April
Die DSGVO regelt ab dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – europaweit einheitlich. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.
Die Datenschutzgrundverordnung (DSGVO) vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards galten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch z. B. Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an die Regeln halten müssen.
Die zahlreichen Änderungen, die die DSGVO ab dem 25. Mai 2018 mit sich bringt, treffen jeden Unternehmer und Webseitebetreiber. Es gibt in fast allen Bereichen des Datenschutzrechts umfangreiche Neuregelungen. Einige sind relativ einfach umzusetzen, andere sind sehr komplex.
Die DSGVO betrifft dabei wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung – vieles ändert sich durch die Neuregelungen.
Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:
Einfache und verständliche Sprache
ggf. eine vorgeschaltete, allgemein zusammenfassende Erklärung
Kontaktdaten des Seitenbetreibers
Datenschutzbeauftragter, wenn vorhanden
Die Rechtsgrundlage der jeweiligen Datenerhebung/-verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Kontaktdaten des Seitenbetreibers
Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:
Nennung aller Datenverarbeitungsvorgänge auf der Webseite
Umgang Kunden- / Bestelldaten
Tracking, Cookies, Social Media
Newsletter, A(D)V
Dauer der Speicherung, Löschfristen
Auskunft, Berichtigung, Löschung, Widerspruch
Recht auf Datenherausgabe und Übertragbarkeit
Daten müssen gelöscht werden, wenn:
der Erhebungszweck weggefallen ist,
die Einwilligung widerrufen wurde (z. B. Newsletter-Abmeldung),
ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)
Im Impressum sind keine Änderungen notwendig. Allerdings wird momentan diskutiert, ob für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden muss, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.
Gern unterstützen wir Sie bei der DSGVO-konformen Umsetzung oder Anpassung Ihrer Website!
Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings wohl erst 2019.
Die gute Nachricht: Google Analytics bleibt auch unter der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:
A(D)-Vertrag mit Google abgeschlossen
IP-Anonymisierung aktiviert
Opt-out-Möglichkeiten für Desktop und Mobil
Achten Sie darauf, dass Sie ab dem 25. Mai 2018 einen DSGVO-konformen AV-Vertrag mit Google abschließen. Google wird vermutlich demnächst einen solchen Vertrag bereitstellen.
Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten. Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis ein einheitliches Verständnis darüber herrscht, sollten Sie im Zweifel ein solches Verzeichnis anlegen.
Beispiele und Aufbau eines solchen Verarbeitungsverzeichnisses finden Sie z. B. bei der Bitkom:
Einwilligungen von Nutzern, z. B. zum Newsletterversand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in), gelten grundsätzlich weiter.
Kopplungsverbot bei alten Einwilligungen wurde nicht beachtet
Einwilligungen durch Minderjährige
Wenn keine gesetzliche Erlaubnis zum Speichern/Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt. Auch unter der DSGVO sollte das Double-opt-in-Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.
Die Einwilligung muss dabei „freiwillig“ erfolgen: echtes Kopplungsverbot nach Art. 7 Abs.4 DSGVO.
In der Regel: keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung vom Newsletterversand an einen Vertragsschluss.
Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (Einzelheiten unten bei Ziff. 9.), müssen einen Datenschutzbeauftragten bei der zuständigen Stelle benennen.
Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.
Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.
Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutzbeauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z. B. beim TÜV.
Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.
Es sollen nur die Daten erhoben werden, die „erforderlich“ sind. Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.
Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.
Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich werden kann. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.
Ein Arbeitgeber muss die Einhaltung der genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z. B. Löschpflichten) konfrontiert.
Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).
Wenn das Erheben und Verarbeiten personenbezogener Daten durch ein externes Unternehmen erfolgt, muss dies – wie auch im alten Recht – vertraglich geregelt werden.
Agentur führt Werbemaßnahmen im Auftrag durch
Einsatz eines externen Newsletteranbieters
Webhoster
externe Wartungsverträge
Auftragsverarbeiter muss u. U. ein Verfahrensverzeichnis führen
Auftragsverarbeiter muss die Weisungen des Verantwortlichen protokollieren
keine Schriftform der Verträge mehr notwendig
Einen DSGVO-konformen Mustervertrag finden Sie z. B: bei eRecht24 Premium:
https://www.e-recht24.de/premium-agenturpartner
In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO festzuhalten. Eine DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Verarbeitung von Gesundheitsdaten, Religion, Sexualität
Geschäftsgeheimisse
Profiling/Scoring
strafbare Handlungen
u. v. m.
Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forums Privatfreiheit nachlesen.
Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).
schriftlich
elektronisch (E-Mail)
auf Verlangen mündlich
Frist der Auskunft: Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags.
Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?
Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.
Datenschutzverstöße können abgemahnt werden!
Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
Verstöße können auch nach der DSGVO abgemahnt werden!
Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor.
Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt. Das wird sich aber sehr wahrscheinlich ändern. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.
Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen. Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.
Wir unterstützen Sie gerne bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung.
Lukas Hasler
Tel: +49 (0)6174 94 82 511
Mobil: +49 (0)177 23 11 221
Email: info@haslerdesign.com