DSGVO? Keine Panik! Das müssen Sie als Webseitenbetreiber beachten!
Noch knapp 60 Tage bis zur neuen DSGVO – Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft. Sie wird den Umgang von Unternehmen mit personenbezogenen Daten einheitlich und europaweit regeln. Die zahlreichen Änderungen betreffen sowohl private Unternehmen, öffentliche Stellen als auch jeden Webseitenbetreiber. In fast allen Bereichen gibt es Neuregelungen. Aber keine Panik! Sie sollten zwar Ihre Datenschutzpraxis überprüfen, doch trotz der höheren Sanktionen sollten Sie nichts zu befürchten haben, wenn sich Ihr Unternehmen bisher auch schon um den Datenschutz gekümmert hat.
Wir erklären Ihnen, was die neuen Datenschutzregeln für Ihr Unternehmen bedeuten.
Was ist die DSGVO?
Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU. Sie löst das bisherige, nationale Datenschutzrecht ab. In Zukunft können Unternehmer darauf vertrauen, dass innerhalb der EU ein einheitliches Datenschutzrecht gilt. Sogar Unternehmen mit Sitz außerhalb der EU, die aber Daten von Personen aus der EU verarbeiten, müssen sich ab dem 25. Mai an die DSGVO halten. So kann sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke, beispielsweise aus den USA, an die Regeln halten müssen.
Um welche Daten geht es überhaupt?
Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts. Solche Daten sind etwa Name und Anschrift von privaten Nutzern oder deren IP-Adresse.
Die wichtigsten Neuregelungen auf einen Blick
1. Einwilligung für Verarbeitung und Nutzung von personenbezogenen Daten
Die Datenverarbeitung ist grundsätzlich verboten. Wenn aber ein Erlaubnistatbestand in Betracht kommt, dürfen Daten rechtmäßig verarbeitet werden. Ein Erlaubnistatbestand ist z.B. die Einwilligung einer betroffenen Person. Die Einwilligung betreffend, gibt es zwei grundlegende Neuerungen: Zunächst wurde das Einwilligungsalter einheitlich für alle Mitgliedsstaaten der EU auf 16 Jahre festgelegt. Dies hat in Deutschland wenig Auswirkungen, da nach dem BGB die 18-Jahres-Grenze als Mindestalter für Einwilligungen bestehen bleibt. Die Anforderungen an das datenschutzkonforme Einholen einer Einwilligung des Betroffenen wurden allerdings verschärft.
Unser Tipp für Sie: Auf der sicheren Seite sind Sie, wenn Sie für Ihr E-Mail-Marketing Einwilligungen einholen, die einen Hinweis auf das jederzeitige Widerrufsrecht enthalten. Prüfen Sie die Alt-Einwilligungen.
2. Dokumentations- und Meldepflicht bei Datenschutzverletzungen
Damit die Datenschutzgrundsätze nachweisbar sind, müssen Unternehmen künftig ausführliche Dokumentationen mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO führen. Hat Ihr Unternehmen weniger als 250 Mitarbeiter und verarbeitet personenbezogene Daten nur gelegentlich, gelten Ausnahmen. Datenschutzverletzungen müssen 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden.
Unser Tipp für Sie: Anfertigungen von Verfahrensverzeichnissen sind zeitintensiv. Nutzen Sie Hinweise und Mustervorlagen der Arbeitsgruppe der deutschen Aufsichtsbehörden.
3. Privacy by Design und Privacy by Default
Um die Grundsätze der Datensicherheit und Datensparsamkeit zu gewährleisten, muss bei der Entwicklung und beim Betrieb aller Hard- und Softwarekomponenten darauf geachtet werden, dass alle zumutbaren technischen und organisatorischen Maßnahmen ergriffen werden (Privacy by Design). Zudem sind alle Voreinstellungen so vorzunehmen, dass möglichst wenig personenbezogene Daten verarbeitet werden (Privacy by Default).
Unser Tipp für Sie: Achten Sie bei der Lead-Generierung darauf, dass Sie Informationen auch wieder aus dem Profil löschen.
4. Recht auf Vergessenwerden oder Löschung
Mit der DSGVO haben „Betroffene“ nun das Recht ihre Daten im Internet löschen zu lassen. Dafür muss von Unternehmerseite sichergestellt sein, dass dies auch umgesetzt werden kann. Das klingt erstmal einfach, doch auch alle Unternehmen, an die Adressen der „Betroffenen“ weitergegeben wurden, müssen über Löschungsbegehren informiert werden. Dabei gilt eine Monatsfrist, die auch bei anderen Anfragen des Betroffenen wie zum Beispiel dem Recht auf Auskunft oder Berichtigung gilt.
Unser Tipp für Sie: Da es keine Formanforderungen in Bezug auf die „Anträge“ der Betroffenen gibt, ist zu erwarten, dass diese auf allen Kanälen eingehen können. Überlegen Sie sich deshalb im Vorhinein Prozesse und klären Sie die Zuständigkeiten. Idealerweise schulen Sie schon Mitarbeiter, die eingehende Anträge erkennen und sensibel bearbeiten können.
5. Auftragsdatenverarbeitung wird zur Auftragsverarbeitung
Beim Erheben und der Verarbeitung von personenbezogenen Daten durch externe Unternehmen, muss dies, wie auch im alten Recht, vertraglich geregelt sein.
Wenn also eine Agentur Werbemaßnahmen ausführt, Sie für Ihren Newsletter einen externen Anbieter beauftragt haben oder Ihre Wartungsarbeiten von einem externen Dienstleister übernommen werden, muss der Auftragsverarbeiter ein Verfahrensverzeichnis führen und die Weisungen des Verantwortlichen protokollieren. Festgelegt wurde auch, dass die Schriftform der Verträge nicht mehr notwendig ist.
Unser Tipp für Sie: Erfinden Sie das Rad nicht neu, sondern nutzen Sie DSGVO-konforme Musterverträge wie zum Beispiel den Muster-AV-Vertrag für das Gesundheitswesen.
6. Datenschutz-Folgeabschätzung
Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-Folgeabschätzung vorgeschrieben. Dieser soll ein adäquates Risikomanagement vorausgehen. Wenn Sie feststellen, dass mit der einzelnen Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten des Betroffenen einhergehen, müssen Sie eine Datenschutz-Folgeabschätzung durchführen. Auch wenn Sie neue Technologien einführen, sollten sie die Datenschutzfolgen abwägen.
Unser Tipp für Sie: Die zuständige Aufsichtsbehörde muss laut Konsultationspflicht mit einbezogen werden, wenn Sie keine Maßnahmen treffen können, um das hohe Risiko einer Datenverarbeitung einzudämmen.
7. Datenschutzbeauftragter
Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. Um Interessenskonflikte zu vermeiden, kann ein Vorstandsmitglied, Geschäftsführer oder Unternehmensinhaber nicht Datenschutzbeauftragter sein. Der Datenschutzbeauftragte muss eine entsprechende Qualifikation erworben haben. Schulungen bzw. Seminare werden bundesweit beispielsweise beim TÜV angeboten.
Strafen bei Verletzung der DSGVO
Bisher waren die vorgesehenen Bußgelder bei Datenschutzverstößen nicht der Rede wert. Doch das wird mit den Bußgeldern Nach Artikel 83 und 84 der DSGVO anders. Geldbußen können bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes einfordern. Bei Verstößen von Tochterunternehmen kann die Unternehmensgruppe bzw. der Konzern haften. Als Grundlage bei der Bemessung kann dann der Umsatz der Unternehmensgruppe bzw. des Konzerns dienen.
Kriterien für die Höhe der Bußgelder:
- Art, Schwere & Dauer des Verstoßes
- frühere Verstöße des Unternehmens
- erlangte finanzielle Vorteile
- Arten der betroffenen Daten
Ihr Verhalten und die Zusammenarbeit mit den Datenschutzbehörden spielen aber neben den genannten Kriterien eine große Rolle. Wenn Sie mit der zuständigen Aufsichtsratbehörde kooperieren und sich bei der Kommunikation mit den Datenschutzbehörden von Ihrem Datenschutzbeauftragten sowie gegebenenfalls anwaltlich beraten lassen, sobald es zu Verfahren und Bußgeldandrohungen kommt, fällt die Strafe bestenfalls nicht ganz so hoch aus.
Was haben Sie als Unternehmer jetzt zu tun?
Im Mai 2018 müssen Sie die Regelungen komplett umgesetzt haben. Die DSGVO gibt es nämlich schon seit dem 25.05.2016. Seitdem hatten Unternehmen die Chance in die Umsetzung zu gehen. Am 25. Mai 2018 ist nun die Übergangsfrist zu Ende und die DSGVO gilt in allen EU-Mitgliedsstaaten. Alle Datenverarbeiter sind danach unmittelbar verpflichtet, die geltenden Rechte und Pflichten einzuhalten.
Wir haben Ihnen einige To-Do’s zusammengestellt:
- Kommen Sie Ihrer Informationspflicht nach und aktualisieren Sie sämtliche Rechtstexte wie Einwiligungstexte, Datenschutzinformationen, ggf. AGBs oder sonstige Informationstexte
- Berücksichtigen Sie die Hinweispflicht auf das Widerrufsrecht
- Überprüfen Sie alle Alt-Einwilligungen auf die Hinweispflicht auf das Widerrufsrecht
- Treffen Sie Vorkehrungen in Bezug auf die Dokumentationspflicht
- Legen Sie ein Verfahrensverzeichnis an
- Passen Sie Ihre Auftragsdatenverarbeitungsverträge an
- Schulen Sie einen Mitarbeiter zum Datenschutzbeauftragten (wenn benötigt)
Die DSGVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Integrieren Sie ein effektives Datenschutzmanagement-System, sodass Sie gegenüber Aufsichtsbehörden nachweisen können, dass Sie geeignete Strategien und Maßnahmen ergriffen haben. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der DSGVO kann sich auf die Höhe des Busgeldtatbestands auswirken.
Als Datenverarbeiter tragen Sie eine hohe Verantwortung für die Achtung von Persönlichkeitsrechten. Wir hoffen, dass Ihnen der Artikel den Einstieg in die Umsetzung der DSGVO erleichtert kann, sodass Sie nun die richtigen Prozesse in Gang setzen können.
Hinweis: Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität. Für eine vollständige und rechtssichere Beratung raten wir die Inanspruchnahme eines spezialisierten Rechtsanwaltes.