Die DSGVO (Datenschutz-Grundverordnung) wurde von der Europäischen Union in Auftrag gegeben und am 25. Mai 2018 im britischen Recht verankert. Sie geht weit über die ursprünglichen britischen Datenschutzbestimmungen (für Einzelpersonen) hinaus, die vor diesem Datum galten, und sieht schwere Strafen für Direktoren vor ( (Direktoren, Eigentümer und manchmal auch Manager) nicht konformer Unternehmen. Bußgelder können bis zu 4 % des Rechnungsbetrags betragen. Aufgrund weithin gemeldeter Datenschutzverletzungen verhängten British Airways und Marriott Hotels Geldstrafen in Höhe von insgesamt 300 Millionen Euro. Ziel der DSGVO ist es, die Menge an Informationen, die eine Person oder ein Unternehmen (einschließlich Einzelunternehmer) über Einzelpersonen hat, auf den Umfang zu begrenzen, der für die Durchführung geschäftlicher Aktivitäten vollständig und in erster Linie erforderlich ist. Diese Eigentümer dieser Daten werden als Datenverantwortliche bezeichnet. Der britische Informationsbeauftragte identifiziert auch die getrennten Funktionen gemeinsamer Datenverantwortlicher und -verarbeiter. Weitere Einzelheiten zu den Bestimmungen der DSGVO finden Sie auf der Website des Information Commissioner's Office. Die DSGVO betrifft Mitglieder der BASDA (Business Application Software Developers Association) sowohl als Unternehmen, die Daten beispielsweise über ihre Mitarbeiter und Kunden speichern, als auch als Anbieter von Unternehmenssoftware, die es Organisationen ermöglicht, Daten über Einzelpersonen zu speichern und zu verarbeiten. Historisch gesehen konnten fast alle Informationen bis zur Veröffentlichung aufbewahrt und aufbewahrt werden. Nun müssen alle über eine Person gespeicherten Informationen für einen bestimmten Zweck geeignet sein (z. B. zur Erfüllung von Verpflichtungen im Zusammenhang mit der Erbringung einer Dienstleistung) und, was am wichtigsten ist, müssen einer Person auf Anfrage zur Verfügung gestellt werden. Nachfolgend finden Sie 10 BASDA-Elemente, die ein Unternehmen im Rahmen der DSGVO berücksichtigen sollte.
1. Ich bin ein Datenverantwortlicher. Muss ich meine Aktivitäten beim DSGVO-Registrar protokollieren?
Ja. Verantwortliche, die personenbezogene Daten pflegen, speichern und verarbeiten, müssen eine Datenschutzgebühr an das Information Commissioner's Office (ICO) zahlen, sofern sie nicht davon ausgenommen sind. Die Gebühren liegen derzeit zwischen 40.00 € und 2,500 €.
![]()
(Bildnachweis: Wright Studio / Shutterstock)
2. Für wen gelten die Bestimmungen der DSGVO genau?
Jeder, der glaubt, dass ein Datenverantwortlicher über personenbezogene Daten über ihn verfügt. Dazu gehören Mitarbeiter; Kundenpersonal; Verkäuferpersonal; Mitarbeiter potenzieller Kunden und Lieferanten; Personen, die Marketinginformationen über eigene und fremde Produkte und Dienstleistungen usw. erhalten.
3. Welche Pflichten habe ich hinsichtlich des Zugriffs auf meine Daten?
Natürliche Personen haben ein gesetzliches Recht auf Zugang zu allen personenbezogenen Daten, die ein Verantwortlicher über sie hat. Dies wird allgemein als „Subjektzugriff“ bezeichnet. Ein Antrag auf Zugriff auf die betroffene Person zur vollständigen Offenlegung aller Informationen, die ein Verantwortlicher über ihn hat, kann mündlich oder schriftlich gestellt werden. Das Unternehmen hat einen Monat Zeit, um zu antworten. Das Versäumnis, mit einer vollständigen Offenlegung zu antworten, führt zu schweren Strafen für die Führungskräfte des Unternehmens. Die Kosten trägt der Antragsteller gemäß den Bestimmungen der DSGVO in der Regel nicht.
![]()
(Bildnachweis: Alexskopje / Shutterstock)
Alle Informationen im Zusammenhang mit dem Zugang zum Thema, sei es in „elektronischer“ Form (zu liefern auf Papier), Audioaufzeichnungen, Videoaufzeichnungen (später direkte Kopien der letzten beiden) oder auf Papier. „Elektronisches Formular“ umfasst Daten, die in Datenbanken, Dateien (Textverarbeitung, Tabellenkalkulationen usw.) und E-Mails (sowohl geschäftliche als auch private) gespeichert sind.
5. Wie kann ich die interne Compliance sicherstellen?
Der erste Schritt besteht darin, sicherzustellen, dass alle internen Richtlinien und Verfahren allen Mitarbeitern (und gegebenenfalls Auftragnehmern) klar machen, dass nur Informationen über Personen, mit denen sie möglicherweise in Kontakt stehen, aufgezeichnet werden sollten, die für geschäftliche Anforderungen relevant sind. Wenn die Server des Unternehmens außerdem für den Zugriff (durch Mitarbeiter des Unternehmens) auf persönliche E-Mails oder soziale Netzwerke (Facebook, Twitter usw.) genutzt werden, ist zu beachten, dass das Unternehmen verpflichtet ist, ihnen alle damit verbundenen Inhalte zur Verfügung zu stellen. Quellen, wenn Sie eine Themenzugriffsanfrage erhalten. Eine sichere Lösung besteht darin, den Zugriff auf persönliche E-Mails und soziale Netzwerke über Unternehmensserver zu blockieren. Eine Sicherheitslösung besteht jedoch darin, sicherzustellen, dass alle Mitarbeiter und Auftragnehmer wissen, dass sie ungehinderten Zugriff auf diese Daten haben, um sicherzustellen, dass sie die Bestimmungen der DSGVO einhalten.
6. Ich habe eine mündliche Zugangsanfrage erhalten. Was soll ich tun?
Während es vorzuziehen ist, dass alle Anfragen schriftlich eingehen, ist es für einen Arbeitnehmer sinnvoll, Informationen anzufordern, die ein Arbeitgeber über ihn hat. Daher ist es wichtig, in den Richtlinien und Verfahren des Datenverantwortlichen klar zu dokumentieren, wie eine solche mündliche Anfrage aufgezeichnet wird, und sicherzustellen, dass die Informationen in angemessener Weise bereitgestellt werden.
![Sobrecarga de correo electrónico]()
(Bildnachweis: Shutterstock)
7. Warum fallen E-Mails unter die gesetzlichen Bestimmungen?
Zu oft werden E-Mails (oder ähnliche Kommunikationsmittel) als Medium genutzt, um (gute und schlechte) Meinungen über jemanden auszudrücken, der wenig oder gar nichts mit dem Geschäft zu tun hat. Diese Meinungen könnten neben der Speicherung personenbezogener Daten auch verleumderischer Natur sein (eine Frage der Richtlinien und Verfahren) und der Frage, ob ein Kollege (der gemäß den DSGVO-Bestimmungen Zugriff beantragen kann) ein Unternehmen für Arbeitsstreitigkeiten anfällig machen könnte. Wenn ein Antrag auf Zugriff nach Betreff eingegangen ist, muss der Hinweis auf alle anderen personenbezogenen Daten entfernt werden, die nicht spezifisch für den Antrag sind, d. h. dass sie einer anderen Person gehören. Die Weitergabe personenbezogener Daten an eine andere Person bei der Beantwortung des Zugriffs der betroffenen Person stellt eine Straftat im Sinne der Bestimmungen der DSGVO dar.
8. Ich liefere Software, die Kunden installieren können. Bin ich dadurch ein Verantwortlicher für die Daten, die sie möglicherweise haben?
Wenn Sie (in der Regel lizenzierte) Softwarelösungen bereitstellen, die Sie anschließend warten und für die Sie Ferndiagnosedienste anbieten, wobei diese Ferndiagnosedienste den Zugriff auf Informationen umfassen können, die in einer Datenbank mit personenbezogenen Daten enthalten sind, handeln Sie möglicherweise als Datenverantwortlicher. Daher ist es wichtig, bestehende Support-/Wartungsvereinbarungen zu überprüfen und Formulierungen aufzunehmen wie: „Wenn wir schriftlich aufgefordert werden, auf den Inhalt einer Datenbank oder Partnerdateien, die personenbezogene Daten enthalten, zuzugreifen und diese möglicherweise zu ändern, werden wir alle vorgenommenen Änderungen dokumentieren.“ und senden Sie diese vollständige Dokumentation an den Kunden/Lizenznehmer. Sobald diese Informationen dem Kunden/Lizenznehmer mitgeteilt wurden, werden wir alle Referenzen und temporären Kopien aus unseren eigenen Systemen entfernen. Dadurch bleibt unsere Rolle als Datenverarbeiter und nicht als Datenverantwortlicher erhalten. "
9. Ich biete Software-as-a-Service (SaaS)-Lösungen an, bei denen ich vom Kunden verwaltete Daten hoste. Bin ich dadurch ein Datenverantwortlicher?
Im Allgemeinen bedeutet das SaaS-Angebot, dass die zugrunde liegenden Datenbanken und zugehörigen Dateien, die möglicherweise personenbezogene Daten enthalten, Ihrer direkten Kontrolle unterliegen. In diesem Fall wäre es hilfreich sicherzustellen, dass Verträge mit Dienstleistungsnutzern Formulierungen enthalten wie: „Wir agieren als Subunternehmer, um die hier beschriebenen Dienstleistungen zu erbringen.“ Wenn wir schriftlich angewiesen werden, auf den Inhalt einer Datenbank oder zugehöriger Dateien mit personenbezogenen Daten zuzugreifen und diese ggf. zu ändern, werden wir die vorgenommenen Änderungen dokumentieren und diese vollständige Dokumentation an den Kunden/Lizenznehmer senden. Sobald diese Informationen dem Kunden/Lizenznehmer mitgeteilt wurden, werden wir alle Referenzen und temporären Kopien aus unseren eigenen Systemen entfernen. Dadurch bleibt unsere Rolle als Datenverarbeiter und nicht als Datenverantwortlicher erhalten. "
![]()
(Bildnachweis: Pixabay)
10. Was passiert, wenn unsere Server gehackt und Daten kopiert (gestohlen) werden?
Der Datenschutzbeauftragte stellt klar, dass ein Datenverantwortlicher für die Sicherheit aller von ihm gespeicherten personenbezogenen Daten verantwortlich ist. Die Tatsache, dass ein Server gehackt wird oder ein Mitarbeiter eine Kopie personenbezogener Daten anfertigt, stellt keine Entschuldigung dar und führt stets dazu, dass der Datenverantwortliche (insbesondere seine Vertreter) gemäß den Bestimmungen der DSGVO haftbar ist. Es muss darauf geachtet werden, dass selbst das Kopieren der Daten einer Person nicht gestattet ist, außer für den alleinigen legitimen Zweck des Datenverantwortlichen. Das Kopieren beschränkt sich nicht nur auf die Datenübermittlung über Kommunikationsdienste, sondern umfasst auch das Kopieren auf tragbare Speicher wie USB-Sticks oder SIM-Karten. Dieser Leitfaden stammt von der britischen Wirtschaftsorganisation BASDA (Business Application Software Developers Association), die TechRadar Pro die Erlaubnis erteilt hat, ihn erneut zu veröffentlichen. BASDA agiert durch Vertretung und Zusammenarbeit, um sicherzustellen, dass die Stimme der britischen Unternehmenssoftwarebranche von einigen der höchsten Ebenen der britischen Regierung, politischen Entscheidungsträgern und den Branchenmedien gehört wird. Mehr über BASDA können Sie hier lesen.