Die neue DSGVO (EU-DSGVO) und wie Sie Ihre Website darauf umstellen

Seit dem 25. Mai 2018 ist sie da – Die neue europaweit geregelte Datenschutzgrundverordnung (EU-DSGVO) und mit Ihr die komplette Verwirrung aller unserer Kunden: Was muss ich tun? Welche Prozesse in meinem Unternehmen sind betroffen? Was genau muss ich an meiner Homepage anpassen, um nicht abgemahnt zu werden? etc…

Wen betrifft die neue DSGVO?

Der Datenschutz betrifft alle Unternehmen, egal ob Shopbetreiber oder Dienstleister oder Restaurant mit einer einfachen Webseite. Kundenbestellungen, E-Mail Kampagnen oder Nutzertracking: überall spielt der Datenschutz eine wichtige Rolle und sollte ab sofort dringend ernst genommen werden. Auf alle Unternehmen kommen nun weitreichende Änderungen zu: Denn ab dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland. Diese stellt viele Grundsätze des Datenschutzrechts nach dem alten BDSG auf den Kopf.
Vor allem auch die neuen Bußgelder von bis zu 20 Millionen Euro oder 4% des Vorjahresumsatzes und viele weiteren Fragen bereiten vielen Unternehmern Kopfschmerzen.

Was hat das mit mir als Unternehmer zu tun?

Die neue Verordnung betrifft doch nur Shops, große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter. Leider nicht! Denn die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter, Werbung auf Facebook, Google und Co., die eigene Datenschutzerklärung, vieles ändert sich nun durch die neue Verordnung und sollte von jedem Websitebetreiber ernst genommen und auch entsprechend umgesetzt werden.

Die Datenschutzgrundverordnung gilt offiziell für…

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten, sofern diese:

• Eine Niederlassung in der EU haben oder
• personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Punnkt beim Anwendungsbereich der Datenschutzgrundverordnung sind natürlich die personenbezogenen Daten. Das sind alle Informationen, die sich auf eine identifizierbare Person beziehen. „Identifizierbar“ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Nummer (z.B. IP-Adresse), Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier völlig aus.

Was sind personenbezogene Daten?

Personenbezogene Daten sind:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtstag
• Kontodaten
• Kfz-Kennzeichen
• Standortdaten
• IP-Adressen
• Cookies

Was muss man bei der neuen DSGVO beachten?

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts.

Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus: Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO oder Einwilligung der betroffenen Person.

Datensparsamkeit:
Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Zweckbindung:
Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

Datenrichtigkeit:
Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

 

Hier aber nun die wichtigsten neuen Grundsätze:

die Datensicherheit (nach Art. 32 DSGVO)
Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich somit an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Recht auf Vergessenwerden (Recht auf Löschung)
Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

Recht auf Datenübertragbarkeit (Datenportabilität)
Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Die Datenportabilität ist zum Beispiel wichtig bzw. praktisch für:

• Wechsel zu anderen (sozialen) Netzwerken
• Wechsel der Bank
• Wechsel des Arbeitgebers

Die Umsetzung dieses neuen Rechts kann es aber in sich haben…

Die Rechenschaftspflicht
Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können. Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen. Denn ab sofort sind Sie in der Beweispflicht und nicht das Gericht!

 

Was passiert mit „alten“ Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der neuen DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt in auch nachweisen können. Das war bisher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt.

 

Müssen Betreiber einer Website ihre Datenschutzerklärungen anpassen? Wo gibt es korrekte Muster, Checklisten und Generatoren?

Grundsätzlich muss nun jeder seine Datenschutzerklärungen auf der Website auf Aktualität prüfen und sollte diese dann auch an die neuen Gesetze anpassen.

Im Netz gibt es viele Generatoren, die einem dabei helfen, jedoch sollte man als absoluter Datenschutz-Leihe nicht einfach ins „blaue klicken“ nach dem Motto „Das passt schon“, sondern besser einen professionellen Partner dafür mit ins Boot holen, der den gesamten Webauftritt erst einmal ausgiebig prüft und eine Bestandsaufnahme macht, um zu erfahren, ob dieser auch alle Anforderungen erfüllt.

Dazu bieten wir übrigens einen speziellen Service an: Nehmen Sie einfach mit uns Kontakt auf…

Der Datenschutzbeauftragte und DSGVO

Auch zum Datenschutzbeauftragten (DSB) gibt es im Zusammenhang mit der DSGVO viele Fragen von Unternehmen:

• Wann ist ein Datenschutzbeauftragter Pflicht?
• Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?
• Welche Aufgaben hat ein Datenschutzbeauftragter?
• Welche Ausbildung muss ein Datenschutzbeauftragter haben?
• Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?
• Wie sieht es mit den Kosten oder der Kündigung beim Datenschutzbeauftragten aus?
• Kann ich einen externen oder internen Datenschutzbeauftragten bestellen?

Wann ist ein Datenschutzbeauftragter Pflicht?

Die Datenschutzgrundverordnung regelt europaweit die Bestellpflicht für einen Datenschutzbeauftragten in Art. 35 ff DSGVO. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich im wesentlichen aus 3 Bereichen:

1. Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 der DSGVO oder
2. Ihre „Kerntätigkeit“ betrifft eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“
3. es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

Wenn einer der Punkte bei Ihnen zutrifft, benötigen Sie einen DSB.

Wenn Sie eine Einschätzung dazu benötigen können Sie gern unser Datenschutz-Audit beauftragen.

Welche Aufgaben und Zuständigkeiten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen und führt das Verarbeitungsverzeichnis (AV). Er ist zudem Schnittstelle zwischen IT-Marketing und Geschäftsführung und Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Der Datenschutzbeauftragte hält als Verantwortlicher also alle Zuständigkeiten bei Datenschutzfragen in der Hand.

Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?

Vor der DSGVO musste der Datenschutzbeauftragte immer schriftlich bestellt werden.
Die Bestellung eines Datenschutzbeauftragten kann nach der DSGVO jetzt auch ohne Schriftform vorgenommen werden. Ein „unterschriebener Vertrag“ ist also nicht mehr nötig, die DSGVO spricht nur allgemein von einer „Benennung“.

Welche Ausbildung muss ein Datenschutzbeauftragter haben? Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?

Es gibt keine gesetzliche Pflicht, eine spezielle Ausbildung oder Zertifizierung des DSB bei bestimmten Anbietern durchführen zu lassen. Als Unternehmer sind Sie aber, wenn es an diesem Punkt Auseinandersetzungen geben sollte, in der Pflicht zu beweisen, dass Ihr DSB die „erforderliche Fachkunde“ verfügt.

Im Fall der Fälle hilft es natürlich, wenn der DSB eine juristische Ausbildung hat oder über ein Ausbildungszertifikat von TÜV, IHK usw. verfügt.

Sollte ich einen externen oder internen Datenschutzbeauftragten bestellen?

Beide Modelle bieten Vor- und Nachteile:

Der interne Datenschutzbeauftragte ist in der Regel auch „näher dran“ am Geschäftsmodell und den internen Abläufen in einem Unternehmen. Nachteil: Er wird sich von Weisungen seines Vorgesetzen naturgemäß nie ganz frei machen können. Es kann auch nicht jeder interne Mitarbeiter als Datenschutzbeauftragter beschäftigt werden. Geschäftsführer und oft auch Abteilungsleiter der IT dürfen aufgrund möglicher Interessenskonflikte nicht das Amt des Datenschutzbeauftragten im eigenen Unternehmen übernehmen. Hinzu kommt, dass sich Fragen nach Kündigung und Kündigungschutz hier im Gegensatz zu einem internen Datenschutzbeauftragten nicht stellen.

Bei externen Datenschutzbeauftragten bestehen all diese Gefahren nicht.

Dafür ist eventuell ein höherer Aufwand beim „Onboarding“ bzw. der Einarbeitung in die Unternehmensprozesse nötig. Auch ist der DSB im Fall der Fälle nicht immer sofort greifbar, wenn es Fragen oder Beschwerden gibt.

Übrigens: Sollten Sie bereits einen Datenschutzbeauftragten haben und Ihnen erscheint dieser zu teuer oder nicht seriös genug, können Sie diesem auch jederzeit kündigen und wechseln! Gerne kümmern wir uns auch darum.