Die DSGVO gilt europaweit seit dem 25. Mai 2018 und betrifft alle Unternehmen und Seitenbetreiber, die personenbezogene Daten verarbeiten. Dazu gehören z.B. nicht nur Name und Anschrift, sondern auch E-Mail Adresse, Surfverhalten oder aber auch neuerdings die IP-Adresse. Es gilt: Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts.
Datenschutzerklärung
Weil die DSGVO inhaltlich viele Neuregelungen mit sich bringt, ist es notwendig, dass jede Website eine neue Datenschutzerklärung benötigt, die den Vorgaben der DSGVO entspricht. Dazu gehören folgende Aspekte:
- Einfache und verständliche Sprache
- Ggf. eine kurze Zusammenfassung vorschalten
- Kontaktdaten des Website-Betreiber
- Datenschutzbeauftragter, falls vorhanden
- Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Inhaltlich muss zum Beispiel aufgeführt werden, welche Datenverarbeitungsvorgänge auf der Website stattfinden oder wie mit Kunden-/ Bestelldaten umgegangen wird. Auch muss man nun einem Nutzer sagen können, wie lange seine Daten, welche beispielsweise über ein Kontaktformular auf der Website eingegeben wurden, gespeichert werden.
Bitte beachten Sie die Löschpflicht Art. 17 DSGVO:
Daten müssen gelöscht werden, wenn:
- der Erhebungszweck weggefallen ist,
- die Einwilligung widerrufen wurde (z.B. Newsletter Abmeldung)
- ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine Speicherpflichten entgegenstehen (Steuern und Buchhaltung)
Beispiel 1:
Wenn ein Nutzer sich über den „Austragen“-Link von Ihrem Newsletter abmelden möchte, so reicht es nicht den Nutzer vom Newsletterversand auszuschließen. Sie müssen seine Daten löschen, da der Erhebungszweck weggefallen ist!
Beispiel 2:
Möchte ein Shop-Kunde, dass seine Daten gelöscht werden, dann bedeutet das nicht, dass Sie gleich alle seine Daten löschen müssen bzw. sogar dürfen. In diesem Fall stehen nämlich aus steuerlichen Gründen Speicher- bzw. Aufbewahrungspflichten entgegen!
Somit gibt es also durchaus Gründe, weswegen Daten nicht direkt gelöscht werden müssen. Es muss lediglich ein Löschkonzept vorliegen, aus dem ersichtlich ist, wann und in welchem Fall personenbezogene Daten gelöscht werden.
Faustregel:
Wenn ein Nutzer möchte, dass seine Daten gelöscht werden und es stehen dem keine vertraglichen oder gesetzlichen Aufbewahrungspflichten entgegen, dann müssen die Daten tatsächlich gelöscht werden!
Einwilligungen
Nach neuer Verordnung werden hohe Anforderungen an die Einwilligung betroffener Personen an die Verarbeitung ihrer Daten gestellt. Daher ist es ratsam, lückenlos zu dokumentieren, an welchen Stellen und auf welcher Grundlage die Daten verarbeitet wurden. Wenn Personen bereits in die Verarbeitung der Daten eingewilligt haben, ist dies meist weiterhin gültig.
Eine Einwilligung ist immer dann notwendig, wenn keine gesetzliche Erlaubnis zum Speichern/Übertragen von Daten vorhanden ist.
Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung eingeholt werden. Das bedeutet: Wenn ein Nutzer sich zum Beispiel für einen Newsletter eintragen möchte, dann muss an der Stelle, an der der Nutzer seine Daten eingibt, auch dieser Punkt bestätigt werden und nicht etwa ein Hinweis auf die Datenschutzbestimmungen.
Ein weiterer wichtiger Punkt ist auch das Koppelungsverbot.
Wenn Sie beispielsweise vorhaben Ihrem Webseitenbesucher ein kostenloses eBook oder ein Whitepaper zum kostenlosen Download anzubieten, dann darf das in Zukunft nicht mehr an die Zustimmung für die Eintragung in den Newsletter gekoppelt sein.
Verarbeitungsverzeichnis
Die DSGVO verlangt nach Art. 30 erstmal grundsätzlich, dass alle Unternehmen, die personenbezogenen Daten verarbeiten, ein Verarbeitungsverzeichnis führen müssen.
Aber sind denn nun wirklich alle Unternehmen dazu verpflichtet? Hier ist das Gesetz ein wenig schwammig formuliert. So wird zum Beispiel in einer Rückausnahme gesagt, dass tatsächlich nur Unternehmen mit mehr als 250 Mitarbeitern oder Unternehmen, die mit der Verarbeitung besonderer Datenkategorien zu tun haben, ein solches Verarbeitungsverzeichnis führen müssen. Allerdings gibt es wiederum eine andere Rückausnahme, nach der auch Unternehmen ein Verarbeitungsverzeichnis führen müssen, wenn diese nicht nur gelegentlich personenbezogene Daten verarbeiten.
Was bedeuten diese Rückausnahmen eigentlich? Das wird sich in nächster Zeit zeigen sobald die ersten Gerichtsentscheidungen fallen. Im Moment wird noch darüber diskutiert, ob diese Rückausnahme tatsächlich anwendbar ist.
Grundsätzlich empfehlen wir ein solches Verarbeitungsverzeichnis zu führen, denn:
Zum Beispiel erhebt ein Onlineshop auch nicht nur gelegentlich Daten, sondern zur Erfüllung des Vertragszwecks. Beim Newsletter ist es auch nicht nur gelegentlich, sondern zum Zwecke des Newsletterversands.
Verantwortlich für das Verarbeitungsverzeichnis ist die Unternehmensleitung und nicht der Datenschutzbeauftragte. Sofern es einen gibt, muss dieser natürlich innerhalb seiner Tätigkeit das Unternehmen unterstützen. Die Verantwortung trägt aber allein die Unternehmensleitung. Auf Anfrage der Behörde muss dieses vorgelegt werden.
Wie so ein Verarbeitungsverzeichnis aussieht und aufgebaut ist, sehen Sie unter folgendem Link der Bitkom:
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf
Datenschutz-Folgenabschätzung
Wenn ein besonderes Risiko in der Datenverarbeitung besteht, dann sind Unternehmen nach Art. 35 DSGVO dazu verpflichtet eine sog. Datenschutz-Folgenabschätzung zu machen.
Ein besonderes Risiko besteht z.B. bei:
- Steuerdaten
- Daten mit Berufs- und Geschäftsgeheimnissen
- Besondere Daten zu Religion, Sexualität
- Personaldaten, berufl. Beurteilungen
- strafbare Handlungen
Inhaltlich sollen in der Datenschutz-Folgenabschätzung die Verarbeitungsvorgänge beschrieben und die Risiken der Verbreitung evaluiert werden. Außerdem sollen dadurch die Notwendigkeit, die Verhältnismäßigkeit, der Zweck und die geplanten Maßnahmen beschrieben werden, um zu verhindern, dass Unbefugte Zugriff auf die Daten haben.
Die Aufsichtsbehörden werden zu diesem Thema Beispiel-Listen veröffentlichen.
Tracking und Cookies
Tracking-, Cookies-Regelungen und Analyse-Tools werden in der DSGVO noch nicht geregelt. Das wird spezifisch durch die ePrivacy Verordnung (ePV) geregelt werden, welche wohl erst 2019 in Kraft tritt. Bis dahin bleibt es bei diesem Thema bei der aktuellen Rechtslage.
Die gute Nachricht:
Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:
- AV Vertrag mit Google abgeschlossen
- IP Anonymisierung aktiviert
- Opt-out Möglichkeiten für Desktop und Mobil
Bei anderen Tools, wie zum Beispiel dem Facebook Pixel, kann man momentan leider keine genaue Aussage treffen. Allerdings wird die Rechtslage wahrscheinlich komplizierter.
Auskunftsansprüche
Alle Betroffenen haben nach Art. 15 DSGVO Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten!
Das bedeutet: Betroffene Personen können Sie fragen welche ihrer Daten gespeichert sind, zu welchem Zweck und wie lange sie gespeichert werden. Woher die Daten stammen, falls sie nicht selbst erhoben wurden und an wen sie übermittelt wurden. Wurden die Daten an Drittländer (Länder die nicht im Geltungsbereich der DSGVO sind, also nicht EU-Staaten) übertragen?
Außerdem muss ein Hinweis zu Widerspruch und Berichtigung erfolgen.
- schriftlich
- elektronisch (E-Mail)
- auf Verlangen mündlich
Die Auskunft muss unverzüglich, aber spätestens einen Monat nach Eingang des Antrags erfolgen.
Wichtig: Bei Datenpannen müssen, nach Art. 33 DSGVO, die Betroffenen und die zuständige Aufsichtsbehörde unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation informiert werden. Das ist ein Punkt, der unter der DSGVO deutlich strenger gewertet wird als es bisher der Fall war.
Auftragsdatenverarbeitung (ADV) und DSGVO
Unter der DSGVO gibt es auch hier einige Neuregelungen. Eine davon ist sprachlicher Natur, sodass die Auftragsdatenverarbeitung (ADV) künftig Auftragsverarbeitung (AV) genannt wird.
Einen Vertrag zur Auftragsverarbeitung ist immer dann notwendig, wenn externe Unternehmen und Dienste eingesetzt werden, welche die Daten Ihrer Kunden erhalten.
Beispiel: Wenn Ihr Newsletter über die Software eines externen Unternehmens wie, z.B. Cleverreach, Mailchimp, KlickTipp etc., verschickt wird, dann ist das eine klassische Auftragsdatenverarbeitung. Als Webseitenbetreiber muss man dann mit eben diesem Anbieter der Newsletter-Software einen AV Vertrag abschließen.
Hier noch einige Beispiele wann ein Vertrag zur Auftragsverarbeitung benötigt wird:
- Erhebung und Verarbeitung eines Auftragnehmers für Unternehmen
- Weisungsrecht des Unternehmers
- Werbeagentur oder IT-Partner führt Werbemaßnahmen für Sie aus
- Externer Newsletter-Anbieter
- Hosting-Providor
- Externe Wartungsverträge
Bußgelder und Abmahnungen
Das gesamte Thema DSGVO wird in vielen Artikeln und Beiträgen stark an den horrend hohen Bußgeldern aufgehängt, die die Behörden jetzt verhängen können.
Bisher bewegten sich die Bußgelder, die die deutschen Datenschutzbehörden verhängen konnten, im Bereich EUR 10.000,00 - 100.000,00. Das mag für kleine und mittelständische Unternehmen vermutlich viel sein aber für große Unternehmen und Konzerne wie Google, Facebook und Co. waren das natürlich „Peanuts“.
Weil das Datenschutzrecht wettbewerbsrechtliche Relevanz hat, war der Grund für die Erhöhung des Bußgeldrahmens der, dass auch große Unternehmen dazu verpflichtet sind das Datenschutzrecht entsprechend der europäischen Vorschriften aus zu gestalten, weil z.B. das amerikanische Datenschutzrecht in vielen Punkten mehr erlaubt als das europäische Recht. Und das wiederum gibt diesen Unternehmen einen enormen Wettbewerbsvorteil.
Ziel der neuen Bußgelder von bis zu 20 Mio. Euro oder 4% des Vorjahresumsatzes ist es also ein wenig Chancengleichheit zu schaffen.
Hinweis
Dieser Blogartikel ist keine Rechtsberatung! Wir haben uns im Rahmen unserer Arbeit als IT-Experten intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, dennoch sind wir keine Juristen und dürfen keine Rechtsberatung erteilen. Dementsprechend kann für die Vollständigkeit, Aktualität und Richtigkeit dieses Artikels keine Haftung übernommen werden.
Quellenangabe:
1. eRecht24 Agentur-Partner - www.e-recht24.de - eRecht24 Gmbh & Co. KG - März/April 2018
2. info.varonis.com/gdpr-attack-plan-course-de - Troy - DSGVO-Angriffsplan: Was Sie jetzt wissen müssen - Februar 2018
3. www.internetworld.de/e-commerce/9-facts-muesst-dsgvo-wissen-1232738.html - Frank Kemper - 9 Facts: Das müsst ihr zur DSGVO wissen - Februar 2018
4. www.schwaben.ihk.de/produktmarken/Beratung_und_Dienstleistung/recht_und_steuern/Datenschutz/Neue-Anforderungen-fuer-Unternehmen-durch-die-DSGVO/3732106 - IHK Würzburg-Schweinfurt Mainfranken - Neue Anforderungen für Unternehmen durch die DS-GVO - Februar 2018
5. www.prosoft.de/service/eu-datenschutz/ - ProSoft GmbH - EU-Datenschutz – EU-DSGVO - März 2018
6. www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html - Bitkom e.V. - Das Verarbeitungsverzeichnis - März 2018
7. www.datenschutz-wiki.de/Datenschutz-Grundverordnung - Datenschutz-Grundverordnung - April 2018
8. dejure.org/gesetze/DSGVO - dejure.org Rechtsinformationssysteme GmbH - Datenschutz-Grundverordnung - März 2018