09.01.2018

Ab 25. Mai 2018: Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die neue Datenschutzverordnung (DSVGO) in Kraft. Es gibt nur sehr wenige, enge Ausnahmeregelungen und keine Übergangsfristen. Je nach Art und Umfang der Datenverarbeitung in Ihrem Unternehmen kann es zu einem hohen Umsetzungsaufwand kommen, die Bußgelder werden ab 25. Mai drastisch erhöht. Daher sollten Sie bereits jetzt handeln und am Stichtag alle Vorkehrungen getroffen haben!

Die neue Verordnung betrifft Sie, sobald Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten, z.B. über ein Kontaktformular auf Ihrer Homepage oder den Einsatz von Auswertungstools (Google Analytics, Piwik, etc.), aber auch bei Offline-Tools wie CRM-Systemen, etc.

Personenbezogene Daten

Der Begriff der personenbezogenen Daten wird mit der neuen Verordnung auch deutlich erweitert. Grundsätzlich ist jeder Datensatz, der auch nur theoretisch einen Rückschluss auf eine Person zulässt ein personenbezogenen Datensatz. Dies kann z.B. eine IP-Adresse sein, aber auch ein Cookie, das im Browser des Kunden gespeichert wird.

Voraussetzungen für Datenverarbeitung

Personenbezogene Daten dürfen in Zukunft nur noch unter klaren Voraussetzungen verarbeitet werden:

Vertrags- oder Anfrageabwicklungen (z.B. Bestellungen, Katalog-Anforderung)

Gesetzliche Pflichten (z.B. Aufbewahrung von Rechnungen)

Berechtigtes Interesse (dies dürfte die spannendste und umstrittenste Voraussetzung sein und sollte genau geprüft und begründet werden)

Explizite Einwilligung in eine konkrete Verarbeitung (hohe Hürde bei Einwilligung, Informationspflicht, Widerruf, etc.)

Für bestimmte Daten gibt es darüber hinaus noch strengere Vorschriften, darunter fallen u.a. Daten Minderjähriger, sensible Daten (Ethnie, Gesundheit, Biometrie, etc.), Videoüberwachung, automatisierte Entscheidungen, sowie Daten von Beschäftigten.

Einwilligung zur Datenverarbeitung

Bei der Einwilligung zur Datenverarbeitung muss beachtet werden, dass der Benutzer ausführlich über die Verarbeitung, sowie seine Rechte (z.B. Widerrufsrecht) informiert wird. Darüber hinaus, darf eine Einwilligung nicht dem eigentlichen Zweck im Wege stehen (Kopplungsverbot, z.B. Einwilligung Newsletter-Abo um eine Kontaktanfrage zu stellen) und dem Benutzer darf kein erheblicher Nachteil entstehen, wenn er die Einwilligung verweigert. Den Nachweis über die unmissverständliche Einwilligung muss jederzeit erbracht werden können.

Verzeichnis der Verarbeitungstätigkeiten

Die größten Aufwand dürfte die Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten haben. Jede Verarbeitungstätigkeit von personenbezogenen Daten muss ausführlich beschrieben werden und auf dem aktuellen Stand gehalten werden. Bei genauer Betrachtung kommen hier schon bei kleinen Unternehmen viele unterschiedliche Prozesse zusammen (Kontaktformular, Newsletter-Anmeldung, Bestellung, Informationsanforderunge, etc., etc, etc.).
Auch die Datensicherheit der personenbezogegen Daten muss gewährleistet sein, insbesondere auch bei einer Speicherung bei Drittanbietern.

Auftragsdatenverarbeitung durch Dritte

Fast jedes Unternehmen nutzt auch Dritte für die Verarbeitung von personenbezogenen Daten, sei es z.B. für die Auswertung der Webseiten-Zugriffe, Mailings oder in Form von Online-Software wie CRM-Tools oder Webmail-Programme. Auch hier sollten vertragliche Vereinbahrungen geprüft werden. Insbesondere auch bei Ketten von Dienstleistern, Sie beauftragen Werbeagentur, diese beauftragt Mailingdienstleister, etc.

Widerspruchs-, Auskunfts- und Übertragsungrecht

Der Benutzer hat das Recht kostenfrei Auskunft über die von ihm gespeicherten Daten zu erhalten, sowie diese Daten auch in digitaler Form zu bekommen. Zusätzlich kann er von einem Berichtigungsrecht und Widerufsrecht zur Verarbeitung seiner Daten Gebrauch machen und die Löschung der Daten verlangen. Dies hat hinsichtlich Backups, Archiven, etc. entsprechende Konsequenzen, die bereits vorher definiert werden sollten. Auch die Aspekte Datenübertragbarkeit und das Recht auf Vergessenwerden sollten hier geprüft werden.

Datenschutzerklärung und Informationspflichten

An die Datenschutzerklärung auf Ihrer Homepage werden neue und erweiterte Anforderungen gestellt. Gerde dieser Aspekt ist hinsichtlich Abmahnungen besonders wichtig. Gegenüber dem Kunden entstehen je nach Datenverarbeitung auch Informationspflichten, denen unbedingt nachgekommen werden sollte. Auch die Angabe des Datenschutzbeauftragten wird im der Datenschutzerklärung verpflichtend (ab 10 Mitarbeitern).

Die hier aufgezählten Punkte sind nur ein grober Überblick über die Änderungen und Anforderungen, die die neue Datenschutzverordnung mit sich bringt. Wir empfehlen Ihnen sich schon jetzt mit diesem Thema zu beschäftigen, da sich hier deutliche Aufwände ergeben können und insbesondere kurz vor dem Stichtag im Mai dürften viele Dienstleister in diesem Bereich mehr als ausgelastet sein.

Ausführlichere Informationen finden Sie u.a. in diesen Online-Artikeln:
t3n.de - DSGVO: Diese Änderungen kommen auf dein Online-Business zu
heise.de - Informationspflicht: Die Datenschutzerklärung (mit Checkliste)
t3n.de - DSGVO: Bitkom warnt Unternehmen vor Millionen-Bußgeldern
Datenschutz-Guru - Abmahngefahren durch die DSGVO
Landesbeauftragte für den Datenschutz Niedersachsen - DS-GVO - Kurzpapiere

Bezüglich der rechtlichen Vorgaben empfehlen wir Ihnen fachlichen Rat durch einen Datenschutzbeauftragten oder einen Fachanwalt einzuholen. Wir unterstützen Sie parallel gerne bei den empfohlenen Änderungen und Umsetzungen und stehen Ihnen für Fragen gerne zur Verfügung.