DSGVO - Was ist zu tun?

Die Datenschutzgrundverordnung (DSGVO) kommt mit großen Schritten auf uns zu. Ab 25.05.18 gilt in allen EU-Ländern ein einheitliches Datenschutzrecht. Alle Unternehmer müssen sich auf das neue Datenschutzrecht einstellen und Vorschriften beachten. Doch was ist eigentlich zu tun? Im Folgenden geben wir einen komprimierten Überblick über die DSGVO und die nötigen Maßnahmen, die bis zum Stichtag erfolgen sollten. Die komplette DSGVO finden Sie unter https://dejure.org/gesetze/DSGVO.

1. Was ist die DSGVO?

Die DSGVO gilt ab 25. Mai 2018 einheitlich in allen EU-Staaten und für alle Unternehmen mit Sitz oder Niederlassung in der EU, die Daten von EU-Bürgern verarbeiten. Es ist unerheblich, in welcher Branche das Unternehmen tätig ist, ob B2C- oder B2B-Handel stattfindet oder online / offline verkauft wird - es betrifft alle.

Ziel der DSGVO ist es, dem Menschen mehr Kontrolle über die eigenen Daten (personenbezogene Daten) zu verleihen. Betroffene sollen vor jeder Datenaufnahme und -verarbeitung ihre Zustimmung geben, wenn keine gesetzliche Erlaubnis vorliegt. Betroffene haben dann auch mehr Auskunftsrechte. Bisher galt in jedem EU-Land ein eigenes Datenschutzrecht. Die DSGVO regelt nun ab 25.05. den Umgang von Unternehmen mit personenbezogenen Daten einheitlich europaweit.

Das Gesetz hat 99 Artikel auf 88 Seiten. Die Missachtung und Verstöße gegen die DSGVO können abgemahnt werden! Die DSGVO sieht Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4% des gesamten, weltweiten Jahresumsatzes eines Unternehmens vor. Die Datenschutzbehörden dürfen prüfen, anweisen und verwarnen.

Das sind die 5 Gebote der DSGVO:

  1. Verbot mit Erlaubnisvorbehalt - für jede Datenverarbeitung muss entweder die Erlaubnis des Betroffenen oder per Gesetz vorliegen
  2. Datensparsamkeit - Datenverarbeitung auf das notwendige Maß beschränken
  3. Zweckbindung - Daten nur für den Zweck verwenden, für die sie erhoben wurden
  4. Datensicherheit - Maßnahmen zum Schutz der personenbezogenen Daten ergreifen
  5. Transparenz - Betroffene haben das Recht zu wissen, wenn Daten von ihnen erhoben werden

2. Datenschutzerklärung

Jede Website benötigt eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht! Im Impressum sind keine Änderungen nötig, sofern es dem aktuellen Stand entspricht.
Die neue Datenschutzerklärung muss alle Datenverarbeitungsvorgänge auf der Webseite (z.B. Kontaktformular, Kommentare, Newsletter usw.) nennen. Sie muss über den Umgang mit den Daten, Dauer der Speicherung, Auskunftsrechte, Übertragbarkeit, Datenschutzbeauftragten usw. informieren.
>>> Aufgrund der Vielzahl der zu beachtenden Informationspflichten empfiehlt es sich, fachkundigen Beistand für die Erstellung der neuen Datenschutzerklärung zu suchen.

3. Auskunfts- und Betroffenenrechte

Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten. Sie haben ein Anrecht darauf, zu erfahren, zu welchen Zwecken sie betreffende, persönliche Daten verarbeitet wurden. Die Auskunft muss unentgeltlich, schriftlich oder auf Verlangen mündlich und unverzüglich (spätestens innerhalb eines Monats) erteilt werden. In die Auskunft gehören der Zweck der Datenerhebung und -verarbeitung, die Kategorie (ähnlich Themen), dritte Empfänger der Daten, die geplante Speicherdauer, Datenherkunft, wenn nicht direkt erhoben. Darüberhinaus hat ein Betroffener ein Recht auf Berichtigung, Vervollständigung und Löschung der Daten. 
>>> Ob und wie Betroffene diese Auskunftsrechte in Zukunft nutzen werden, kann niemand vorhersehen. Jedes Unternehmen kann sich aber darauf vorbereiten.

4. Verarbeitungsverzeichnis

Ein Verarbeitungsverzeichnis enthält die gesamten Informationen zum Umgang mit personenbezogenen Daten in einem Unternehmen. Dazu gehören z.B. der Verantwortliche, der Zweck, Kategorien der Daten, Fristen für Löschung. Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen oder besondere Datenkategorien (z.B. Gesundheitsdaten) verarbeiten oder die Datenverarbeitung nicht nur "gelegentlich" erfolgt. Leider ist "gelegentlich" nicht definiert. Da schon das Führen einer Kundendatei nicht nur gelegentlich erfolgt, ist davon auszugehen, dass die Ausnahme nur für sehr wenige Unternehmen gilt und fast alle Unternehmen ein Verarbeitungsverzeichnis benötigen.
>>> Auch wenn keine eindeutige Pflicht besteht, sollte im Zweifel ein Verarbeitungsverzeichnis angelegt werden. Es hilft auch bei der Auskunftspflicht gegenüber Betroffenen. Ein Muster steht z.B. unter https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

5. Cookies, Tracking und Social Plugins

Cookies: Änderungen beim Umgang mit Cookies werden erst 2019 mit der neuen ePrivacy-Verordnung kommen. 
Tracking- & Analyse-Tools: Einsatz von Google Analytics bleibt erlaubt, wenn Datenverarbeitungsvertrag mit Google geschlossen wurde, die IP Anonymisierung eingesetzt wird und Opt-out-Möglichkeiten für Desktop und Mobil zur Verfügung gestellt werden.
Social Plugins: Es bleiben alle bisherigen Anforderungen bestehen. Da der Betroffene wahrscheinlich nicht ausreichend über die Datenverarbeitung bei Social-Netzwerken informiert werden kann, ist der Einsatz nach wie vor nicht sorglos möglich.
>>> Die Datenschutzerklärung muss über den Umgang mit Daten und Cookies, Tracking- & Analyse-Tools sowie Social Plugins DSGVO-konform informieren. Der Einsatz von Google Analytics muss ggf. überprüft und angepasst werden.

6. E-Mail-Werbung/Newsletter

Die bisher nach geltendem Recht wirksam eingeholten Einwilligungen von Betroffenen z.B. zum Newsletter-Empfang bleiben weiter bestehen. Dies gilt aber nicht bei Missachtung des Kopplungsverbots und bei Minderjährigen. Nach der DSGVO ist immer eine Einwilligung einzuholen, wenn nicht eine gesetzliche Erlaubnis vorhanden ist. Diese Einwilligung muss bewusst, eindeutig und freiwillig erfolgen. Der Nachweis der Einwilligung obliegt dem Datenverarbeiter, weshalb sich nach wie vor das Double-opt-in-Prinzip empfiehlt. Auch muss bei Einwilligung über das Widerrufsrecht informiert werden. Eine Kopplung der Einwilligung an Vertragsabschlüsse, Gewinnspiele usw. ist verboten (Kopplungsverbot). 
>>> Newsletter-Einwilligungen auf der Webseite überprüfen und Kopplungsverbot beachten. Voreinstellungen (ja/nein-Häkchen) für Newsletterempfang ggf. ändern und Widerrufsrecht anzeigen.

7. Datenschutzbeauftragter

In einem Unternehmen muss ein Datenschutzbeauftragter benannt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Datenverarbeitung aufgrund Ihres Zwecks und Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich ist. Der Datenschutzbeauftragte kann aufgrund von Interessenkonflikten nicht der Inhaber oder Geschäftsführer sein, aber extern bestellt werden. Es ist keine besondere Qualifikation erforderlich. Jedoch muss im Zweifel begründet werden können, warum dieser Datenschutzbeauftragte als qualifiziert gilt.
>>> Prüfen, ob Pflicht zum Datenschutzbeauftragten besteht

8. Mitarbeiterdaten

Nach DSGVO sollen nur noch Daten von Mitarbeitern erhoben und verarbeitet werden, die "erforderlich" sind oder zur Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrages oder eine Betriebs- oder Dienstvereinbarung oder zur Strafverfolgung erforderlich sind. Die Erforderlichkeit wird dabei im Einzelfall entschieden. Eine vom Mitarbeiter vorher eingeholte Einwilligung ist vom Arbeitgeber nachzuweisen.
>>> Mitarbeiterdaten prüfen

9. Auftragsverarbeitung

Erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten des Auftraggebers, dann ist das Auftragsverarbeitung und erfordert einen Auftragsverarbeitungsvertrag in schriftlicher oder (neu nach DSGVO) elektronischer Form. Beispiele sind Webhosting, Newsletter-Anbieter, Wartungsverträge und auch Google Analytics. 
>>> prüfen, ob Auftragsverarbeitung stattfindet und Vertrag schließen. Bei Google Analytics entweder schriftlichen Vertrag schließen https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf oder (nach DSGVO ab 25.05.) im Analytics-Konto Vertrag abschließen (Zusatz zur Datenverarbeitung in Kontoeinstellungen)

10. Datenschutz-Folgenabschätzung

In bestimmten Fällen sind Unternehmen bzw. der Datenschutzbeauftragte verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in der sogenannten Datenschutz-Folgeabschätzung zu dokumentieren. Die DSGVO nennt bestimmte Fallgruppen, bei denen eine Folgeabschätzung stets durchzuführen ist: Profiling/Scoring, Verarbeitung sensibler Daten (z.B. Gesundheitsdaten, Religion), Einsatz neuer Technologien, umfangreiche öffentliche Videoüberwachung usw.
>>> Prüfen, ob eine Datenschutz-Folgeabschätzung nötig ist

11. Datenpannen

Die Pflicht zur Meldung von Datenschutzverletzungen an die Behörden wurde verschärft. Datenpannen müssen unverzüglich nach Kenntniserlangung (möglichst binnen 72 Stunden) an die zuständige Aufsichtsbehörde gemeldet werden. Unter Datenpanne bzw. Datenschutzverletzung versteht die DSGVO einen Vorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten geführt hat.
>>> Datenschutzverletzungen melden. Was wie gemeldet werden muss: https://dejure.org/gesetze/DSGVO/33.html

12. Hinweise & weitere Informationen

Dieser Artikel soll einen Überblick zur DSGVO verschaffen und erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit. Alle Angaben erfolgen ohne Gewähr. Für eine komplexe Beratung empfehlen wir einen fachkundigen Beistand zu konsultieren.

Weiterführende Informationen:

Kostenloser Leitfaden: https://www.haendlerbund.de/de/downloads/ebook-dsgvo.pdf

Interaktive Checkliste: https://www.haendlerbund.de/de/leistungen/rechtssicherheit/agb-service/datenschutzgrundverordnung/checkliste

DSGVO-Special: https://www.e-recht24.de/datenschutzgrundverordnung.html

Bay. Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/datenschutz_eu.html

DSGVO-Archiv: http://shopbetreiber-blog.de/kategorie/dsgvo/

Zurück