Il 25 Mai 2018 Das Web hat sich ein für alle Mal verändert. Zumindest in Europa. Auch wenn es vielen damals nicht klar war, ist es seit diesem Tag so DSGVO in Kraft getreten, die von der Europäischen Kommission gewünschte Verordnung zur Vereinheitlichung der Regeln für die Verarbeitung von Bürgerdaten auf dem gesamten Alten Kontinent (einschließlich der Schweiz). Insbesondere die DSGVO setzt alle nationalen Regelungen zur Verarbeitung personenbezogener Daten und zum Schutz der Privatsphäre um, „verkörpert“ und ersetzt sie.

Genau das aber, was sich im Vergleich zu früher geändert hat und was Unternehmen tun müssen um einen Verstoß gegen die DSGVO zu vermeiden? UND Welche Strafen drohen Verstößen gegen die DSGVO? Lassen Sie uns alles verstehen, indem wir einen praktischen Fall analysieren.

Was ist die DSGVO

Akronym für Allgemeine Datenschutzverordnung, Allgemeine Datenschutzverordnung auf Italienisch, die DSGVO ist ein Satz von Regeln und Vorschriften, die alle Subjekte, die Daten von Webbenutzern verarbeiten, einhalten müssen. Insbesondere befasst sich die DSGVO mit der Verarbeitung personenbezogener Daten der Nutzer durch die Unternehmen, ihre Aufbewahrung durch letztere und die Möglichkeit für die Benutzer selbst, sie auf einfache und unmittelbare Weise verwalten zu können.

DSGVO: was sie bietet

Die Kernpunkte, um die sich die gesamte Struktur der DSGVO dreht, sind im Wesentlichen zwei:

• Vereinfachung des Regulierungsrahmens, in dem sich Unternehmen auf dem Markt der Europäischen Union (und anderen Ländern, die ein Abkommen mit der EU haben) befinden;
• Geben Sie Benutzern mehr Kontrolle über ihre Daten, von dem Moment an, in dem sie vom Unternehmen erfasst werden, bis sie gelöscht werden.

Damit dies möglich ist, verlangt die DSGVO von Unternehmen, dass Einwilligungsanfragen klarer und für die Nutzer „lesbar“ sein müssen; Grenzen der Verarbeitung und Nutzung von Daten festgelegt werden; Verhängung von Sanktionen gegen Unternehmen, die gegen die Bestimmungen des Datenschutzrechts verstoßen. Darüber hinaus ist im Falle einer Datenschutzverletzung (ein Datenverlust, der normalerweise durch einen von Kriminellen begangenen Diebstahl verursacht wird) der Datenverantwortliche (ein Fachmann innerhalb des Unternehmens, genannt Datenschutzbeauftragter) ist verpflichtet, die Behörden und rechtmäßigen Eigentümer so schnell wie möglich zu benachrichtigen. Geschieht dies nicht, wird die Sanktionen, die von der DSGVO vorgesehen sind sie würden noch salziger werden.

Mitte 2020 kam eine Neuheit bezüglich der Zustimmung zur Datenverarbeitung die Unternehmen über Web-Tools sammeln. In den letzten zwei Jahren reichte es für den Benutzer tatsächlich aus, einen Teil einer Webseite zu scrollen, um die Zustimmung zur Behandlung als erworben zu betrachten. Ein Urteil des Europäischen Gerichtshofs legt fest, dass die Einwilligung aktiv und eindeutig sein muss. Das bedeutet, dass der Benutzer, um Cookies zu akzeptieren, müssen auf das Banner klicken, um die Zustimmung anzufordern, indem Sie auswählen, ob Sie die Verwendung von unbedingt erforderlichen technischen Cookies oder allen Cookies zulassen möchten. Aus diesem Grund sehen Sie zum Beispiel immer häufiger das Consent-Banner, auch wenn es sich um eine Seite handelt, die Sie häufig besuchen.

Was diejenigen riskieren, die gegen die DSGVO verstoßen: die Sanktionen

Auch die DSGVO sieht vor Sanktionen ziemlich schwer für den Fall, dass die Datenverarbeitung durch ein Unternehmen nicht den darin enthaltenen Bestimmungen entspricht oder kommunikationstechnisch in Verzug gerät.

Je nach Schwere des begangenen Verstoßes gibt es zwei Arten von Sanktionen. Bei geringfügigen Verstößen (z. B. Fehlen eines Datenverarbeitungsregisters, Versäumnis, einen Datenverantwortlichen zu ernennen, Versäumnis, eine Datenschutzverletzung zu melden) kommt die Strafe bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes wenn höher als diese Zahl. Bei schwerwiegenden Verstößen (wie z. B. fehlende Zustimmung zur Behandlung, Verletzung der Rechte des Betroffenen, fehlende oder ungeeignete Datenschutzinformationen und Verstoß gegen die Bestimmungen zur Datenübermittlung) beträgt das Bußgeld bis zu 20 Millionen Euro oder 4 % des Weltumsatzes.

Alphabet beispielsweise, die Holdinggesellschaft, die Google und alle Unternehmen im Umkreis des Mountain-View-Riesen kontrolliert, hat einen Jahresumsatz von 46 Milliarden Dollar und könnte im Falle eines schwerwiegenden Verstoßes zur Zahlung von bis zu 1,9 gezwungen werden Milliardenstrafe.

DSGVO-Sanktionen: der H&M-Fall

Die Verwaltung von Daten und deren Schutz betrifft jedoch nicht nur Kunden und Benutzer der Website. Auch Mitarbeiterdaten müssen unter Bezugnahme auf die Bestimmungen der Datenschutz-Grundverordnung erhoben, verarbeitet und archiviert werden. Ein Beispiel ist H&M, mit einer Geldstrafe von über 35 Millionen Euro belegt, weil es entdeckt wurde, wie es seine Mitarbeiter illegal profilierte. Ein Datenleck hat tatsächlich einen echten Fall von interner Spionage aufgedeckt: Spätestens seit 2014 zeichnet H&M Daten, Informationen und Gespräche seiner Mitarbeiter auf und archiviert alles (unbefugt) auf privaten Servern.

Eine besonders invasive Profiling-Aktivität, was sich offensichtlich negativ auf die Zusammenarbeit zwischen dem schwedischen Moderiesen und seinen Mitarbeitern auswirkte. Die Hamburger Datenschutzbehörde hat H&M daher ein Bußgeld in Höhe von 35,3 Millionen Euro auferlegt. Das Unternehmen entschuldigte sich seinerseits bei den in den Skandal verwickelten Mitarbeitern und baute das Büro radikal um.

Eine Sanktion, die auch allen anderen Unternehmen als Warnung dient: Die staatlichen Behörden (in diesem Fall die deutsche, aber die Sanktionen sind in der gesamten Europäischen Union gleich und betreffen auch Unternehmen mit Sitz außerhalb der EU-Grenzen) lassen keine Daten zu Verstöße oder eine Datenverarbeitung, die nicht den Bestimmungen der DSGVO entspricht. Jeder, der auf frischer Tat ertappt wird, wird für sein Verhalten schwer bezahlen.