Quelle: eKapija | Sonntag, 27.05.2018.| 21:09

Eigentum an personenbezogenen Daten - Unternehmen in Serbien unvorbereitet auf die Umsetzung der Datenschutz-Grundverordnung

Illustration (Foto Maksim Kabakou/shutterstock.com)

Wenn die Präsidentschaftswahlen in den USA nach dem 25. Mai 2018 stattfänden, würde man Donald Trump vielleicht nicht zum Präsidenten wählen, und dies nicht nur wegen seiner kontroversen Biographie, sondern auch, weil zwei Jahre nach dem Wahlkampf entdeckt wurde, dass die Daten von 50 Millionen Facebook-Nutzern von Cambridge Analytica verwendet wurden, und dieses Unternehmen war mit dem Wahlpersonal des aktuellen US-Präsidenten eng verbunden.

Die personenbezogenen Daten von etwa 2,7 Millionen europäischen Nutzern dieses sozialen Netzwerks könnten unter ihnen sein, teilte die Europäische Kommission unter Berufung auf Daten mit, die ihr von Facebook zur Verfügung gestellt wurden.

Ab dem 25. Mai 2018, wenn die neue Datenschutz-Grundverordnung der EU (General Data Protection Regulation - GDPR) in Kraft tritt, werden personenbezogene Daten der Nutzer dieses sozialen Netzwerks wie jedes andere persönliche Eigentum behandelt.

Obwohl die Sammlung solcher Daten zuvor gesetzlich geregelt wurde, bringt die neue Verordnung viele Neuheiten, aber auch strenge Strafen für Verstöße.

Was ist die Datenschutz-Grundverordnung (DSGVO) in Wirklichkeit?

Wenn Ihr Posteingang in letzter Zeit mit Benachrichtigungen von verschiedenen Organisationen über die Änderung der Art der Datensammlung überladen wurde, ignorieren Sie sie nicht. Achten Sie darauf, was sie sagen, also welche Art von Ihren personenbezogenen Daten sie haben.

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Dadurch soll einerseits der Schutz personenbezogener Daten wie z.B. Vorname, Familienname, Matrikelnummer, E-Mail-Adressse, Telefonnummer innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung betrifft auch den Zugang zu verschiedenen Websites, bzw. zu Daten, die nicht nur darauf bezogen sind, wer eine Person ist, sondern auch, wie man zu ihr kommen kann.

In Übereinstimmung mit diesem Dokument muss jede Organisation, die Daten von EU-Bürgern verarbeitet, aber auch von Personen, die ohne Unionsbürgerschaft innerhalb der EU-Grenzen leben, die neuen Regeln für den Schutz personenbezogener Daten einhalten.

Gemäß der Datenschutz-Grundverordnung kann jeder Bürger der Europäischen Union von jedem Unternehmen erfragen, warum die Daten erhoben werden, und die Unternehmen auffordern, die gesammelten Daten zu löschen. Es ist wichtig zu betonen, dass sich die neue Verordnung nicht nur auf Organisationen aus der EU bezieht, sondern auch auf juristische Personen, die außerhalb der Union registriert sind, aber mit in der EU ansässigen Personen zusammenarbeiten.

Die Verordnung legt auch Verpflichtungen für juristische und natürliche Personen außerhalb der EU fest. In der Verordnung heißt es unter anderem, dass Unternehmen mit Sitz außerhalb der EU einen Vertreter in der Union haben, der für bestimmte Fragen im Zusammenhang mit dem Datenschutz zuständig ist und in bestimmten Fällen bestimmte Tätigkeiten zur Verarbeitung personenbezogener Daten aufzeichnet.

Außerdem müssen alle, die ihre Dienstleistungen und Waren auf dem Hoheitsgebiet eines Mitgliedstaats anbieten oder ihr Online-Geschäft in Richtung EU leiten, die Verordnung umsetzen. Personen, die in der Sprache eines Mitgliedstaates besondere Dienstleistungen und Ermäßigungen anbieten oder sich an EU-Bürger wenden, müssen ebenfalls die neue Verordnung einhalten.

Daher müssen Unternehmen aus Serbien, die mit EU-Bürgern zusammenarbeiten, ihre Tätigkeiten mit der DSGVO harmonisieren, auch wenn die nationalen Rechtsvorschriften in diesem Bereich noch immer nicht verabschiedet sind.

Erinnern wir uns daran, dass Serbien nicht auf der EG-Liste von Ländern steht, die angemessene Maßnahmen zum Schutz personenbezogener Daten umsetzen. Die DSGVO schreibt jedoch zusätzliche Schutzmaßnahmen vor, wenn Daten von der EU nach Serbien gelangen (Vertragsklauseln, Verhaltenskodexe, verbindliche Unternehmensregeln).

Wie am kürzlich abgehaltenen Digitalen Tag festgestellt wurde, hat Serbien keine Zertifizierungsstelle, die bestimmen würde, ob das Unternehmen in Übereinstimmung mit den Bestimmungen dieser Verordnung arbeitet oder nicht.

Verabschiedung des Datenschutzgesetzes bis Ende 2018?


Die DSGVO wurde 2016 angenommen, und die Unternehmen hatten zwei Jahre Zeit, um sich an ihre Bestimmungen anzupassen. Das serbische Datenschutzgesetz sollte bis Ende 2018 verabschiedet werden. Laut Sasa Gajin vom Zentrum für fortgeschrittene juristische Studien wurde es von den EU-Behörden genehmigt, und es liegt an den lokalen Politikern, es jetzt zu verabschieden.

Der Gesetzentwurf entspricht weitgehend den DSGVO-Bestimmungen, so dass die Unternehmen in Serbien fast alles umsetzen müssen, was juristische und natürliche Personen aus der EU bereits in Bezug auf den Schutz personenbezogener Daten umsetzen, was weit mehr Verpflichtungen mit sich bringt, als die DSGVO derzeit für Drittländer vorschreibt.


(FotoSergey Nivens/shutterstock.com)
Wie Marija Milojevic von der Beratungsfirma KPMG sagt, impliziert dies auch die Existenz von Personen, die für den Schutz personenbezogener Daten in Unternehmen verantwortlich sind, die Verpflichtung eines einheitlichen Registers, die Pflicht, Verstöße innerhalb von 72 Stunden zu melden ...

Den Unternehmen wird ein halbes Jahr zur Verfügung gestellt, um ihre Tätigkeit mit diesem Gesetz zu harmonisieren.

Unternehmen in Serbien sind nicht bereit für die DSGVO

Laut der KPMG-Umfrage hat eine große Anzahl von Unternehmen in Serbien noch nicht ermittelt, ob die DSGVO sie betrifft oder nicht. Wie die Beratungsfimra in einer Pressemitteilung sagt, befinden sich selbst Unternehmen, für welche die Verordnung gilt, erst am Anfang der Harmonisierung. Sie versuchen jetzt, die Art der verarbeiteten personenbezogenen Daten sowie die Speicherorte für diese Daten zu definieren.

Dass lokale Unternehmen die Verordnung nicht ernst genommen haben, bestätigt sich in der Praxis. Der Umfrage zufolge haben viele Unternehmen keine Person, die für den Umgang mit personenbezogenen Daten und deren Schutz im Detail verantwortlich ist, Abteilungen in großen Systemen sind dezentralisiert, einige Daten werden nur in Papierform und andere auf Servern aufbewahrt.

- Unternehmen sollten zuerst die aktuelle Situation analysieren, alle Abteilungen, die personenbezogene Daten verarbeiten und speichern, interviewen, um festzustellen, welche Art von Daten auf Papier, elektronisch, im Land oder im Ausland gespeichert werden - sagt Marija Milojevic von KPMG.

Darüber hinaus sollte auch festgelegt werden, wie Unternehmen personenbezogene Daten schützen - ob sie technische oder organisatorische Maßnahmen ergreifen, Einschränkungen des Rechts auf Akteneinsicht und ähnliche Maßnahmen festlegen. Danach werden die Schritte definiert, die Unternehmen unternehmen sollten.

Kommissar für Informationen von öffentlicher Bedeutung und Datenschutz Rodoljub Sabic stimmt zu, dass Serbien für die DSGVO nicht bereit ist.

- Die Verordnung wird für unsere Bürger und Unternehmen relevant sein, die wir als den interessantesten Teil unserer Wirtschaft betrachten. Alle, die auf dem europäischen Markt tätig sind, müssen wissen, dass diese Regeln nicht nur auf dem Papier bleiben werden. Die Union verfügt auch über Instrumente zur Umsetzung von Sanktionen im Falle von Verstößen - sagte Sabic kürzlich auf einer internationalen Konferenz, die der Verordnung gewidmet war.

Die Strafen können bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes betragen. Ziel der neuen Verordnung ist es jedoch nicht, repressiv zu handeln, sondern die Verletzung individueller Rechte zu verhindern.

Sabic zufolge wird das Büro der Kommission Bürgern und Unternehmen helfen, sich auf die Umsetzung der DSGVO vorzubereiten, zumal in Serbien, wo "die Verletzung des Rechts auf Privatsphäre und der Missbrauch personenbezogener Daten nicht als schwerwiegendes Delikt angesehen wird".

Seiner Meinung nach ist die Verordnung ein lang erwartetes "Symbol des Widerstands" gegen einen Trend, der erschreckend schien und den Eindruck erweckte, dass das Recht auf die Privatsphäre verschwinden würde.

- Diese Verordnung schafft einen neuen Standard, eine neue Qualität im europäischen Raum, und Serbien muss seine Regelungen damit harmonisieren - unterstrich Sabic und fügte hinzu, dass, wenn ein von ihm vorgeschlagener Gestzentwurf über den Schutz personenbezogener Daten verabschiedet worden wäre, "hätte er uns der angenommenen Verordnung erheblich näher gebracht".

Unternehmen, die sich mit Datenverarbeitung beschäftigen, sind diejenigen, für welche die Regeln jetzt strenger werden. Betreiber können nur solche personenbezogenen Daten haben, die unbedingt erforderlich sind, da die Verarbeitung von Daten die Verantwortung dafür trägt. Um Datenverarbeitungsaktivitäten durchführen zu können, müssen die Verarbeiter spezielle Vereinbarungen mit den Betreibern unterzeichnen, die die Verpflichtungen und Verantwortlichkeiten klar definieren.

Gleicher Schutz für alle Bürger

Eines der Ziele der Datenschutz-Grundverordnung besteht darin, dass das Niveau des Schutzes personenbezogener Daten in der gesamten EU gleich ist. Die für den Schutz personenbezogener Daten zuständigen Organe erhalten neue Befugnisse, aber auch neue Verpflichtungen.


(FotoT33kid/shutterstock.com)
In Anbetracht der immer häufiger gestellten Frage, ob die Privatsphäre überhaupt existiert, in Anbetracht der Menge an Informationen, die wir in sozialen Netzwerken hinterlassen, im Internet surfen oder online einkaufen, wurde bei der Versammlung darauf hingewiesen, dass dieses Recht nicht verschwunden ist und dass es sind diese staatlichen Organe, die dazu dienen, die Privatsphäre und persönliche Daten zu schützen und nicht zu verletzen.

Die Art und Weise, wie wir mit Daten umgehen, wird weitgehend unsere persönliche Sicherheit bestimmen und die Entwicklung der digitalen Wirtschaft beeinflussen. Dies ist eine der Schlussfolgerungen des Treffens, an dem unter anderem Vertreter aus der Region - Bosnien und Herzegowina, Mazedonien, Moldawien, Slowenien, Kroatien und Montenegro - teilnahmen.

Wie bereits im KPMG-Bericht erwähnt, sind Banken in Serbien, die von der High-Tech-Kriminalität betroffen wurden, ein Beispiel für bewährte Verfahren in Bezug auf den Schutz personenbezogener Daten. So können sie beispielsweise spezielle Instrumente einsetzen, mit denen sie unerlaubte Zugriffe und die Verwendung personenbezogener Daten erkennen und identifizieren können.

Um sich an neue Regeln anzupassen, hat die Marketingagentur Ipsos zahlreiche Aktivitäten im Einklang mit der DSGVO durchgeführt. Wie das Unternehmen bekanntgab, wurde Rupert van Hullen am 1. März 2017 zum Chief Privacy Officer (CPO) und zum Leiter der Datenschutzbeauftragten (DPO) ernannt.

Auch, wie sie sagen, verwendet Ipsos Techniken der Anonymisierung von persönlichen Daten von Umfrageteilnehmern als Teil des Datenerfassungsprozesses, so dass sie nur von Außenteams und nur in dem Ausmaß, in dem es notwendig ist, zugegriffen werden können. Der Zugang zu personenbezogenen Daten von Mitarbeitern sind streng auf die Mitarbeiter des Personalmanagements beschränkt. Ipsos implementiert verschiedene Arten von Verschlüsselung auf Laptops von Mitarbeitern, während Subunternehmer für die Verarbeitung personenbezogener Daten auf der Grundlage ihrer Fähigkeit ausgewählt werden, gemäß den Ipsos-Anforderungen hinsichtlich des Schutzes von Informationen zu handeln.


Katarina Stevanović
Kommentare können ausschließlich angemeldete Nutzer eingeben.