Einführung in die DSGVO

Data privacy by design, data privacy by default.” Vermutlich haben Sie diesen Satz in letzter Zeit bereits gehört, sei es auf Twitter oder in diversen Blogposts. Aber woher stammt dieser Satz eigentlich? Was bedeutet er wirklich? Und vor allem, in welcher Weise betrifft er Ihre Kunden und deren Domains?

Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO, auch bekannt als GDPR oder General Data Protection Regulation) tritt im Mai 2018 in Kraft und bringt eine Reihe neuer Regeln für den Umgang mit den persönlichen Daten von EU-Einwohnern mit sich. Ihr zufolge ist der Schutz persönlicher Daten ein grundlegendes Menschenrecht, das auf einer Stufe steht mit Grundrechten wie dem Recht der freien Meinungs­äußerung, der Gedanken­freiheit und dem Recht auf ein faires Verfahren. Die DSGVO ist komplex und weitreichend, weshalb wir in diesem Blogpost einen Blick auf die bedeutendsten Bestandteile dieser Verordnung werfen wollen. Sie können ferner unseren Blog und Newsletter lesen, wo wir regelmäßig neue Updates bezüglich der Verordnung posten werden.

Data privacy by design, data privacy by default

Wie oft haben Sie bereits Konzertkarten online erworben oder auf Rückmeldung bezüglich eines Events gebeten, nur um dann dabei zuzusehen, wie sich Ihre Inbox mit unerwünschten Newslettern und Einladungen zu anderen Events füllt, die nur entfernt Bezug zu der eigentlichen Veranstaltung hatten? Wäre es nicht großartig, wenn Serviceanbieter eine Erlaubnis einholen müssten, um Ihre Kontakt­informationen für irgendetwas anderes zu nutzen als für das, wofür Sie diese eigentlich angegeben haben?

Diese Form einer klaren, informierten Einwilligung eines jeden einzelnen ist einer der grundlegenden Punkte der DSGVO. Jede Firma die Ihre persönlichen Daten aufnimmt ist demnach nicht nur dazu verpflichtet zu erklären, wofür sie diese Daten benötigt. Es ist ihr ferner schlichtweg verboten von Ihnen mehr Angaben zu fordern als die, die benötigt werden, um ihren aktuellen Auftrag zu verrichten. Außerdem ist es ihr nicht erlaubt, die von Ihnen bereit­gestellten Daten für einen anderen Zweck zu nutzen als für den, dem Sie ursprünglich zugestimmt hatten. Dies verleiht Ihnen von Beginn an die Kontrolle darüber, wie Ihre Daten genutzt werden – by design and by default – anstelle davon, dass Ihnen Ihre Rechte entzogen werden, sobald Sie Ihre Daten herausgegeben haben.

Unternehmen sollten Ihre Daten nicht nur einzig im Rahmen dessen nutzen dürfen, was der Kunde ihnen gestattet hat, sondern die Daten müssen darüber hinaus auch sicher verwahrt werden. Ein Zugriff auf die Daten sollte nur für solche Fälle gestattet werden, denen Sie selbst zugestimmt haben. Ferner dürfen die Daten nicht mit Dritten, die außerhalb des Rahmens dieser Regulierungen stehen, geteilt werden.

Schnelle, transparente Berichterstattung über Datensicherheits­verletzungen

Wir wissen alle, dass Fehler passieren und dass sich Sicherheits­praktiken konstant weiterentwickeln. Zu leben bedeutet gewisse Risiken zu akzeptieren und es scheint, als gäbe es alle paar Tage neue Meldungen über weitreichende Datenschutz­verletzungen, die mehrere hunderttausende von Menschen betreffen. Meist ist es jedoch so, dass der Vorfall an sich, wenn wir von ihm erfahren, bereits Monate zurückliegt und vertrauliche Informationen aller Welt zugänglich gemacht wurden, ohne dass die betroffenen Personen selbst sich dessen überhaupt bewusst sind. Die DSGVO widmet sich diesen Verletzungen und gibt einen Zeitrahmen für die Meldepflicht von Sicherheits­verletzungen vor, der dafür sorgen soll, dass Personen, deren Informationen gefährdet sind, so schnell wie möglich benachrichtigt werden. Diese Nachricht muss eine Erklärung darüber was passiert ist, was getan wird um das Problem zu lösen, sowie darüber, was betroffene Personen tun sollten um sich selbst zu schützen, beinhalten. Diese Art der Information gibt jedem Einzelnen die Möglichkeit so zu reagieren, wie er oder sie es in der jeweiligen Situation für angemessen hält, um seine eigene Privatsphäre zu schützen.

Das Recht auf Vergessenwerden

Stellen Sie sich vor, Sie haben sich für ein monatliches Abonnement angemeldet. Aber erst nachdem Sie sich für diesen Service angemeldet haben, bemerken Sie, dass das Abonnement nicht an Ihre Adresse zugestellt werden kann. Sie löschen also Ihren Account, können jedoch die Firma nicht davon abbringen, Ihnen weiter E-Mails zu schicken, Sie zu fragen, ob Sie den Account nicht doch wiederherstellen wollen oder den Service Ihren Freunden weiter­empfehlen möchten. Wieso kann diese Firma Sie nicht einfach aus ihrem Gedächtnis streichen? Oder, um ein ernsteres Beispiel zu nennen: Wie oft hört man Geschichten über Menschen, die einen Job nicht bekommen haben für den Sie eigentlich perfekt geeignet gewesen wären, nur weil ihre Jugendsünden noch immer ganz oben in der online-Suche erscheinen?

Auch dies ist ein wichtiger Bestandteil der DSGVO: Das Recht auf Vergessenwerden. Den neuen Regeln zufolge können Kunden zu ihrem Service­anbieter zurückgehen und die Zustimmung zur Nutzung ihrer Daten durch den Anbieter rückgängig machen. Sie können den Anbieter darüber hinaus dazu zwingen, alle Aufzeichnungen über ihre Daten zu löschen, sodass sie einen Neunanfang starten können. Dies mag nicht ohne Konsequenzen bleiben (manche Service­leistungen können ohne die Bereitstellung persönlicher Daten nicht angeboten werden). Auch mag dies nicht immer zur Anwendung gebracht werden können (manchmal müssen persönliche Daten zum Zweck des Allgemeinwohls oder für etwaige Rechtsansprüche aufbewahrt werden), aber es ist eindeutig effektiver als eine „Abo beenden“-E-Mail zu senden, die Adresse des Absenders der E-Mails zu blockieren und das Beste zu hoffen.

Wie wirkt sich dies auf die Domainwelt aus?

Sind Sie ein Reseller mit Kunden in der EU? Dann müssen Sie nun sicherstellen, dass Sie die Erlaubnis zur Nutzung der persönlichen Daten dieser Kunden erhalten und die neuen Voraussetzungen bezüglich der Handhabung dieser Daten erfüllen.

Bei EPAG arbeiten wir daran, unsere Vereinbarungen mit den Resellern abzuändern, darin enthalten sind auch die Datenschutz­vereinbarungen, um Ihnen ohne Sorge bezüglich einer Verletzung der DSGVO den Zugang zu den vollen Informationen im Control Panel zu ermöglichen. Ferner ist es daher so, dass Domaininhaber, die keine Verbindung zur EU haben, keine großen Veränderungen bemerken werden.

Widmen wir uns nun wieder der “data privacy by design and by default” Idee, so können diese Regelungen bezüglich des Schutzes persönlicher Informationen nicht bloß im Nachhinein bedacht werden, sie müssen ein fester Bestandteil des Systems sein, der aktiv bleibt, außer Sie schalten ihn aus. Wir werden es unseren Kunden ermöglichen zu verstehen, welche Informationen wir besitzen und wie diese benutzt werden. Dies soll dazu dienen, dass sie der Nutzung durch uns zustimmen können und auch von uns fordern können, dass wir diese Daten löschen, gesetzt dem Fall, dass eine Zustimmung nicht gegeben werden kann.

Änderungen, die wir bei EPAG durchführen

Die genannten Datenschutz­maßnamen betreffen beinahe alle Aspekte des Domain-Onboardings und des Domain-Lifecycles. Wir arbeiten aktuell an detaillierten Plänen und werden bald dazu in der Lage sein, mehr Informationen über die Implementierung der neuen Regelungen mit unseren Kunden zu teilen. Heute wollen wir einige Highlights erläutern. Während wir an diesem Projekt arbeiten, behalten wir zwei Dinge immer im Hinterkopf: die Tatsache, dass wir uns immer innerhalb der gesetzlichen Vorgaben bewegen müssen und unsere Verpflichtung, den Domainkauf und das Domainmanagement so unkompliziert, einfach und unverzüglich wie möglich für den Endnutzer zu gestalten.

Im Bezug auf die Zustimmung des Endnutzers werden wir, wo dies möglich ist, einen Zustimmungs­prozess implementieren, der nach dem Kauf greift und der dem Inhaberverifizierungs­prozess ähnelt, den wir aktuell starten, wenn eine neue Domain registriert wird. Es ist möglich, dass wir die zwei Prozesse zu einem vereinen, wenn beides, sowohl die Verifizierung, als auch die Zustimmung des Inhabers benötigt wird. Sie finden weitere Details zu diesem Prozess in künftigen Blogs sowie in unserem Newsletter.

Bei uns werden Ihre Daten bereits sicher aufbewahrt, dennoch führen wir eine interne Überprüfung durch, um unsere Schutzvorkehrungen zu verbessern. Erinnern wir uns zurück an das Beispiel mit den Unternehmen, die Informationen mit anderen Firmen (Drittparteien) teilen, so möchten wir klarstellen, dass EPAG keine persönlichen Daten teilt, die über das hinausgehen, was für den Service benötigt wird, den der Kunde über uns beziehen will. Wir verkaufen die persönlichen Informationen unserer Kunden nicht!

Auch wenn in einer perfekten Welt jede Domain für immer bei EPAG bleiben würde, sind wir uns darüber im Klaren, dass manche Kunden andere Registrare nutzen möchten, oder nicht jede Domain, die sie besitzen bis ans Ende aller Tage verlängern wollen. Wenn diese Personen nicht weiter unsere Kunden sind, kann es sein, dass sie sich nicht mehr damit wohlfühlen, dass EPAG ihre persönlichen Daten verwahrt. Dies ist der Punkt, an dem das Recht auf Vergessenwerden greift. Wir werden unsere Daten­speichermethoden überprüfen und eine Methode für Kunden implementieren, eine Löschung ihrer persönlichen Daten aus der EPAG Datenbank zu erbitten. Wie zuvor erwähnt, bleibt dies nicht ohne Konsequenzen, aber in manchen ist dies notwendig.

Fazit und nächste Schritte

Wir hoffen, dass diese Übersicht über die DSGVO und die Änderungen, die wir in Zukunft implementieren werden, hilfreich war und dass sie deutlich macht, wieso die neuen Verordnungen von Bedeutung sind, nicht nur für europäische Kunden, sondern für unsere Reseller weltweit. Wir können uns denken, dass dies eine Menge an Informationen war und dass Sie vermutlich viele Fragen haben. Wir werden unsere Reseller in Kürze bezüglich der Implementierung der genannten Details informieren und Sie auf dem Laufenden halten, während wir diesen Prozess durchlaufen. Behalten Sie bis dahin, während der 25. Mai näher rückt, unseren Blog und Newsletter für weitere Informationen im Auge!