Am 25. Mai 2018 tritt ein neues wegweisendes Datenschutzgesetz - die Datenschutz-Grundverordnung (DSGVO) - in der Europäischen Union in Kraft. Die DSGVO erweitert die Datenschutzrechte der betroffenen Personen, die sich in der EU befinden und erlegt Unternehmen, die innerhalb der EU personenbezogene Daten vermarkten, nachverfolgen oder bearbeiten, neue Verpflichtungen auf. Mit unseren robusten Datenschutz- und Sicherheitslösungen unterstützen wir unsere Kunden dabei, die DSGVO einzuhalten.
 
Die DSGVO ist ein neues, umfassendes EU-Datenschutzgesetz, das die bestehenden Gesetze aktualisiert, um den Schutz personenbezogener Daten angesichts des rasanten technischen Fortschritts, der zunehmenden Globalisierung und den zunehmend komplexeren internationalen Austausch von personenbezogenen Daten zu stärken. Sie ersetzt das Flickwerk aus den derzeit geltenden nationalen Datenschutzgesetzen durch einheitliche Regelungen, die in jedem EU-Mitgliedsland unmittelbar durchsetzbar sind.
Die DSGVO regelt den Aspekt der „Verarbeitung“, der sich u.a. auf das Erheben, die Speicherung, Übertragung oder Verwendung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, bezieht. Jedes Unternehmen, das personenbezogene Daten dieser Personen in der EU verarbeitet – dazu gehört auch die Nachverfolgung ihrer Online-Aktivitäten –, fällt in den Geltungsbereich des Gesetzes – und zwar ungeachtet davon, ob das Unternehmen einen physischen Standort innerhalb der EU hat oder nicht. Wichtig ist, dass das Konzept der „personenbezogenen Daten“ unter der DSGVO sehr weit gefasst ist und alle Informationen abdeckt, die sich auf eine bestimmte oder bestimmbare Person (auch „betroffene Person“ genannt) beziehen.

Die DSGVO gewährt den betroffenen Personen, die sich in der EU befinden, umfassendere Datenschutzrechte und erlegt den Unternehmen erhebliche Verpflichtungen auf. Im Folgenden werden einige der wichtigsten Änderungen aufgeführt:

  • Erweiterte Rechte für betroffene Personen in der EU: Die DSGVO erweitert die Rechte der betroffenen Personen, die sich in der EU befinden, zum Beispiel hinsichtlich der Löschung, Einschränkung der Verarbeitung und Übertragbarkeit personenbezogener Daten.
  • Verpflichtung zur Einhaltung: Die DSGVO verpflichtet Unternehmen dazu, angemessene Richtlinien und Sicherheitsprotokolle umzusetzen, Datenschutz-Folgenabschätzungen durchzuführen, detaillierte Aufzeichnungen über Datenaktivitäten zu führen und schriftliche Vereinbarungen mit Lieferanten einzugehen.
  • Anzeigepflicht bei Datenschutz- und Sicherheitsverstößen: Die DSGVO verpflichtet Unternehmen dazu, bestimmte Datenschutzverstöße gegenüber den Datenschutzbehörden – und unter gewissen Umständen auch gegenüber den Betroffenen – anzuzeigen. Darüber hinaus sieht die DSGVO zusätzliche Sicherheitsanforderungen vor, die von den Unternehmen einzuhalten sind.
  • Neue Anforderungen für die Profilerstellung und Überwachung: Die DSGVO erlegt Unternehmen, die sich mit der Profilerstellung oder Beobachtung des Verhaltens von sich in der EU befindenden, betroffenen Personen befassen, zusätzliche Verpflichtungen auf.
  • Verbindliche interne Datenschutzvorschriften: Die DSGVO erkennt verbindliche interne Datenschutzvorschriften (die auch Salesforce für einige Services anbietet) offiziell als ein Mittel an, mit dem Unternehmen personenbezogene Daten an Standorte außerhalb der EU übertragen können.
  • Durchsetzung: Gemäß der DSGVO können die Aufsichtsbehörden bei einem Verstoß eines Unternehmens Geldstrafen in Höhe von bis zu 20 Millionen Euro oder 4 % des vom Unternehmen weltweit erzielten Jahresumsatzes verhängt werden. Die Höhe richtet sich nach der Schwere des Verstoßes und den dadurch entstandenen Schäden.
  • Verfahren der Zusammenarbeit und Kohärenz: Die DSGVO schafft eine zentrale Stelle zur Durchsetzung der Vorgaben, indem sie Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten dazu verpflichtet, bei grenzübergreifenden Datenschutzthemen mit einer federführenden Aufsichtsbehörde zusammenzuarbeiten.
Nein, die DSGVO sieht weder vor, dass personenbezogene Daten innerhalb der EU verbleiben müssen, noch legt sie neue Beschränkungen für die Übertragung von personenbezogenen Daten an Standorte außerhalb der EU fest. Die Vereinbarung zur Auftragsverarbeitung von Salesforce, die unsere verbindlichen internen Datenschutzvorschriften, die „Privacy Shield“-Zertifizierung und die EU Standardvertragsklauseln der Europäischen Kommission referenziert, wird unsere Kunden auch weiterhin die zulässige Übertragung von EU personenbezogenen Daten an Standorte außerhalb der EU ermöglichen. Auf der FAQ -Seite zu unserer Vereinbarung zur Auftragsverarbeitung finden Sie weitere Informationen.
In unserem Trailhead-Modul zum Thema „Grundlagen der EU-Datenschutzgesetze“  erfahren Sie mehr über die wichtigsten Grundlagen zur DSGVO und was Sie tun sollten. Weitere Informationen zur DSGVO finden sich auf der offiziellen DSGVO-Webseite der EU .
 
Salesforce betrachtet die DSGVO als einen wichtigen Schritt hin zur Vereinheitlichung der Datenschutzanforderungen innerhalb der EU und als eine Möglichkeit für Salesforce, unser Engagement in Sachen Datenschutz noch weiter zu verstärken. Ähnlich wie bereits bei bestehenden gesetzlichen Anforderungen setzt die Einhaltung der DSGVO eine Partnerschaft zwischen Salesforce und unseren Kunden bei der Nutzung unserer Services voraus. Salesforce wird die DSGVO bei der Bereitstellung unserer Services für unsere Kunden einhalten. Außerdem ist es uns auch ein Anliegen, unsere Kunden bei der Einhaltung der DSGVO zu unterstützen. Wir haben die Anforderungen der DSGVO intensiv analysiert und arbeiten derzeit daran, unsere Produkte, Verträge und Dokumentation entsprechend zu ergänzen, um die Einhaltung der DSGVO seitens Salesforce und unserer Kunden zu unterstützen.

Vertrauen steht bei Salesforce an oberster Stelle. Nichts ist uns wichtiger als der Erfolg unserer Kunden und der Schutz ihrer Daten. Das robuste Datenschutz- und Sicherheitsprogramm von Salesforce erfüllt die höchsten Branchenstandards. Wir haben unser Engagement zum Schutz unserer Kunden im Laufe der letzten Jahre durch unsere Maßnahmen kontinuierlich verstärkt:

  • Im Oktober 2015 haben wir all unseren Kunden nur wenige Stunden, nachdem der Europäische Gerichtshof das zwischen den USA und der EU getroffene Safe Harbor-Abkommen für ungültig erklärt hatte, eine Vereinbarung zur Auftragsdatenverarbeitung angeboten, der ihnen auch weiterhin die Übertragung von Daten an Salesforce ohne Unterbrechung ermöglichte.
  • Im November 2015 waren wir das erste der zehn führenden Softwareunternehmen, dessen verbindliche interne Datenchutzvorschriften für Auftragsverarbeiter von den europäischen Datenschutzbehörden genehmigt wurden.
  • Im August 2016 gehörten wir zu den ersten Unternehmen, das die EU-US-Privacy Shield Zertifizierung erhalten hat.

Darüber hinaus werden in der von Salesforce für die Bereiche Vertrauen und Compliance erstellten Dokumentation die Architektur und Infrastruktur unserer Services, die von unseren Services durchlaufenen sicherheits- und datenschutzbezogenen Audits und Zertifizierungen, die betreffenden technischen und organisatorischen Sicherheitsmaßnahmen sowie die Unterauftragsverarbeiter und sonstigen Unternehmen beschrieben, die für unsere Services von wesentlicher Bedeutung sind.

 

Wir haben uns verpflichtet, unseren Kunden zum Erfolg zu verhelfen. Dazu zählt auch die Einhaltung der DSGVO.”

President, Legal and General Counsel, Amy Weaver
 
  • Schaffen Sie innerhalb der Unternehmensleitung ein Bewusstsein für die Bedeutung der DSGVO-Compliance. 
  • Sichern Sie sich die Unterstützung der Führungskräfte im Hinblick auf die erforderlichen Personalressourcen und finanziellen Investitionen.
  • Wählen Sie jemanden aus, der die Umsetzung vorantreibt.
  • Rufen Sie einen aus wichtigen Funktionsleitern bestehenden Lenkungsausschuss ins Leben.
  • Identifizieren Sie innerhalb des Unternehmens Fürsprecher für den Datenschutz.
  • Überprüfen Sie die bestehenden Datenschutz- und Sicherheitsmaßnahmen, um Stärken und Schwächen zu bestimmen. 
  • Identifizieren Sie alle Systeme, in denen das Unternehmen personenbezogene Daten speichert, und erstellen Sie eine Übersicht mit dem Datenbestand.
  • Erstellen Sie ein Register für Datenverarbeitungsaktivitäten und führen Sie eine Datenschutz-Folgenabschätzung für jede mit einem hohen Risiko verbundene Aktivität durch.
  • Dokumentieren Sie die Compliance.
  • Stellen Sie sicher, dass überall dort, wo personenbezogene Daten erfasst werden, Datenschutzhinweisen vorhanden sind.
  • Führen Sie Kontrollen ein, um die Verwendung der Daten seitens des Unternehmens auf die Zwecke zu beschränken, für welche die Daten gesammelt wurden.
  • Führen Sie Mechanismen ein, mit Hilfe derer Sie die Zustimmungspräferenzen der Betroffenen verwalten können.
  • Führen Sie angemessene administrative, physische und technische Sicherheitsmaßnahmen und -verfahren ein, um Sicherheitsverstöße zu erfassen und darauf reagieren zu können.
  • Führen Sie Verfahren ein, um auf Betroffenenanfragen bezüglich deren Recht auf Auskunft, Berichtigung, Widerspruch, Einschränkung sowie Datenübertragbarkeit und Löschung (Recht auf Vergessenwerden) reagieren zu können.
  • Schließen Sie Verträge ab mit Partnern und Lieferanten, die personenbezogene Daten erfassen oder empfangen.
  • Führen Sie ein Verfahren für Datenschutz-Folgenabschätzungen ein.
  • Führen Sie Schulungen für Mitarbeiter und Lieferanten durch, um ein Bewusstsein für die Themen Datenschutz und Sicherheit zu schaffen.
  • Erstellen Sie Kopien der Datenschutzhinweise und Einverständniserklärungen, des Datenbestands und des Registers der Datenverarbeitungsaktivitäten sowie von schriftlichen Richtlinien und Verfahren, Schulungsmaterialien, innerbetrieblichen Datenübertragungsvereinbarungen und Lieferantenverträgen.
  • Ernennen Sie bei Bedarf einen Datenschutzbeauftragten und ermitteln Sie die zuständige EU-Aufsichtsbehörde.
  • Führen Sie regelmäßige Risikoeinschätzungen durch.