«Don´t Panic!» Dieser in wunderschönen Buchstaben auf der Titelseite des «Hitchhiker’s Guide to the Galaxy» geschriebene Rat gilt für deutlich aufregendere Situationen als das Inkrafttreten der Datenschutz-Grundverordnung am Freitag den 13. Äh: 25. Mai 2018. Upps, das ist ja praktisch JETZT!
«Meine Botschaft an die Unternehmen lautet: Verfallen Sie nicht in Panik.» (Don´t Panic!) EU-Justizkommissarin Vera Jourova versucht, im Vorfeld des 25. Mai die Wogen zu glätten. Dabei sind, wie jüngste Umfragen unter den Firmen in Europa deutlich machen, die meisten noch gar nicht richtig vorbereitet auf die Folgen der «General Data Protection Regulation», wie die englische Bezeichnung lautet. Um das Mindeste zu tun, sollten Sie einen Disclaimer für Ihre nächsten Massenmails berücksichtigen. Den Text finden Sie am Ende des Blogs.
Ziel der DSGVO oder GDPR ist es, die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Behörden in der gesamten Europäischen Union einheitlich zu regeln. Die Herausforderung besteht darin, einerseits die Schutzfunktion der Verordnung durchzusetzen, andererseits aber den freien Datenverkehr in der EU zu ermöglichen. Dabei wird der Begriff der personenbezogenen Daten gar nicht neu definiert, sondern aus den bisherigen Regelungen übernommen. Neu sind aber sechs Grundsätze für deren Verarbeitung. Darin sind die Rechtmäßigkeit der zweckgebundenen Speicherung, Datensparsamkeit, Korrektheit, Begrenztheit, Integrität und Vertraulichkeit geregelt.
Und damit beginnen die Probleme: Wissen Sie wirklich, wo und wie und nach welchen Kriterien bei Ihnen personenbezogene Daten gespeichert und für die Nutzung durch Dritte verfügbar gemacht werden können. Denn es geht nicht allein darum, wo und wie diese personenbezogenen Daten gespeichert werden. Es geht auch darum, welchen internen Diensten und Anwendungen Sie Zugriffsrechte auf diese Daten gewährt haben.
Wie? Das ist nicht dokumentiert? Die Anwendung stammt aus den achtziger, neunziger Jahren des vergangenen Jahrhunderts und der Code ist nicht hinterlegt? Die Unterlagen sind mit dem Ausscheiden des damaligen Verantwortlichen verschwunden? Willkommen im Club.
Wie gesagt: «Don´t Panic». In den meisten Anwendungsfällen hilft eine Mail. Siehe unten.
Ansonsten: Der zweitbequemste Weg besteht darin, den Entwickler der eingesetzten Software zu befragen – wenn er sich nicht schon selbst gemeldet hat. Der drittbequemste Weg besteht darin, die eigenen Anwendungen einfach in die Cloud eines «Trusted Service Providers» zu verlagern.
Der sicherste Weg ist es, die Speicherung personenbezogener Daten mittelfristig in ein eigenes Datenmodul zu verlagern und von dort aus Rechte neu zu vergeben. Mit dem actesy-Framework sind wir in der Lage, die Daten aus Ihren bestehenden Anwendungen herauszuziehen und in einer eigenen Datenbank zu speichern, auf die dann nur kontrollierte Zugriffe möglich sind. Das klingt aufwendig, ist es aber nicht. Unser Versprechen lautet: Wir sichern Ihre Investitionen, weil wir schnell, flexibel und innovativ sind. Skeptisch? Dann testen Sie uns. Wir freuen uns auf Ihre Kontaktaufnahme unter info@actesy.com.
Wir sehen uns – in Ihrem nächsten Digitalprojekt. Liebe/r /, Sehr geehrte/r Frau/Herr…, seit langer Zeit senden wir Ihnen Informationen und Services an Ihre eMail-Adresse. Mit Wirkung zum 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Dies macht eine Aktualisierung datenschutzrechtlicher Regelungen erforderlich und verpflichtet uns, unsere Adressdatenbank im Hinblick auf datenschutzrechtliche Anforderungen zu prüfen.
Natürlich würden wir sehr gerne den mit Ihnen bestehenden Kontakt aufrechterhalten. Wenn Sie damit einverstanden sind, brauchen Sie nichts zu unternehmen. Denn dann würden wir uns auf unser berechtigtes Interesse nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO berufen, das die DSGVO u.a. in Artikel 85 (Pressefreiheit) und ggf. ErwG 47 (Direktwerbung) erwähnt.
Ihre Interessen werden durch die opt-out-Möglichkeit gewahrt. Denn sofern Sie künftig nicht mehr mit Informationen aus unserem Haus kontaktiert werden möchten, werden wir Sie aus dem entsprechenden Verteiler entfernen und Ihre Daten löschen. Wenn Sie dies wünschen bitten wir Sie, den folgenden Link mit dem Hinweis «Ich wünsche die Löschung meiner Daten aus den Datenbanken» zu nutzen: [Jeweils individueller Link]
Disclaimer: Dieser Text wurde nach bestem Wissen und Gewissen formuliert. Eine Verantwortung für komplette Rechtskonformität ist damit nicht verbunden. Der Rat der actesy AG ersetzt nicht die Beratung durch eine Anwaltskanzlei.
