermöglicht sechs Rechtsgrundlagen, die wir im Folgenden skizzieren.
- Vertragliche Pflichten: Bei Vertragsabschluss ist die Verarbeitung personenbezogener Daten erforderlich. Auch im Rahmen der Vertragsabwicklung können personenbezogene Daten verarbeitet werden.
- Einwilligung: Der Nutzer erteilt seine ausdrückliche Zustimmung zur Nutzung seiner personenbezogenen Daten bzw. zur Platzierung von Cookies.
- Berechtigtes Interesse: Die Verarbeitung personenbezogener Daten ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. In diesem Fall ist Abwägung wichtig, sie darf die persönlichen Freiheiten der betroffenen Person nicht beeinträchtigen.
- Lebenswichtige Interessen: Daten können verarbeitet werden, wenn es um Leben oder Tod geht.
- Gesetzliche Verpflichtungen: Personenbezogene Daten müssen gemäß den gesetzlichen Bestimmungen verarbeitet werden.
- Öffentliche Interessen: Hierbei handelt es sich hauptsächlich um Regierungen und lokale Behörden, beispielsweise um Risiken für die öffentliche Ordnung und Sicherheit sowie den Schutz der Öffentlichkeit im Allgemeinen.
Dies sind die Rechtsgrundlagen, die es Ihnen ermöglichen, personenbezogene Daten zu speichern und zu verarbeiten. Oftmals können sich einige dieser Gründe überschneiden. Das ist in der Regel kein Problem, solange Sie darlegen und nachweisen können, dass tatsächlich eine Rechtsgrundlage vorliegt. Wenn Sie keine Rechtsgrundlage für die Speicherung und Verarbeitung personenbezogener Daten haben, könnten Sie in Schwierigkeiten geraten. Bedenken Sie, dass die DSGVO den Schutz der Privatsphäre des Einzelnen im Blick hat und es daher nur begrenzte Rechtsgrundlagen gibt. Wenn Sie diese kennen und anwenden, sind Sie als Organisation oder Unternehmen auf der sicheren Seite.
Die Daten, auf die die DSGVO Anwendung findet
Die DSGVO bezieht sich im Kern auf die Verarbeitung von Daten, die entweder vollständig oder zumindest teilweise automatisch erfolgt. Hierbei handelt es sich beispielsweise um eine Datenverarbeitung über eine Datenbank oder einen Computer. Es gilt aber auch für personenbezogene Daten, die in einer physischen Datei enthalten sind, beispielsweise in einem Archiv. Diese Dateien müssen jedoch in dem Sinne umfangreich sein, dass die enthaltenen Daten mit einer Bestellung, Datei oder einem Geschäftsvorgang in Zusammenhang stehen. Wenn Sie eine handschriftliche Notiz besitzen, auf der nur ein Name steht, gilt diese nicht als Daten im Sinne der DSGVO. Diese handschriftliche Notiz könnte von jemandem stammen, der sich für Sie interessiert, oder auch persönlicher Natur sein. Zu den gängigen Arten der Datenverarbeitung durch Unternehmen gehören die Auftragsverwaltung, eine Kundendatenbank, eine Lieferantendatenbank, die Personalverwaltung und natürlich Direktmarketing wie Newsletter und Direktmailings. Die Person, deren personenbezogene Daten Sie verarbeiten, wird als „betroffene Person“ bezeichnet. Dabei kann es sich um einen Kunden, Newsletter-Abonnenten, Mitarbeiter oder Ansprechpartner handeln. Daten über Unternehmen gelten nicht als personenbezogene Daten, Daten über Einzelunternehmen oder Selbstständige hingegen schon.[3]
Regeln zum Online-Marketing
Die DSGVO hat erhebliche Auswirkungen auf das Online-Marketing. Es gibt einige Grundregeln, die Sie beachten müssen, wie zum Beispiel, dass Sie bei E-Mail-Marketing immer eine Opt-out-Option anbieten. Darüber hinaus muss ein Bieter auch in der Lage sein, seine Präferenzen anzugeben und anzupassen. Das bedeutet, dass Sie die E-Mails anpassen müssen, wenn Sie diese Optionen derzeit nicht anbieten. Viele Organisationen nutzen auch Retargeting-Mechanismen. Dies kann beispielsweise über Facebook oder Google Ads erreicht werden. Beachten Sie jedoch, dass Sie hierfür eine ausdrückliche Genehmigung einholen müssen. Wahrscheinlich haben Sie bereits eine Datenschutz- und Cookie-Richtlinie auf Ihrer Website. Mit diesen Regeln müssen also auch diese rechtlichen Teile überarbeitet werden. Die Anforderungen der DSGVO sehen vor, dass diese Dokumente umfassender und transparenter sein müssen. Für diese Anpassungen können Sie häufig auf Mustertexte zurückgreifen, die im Internet frei verfügbar sind. Neben rechtlichen Anpassungen Ihrer Datenschutz- und Cookie-Richtlinien ist die Bestellung eines Datenverarbeitungsbeauftragten erforderlich. Diese Person ist für die Datenverarbeitung verantwortlich und stellt sicher, dass die Organisation DSGVO-konform ist und bleibt.
Tipps und Möglichkeiten zur Einhaltung der DSGVO
Das Wichtigste ist natürlich, dass Sie als Unternehmer die gesetzlichen Vorschriften und Regeln, wie zum Beispiel die DSGVO, einhalten. Glücklicherweise gibt es Möglichkeiten, die DSGVO mit möglichst geringem Aufwand einzuhalten. Wie wir bereits besprochen haben, verbietet die DSGVO an sich zwar nichts, legt aber strenge Richtlinien für die Art und Weise fest, wie personenbezogene Daten verarbeitet werden dürfen. Wenn Sie sich nicht an die spezifischen Richtlinien halten und die Daten aus Gründen verwenden, die in der DSGVO nicht aufgeführt sind oder außerhalb ihres Geltungsbereichs liegen, drohen Bußgelder und noch schlimmere Konsequenzen. Bedenken Sie außerdem, dass alle Parteien, mit denen Sie zusammenarbeiten, Sie als Geschäftsinhaber respektieren, wenn Sie auch deren Daten und Privatsphäre respektieren. Dadurch erhalten Sie ein positives und vertrauenswürdiges Image, was wirklich gut für Ihr Geschäft ist. Wir besprechen nun einige Tipps, die die Einhaltung der DSGVO zu einem einfachen und effizienten Prozess machen.
1. Stellen Sie zunächst fest, welche personenbezogenen Daten Sie überhaupt verarbeiten
Zunächst sollten Sie recherchieren, welche genauen Daten Sie zu welchem Zweck benötigen. Welche Informationen werden Sie sammeln? Wie viele Daten benötigen Sie, um Ihre Ziele zu erreichen? Nur ein Name und eine E-Mail-Adresse oder benötigen Sie auch zusätzliche Daten wie eine physische Adresse und eine Telefonnummer? Sie müssen außerdem ein Verarbeitungsregister erstellen, in dem Sie auflisten, welche Daten Sie speichern, woher sie stammen und an welche Parteien Sie diese Informationen weitergeben. Berücksichtigen Sie auch die Aufbewahrungsfristen, denn die DSGVO besagt, dass Sie hierüber transparent sein müssen.
2. Machen Sie den Datenschutz zu einer Priorität für Ihr Unternehmen im Allgemeinen
Datenschutz ist ein sehr wichtiges Thema, und das wird auch in (un)absehbarer Zukunft so bleiben, da Technologie und Digitalisierung immer weiter voranschreiten und zunehmen. Daher ist es sehr wichtig, dass Sie sich als Unternehmer über alle notwendigen Datenschutzbestimmungen informieren und diese bei Ihrer Geschäftstätigkeit priorisieren. Dadurch stellen Sie nicht nur sicher, dass Sie alle geltenden Gesetze einhalten, sondern schaffen auch ein vertrauenswürdiges Image für Ihr Unternehmen. Vertiefen Sie sich als Unternehmer also in die DSGVO-Regeln oder lassen Sie sich auf andere Weise von Rechtsexperten beraten, damit Sie sicher sein können, dass Sie Ihre Geschäfte in Sachen Datenschutz rechtmäßig abwickeln. Sie müssen herausfinden, welche genauen Regeln Ihr Unternehmen einhalten muss. Auch die niederländischen Behörden können Ihnen auf Ihrem Weg mit zahlreichen Informationen, Tipps und Tools für den täglichen Gebrauch behilflich sein.
3. Identifizieren Sie die richtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Wie wir bereits besprochen haben, gibt es laut DSGVO nur sechs offizielle Rechtsgrundlagen, die Ihnen die Verarbeitung und Speicherung personenbezogener Daten erlauben. Wenn Sie Daten verwenden, ist es von entscheidender Bedeutung, dass Sie wissen, welche Rechtsgrundlage Ihrer Verwendung zugrunde liegt. Idealerweise dokumentieren Sie die verschiedenen Arten der Datenverarbeitung, die Sie mit Ihrem Unternehmen durchführen, beispielsweise in Ihrer Datenschutzerklärung, damit Kunden und Dritte diese Informationen lesen und zur Kenntnis nehmen können. Ermitteln Sie dann für jede Maßnahme separat die richtige Rechtsgrundlage. Wenn Sie personenbezogene Daten aus neuen Motiven oder Gründen verarbeiten müssen, fügen Sie unbedingt auch diese Aktivität hinzu, bevor Sie beginnen.
4. Versuchen Sie, Ihren Datenverbrauch so gering wie möglich zu halten
Als Organisation müssen Sie sicherstellen, dass Sie nur die Mindestdatenelemente sammeln, um ein bestimmtes Ziel zu erreichen. Wenn Sie beispielsweise Waren oder Dienstleistungen online verkaufen, müssen Ihre Benutzer Ihnen in der Regel nur eine E-Mail-Adresse und ein Passwort mitteilen, damit der Registrierungsprozess reibungslos verläuft. Es ist nicht erforderlich, Kunden im Rahmen des Registrierungsprozesses nach ihrem Geschlecht, ihrem Geburtsort oder gar ihrer Adresse zu fragen. Erst wenn Nutzer einen Artikel weiterhin kaufen und ihn an eine bestimmte Adresse versenden lassen möchten, ist es notwendig, weitere Informationen anzufordern. Sie haben dann das Recht, zu diesem Zeitpunkt die Adresse des Benutzers anzufordern, da es sich hierbei um wesentliche Informationen für jeden Versandvorgang handelt. Durch die Minimierung der erfassten Datenmenge werden die Auswirkungen potenzieller Datenschutz- oder sicherheitsrelevanter Vorfälle minimiert. Datenminimierung ist eine Kernanforderung der DSGVO und äußerst wirksam beim Schutz der Privatsphäre Ihrer Nutzer, da Sie nur die Informationen verarbeiten, die Sie benötigen, und nicht mehr.
5. Informieren Sie sich über die Rechte der Personen, deren Daten Sie verarbeiten
Ein wichtiger Teil der Kenntnis der DSGVO besteht darin, sich über die Rechte Ihrer Kunden und anderer Dritter zu informieren, deren Daten Sie speichern und verarbeiten. Nur wenn Sie ihre Rechte kennen, können Sie sich schützen und Bußgelder vermeiden. Es stimmt, dass die DSGVO eine Reihe wichtiger Rechte für Einzelpersonen eingeführt hat. Beispielsweise das Recht auf Einsicht in ihre personenbezogenen Daten, das Recht auf Berichtigung oder Löschung von Daten und das Recht, der Verarbeitung ihrer Daten zu widersprechen. Auf diese Rechte gehen wir im Folgenden kurz ein.
- Das Recht auf Zugang
Das erste Auskunftsrecht bedeutet, dass Einzelpersonen das Recht haben, die über sie verarbeiteten personenbezogenen Daten einzusehen und einzusehen. Wenn ein Kunde dies verlangt, sind Sie daher verpflichtet, ihm dieses zur Verfügung zu stellen.
- Das Recht auf Berichtigung
Berichtigung ist dasselbe wie Berichtigung. Das Recht auf Berichtigung gibt Einzelpersonen daher das Recht, Änderungen und Ergänzungen an den personenbezogenen Daten vorzunehmen, die eine Organisation über sie verarbeitet, um sicherzustellen, dass diese Daten korrekt verarbeitet werden.
- Das Recht, vergessen zu werden
Das Recht auf Vergessenwerden bedeutet genau das, was es sagt: das Recht, „vergessen“ zu werden, wenn ein Kunde dies ausdrücklich wünscht. Eine Organisation ist dann verpflichtet, ihre personenbezogenen Daten zu löschen. Bitte beachten Sie, dass eine Person dieses Recht nicht geltend machen kann, wenn gesetzliche Verpflichtungen bestehen.
- Das Recht, die Verarbeitung einzuschränken
Dieses Recht gibt einer Person als betroffener Person die Möglichkeit, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, was bedeutet, dass sie verlangen kann, dass weniger Daten verarbeitet werden. Beispielsweise wenn ein Unternehmen mehr Daten abfragt, als für den jeweiligen Prozess unbedingt erforderlich sind.
- Das Recht auf Datenübertragbarkeit
Dieses Recht bedeutet, dass eine Person das Recht hat, ihre personenbezogenen Daten an eine andere Organisation zu übertragen. Wenn beispielsweise jemand zu einem Wettbewerber geht oder ein Mitarbeiter zu einem anderen Unternehmen wechselt und Sie Daten an dieses Unternehmen übermitteln,
- Das Recht zu widersprechen
Das Widerspruchsrecht bedeutet, dass eine Person das Recht hat, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, beispielsweise wenn die Daten für Marketingzwecke verwendet werden. Sie können dieses Recht aus besonderen persönlichen Gründen ausüben.
- Das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden
Einzelpersonen haben das Recht, nicht einer vollautomatischen Entscheidungsfindung unterworfen zu werden, die erhebliche Folgen für sie haben oder rechtliche Konsequenzen durch menschliches Eingreifen nach sich ziehen könnte. Ein Beispiel für eine automatisierte Verarbeitung ist ein Bonitätsbewertungssystem, das vollautomatisch ermittelt, ob Sie für einen Kredit in Frage kommen.
- Das Recht auf Auskunft
Das bedeutet, dass eine Organisation Einzelpersonen klare Informationen über die Erhebung und Verarbeitung ihrer personenbezogenen Daten geben muss, wenn eine Person dies verlangt. Gemäß den DSGVO-Grundsätzen muss eine Organisation angeben können, welche Daten sie verarbeitet und warum.
Indem Sie sich mit diesen Rechten vertraut machen, können Sie besser vorhersehen, wann Kunden und Dritte Anfragen zu den von Ihnen verarbeiteten Daten stellen könnten. Dann fällt es Ihnen viel leichter, ihnen die gewünschten Informationen zukommen zu lassen, weil Sie darauf vorbereitet waren. Es kann Ihnen viel Zeit sparen, immer auf Anfragen vorbereitet zu sein und die Daten griffbereit zu haben, beispielsweise durch die Investition in ein gutes Kundenmanagementsystem, das es Ihnen ermöglicht, die notwendigen Daten schnell und effizient abzurufen.
Was passiert, wenn Sie sich nicht daran halten?
Wir haben dieses Thema bereits kurz angesprochen: Es hat Konsequenzen, wenn man sich nicht an die DSGVO hält. Beachten Sie auch hier, dass Sie kein Unternehmen mit Sitz in der EU haben müssen, um die Vorschriften einhalten zu können. Wenn Sie auch nur einen Kunden haben, der seinen Sitz in der EU hat und dessen Daten Sie verarbeiten, fallen Sie in den Anwendungsbereich der DSGVO. Es können zwei Bußgeldstufen verhängt werden. Die zuständige Datenschutzbehörde jedes Landes kann auf zwei Ebenen wirksame Bußgelder verhängen. Dieser Grad wird auf der Grundlage des konkreten Verstoßes bestimmt. Zu den Bußgeldern der Stufe eins zählen Verstöße wie die Verarbeitung personenbezogener Daten von Minderjährigen ohne Zustimmung der Eltern, das Versäumnis, eine Datenschutzverletzung zu melden, und die Zusammenarbeit mit einem Auftragsverarbeiter, der keine ausreichenden Garantien hinsichtlich der erforderlichen Datensicherheit bietet. Diese Bußgelder können bis zu 10 Millionen Euro bzw. bei einem Unternehmen bis zu 2 % Ihres gesamten weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr betragen.
Stufe zwei gilt, wenn Sie schwerwiegende Straftaten begehen. Beispielsweise bei Nichteinhaltung der Datenverarbeitungsgrundsätze oder wenn eine Organisation nicht nachweisen kann, dass die betroffene Person der Datenverarbeitung tatsächlich zugestimmt hat. Wenn Sie in den Geltungsbereich der Bußgeldstufe 20 fallen, riskieren Sie ein Bußgeld von maximal 4 Millionen Euro oder bis zu XNUMX % des weltweiten Umsatzes Ihres Unternehmens. Bitte beachten Sie, dass diese Beträge maximiert wurden und unter anderem von Ihrer persönlichen Situation und dem Jahresumsatz Ihres Unternehmens abhängen. Neben Geldbußen kann die nationale Datenschutzbehörde auch andere Sanktionen verhängen. Dies kann von Verwarnungen und Verweisen bis hin zur vorübergehenden (und manchmal sogar dauerhaften) Einstellung der Datenverarbeitung reichen. In diesem Fall dürfen Sie personenbezogene Daten vorübergehend oder dauerhaft nicht mehr durch Ihre Organisation verarbeiten. Zum Beispiel, weil Sie wiederholt Straftaten begangen haben. Dadurch wird es Ihnen praktisch unmöglich gemacht, Geschäfte zu tätigen. Eine weitere mögliche DSGVO-Sanktion ist die Zahlung von Schadensersatz an Nutzer, die eine begründete Beschwerde einreichen. Kurz gesagt: Seien Sie wachsam im Hinblick auf die Privatsphäre und die persönlichen Daten von Einzelpersonen, um derart schwerwiegende Konsequenzen zu vermeiden.
Möchten Sie wissen, ob Sie DSGVO-konform sind?
Wenn Sie planen, in den Niederlanden ein Unternehmen zu gründen, müssen Sie die DSGVO einhalten. Wenn Sie Geschäfte mit niederländischen Kunden oder Kunden mit Sitz in einem anderen EU-Land tätigen, müssen Sie sich ebenfalls an diese EU-Verordnung halten. Wenn Sie nicht sicher wissen, ob Sie in den Geltungsbereich der DSGVO fallen, können Sie sich jederzeit an uns wenden Intercompany Solutions für Ratschläge zu diesem Thema. Wir können Sie dabei unterstützen, herauszufinden, ob bei Ihnen geltende interne Vorschriften und Prozesse vorhanden sind und ob die Informationen, die Sie Dritten zur Verfügung stellen, ausreichend sind. Manchmal kann es sehr leicht passieren, dass wichtige Informationen übersehen werden und Sie dennoch mit dem Gesetz in Konflikt geraten können. Denken Sie daran: Datenschutz ist ein äußerst wichtiges Thema. Daher ist es wichtig, dass Sie immer über die neuesten Vorschriften und Neuigkeiten auf dem Laufenden sind. Wenn Sie Fragen zu diesem Thema haben oder weitere Informationen über Unternehmensgründungen in den Niederlanden wünschen, können Sie sich gerne an uns wenden Intercompany Solutions jederzeit. Gerne unterstützen wir Sie bei allen Fragen oder unterbreiten Ihnen ein klares Angebot.
Quellen:
https://www.afm.nl/en/over-de-afm/organisatie/privacy
[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.
[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming
[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming
Ähnliche Beiträge:
- Ausländische multinationale Unternehmen und das niederländische Jahresbudget
- Die Herausforderungen, Unternehmer zu gründen
- Möchten Sie im Bereich Ökostrom oder Cleantech innovativ sein? Starten Sie Ihr Geschäft in den Niederlanden
- Steuerabkommen zwischen den Niederlanden und Russland zum 1. Januar 2022 gekündigt
- Können Steuerbehörden Inhaber von Kryptowährungen identifizieren?