Am 25.05.2018 wird die EU-Datenschutzgrundverordnung, kurz DSGVO oder international GDPR, rechtskräftig. Im Fokus steht der Datenschutz und die Wahrung der Rechte der Betroffenen. Für Website-Betreiber und Online-Händler bedeutet das, neue Pflichten, neue Verfahren und bei Verstößen drastische Strafen. Doch wer bisher auf Technik nach aktuellen Standards, sorgfältig formulierte Datenschutzerklärungen und saubere Dokumentationen der Datenprozesse geachtet hat, wird sich leicht auf die DSGVO einstellen. Was sich ändert und was Sie wissen müssen, erklären wir Ihnen in unserer Zusammenfassung der neuen Gesetzgebung.

Worum geht es in der DSGVO?

Die DSGVO will eine einheitliche Gesetzgebung in den EU-Mitgliedsstaaten etablieren. Im Fokus stehen personenbezogene Daten, speziell deren Schutz EU-weit, deren Erhebung und Verarbeitung. Dies betrifft alle Daten, die in einem System gespeichert sind, unabhängig davon, ob Ihre Verarbeitung automatisiert oder nicht-automatisiert erfolgt. Ausnahmen sind Daten, die aus juristischen Gründen oder zur persönlichen Anwendung gespeichert werden.

Ziele der DSGVO:
  • Schutz persönlicher Daten von EU-Bürgern
  • Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
  • freier Verkehr personenbezogener Daten in der EU

 

Was Sie als Online-Händler und Website-Betreiber ganz konkret im Zuge der DSGVO beachten müssen, erklären wir Ihnen im Beitrag DSGVO: Neuerungen im Online Marketing.

An wen richtet sich die DSGVO?

Grundsätzlich richtet sich die DSGVO an alle Firmen, Einrichtungen, Agenturen und Online-Plattformen innerhalb der EU, die Daten Ihrer Kunden und Websitebesucher tracken, speichern und verarbeiten. Das betrifft sowohl EU-Bürger als auch alle Personen, die sich in der Union befinden, bspw. Touristen. Außerdem gilt die neue Gesetzgebung auch für Unternehmen ohne Standort in der EU. Sobald eine Firma innerhalb der Union tätig ist, greifen die neuen Bestimmungen. Die DSGVO gilt dabei nicht nur im Rahmen kommerzieller Dienste, sondern auch bei Suchdiensten oder in sozialen Netzwerken. Kurz: Sobald sensible Daten von Nutzern, die sich entweder in der EU befinden oder EU-Bürger sind, erhoben werden, müssen die Richtlinien gewahrt werden.

Darüberhinaus gilt die DSGVO auch bei Datenübermittlung an Länder außerhalb der EU. Daten dürfen nur an sogenannte Drittländer übertragen werden, wenn diese Transfers den europäischen Richtlinien entsprechen. Die Übermittlung personenbezogener Daten in ein Drittland ohne adäquaten Datenschutz ist verboten. Was adäquater Datenschutz ist, entscheidet die EU-Kommission. Eine Ausnahme besteht allerdings, wenn der Kunde über den Transfer über die EU-Grenze hinaus eingewilligt hat.

Grundprinzipien der  DSGVO

Die DSGVO beruht auf den bekannten Grundprinzipien der Datensparsamkeit, Datenvermeidung, Zweckbindung und der Transparenz. So soll vermieden werden, dass Unternehmen alle erfassbaren Daten sammeln. Vielmehr wird eine Reduzierung angestrebt, so dass nur relevante personenbezogene Daten erhoben werden, die einem konkreten Zweck dienen, über den der Nutzer informiert ist. Es geht darum, den Datenfluss zu minimieren und eine noch größere Transparenz für den Kunden zu schaffen.

Auch die Prinzipien Privacy by Design und Privacy by Default rücken mit der DGSVO noch stärker in den Fokus. Privacy by Design bedeutet, dass Datensicherheit bei der Gestaltung der Technik beginnt. Datenschutz soll während der Entwicklungsprozesse bereits in alle Konzepte integriert und nicht nachträglich implementiert werden. Privacy by Default steht für datenschutzfreundliche Voreinstellung. Mögliche Einstellungen in Software, Formularen etc. soll standardmäßig auf der höchsten Sicherheitsstufe voreingestellt sein.

Nutzerrechte

Die DSGVO fordert, dass die Betroffenen verlässlich, verständlich und leicht zugänglich über Ihre Rechte aufgeklärt werden. Im Rahmen der Wahrung der Datensicherheit führt die DSGVO vier neue Nutzerrechte ein:

Recht auf Löschen – Nutzer können das Löschen Ihrer Daten fordern – jederzeit und ohne Begründung. Dieses Recht greift, wenn die Daten nicht mehr für den Zweck, zu dem sie erhoben wurden, gebraucht werden. Oder bei unrechtmäßiger Verarbeitung. Liegen jedoch juristische Gründe vor, dürfen Daten nicht gelöscht werden.

Recht auf Vergessen – Dieses Recht ist eine Sonderform des Löschens. Möglicherweise wurden Daten an Dritte zu Verarbeitung weitergegeben. In diesem Falle wird im Zuge des Löschvorgangs eine Benachrichtigung an diese dritte Instanz notwendig, so dass die Daten auch hier entfernt oder zumindest von der weiteren Verarbeitung ausgeschlossen werden.

Recht auf Datenportabilität – Nutzer können Unternehmen auffordern, Ihre Daten zu übertragen, aber nur solche, die Sie selbst zur Verfügung gestellt haben. Firmen sind in der Pflicht, diese Daten maschinenlesbar bereitzustellen. Auch eine Übermittlung an Dritte kann der Nutzer verlangen. Interessant ist dies besonders für soziale Netzwerke. Wie dieses Gesetz umgesetzt werden kann, bleibt noch abzuwarten.

Beschwerderecht – Nutzer können sich rund um die Erhebung, Speicherung und Verarbeitung Ihrer sensiblen Daten bei einer Aufsichtsbehörde beschweren, wenn Sie der Meinung sind, die Verarbeitung Ihrer Daten verstößt gegen die DSGVO. Die jeweilige Aufsichtsbehörde prüft den Fall und leitet ggf. rechtliche Schritte ein.

Personenbezogene Daten & Einwilligung

Die Auffassung, was personenbezogene Daten sind, erfährt mit der DSVGO ein Update. Grundsätzlich sind Daten personenbezogen, wenn durch sie eine konkrete Person identifiziert werden kann. Bisher betraf das Daten wie Vor- und Zuname, Anschrift, Telefonnummer und E-Mail-Adresse. Doch ab Mai gelten auch Cookies, Standortdaten, User-IDs sowie IP-Adressen, sogenannte Online Identifier, als personenbezogene Daten. Somit muss für die Erhebung und Verarbeitung dieser sensiblen Daten nun ebenfalls die Einwilligung der User eingeholt werden. Aber Achtung: Eine Einwilligung ist erst ab dem Alter von 16 Jahren europaweit rechtskräftig (nicht wie bisher mit 13 Jahren). Zudem müssen Sie als Dienstleister nachweisen, dass eine Einwilligung gegeben wurde. Online wird das Einverständnis des Kunden in der Regel über das Anklicken eines Kontrollkästchens eingeholt. Dabei ist es wichtig. dass der User diese Auswahl wirklich selbst vornimmt.

Merke: Einwilligungen müssen freiwillig erfolgen und durch den Nutzer vorgenommen werden. Stillschweigendes Einverständnis, Untätigkeit des Nutzers oder vorausgefüllte Formulare zählen nicht! Die einzige Ausnahme ist eine gesetzliche Erlaubnis. Bspw. ist die Weitergabe der Kundendaten an ein Logistikunternehmen zum Zweck des Versandes auch ohne Kundenbestätigung zulässig.

Und was ist mit Einwilligungen, die vor dem 25.05.2018 erteilt wurden? Diese bleiben gültig, wenn Sie den Richtlinien der DSGVO entsprechen.

Kopplungsverbot

Mit inkraft treten der DSGVO dürfen Verträge nicht an Einwilligungserteilungen gekoppelt sein. Die Strategie einen Vertragsabschluss mit einer zusätzlichen Datenerhebung zu verbinden, ist spätestens ab Mai 2018 nicht mehr erlaubt. Dies betrifft alle Daten, die nicht zur Durchführung des Auftrags notwendig sind. Überprüfen Sie also Ihre Vertragsmuster im Hinblick auf die erhobenen Kundendaten.

Widerspruch

Die DSGVO sieht vor, dass ein Kunde seiner gegebenen Einwilligung jederzeit und ohne Begründung widersprechen kann. Sie, als Anbieter, sind aufgefordert dieses Verfahren simpel, zugänglich und effektiv zu gestalten. In Newslettern bspw. ist der verlinkte Hinweise, dass sich der Leser jederzeit austragen kann, bereits gängige Praxis.

Zudem muss der User auch von vornherein über das geltende Widerspruchsrecht informiert werden. Kontrollieren Sie also, ob Ihre Datenschutzbestimmung für den Nutzer leicht zu finden ist und ob Sie einen entsprechenden Absatz zum Widerspruchsrecht enthält. Überprüfen Sie auch Ihre Einwilligungsformulare, denn auch hier soll sich ein Hinweis auf das Widerspruchsrecht befinden.

Weiterverarbeitung personenbezogener Daten

Erhobene Daten sind immer zweckgebunden. Bei der Erhebung sind Sie in der Pflicht, den Kunden über den Zweck der Datensammlung aufzuklären. Anschließend stimmt der Nutzer zu oder lehnt ab. Wollen Sie die Daten zu einem anderen Zweck nutzen, dürfen Sie das nur, wenn es mit dem Zweck, „zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist“, heißt es in Art. 6 Abs. 4. Wie eng oder locker diese Regelung aufzufassen ist, bleibt abzuwarten. Über die Weiterverarbeitung der Daten müssen Sie Ihren Kunden aktualisierte Informationen bereitstellen.

Denken Sie daran: Die Datenschutzrichtlinien gelten nicht nur für Ihre Kunden, sondern auch für die Daten Ihre Mitarbeiter!

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung bedeutet, dass ein externer Dienstleister Zugriff auf die in Ihrem Unternehmen erhobenen, personenbezogenen Daten erhält, egal ob temporär oder dauerhaft. Als Auftragsdatenverarbeitungen zählen beispielsweise:

  • Nutzung von Google Analytics
  • Entsorgung von Datenträgern
  • Nutzung externer Server
  • Kundenservice durch externe Dienstleister (z.B. Callcenter)
  • Hosting

Verantwortlich für die Datensicherheit ist stets der Auftraggeber und nicht der externe Dienstleister. Der Auftraggeber weist die Art und Weise der Verarbeitung an und kontrolliert die richtige Ausführung. Um diesen Ablauf rechtlich richtig zu gestalten, wird empfohlen mit schriftlichen Aufträgen zu arbeiten, in denen der Zweck und die Art der Datenverarbeitung ganz genau festgeschrieben sind. Zudem gilt: Dokumentieren Sie die Überwachung, Aufträge und Verarbeitungstätigkeiten externer Dienste.

Merke: Auftragsdatenverarbeitung gilt nicht als Datenweitergabe an Dritte. Daher ist für diese Art der Verarbeitung keine zusätzliche Einwilligung notwendig.

Verpflichtungen

Dokumentationspflicht

Mit der DSGVO unterliegen Unternehmen einer Dokumentationspflicht und sind angehalten den Umgang mit sensiblen Daten zu protokollieren. Es wird empfohlen, dass Unternehmen schriftlich festhalten, welche personenbezogenen Daten zu welchem Zweck gespeichert werden. Wichtig ist auch, woher die Daten stammen und ob Sie an Dritte weitergegeben wurden. Auch die Einwilligung des Nutzer müssen Sie parat haben.

Im Rahmen der Dokumentationspflicht müssen Unternehmen ein Verfahrensverzeichnis pflegen. Darin werden die Prozesse rund um die Datenverarbeitung festgehalten, vom Zweck der Verarbeitung bis hin zur Übermittlung an Dritte. Verantwortlich dafür ist die Geschäftsleitung des Unternehmens. Unternehmen mit weniger als 250 Mitarbeiter sind von dieser Pflicht entbunden. Birgt die Datenverarbeitung in Ihrem Unternehmen jedoch ein Risiko, gilt die Ausnahmeregelung nicht! Werten Sie bspw. regelmäßig Daten Ihrer Website-Besucher aus oder operieren mit sensiblen Daten online, wird die Führung eines Verfahrensverzeichnisses notwendig. Dies erleichtert allerdings die Ausführung der Beweis- oder Auskunftspflicht.

Merke: Dokumentieren Sie sorgfältig. Schon Lücken im Verfahrensverzeichnis können von bis zu 10.000.000 Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr kosten.

Beweispflicht

Unternehmen sind in der Beweispflicht und müssen auf Verlangen die Dokumentation Ihrer Verarbeitungstätigkeit der Aufsichtsbehörde vorweisen. Eine Firma muss nachweisen können, dass sie nach den Vorschriften der DSGVO operiert. Hierzu empfiehlt sich ein schriftliches Datenschutzmanagement. Behörden müssen Datenmissbrauch nicht mehr beweisen, da die Unternehmen nun gefordert werden und bei nicht Einhalt mit Strafen rechnen müssen.

Für die technische Organisation der Daten gibt es ebenfalls Verschärfungen. Bei der Datenverarbeitung müssen nach Artikel 32 Risikofaktoren und deren Eintrittswahrscheinlichkeit berücksichtigt werden. Ziel ist auch hier, einen größtmöglichen Schutz personenbezogener Daten zu gewährleisten. Diese Prüfungen und Erwägungen sollten ebenfalls sorgfältig dokumentiert werden, da Unternehmen den Nachweis liefern müssen, dass Ihre Datenverarbeitungsmethoden auf entsprechenden Kalkulationen beruhen.

Meldepflicht

Für Datenpannen besteht eine Meldepflicht bei der Datenschutzaufsichtsbehörde, wenn es sich um sensible Daten handelt. Dies gilt für jeden Vorfall und muss innerhalb von 72 Stunden erfolgen. Die Betroffenen sollen umgehend benachrichtigt werden, wenn die Panne ein hohes Risiko oder eine schwere Beeinträchtigung erwarten lässt. Die Dokumentationspflicht greift auch hier. Ferner können Unternehmen bei Datenpannen gegenüber dem Kunde haftbar gemacht werden.

Informationspflicht

Die Pflicht, den Website-Besucher über den Datenschutz zu informieren, ist bereits Gang und Gäbe. Die DSGVO unterscheidet zwischen der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Artikel 13) und Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14).

Informationspflicht nach Artikel 13

Werden sensible Daten einer Person erhoben, so muss diese über Folgendes informiert werden:

  • Zweck der Datenerhebung
  • Ansprechpartner/Verantwortlicher & dessen Kontaktdaten
  • Rechtsgrundlage
  • ggf. Empfänger der Daten
  • ggf. Übermittlung der Daten an ein Land außerhalb der EU
  • Dauer der Datenspeicherung
  • Rechte wie Auskunftsrecht, Widerspruchsrecht, Datenübertragbarkeit, Beschwerderecht etc.
Informationspflicht nach Artikel 14

Auch wenn personenbezogene Daten nicht direkt bei dem/der Betroffenen erhoben werden, müssen sie informiert werden und zwar binnen eines Monats. Ihnen ist Folgendes mitzuteilen:

  • Zweck der Datenerhebung
  • Ansprechpartner/Verantwortlicher & dessen Kontaktdaten
  • Rechtsgrundlage
  • Kategorien der Daten
  • ggf. Empfänger der Daten
  • Dauer der Datenspeicherung
  • Rechte wie Auskunftsrecht, Widerspruchsrecht, Datenübertragbarkeit, Beschwerderecht etc.

Die Informationspflicht  ist mit dem Grundprinzip der Transparenz verknüpft. Die Betroffenen sollen über Ihre Rechte und wie Sie diese praktisch wahrnehmen können, verständlich und präzise aufgeklärt werden. Unterbleibt dies, ist mit Geldstrafen in einer Höhe von bis zu 20.000 Euro oder maximal 4% des Jahresumsatzes zu rechnen.

Übrigens: Arbeiten Sie mit Subunternehmern, müssen diese ab Mai in Verträgen konkret benannt werden. Erst wenn der Auftraggeber dem schriftlich zustimmt, ist diese Art der Auftragserfüllung rechtens.

Auskunftspflicht

Im Rahmen des Auskunftsrechts sind Unternehmen jetzt schon verpflichtet, Kunden folgende Fragen zu beantworten:

  • Welche Daten werden gespeichert?
  • Zu welchem Zweck werden persönliche Daten gespeichert?
  • Woher stammen die Daten?
  • Wer arbeitet mit den Daten?
  • Welche Folgen birgt die Datenspeicherung und -verarbeitung?

Neu hinzukommt die Auskunftspflicht

  • über die Länge der Datenspeicherung
  • über die Weitergabe an eine internationale Organisation oder ein anderes Land
  • über das Recht auf Berichtigung oder Löschung der Daten
  • über das Widerspruchsrecht gegen die Datenverarbeitung
  • über das Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde

Ziel ist auch hier, eine Transparenz über die Datenprozesse zu etablieren. Für diese Informationen dürfen Firmen kein Geld verlangen und müssen auf Anfragen binnen eines Monats reagieren. Ist die Anfrage komplexer, beträgt die Frist zwei Monate. Doch in diesem Fall müssen die Gründe für die verlängerte Reaktionsdauer genannt werden.

Strafen

Verstößt ein Unternehmen gegen die Richtlinien der DSGVO können horrende Bußgelder fällig werden. Strafen werden durch die EU-Aufsichtsbehörde verhängt. Auf datenschutzbeauftragter-info.de finden Sie einen Überblick über die verschiedenen Verstöße und deren Gesetzesvorlage.

Die Geldstrafen sind im Zuge DSGVO empfindlich erhöht wurden. Laut Artikel 83 können „Geldbußen von bis zu 20 000 000 EUR“ oder „von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr“ verhangen werden. Hierbei handelt sich zwar um die Höchstwerte, illustriert aber die Drastik der Verordnung.

Fazit

 Achten Sie sorgfältig auf den Schutz personenbezogener Daten, arbeiten Sie nach den Richtlinien der DSGVO und vor allem dokumentieren Sie jegliche Verarbeitung und Speicherung. Mit unserer kostenlosen DSGVO-Checkliste können Sie leicht die Vorgänge in Ihrem Unternehmen prüfen und ggf. zielgerichtet optimieren!

Bitte behalten Sie im Hinterkopf, dass für uns als Internetagentur Datenschutz eine große Rolle spielt, wir aber keine Rechtsberatung leisten können oder dürfen. Unser Artikel soll Ihnen die gesetzlichen Neuerungen verständlich machen und Ihnen helfen, den neuen Richtlinien entsprechend zu agieren. Mit unserer kostenfreien Checkliste geben wir Ihnen einen Leitfaden an die Hand mit dem Sie Defizite in Ihren Datenverarbeitungsprozessen aufspüren können. Konsultieren im Zweifel immer einen Rechtsanwalt.