Mit dem Inkrafttreten der GDPR im Mai 2018, die für General Data Protection Regulation steht, wurden die Regeln für den Umgang mit personenbezogenen Daten ordentlich verschärft und Nachlässigkeit im Umgang mit personenbezogenen Daten kann teuer werden. Bevor die GDPR in der EU eingeführt wurde, gab es wirklich keine Form der Sicherheit für die persönlichen Daten der Menschen und ihre Privatsphäre im Internet.
Eine häufige Frage, die sich die Menschen stellen, lautet: „Welche Unternehmen fallen unter die Datenschutzgrundverordnung?“
Die Antwort auf diese Frage ist, dass alle in der EU tätigen Unternehmen, unabhängig von ihrer Größe, unter die DSGVO fallen. Das bedeutet, dass die GDPR genauso wichtig ist, egal ob Sie ein Start-up-Unternehmen haben oder ein größeres Unternehmen führen. In diesem Blogpost geben wir Ihnen einen Leitfaden an die Hand, wie Unternehmen, ob groß oder klein, mit der GDPR umgehen sollten, um die Privatsphäre ihrer Kunden zu schützen.
Was ist GDPR in Kürze?
Wir beginnen mit einem kurzen Überblick darüber, was GDPR ist. Einige der wichtigsten Punkte der neuen Verordnung sind, dass Sie als Einzelperson das Recht auf Transparenz, auf Änderung und sogar auf Löschung der personenbezogenen Daten haben, die Unternehmen oder Organisationen über Sie gesammelt haben. Das GDPR-Gesetz geht davon aus, dass Sie als Unternehmen nicht mehr personenbezogene Daten sammeln sollten als nötig. Die personenbezogenen Daten sollten auch für bestimmte Zwecke bestimmt sein und nicht länger als nötig gespeichert werden.
Menschen, die sich zum Beispiel auf Ihrer Website registrieren, haben das Recht zu erfahren, wie Sie als Unternehmen mit ihren persönlichen Daten umgehen. Es muss klar sein, warum Sie diese Informationen sammeln und wie Sie sie verwenden werden. Diejenigen, die sich anmelden, müssen auch wissen, welche Rechte sie haben, z.B. wie sie falsche Informationen korrigieren und persönliche Daten über sich löschen lassen können. Dies gilt nicht nur für B2C, sondern auch für B2B, innerhalb der eigenen Organisation und andere Arten von Vereinbarungen.
Was bedeutet die GDPR für Unternehmen?
Wie bereits erwähnt, gilt die GDPR für alle in der EU tätigen Unternehmen, unabhängig von ihrer Größe. Sie soll die Privatsphäre von Privatpersonen schützen, indem sie den korrekten Umgang mit personenbezogenen Daten sicherstellt. Wenn eine Person Ihnen als Unternehmen ihr Einverständnis zum Umgang mit ihren persönlichen Daten gibt, z.B. über ein Formular oder einen Newsletter anmeldet, sind Sie als Unternehmen verpflichtet, ausdrücklich sicherzustellen, dass die Person ihre Zustimmung geben kann und weiß, wie ihre persönlichen Daten verwendet werden.
Die Vereinbarungen, die Sie als Unternehmen laut GDPR haben müssen, sind:
- Datenschutzbestimmungen
- Vertrag für persönliche Datenassistenten
Das Gesetz schreibt auch die folgenden internen Routinen vor:
- Kontinuierliche Entfernung unnötiger persönlicher Daten
- Berücksichtigen Sie die Rechte der betroffenen Personen
- Verpflichtung im Falle von Vorfällen mit personenbezogenen Daten
- Schriftliches Dokument für die Verarbeitung personenbezogener Daten
GDPR-Regeln in Schweden
Obwohl die DSGVO und die hinzugefügten Regeln als komplex und unübersichtlich empfunden werden können, ist es in der Tat zu Ihrem Vorteil, wenn Sie als Unternehmen die Vision haben, zu expandieren und Märkte außerhalb der schwedischen Grenzen zu erreichen. Vor 2018 hatte jedes Land innerhalb der EU seine eigenen Datenschutzgesetze, was dazu führen konnte, dass Sie, selbst wenn Sie die Gesetze Ihres Landes befolgten, Gefahr liefen, gegen die Gesetze des anderen Landes zu verstoßen, in dem Sie tätig sind.
Der Zweck der Datenschutzverordnung besteht darin, dass in der gesamten Europäischen Union die gleichen Regeln für die Verarbeitung personenbezogener Daten gelten. Das macht es für Unternehmen einfacher, sich in mehreren EU-Ländern niederzulassen und dort zu operieren. Ein schwedisches Unternehmen, das die Datenschutzverordnung einhält, hat keinen Grund zur Sorge, dass die Regeln für den Umgang mit Informationen über z.B. seine Kunden in einem anderen EU-Land anders gehandhabt werden.
Es ist nicht ungewöhnlich, dass schwedische Unternehmen digitale Dienste nutzen, die Daten außerhalb der EU verarbeiten, beispielsweise amerikanische. Das kann alles sein, von Analysetools über Kommunikationsplattformen bis hin zu Logistik-Tools. GDPR besagt, dass die Übermittlung personenbezogener Daten in ein Land außerhalb Europas nur dann zulässig ist, wenn das betreffende Land ein hohes Schutzniveau für personenbezogene Daten gewährleisten kann. Alle US-Lieferanten dürfen nach der GDPR keine personenbezogenen Daten mehr verarbeiten.Das bedeutet, dass Unternehmen, die Newsletter über einen US-Lieferanten versenden, Gefahr laufen, gegen die GDPR zu verstoßen.
Was passiert, wenn ein Unternehmen gegen die Datenschutzgrundverordnung verstößt?
Was sind die Konsequenzen eines Verstoßes gegen die Datenschutzgrundverordnung? Was passiert, wenn Sie gegen das GDPR-Gesetz verstoßen, unabhängig davon, ob es sich um eine GDPR-Vereinbarung zwischen Unternehmen zu Unternehmen, Kunden oder Organisationen handelt, ist, dass die Datenschutzbehörde entscheidet, ob das Unternehmen eine Geldstrafe erhält und in diesem Fall eine Strafgebühr zahlen muss. Die Höhe der Gebühr hängt davon ab, wie groß der Verstoß ist und wie viel Schaden verursacht wurde. Dabei wird auch berücksichtigt, wie sensibel die Informationen in diesem Fall sind.
Die maximale Höhe der Strafgebühr, die ein Unternehmen zahlen muss, reicht bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens. Diese Gebühren fallen jedoch häufiger bei größeren Verstößen an. Für geringfügige Verstöße können Sie bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens zahlen.
Wie Unternehmen mit persönlichen Daten umgehen sollten
Was fällt eigentlich unter den Begriff „persönliche Daten“? Es gibt einige grundlegende und offensichtliche persönliche Informationen, wie Vor- und Nachname und Sozialversicherungsnummer. Aber es gibt wesentlich mehr Möglichkeiten, eine Person zu identifizieren, insbesondere im Internet.
Beispiele für andere personenbezogene Daten sind:
- Informationen zum Standort
- Ein Bild
- Bankverbindung
- Updates in den sozialen Medien
- Wo Sie wohnen
- Beziehungen und die Anzahl der Kinder
- Rufnummer
Wenn Sie noch ein wenig tiefer in die GDPR-Regeln eintauchen möchten und wissen möchten, wie Unternehmen mit personenbezogenen Daten umgehen sollten, können Sie hier mehr über GDPR lesen!
GDPR-Vorlage für kleine Unternehmen
Um sicherzustellen, dass Sie als Unternehmen die GDPR einhalten, sollten Sie zunächst überprüfen, ob Sie:
- Werden alle Grundprinzipien der Datenschutzverordnung eingehalten?
- Haben Sie eine korrekte Rechtsgrundlage für die Verarbeitung Ihrer persönlichen Daten?
- Dokumentieren Sie, wie Sie denken und wie Sie handeln?
GDPR in Text und Vereinbarungen für kleine Unternehmen
Sich mit den Vorschriften vertraut zu machen und zu verstehen, wie man aktiv mit der Datenschutz-Grundverordnung arbeitet und die Integrität der Menschen berücksichtigt, kann für ein Start-up-Unternehmen als kompliziert empfunden werden. Wir möchten Ihnen dabei natürlich helfen. Deshalb haben wir das Thema in vier Kernpunkte unterteilt, mit denen Sie beginnen und die Sie als GDPR-Vorlage für kleine Unternehmen verwenden können. Dies wird Ihnen helfen, ein klareres Bild davon zu bekommen, welche Regeln der DSGVO gelten, wie Sie eine gute Struktur aufbauen und gute Routinen festlegen können, um das Risiko zu verringern, wichtige Punkte zu übersehen, die zu teuren Strafen führen können.
- Überprüfen Sie und verschaffen Sie sich einen Überblick. Welche persönlichen Daten werden in Ihrem Unternehmen verarbeitet? Bilden Sie diese ab und bedenken Sie, dass dies nicht nur für Ihr Kundenregister gilt, sondern auch für Informationen über Ihre Mitarbeiter und Daten, die in verschiedenen von Ihnen verwendeten Programmen gespeichert sind.
- In Datenkategorien einteilen. Welche verschiedenen Arten von personenbezogenen Daten verarbeiten Sie? Kategorisieren Sie diese, damit Sie ein Gesamtbild erhalten und eine klare Struktur festlegen können.
- Dokumentation. Nachdem Sie als Unternehmer kategorisiert haben, welche Aufgaben Sie erledigen, ist es einfach, diese zu dokumentieren. Es sollte dokumentiert werden, warum Sie die personenbezogenen Daten haben, wie sie verarbeitet werden und zu welchem Zweck. Danach sollten Sie eine Datenschutzrichtlinie und eine Vereinbarung mit dem persönlichen Datenassistenten verfassen.
- Bitten Sie um Hilfe. Es gibt eine Menge zu beachten, wenn es um die GDPR-Regeln für Unternehmen geht. Wenn Sie die Möglichkeit dazu haben, bitten Sie um Hilfe. Es ist besser, von Anfang an sicherzustellen, dass es richtig ist. Es gibt auch sehr gute GDPR-Texte online, an denen Sie teilnehmen können, um sicherzustellen, dass Sie die GDPR-Regeln, die für Unternehmen und Organisationen gelten, befolgen.
