EU Datenschutz Grundverordnung: Risiko und Prozess Management

[vc_row][vc_column width=”1/2″][vc_column_text]Die Datenschutz-Grundverordnung – kurz DSGVO – ist vor über einem Monat in Kraft getreten.

Sie haben die DSGVO erfolgreich umgesetzt? Wir gratulieren.

Vielleicht tun Sie sich mit einigen Anforderungen der DSGVO noch schwer?
Hier finden Sie die Antworten, nach denen Sie suchen.

Auch die Tools und Checklisten für Profis finden Sie hier.[/vc_column_text][/vc_column][vc_column width=”1/2″][vc_column_text]Dies ist das erste White Paper vom Competence Circle Technologie, Innovation und Management – kurz #ccTIM.

Dies ist einer der 10 Competence Circles vom Deutschen Marketing Verband #DMV.

Die 2. REVIDIERTE Auflage gibt es hier: Download vom White Paper zur DSGVO vom DMV, April 2018.

Unser Video ganz unten zeigt, wie Sie die DSGVO-Compliance für morgen schon heute sicher stellen.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text css=”.vc_custom_1511164608508{margin-bottom: 0px !important;}”]

Achtung: Interessieren Sie sich für unsere Veranstaltungen? Dann sichern Sie sich gleich einen Platz beim nächsten MC Lago Event: Hier geht es direkt zur Anmeldung.

Tipp: Eine wichtige Forderung der DSGVO ist, dass die Datenschutz-Regeln auf einer Webseite klar und kurz formuliert sind. Hier ein Beispiel – wie es Zalando, die Deutsche Telekom und der MC Lago machen.

Und so gestalten Sie auch Ihre Datenschutz-Bestimmungen übersichtlich und verständlich: “One-Pager” als Muster für transparente Datenschutz-Hinweise vom Bundesministerium der Justiz und für Verbraucherschutz Deutschland.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

In diesem Beitrag inklusive Video geht es um 2 Dinge
  1. Haben wir unsere Prozesse richtig aufgegleist, um DSGVO-compliant sein zu können?
  2. Ist unser Datenschutz.Office / unser Datenschutz-Board bereit, auch komplizierte Fälle innerhalb von 72 Std. zu lösen?

Prozesse

Natürlich haben Sie und das Team die DSGVO complaint umgesetzt. Doch sind die dazu benutzten Prozesse wirklich effizient und effektiv?

Unser Beispiel aus der Praxis zeigt sehr gut, dass die Datenschutz Abläufe bei Problemen oder Unsicherheiten gut strukturiert und organisiert sein müssen. Ansonsten geht Ihnen wichtige Zeit verloren. Dadurch steigt das Risiko für einen möglichen Schaden z.B. durch einen Datenklau oder für den Verlust der eigenen Reputation.

Unten im Beispiel geht es um die Frage, ob eine Facebook-Seite gelöscht oder einfach unsichtbar gemacht werden sollte. Laut der Verlautbarung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DE) ist offensichtlich:

… ohne Vereinbarung zwischen Fanpage Betreiber (d.h. Unternehmen oder z.B. Verein) und Facebook können die beiden Parteien (z.B. Verein und Facebook) deren DS-GVO Verpflichtungen nicht nach Compliance Regeln wahrnehmen.

Konsequenz, eine Facebook-Fanpage muss vom Netz genommen werden, d.h. die Seite Löschen – oder alternativ: die Seite vorübergehend unsichtbar machen. Selbstverständlich kann die Seite wieder Online gehen, wenn die angepasste und DSGVO-konforme Lösung von Facebook online gestellt wird.

Transparenz = Artikel 12 DSGVO “Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” sensible Daten = Artikel 9, Absatz 1, = Daten zur Gesundheit, Sexualität und Gewerkschaftszugehörigkeit müssen besonders geschützt werden.
Transparenz = Artikel 12 DSGVO “Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache”
sensible Daten = Artikel 9, Absatz 1 = Daten zur Gesundheit, Sexualität und Gewerkschaftszugehörigkeit müssen besonders geschützt werden.

Hier die Emails zu unserem “Fallbeispiel”.  Es illustriert sehr gut, dass Prozesse festgelegt sein müssen, um derartige Anfragen schnell und richtig beantworten zu können.

Von: Max
Gesendet: Montag, 11. Juni 2018 11:32
An: Selina
Cc: Roberto
Betreff: Facebook-Fanpages und das EuGH-Urteil

Sali Selina,

Wie du bestimmt auch mitbekommen hast, müssen gemäss neuer EU-Gesetzesbestimmung Firmen-Fanpages auf Facebook grundsätzlich entfernt, oder zumindest unsichtbar geschaltet werden. Siehe: https://blog.drkpi.de/dsgvo-eprivacy-auswirkungen-5/
Das betrifft unsere Facebook Seite: ……ch.
Kannst du das bitte so bald wie möglich veranlassen?
Danke.
Max

Weiter unten fällt auf: Vom Eingang der Anfrage bis zu deren Weiterleitung sind 8 Tage verstrichen!

Nach 8 Tagen wurde die Anfrage an einen Kommunikationsfachmann weitergeleitet mit der Bitte um Stellungnahme – wie diese Email zeigt:

Von: Selina
Gesendet: Dienstag, 19. Juni 2018 08:05
An: Sandro
Betreff: WG: Facebook-Fanpages und das EuGH-Urteil
Hallo Sandro
Ich habe eine Frage an dich bezüglich GDPR. Müssen wir eine Facebook Page die wir zu jetztlehrstelle haben wegen den neuen Datenschutzgesetzen deaktivieren? https://de-de.facebook.com/unsere-Seite/
Danke für deine Antwort.
Gruss Selina

Sandro ist ein Kommunikations-Experte im digitalen Bereich. Er arbeitet für einen Dienstleister. In dieser Funktion führt er als Outsourcer Aufträge für Selina aus.

In der Email unten erledigt sich Sandro dieser Arbeit mit einem guten Tipp.

Von: Sandro <@.ch>
Gesendet: Dienstag, 19. Juni 2018 08:10
An: Selina
Betreff: AW: Facebook-Fanpages und das EuGH-Urteil

Hallo Selina
Das kann ich Dir leider nicht beantworten – ich würde aus dem Bauch sagen: Nein, müsst ihr nicht.
Aber ich denke, du solltest das mit Eurem Datenschutzbeauftragten diskutieren:
Hr. Fritz Heinrich (CISSP, CISA, Group Data Protection Officer)

Ganz liebe Grüsse, Sandro

Die obige Antwort vom Kummunikations-Dienstleister an die Marketing-Abteilung seines Kunden schlägt vor, direkt den Group Data Protection Officer zu fragen.

Selina schreibt aber vorerst einmal an Jimmy, seines Zeichens verantwortlich für Qualität und Prozesse.

Gesendet: Dienstag, 19. Juni 2018 08:40
An:
Betreff: WG: Facebook-Fanpages und das EuGH-Urteil

Hallo Jimmy
Kannst du mir sagen, ob wir die Facebook-Page https://de-de.facebook.com/……/ wegen GDPR abschalten müssen?
Danke und Gruss
Selina

Jimmy war die Sache nicht ganz koscher. Er wandte sich an den Group Data Privacy Officer, wie auch schon oben von Sandro vorgeschlagen wurde.

Der Group Data Privacy Officer antwortete in einer Email wie unten angezeigt.

Gesendet: Mittwoch, 20. Juni 2018 14:54
Hallo Jimmy

Ja, die Rechtsprechung im EU Raum lässt aufhorchen.
Dennoch gehe ich nicht davon aus, dass die meisten Unternehmen diese extreme Massnahme treffen werden.

Weil der YYZ-Account im Facebook primär auf den Schweizer Markt bzw. Personen, die wohnhaft in der Schweiz sind, ausgerichtet ist, sehe ich kaum Risiko bei „Nicht-Durchführung“ der Sperrung/Ausblendung des Facebook-Accounts.

Freundliche Grüsse/With best regards
Fritz Heinrich
Group Data Privacy Officer

Die oben aufgeführten eMail-Auszüge wurden über eine Periode von gut 10 Tagen ausgetauscht.

Dieses Fallbeispiel zeigt uns 3 Dinge:

  1. Monitoring von DSGVO-Trends funktioniert nicht. Der Personalexperte betreibt das Monitoring, ihn erreicht das EuGH-Urteil vom 2018-06-05 durch einen Blogbeitrag, den er liest. Er avisiert Selina rasch und fragt an zwecks welche Auswirkung dieses Urteil hat. Bei gut strukturierten Prozessen wird jedoch das Monitoring vom Datenschutz-Experten gemacht!
  2. Das Zeitfenster von 72 Std kann so nicht eingehalten werden. Die DSGVO schreibt z.B. vor, dass bei einem Datenklau die Opfer innerhalb von 72 Std. (inklusive Feiertage!), nachdem der Diebstahl entdeckt wurde, informiert werden müssen.
    Es erscheint deshalb logisch, dass auch bei einer Anfrage um Rat rasch informiert werden muss.
    Innerhalb der ersten 24 Std. nach der Urteilsverkündigung vom EuGH müsste der Privacy Officer die Verantwortlichen für Facebook-Seiten informiert haben.
  3. Kein strukturierter und standardisierter Prozess. Punkt 1 und 2 zeigen, dass weder ein systematisches Monitoring noch ein strukturierter Prozess, wie solche Anfragen gehandhabt werden müssen, vorhanden ist!
    Das ist aber notwendig um hier professionell und zeitnah die richtigen Entscheidungen treffen zu können.
    Die Anfragen sollten innerhalb weniger Stunden beim Group Data Privacy Officer landen. Wie oben illustriert braucht der aber ein Datenschutz Board um das richtig lösen zu können (d.h. Risikoabschätzung, Ethik, Gefahr in Sachen Reputation, usw.)
    Ob der externe Kommunikationsberater die richtige Adresse ist darf angezweifelt werden. Warum dann Selina auch noch bei Jimmy nachfragt, der verantwortlich ist für Prozesse und Projekte ist unklar. Auf jeden Fall verlieren wir dadurch kostbare Zeit.
Datenschutz Board: Vorsitz die Verantwortliche für Datenschutz vom Vorstand/Geschaeftsleitung - Experten zum Thema Recht, Informatik, Psychologie, Risiko Management, Ethik und Business Verständnis.
Datenschutz-Board: Vorsitz haben die Verantwortlichen für Datenschutz vom Vorstand/Geschäftsleitung – zudem braucht es Experten in den Gebieten Recht, Informatik, Psychologie, Risiko Management, Ethik und Business Verständnis.

Datenschutz Board

Die obigen Emails zeigen, dass wir fachlich kompetente und zeitgerechte Antworten nur dann garantieren können, wenn wir ein

  1. Monitoring einführen (z.B. Woche 30, welche Urteile haben welche Auswirkungen für unsere Arbeit) und
  2. einen strukturierten Prozess einführen (was tun wenn…).

Wie die obige Grafik zeigt, braucht es neben Prozessen auch eine Instanz, welche schnell und fachlich kompetent sich diesen Anfragen aus dem Unternehmen annimmt.

Dabei müssen die Fragen unbedingt interdisziplinär betrachtet werden. Die DSGVO-Problematik kann weder nur von der rechtlichen Perspektive, noch ausschließlich durch die Brille der Informatik betrachtet werden.

Die Lösung ist ein Datenschutz-Board im Unternehmen einzurichten. Dieses hat folgende Expertisen gemäss seiner Mitglieder:

  • Recht, Informatik, Psychologie, Risiko Management, Ethik und Business Verständnis (siehe Grafik oben) sowie
  • Vorsitz hält die Person vom Vorstand (Schweiz Geschäftsleitung), welche für Datenschutz verantwortlich zeichnet.

Warum es ein solches Board braucht, illustriert das obige Fallbeispiel. Speziell dieser Paragraph aus der Antwort des Group Data Privacy Officer (siehe Email oben) zeigt die Notwendigkeit für ein Datenschutz Board sehr gut auf:

Weil der YYZ-Account im Facebook primär auf den Schweizer Markt bzw. Personen, die wohnhaft in der Schweiz sind, ausgerichtet ist, sehe ich kaum Risiko bei „Nicht-Durchführung“ der Sperrung/Ausblendung des Facebook-Accounts.

Der obige Paragraph hat es in sich. Wir erklären dies ein wenig detaillierter hier:

  1. Recht/DSGVO: Solange Nutzer wohnhaft im EU Raum Zugang zu einer Facebook-Seite eines Unternehmens haben, gilt die DSGVO. Diese sagt (siehe auch EuGH-Urteil 2018-06-05 in der Rechtssache C-210/16), dass Facebook-Seiten zur Zeit nicht DSGVO-konform sind.
  2. Ethik:  Inwiefern entspricht unsere Vorgehensweise/Entscheidung den ethischen Grundsätzen oder dem moralischen Verständnis der Unternehmensgruppe?
    Wenn wir die Facebook-Seite weiterhin öffentlich sichtbar lassen = Verstoss gegen die DSGVO – spiegelt dies unsere Werte wieder?
    Seine Interpretation hinterlässt den Eindruck, dass der Konzern Gesetze und Verordnungen nur dann einhält (z.B. Sicherheit am Arbeitsplatz, DSGVO), wenn das Risiko, dass wir bei Nichteinhaltung vom Regulator ertappt werden, genügend hoch ist? Wollen wir uns dieses Image auferlegen?
  3. Business Verständnis: Haben die obigen beiden Punkte mögliche Konsequenzen für das Image und die Marke(n)?
    Bsp. Wenn wir gerügt werden vom Regulator, Presse schreibt über uns oder Kunden beschweren sich, schadet dies unserm Image und / oder der Reputation vom Unternehmen?
  4. Psychologie: Inwiefern signalisiert unsere Entscheidung die falsche Message an unsere Mitarbeiter? Was signalisiert es unseren Kunden?
  5. Risiko Abschätzung: Dieses Risiko ist systematisch, d.h. da wir gegen die Verordnung verstossen, können wir vom Regulator gebüsst oder verzeigt werden.
    Je nachdem wieviele Firmen sich gleich verhalten, steigt oder sinkt die Wahrscheinlichkeit, dass eine Verletzung der Richtlinie Konsequenzen hat. Zum Beispiel, wenn zu viele Unternehmen gegen die DSGVO verstossen, haben die Aufsichtspersonen gar nicht die Kapazität alle Sünder zu verzeigen oder zu büssen. Dennoch kann es sein, dass wir als ein Paradebeispiel vor Gericht landen.

Diese Beispiele zeigen, eine Person wie z.B. der Datenschutz-Officer ist kaum in der Lage fachmännisch zu all diesen Problemen Stellung zu nehmen. Deshalb braucht es ein Datenschutz-Board, welches aus Fachkräften besteht, die die Expertise zu den oben aufgeführten Problemen haben.

IHRE MEINUNG? DISKUTIEREN SIE MIT!

Was ist Ihre Meinung?

  • Hat Ihr Unternehmen ein Datenschutz-Board?
  • Wie können wir Datenschutz und Datensicherheit besser managen und im Notfall schneller handeln.
  • Was sind Ihrer Meinung nach Themen und Trends, über die ein Marketing Club berichten soll?

Wir freuen uns über Ihr Feedback. Und schauen Sie sich unser Video unten an. Weitere MCLago Videobeiträge gibt es hier.

Deutscher Marketing Verband (DMV): Video DSGVO Compliance

  1. Haben wir unsere Prozesse richtig aufgegleist, um DSGVO-compliant sein zu können?
  2. Ist unser Datenschutz.Office / unser Datenschutz-Board bereit, auch komplizierte Fälle innerhalb von 72 Std. zu lösen?

Herausforderungen und Pflichten – Antworten im Video.

Teilen Sie diesen Beitrag

6 Antworten

  1. Wow! Sehr detailliert und aufschlussreich.
    Vielen Dank dafür.

    Habe unter meinen ehemaligen Kunden aus Deutschland vier Anwaltskanzleien. Sie waren sich quasi alle uneins, in mindestens einem Detailpunkt.

    Das Thema bleibt spannend. Gegebenenfalls muss zu Detailfragen die Deutsche bzw. Europäische Rechtssprechung abgewartet werden.

    Danke für den Input
    Stefan

    1. Lieber Stefan

      Danke für die Blumen…
      Ja Anwälte sind sich nicht immer eins und gerade deshalb brauchen wir ein Datenschutz Board. Dieses hilft sicher zu stellen, dass diese Dinge angesprochen werden und in der Diskussion eine Lösung gefunden wird, welche die Komplexität des Problems von mehr als einer Sichtweise her betrachtet.

      Das Gesetz ist das eine und das Abwarten auf ein Gerichtsurteil gehört da sicher dazu. Aber ethische Fragen wie wir uns verhalten und wie dies unsere Reputation womöglich zu Grabe trägt (oder eben nicht) muss auch in die Diskussion einfliessen.

      Ich bin gespannt…. aber einen Prozess zu haben welche die Sache innerhalb von 72 Std. angehen kann wie

      1. ja wir haben ein Problem und zwar…,
      2. so lösen wir das Problem,
      3. wir haben alle Betroffenen Kunden innerhalb 72 Std. informiert (inkl. Festtage)

      ist hier Pflicht.

      Danke und schönes Weekend wünsche ich.
      Herzlichst
      Urs

      Bis zum 10. Juli – Nähe Kreuzlingen/Konstanz – Bottighofen – HolidayCheck AG – freue mich

      1. Eine interessante Entwicklung is hier auch der “California Consumer Privacy Act – Assembly Bill No. 375, CHAPTER 55“.
        Dieser wurde am 2018-06-27 von Senat und Repräsentantenhaus des US-Bundesstaates Kalifornien gebilligt.

        Governor Jerry Brown hat diesen am 2018-06-28 (Donnerstag) unterschrieben.
        Der Act trifft um 2020-06-01 in Kraft, was der Silicon Valley Lobby noch einige Zeit gibt Änderungen anzustreben.

        Das Gesetz betrifft nur “for-profit” Unternehmen (z.B. Facebook, Uber, Airbnb, usw.) welche die folgenden Charakteristiken aufweisen:

        1. Bruttoumsatz ist grösser als $25 Mio; ODER aber
        2. kauft jährlich ….. oder teilt für kommerzielle Zwecke die persönlichen Information von 50,000 oder mehr Konsumenten, ODER
        3. erzielt mehr als 50% des Jahresumsatzes durch das Verkaufen von persönlichen Daten.

        Immerhin, das ist ganz eindeutig eine Reaktion auf das Cambridge Analytica Debakel von Facebook.

        Eine interessante Auflistung was das Gesetz so bringen wird gibt es hier.

        Pressemitteilung zum Thema von Assemblymember Ed Chau und den Mitautoren von Chapter 55.
        Geschichte und Fakten rund um Chapter 55 von Jeremy Kirk.

        1. Der “California Consumer Privacy Act – Assembly Bill No. 375, CHAPTER 55” verpflichtet Unternehmen offenzulegen, welche Daten sie von ihren Kundinnen und Nutzern speichern.

          Gleichzeitig sollen Konsumenten (d.h. natürliche Personen welche in Kalifornien leben) die Möglichkeit erhalten, die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken zu untersagen.

          Um dies möglichst einfach für Konsumenten zu machen, sollen die Internetfirmen einen Link anbieten, über den ohne grossen Aufwand der Weiterverkauf persönlicher Daten des betroffenen Konsumenten untersagt werden kann.

          Da Kalifornien rund 40 Mio Einwohner hat, ist dieser Act für die USA wegweisend.
          #trends2watch

          “Personal Info” (PI) wird grob definiert als die Identifikation oder Assoziation mit einem Konsumenten oder Haushalt inklusive demographische Daten, Nutzung, Transaktionen und Anfragen, Präferenzen, Vorhersagen, Inferenzen welche gemacht wurden um ein Profil zu erstellen vom Konsumenten und Information über dessen formale Bildung.

          1. Und hier noch weitere interessant Informationen zu diesem Thema.
            Facebook hat 747 Seiten genutzt umd die Fragen der US Congress Mitglieder zu beantworten.

            2018-06-29 https://docs.house.gov/meetings/IF/IF00/20180411/108090/HHRG-115-IF00-Wstate-ZuckerbergM-20180411-SD003.pdf

            What Facebook Admitted and Omitted in Its 747 Pages of Answers for Congress

            How can I tell if an app may have misused my Facebook information?

            Wir werden sehen wie sich dies weiterentwickelt Auch in Sachen DSGVO.

Schreibe einen Kommentar zu Urs E. Gattiker Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Plugin von Real Cookie Banner