Mai 2018: Setzen Sie sich mit der neuen DSGVO auseinander

Mai 2018: Setzen Sie sich mit der neuen DSGVO auseinander

Von Nutzertracking, E-Mail-Kampagnen bis hin zu Bestellungen über Onlineshops, das Thema „Datenschutz“ ist in vielen Bereichen präsent und sollte nicht unterschätzt werden. Ende Mai 2018 wird die neue Europäische Datenschutzgrundverordnung, kurz EU-DSGVO, auch in Deutschland gültig sein. In wie weit sich diese vom deutschen Datenschutzgesetz unterscheiden und auf was Sie achten müssen erfahren Sie in unserem Artikel. Gehören auch Sie zu den gut 92% der Shop-und Webseitenbetreibern, die sich noch nicht mit dem DSGVO beschäftigt oder gar umgesetzt haben, dann wird es Zeit aktiv zu werden. Vor allem, weil Ihnen sonst Bußgelder und Abmahnungen bis zu 20 Millionen Euro drohen.

Was ist die Europäische Datenschutzgrundverordnung?

Die Europäische Datenschutzgrundverordnung regelt das Datenschutzrecht, genauer den Umgang mit personenbezogenen Daten, in ganz Europa. Dadurch werden einige Vorschriften des BDSG ungültig bzw. durch neue ersetzt.

Welchen Sinn hat das DSGVO?

Mit dem DSGVO soll ein Datenschutzrecht mit einheitlichem Standard geschaffen werden, das in allen europäischen Ländern gültig ist, wodurch der länderübergreifende Handel deutlich vereinfacht werden soll. Die DSVGO ist auch für Unternehmen gültig, die zwar außerhalb Europas sitzen, aber Daten von Europäern verarbeiten. Damit soll sichergestellt werden, dass sich auch die sozialen Netzwerke und/oder Cloud-Dienste an den europäischen Datenschutz halten.

Wichtig: Die neue Datenschutzverordnung betrifft nicht nur große Unternehmen oder Onlineshops, sondern jedes Unternehmen, das im Internet aktiv ist oder personenbezogene Daten verarbeitet.

Ab wann ist die Europäische Datenschutzgrundverordnung gültig?

Aktuell wird in den verschiedensten Medien heiß über die EU-DSGVO diskutiert, dabei wissen nur die wenigsten, dass die DSGV bereits seit Mai 2016 gilt. Allerdings haben die europäischen Mitgliedstaaten bis Mai diesen Jahres Zeit, um die Datenschutzgrundverordnung anzuwenden.

Ist nicht erst eine Umsetzung der europäischen Datenschutzverordnung notwendig?

Für viele Betroffene steht die Frage im Raum, ob Deutschland die europäischen Gesetze nicht erst im deutschen Recht umsetzen muss. Nein, muss es nicht, da es sich bei der Datenschutzgrundverordnung um eine Verordnung handelt. Diese muss nicht separat umgesetzt werden, da diese sofort gültig sind. Man sollte man dazu wissen, dass die Mitgliedsstaaten in manchen Bereichen einen gewissen Gestaltungsfreiraum haben. Aus diesem Grund ist die Rechtsgrundlage nicht zu 100% einheitlich. In Deutschland wird durch das DSGVO das deutsche Bundedatenschutzgesetz in vielen Bereichen ersetzen.

Wichtig: Nicht nur die deutsche Datenschutzverordnung wird teilweise durch das DSGVO betroffen, sondern auch teilweise das Telemediengesetz. Viele Teile werden durch die Datenschutzgrundverordnung verdrängt. Zudem ist mit weiteren Änderungen zu rechnen, da das DSVGO aktuell nicht direkt auf Telemedien ausgelegt ist. In Zukunft ist garantiert mit einer neuen e-Privacy-Verordnung zu rechnen.

Wer ist vom DSGVO betroffen?

Die Datenschutzgrundverordnung ist für alle Firmen gültig, die in Europa ihren Firmensitz haben. Auch einige Unternehmen außerhalb Europas sind verpflichtet, sich an das DSVGO zu halten, allerdings nur, wenn eine ihrer Niederlassung sich in einem europäischen Land befindet bzw. personenbezogene Daten europäischer Bürger verarbeitet werden.

Was sind personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich direkt auf eine Person beziehen und über die eine Identifizierung der jeweiligen Person möglich ist. So sind personenbezogene Daten zum Beispiel:

  • der Name
  • die Adresse
  • die E-Mail-Adresse
  • die Telefonnummer
  • der Geburtstag
  • die Kontodaten
  • das KFZ-Zeichen
  • die Standortdaten
  • die IP-Adresse
  • Cookies

Was passiert im Falle eines Verstoßes, an wem muss man sich wenden?

Bald wird es in ganz Europa eine Datenschutzverordnung geben, doch wer ist zuständig wenn es zu Verstößen kommt? Das ist wie bisher die Datenschutzbehörde des eigenen Landes. An diese Aufsichtsbehörde kann man sich bei Verstößen oder Fragen zum DSGVO jederzeit wenden.

Mit welchen Bußgeldern oder Strafen ist zu rechnen, falls gegen das DSGVO verstoßen wurde?

  1. Bußgelder und Strafen

Während die Strafen bei Verstößen gegen das Bundesdatenschutzgesetz sich zwischen 50.000-300.000 Euro bewegten, liegen die Bußgelder beim DSGVO deutlich höher. Das DSGVO berechnet als Bußgeld bis zu 4% des weltweiten Vorjahresumsatzes. Die maximale Summe ist dabei auf 20 Millionen Euro gedeckelt. Warum die Bußgelder derartig hochgesetzt wurden hat seinen Grund, denn damit solche global agierende Firmen dazu gezwungen werden, Datenschutzverstöße zu vermeiden.

  1. Abmahnungen

Wird gegen die Datenschutzgrundverordnung verstoßen, besteht natürlich auch die Möglichkeit einer Abmahnung.

DSGO kurz zusammengefasst: Unsere Checkliste

  1. Verbot mit Erlaubnisvorbehalt: Grundsätzlich ist die Nutzung, Verarbeitung und Erhebung personenbezogener Daten verboten. Außer, die betroffene Person willigt ein bzw. die Verwendung der Daten wird durch das Gesetz (EU-DSGVO, BDSG, TMG) erlaubt.
  2. Grundsatz zur Datensparsamkeit: Der Unternehmer darf nur so viele Daten erheben und verarbeiten, wie er tatsächlich braucht.
  3. Zweckbindung: Die erhobenen Daten dürfen nur zweckentsprechend verwendet werden. Eine andere Verwendung ist nicht gestattet.
  4. die Richtigkeit der Daten: Alle personenbezogenen Daten müssen sachlich, inhaltlich und aktuell sein.
  5. Datensicherheit: In der DSGVO bezüglich der Datensicherheit steht geschrieben, dass der Datenverarbeiter das Schutzniveau bieten muss, dass der Schutzbedürftigkeit der personenbezogenen Daten entspricht. Welche Maßnahmen als angemessen angesehen werden, hängt vom aktuellen Stand der Technik, den Umständen und den anfallenden Implementierungskosten ab. Was genau dazu das DSGVO schreibt, können Sie im Artikel 32 nachlesen.

Das Recht auf Löschung

Das Recht auf Löschung bzw. Vergessen werden, ist bereits seit längerem gültig. Hierzu gibt es bereits eine Gerichtsentscheidung seitens des EuGH, das sagt, dass europäische Bürger von der Suchmaschine verlangen können, dass ihr Name nicht mehr in den organischen SERPS angezeigt werden dürfen.

Tipp: Das Recht auf Löschung ist nicht nur gegen die Suchmaschine, sondern gegen jede Stelle anwendbar, die personenbezogene Daten nutzt und verarbeitet. Eine genaue Definition zum Recht auf Vergessenwerden ist im Artikel 17 des DSGVO nachlesbar.

Wann kann man auf die Lösung der eigenen Daten bestehen?

  • eine unrechtmäßige Verwendung der Daten (Artikel 17 Buchstabe D)
  • die Einwilligung des Betroffenen wird wiederrufen (Artikel 17 b)
  • der Grund bzw. der Zweck der Datenerhebung ist weggefallen. (Artikel 17a)

Datenportabilität: Das Recht auf Übertragbarkeit der Daten

Mit dem DSGVO bekommt der Verbraucher auch das Recht der Datenübertragbarkeit. Das Recht zur Datenportablität ist im Artikel 20 des DSGVO nachzulesen. Es ermöglicht dem Verbraucher, dass er seine Daten jederzeit zu einem anderen Unternehmen mitnehmen kann. Die Datenverantwortlichen sind verpflichtet, dass sie die personenbezogenen Daten des Verbrauchers an das andere Unternehmen in einem gängigen Format weitergeben.

Wann ist das Recht auf Datenübertragbarkeit anwendbar?

  • Wenn der Verbraucher von einem zu einem andere sozialen Netzwerk wechseln möchte
  • Er seine Bank wechseln möchte
  • Der Verbraucher einen Wechsel seines Arbeitgebers plant.

Rechenschaftspflicht: Ein neuer Paragraph der EU-DSGVO

Mit dem DSGVO wurde auch die sogenannte Rechenschaftspflicht eingeführt. Das bedeutet, dass der Datenverantwortliche im Falle einer Aufforderung lückenlos nachweisen muss, dass die Datenschutzprinzipien alle eingehalten wurden.

Tipp: Eine Vernachlässigung des Datenschutzmanagements kann teuer werden, da die Dokumentation als Nachweis gilt. Nur so können Sie Aufsichtsbehörden nachweisen, dass alle Datenschutzanforderungen zu 100% eingehalten wurden.

Die Einholung der Einwilligung

Die Nutzereinwilligung ist für Unternehmen und Händler gleichermaßen von Bedeutung. Um hier Ärger mit den Aufsichtsbehörden zu vermeiden, sollte man sich unbedingt an die gesetzlichen Vorgaben halten.

Die Datenschutzgrundverordnung schreibt keine spezielle Form vor. Eine elektronische Einwilligung ist genauso akzeptabel, wie schriftlich oder mündlich. Trotzdem dürfen sie niemals vergessen, dass Sie als Unternehmer zur Dokumentation verpflichtet sind. Eben aus diesem Grund sollten Sie von einer mündlichen Einverständniserklärung Abstand nehmen und besser eine elektronische oder schriftliche Einwilligung bevorzugen.

Opt-Out oder Opt-IN: Was sagt das DSVGO?

Das Opt-Out (vorgekreuztes  Kästchen)ist in Augen des DSVGO keine wirksame Einwilligung. Die Einwilligung zur Weiterverarbeitung der Daten kann nur mit einem Opt-in Kästchen wirksam erteilt werden.

Eine freiwillige Einverständniserklärung ist Grundvoraussetzung

Bei der Einverständniserklärung seitens der Nutzer muss immer das Gebot der Freiwilligkeit erfüllt sein. Es ist nicht erlaubt, dass die Vertragserfüllung davon abhängig gemacht wird, dass der Verbraucher zu einer Einwilligung genötigt wird, obwohl keine Einwilligung notwendig wäre.

Welche inhaltlichen Anforderungen muss die freiwillige Einverständniserklärung erfüllen?

In der Einverständniserklärung muss immer der Verarbeitungszweck aufgeführt sein. Die Einverständniserklärung ist nur für diesen einen Zweck gültig. Eine Generaleinwilligung ist nicht möglich, da diese gesetzlich verboten ist. Auf Anfrage müssen Sie jederzeit nachweisen können, dass Ihre Kunden Ihnen die Einwilligung Ihrer Daten zur Verarbeitung erteilt haben. Eine umfassende Dokumentation ist hierbei Grundvoraussetzung.

Freiwillige Einverständniserklärung: der Widerruf

Wie durch das deutsche Datenschutzgesetz bisher vorgeschrieben, haben auch beim DSGVO die Betroffenen die Möglichkeit, dass sie die erteilte Einwilligung jederzeit widerrufen können. Der Widerruf kann genauso einfach und unkompliziert erfolgen.

Was passiert mit den Einwilligungen vor Mai 2018

Die Einwilligungen, die vor dem Mai 2018 erteilt wurden, sind auch unter dem DSGVO weiterhin gültig. Allerdings nur, solange diese die Anforderungen des TMG und des BDSG erfüllen. Grundvoraussetzung für die Gültigkeit der Einwilligung ist, dass diese gesetzeskonform erfolgt ist.

Beispiel: Im Artikel 7 der EU-DSGVO ist gesetzlich geregelt, dass Newsletter nur verschickt werden darf, wenn der Empfänger mit Douple opt eingewilligt hat.

Einwilligung durch Verbraucher unter 18. Lebensjahre

Mit der DSVGO hat sich das einheitliche Mindestalter für die Einwilligung geändert. Eine Einwilligung Minderjähriger unter sechzehn Jahren ist nur dann gültig, wenn die Eltern ebenfalls damit einverstanden sind.

Müssen ab Mai 2018 die Webseitenbetreiber ihre Datenschutzerklärung aktualisieren?

Ja, alle Webseitenbesitzer, Onlineshops und alle anderen Dienstleister, die Daten verarbeiten, müssen gegen Ende Mai Ihre Datenschutzerklärung anpassen, da die DSGVO eine deutliche Änderung mit sich bringt. Mit dem Eintreten der DSGVO steigen die Anforderungen deutlich. Vergessen Sie niemals, dass die notwendigen Infos in Zukunft alle sehr präzise, transparent und verständlich in klarer Sprache verfasst werden müssen. In den Inhalten müssen die Rechtsgrundlage für die Datenverarbeitung genau aufgezählt werden.

Achtung, die wichtigsten Neuerungen auf einen Blick

Mit der Einführung des DSVGO unterliegen vor allem die Webseiten, deren Zielgruppe Kinder sind einer neuen Informationspflicht. Des Weiteren gilt dann ein Kopplungsverbot. Einwilligungen darf nicht erzwungen werden, in dem der Nutzer damit gelockt wird, ein bestimmtes Whitepaper oder Checklisten herunterladen zu können.

Für viele Webseitenbetreiber wird es problematisch, ohne Hilfe den neuen Anforderungen des DSVGO gerecht zu werden. Es ist gar nicht so einfach, die neuen technischen Erklärungen einfach verständlich und dennoch präzise so zu formulieren, dass diese jeder verstehen kann.

Was ändert sich in der Auftragsdatenverarbeitung

Mit der Gültigkeit des DGSVO wird sich das Kürzel für die Auftragsdatenverarbeitung, kurz ADV, in Auftragsverarbeitung (AV) ändern. Im deutschen Datenschutzgesetz wurde die Auftragsdatenverarbeitung im § 11 BDSG geregelt. Mittlerweile müssen einheitliche europäische Anforderungen erfüllt werden.

Was ist unter dem Begriff Auftragsdatenverarbeitung zu verstehen?

Unter dem Begriff Auftragsdatenverarbeitung versteht man die Nutzung, Verarbeitung und Erhebung personenbezogener Daten durch Behörden, juristischen und natürlichen Personen wie auch vielen anderen Einrichtungen.

Beispiele für solche Einrichtungen wären:

  • externe Rechenzentren
  • Callcenter
  • externe Marketingunternehmen
  • Cloud-Computing
  • Newsletterversender

 

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • externer Newsletter-Anbieter
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

Wichtig: In der Auftragsdatenverarbeitung ist der Auftraggeber für die Verbraucher der erste Ansprechpartner. Dieser hat auch sicherzustellen, dass die Datenschutzvorgaben eingehalten werden. Mit der Einführung des DSGVO müssen sich aber auch die Auftragnehmer, die Auftragsdatenverarbeitung ihrer Verantwortung stellen. Datenverarbeiter sind verpflichtet:

  • ein Verzeichnis über alle Tätigkeiten, die im Zusammenhang der Datenverarbeitung durchgeführt werden, nachzulesen unter Artikel 30 DSGVO.
  • eine Auflistung aller organisatorischen und technischen Maßnahmen die von den Datenverarbeitern im Bereich der Datensicherheit durchgeführt wurden

Mit dem DSGVO ist eine schriftliche Form des Vertrags zur Datenverarbeitung notwendig. Ein Vertrag in elektronischer Form reicht auch. Aus diesem Grund ist es notwendig, dass Sie vor dem 25. Mai 2018 noch einmal alle Vertragsunterlagen und Verträge prüfen, ob die Vorgaben des DSGVO erfüllt sind.

Was sagt das DSGVO zum Datenschutzbeauftragten?

Mit dem DSGVO gibt es auch einige Änderungen rund um den Datenschutzbeauftragten. Welche das sind, erfahren Sie in unserem nachfolgenden Artikel.

Wann muss ein Unternehmen nach DSVGO einen Datenschutzbeauftragten bestellen?

Der Datenschutzgrundverordnung ist europaweit genau geregelt, wann ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. (Art. 35 ff DSGVO). Ein Datenschutzbeauftragter ist auszurufen, wenn

  • Daten einer besonderen Kategorie zu verarbeiten (Artikel 9 DSGVO).
  • mehr als neun Personen in die automatisierte Datenverarbeitung personenbezogener Daten involviert sind.
  • Personen systematisch und regelmäßig überwacht werden.

Natürlich kann ein Unternehmen einen Datenschutzbeauftragten auch freiwillig bestellen. Die Gründe hierfür können vielfältig sein, sei es aufgrund eines internen Controllings, aus marketingtechnischen Gründen usw. Die Benennung eines Datenschutzbeauftragten spricht natürlich eindeutig für die Qualitäten eines Unternehmens.

Welche Aufgaben muss der Datenschutzbeauftragte erfüllen?

Der Datenschutzbeauftragte ist dafür zuständig, dass das Verarbeitungsverzeichnis geführt wird. Des Weiteren hat er innerhalb eines Unternehmens ein Auge darauf, dass die Datenschutzgrundsätze innerhalb der Firma eingehalten werden. Zudem ist der Datenschutzbeauftragte der Ansprechpartner für Kunden, Datenschutzbehörde, IT-Abteilung und Geschäftsführer.

Wie kann ein Datenschutzbeauftragter bestellt werden?

Das deutsche Datenschutzgesetz schreibt vor, dass die Bestellung eines Datenschutzbeauftragens immer auf schriftlichem Wege zu erfolgen ist. Mit dem Inkrafttreten des DSGVO wird die Benennung eines Datenschutzbeauftragten auch ohne schriftliche Form möglich. Es ist nicht mehr von Belang, ob es einen schriftlichen Vertrag gibt oder nicht.

Die Ausbildung des Datenschutzbeauftragten

Gesetzlich ist der Datenschutzbeauftrage nicht verpflichtet eine entsprechende Ausbildung oder eine Zertifizierung zu absolvieren. Als Unternehmer sind Sie aber dazu verpflichtet, sich darum zu kümmern, dass der Datenschutzbeauftragte über die notwendige Fachkunde verfügt. Das bedeutet, dass der Datenschutzbeauftrage entweder bereits über eine Ausbildung juristischer Natur verfügt bzw. bzw. eine Ausbildung zum Datenschutzbeauftragten bei der IHK; dem TÜV oder einer anderen Stelle zu absolvieren.

Interner oder externer Datenschutzbeauftragter, was ist die bessere Lösung?

Sind Sie als Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten auszurufen, muss die Pflicht auch erfüllt werden. Sie haben aber die Wahl zu entscheiden, ob Sie einen internen oder externen Datenschutzbeauftragten wählen. Entscheiden Sie sich für einen internen Datenschutzbeauftragten, ist er direkt im Unternehmen tätig und kennt die Abläufe genau. Das Problem ist aber, dass er immer auf gewisse Art und Weise an die Weisungen seines Vorgesetzen gebunden ist. Des Weiteren ist nicht jeder Angestellte befähig, als Datenschutzbeauftragter ausgerufen zu werden. So dürfen weder der Chef der IT-Abteilung noch der Geschäftsführer in der eigenen Firma als Datenschutzbeauftragter tätig zu sein. Der Grund ist vor allem der Interessenkonflikt.

Bei einem externen Datenschutzbeauftragten sieht das anders aus. Da gibt es das Problem nicht, allerdings ist die Beauftragung mit deutlich mehr Aufwand verbunden, da er erst in die Prozesse des Unternehmens eingearbeitet werden muss. Zudem ist es problematisch, dass im Ernstfall der Datenschutzbeauftragte nicht sofort erreichbar ist. Nicht unbedingt von Vorteil, wenn es zu ernsten Fragen oder Beschwerden kommt.

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Webseite zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie Ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen