Die DSGVO betrifft auch Sie.

Vereine, Künstler, Einzelunternehmer, Blogger, Mittelstand und Industrie. Die Datenschutz-Grundverordnung (DSGVO) betrifft sie alle.

Datenschutzverletzungen werden künftig schmerzhaft teuer.

Wozu die Strafen?

Die Sanktionen nach der DSGVO sollen Unternehmen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße zugleich Verletzungen der europäischen Grundrechte sind. Deshalb sieht es der europäische Gesetzgeber als notwendig an, die Sanktionen wirksam, verhältnismäßig und abschreckend zu gestalten.

 

Enttäuschte Mitarbeiter und Azubis, unzufriedene Kunden oder potenzielle Kunden, aber auch Mitbewerber können künftig klagen, wenn Sie das Thema DSGVO nicht so ernst nehmen.

 

Wappnen Sie sich rechtzeitig.

Wir beraten Sie gerne unverbindlich und helfen das Thema zu verstehen.

Sie verarbeiten keine Daten?

Doch!

Wir alle verarbeiten Daten.

Kundenanfragen, Kundendaten, Bewerbungen, Fotos, Emails, Kontakte auf dem Smartphone oder dem Firmen PC. All das sind Aspekte der DSGVO.

 

Als Websitebetreiber verarbeiten wir zwangsläufig Daten. Anfragen vom Server zum Rechner oder Smartphone funktionieren durch kleine Textdateien. Jede dieser Dateien kann unter Umständen auf eine bestimmte Person zurückführen und versteht sich als personenbezogene Datei. Das lässt sich nicht umgehen oder gar verhindern.

 

 

Fakt: Die Zeit drängt!

Ab den 25 Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU in Kraft. Bei Verstößen drohen Strafen bis 20 Millionen Euro oder vier Prozent des Umsatzes.

 

Unternehmen müssen daher jetzt Vorbereitungen treffen – egal ob Konzern oder Einzelunternehmer.

 

Nahezu alle sind betroffen!

Von der DSGVO betroffen sind – wenn auch nicht in gleichem Ausmaß – übrigens so gut wie alle Unternehmen. Selbst viele Kleinunternehmen und Vereine, die sich bis dato wenig mit Datenschutz beschäftigt haben, zeichnen Kunden- oder Mitarbeiterdaten auf.

 

Auch sie müssen daher künftig ein Verarbeitungsverzeichnis vorlegen können.

 

Wie viel Arbeit und Ressourcen dafür investieren müssen, hängt vom Risiko ab, das für Betroffenenrechte im Betrieb besteht.

 

Wer zum Beispiel sensible Daten wie Gesundheitsdaten verarbeitet (hier zählen auch die Vermerke zu Allergien der Gäste in den Notizen eines Restaurants), hat ungleich mehr Aufwand als andere.

 

Ihr Unternehmen trifft die Pflicht als Verantwortlicher, (jederzeit) nachweisen zu können, dass die Datenverarbeitung (zu jeder Zeit) rechtskonform erfolgt. Diese Anforderung hat mithin zur Konsequenz, dass dieses Verzeichnis eine Historie enthalten muss, die entsprechend gepflegt wird, um die Einhaltung der Vorgaben auch für einen zurückliegenden Zeitraum nachweisen zu können.

 

 

Das Thema „DSGVO“ ist äußerst komplex.

Und hier kommt auch schon die ePrivacy-Verordnung (voraussichtlich 2019).

 

Bei der jetzigen Debatte vergessen viele, das bereits 2019 eine andere Verordnung die DSVGO flankieren soll. Die ePrivacy-Verordnung. Somit werden neue Maßnahmen notwendig. Die jetzt gängigen Lösungen greifen lediglich auf das Cookie Law von 2011 und sind ab dem 25.05.2018 umstritten.

DSGVO & ePrivacy sollen sich ergänzen.

Nach Art. 13 DSGVO besteht Informationspflichten gegenüber den Nutzern, die in einer Datenschutzerklärung abgebildet werden müssten. Sie müssen ggfls. umfangreicher sein als bisher.

 

Das Tracking von Nutzern zur Messung der Reichweite der eigenen Seite könne vermutlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden (Interessenabwägung). Dabei wäre im Rahmen der Interessenabwägung und gem. Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) sowie Art. 32 Abs. 1 lit. a Alt. 1 DSGVO (Pseudonymisierung personenbezogener Daten) ein Tracking mit pseudonymisierten Daten durchzuführen. Zudem müsste den Nutzern nach Art. 21 Abs. 1 DSGVO ein Widerspruchsrecht eingeräumt werden. Der Widerspruch müsste gem. Art. 21 Abs. 5 DSGVO auch mittels automatisierter Verfahren ausgeübt werden können, was darauf schließen lässt, dass der Widerspruch auch unabhängig von der konkreten Situation des Betroffenen stets umzusetzen und zu dokumentieren ist.

 

Privatsphäre hat Vorrang.

Oft in den letzten Tagen ist von Interessenabwägung oder berechtigtem Interesse zu hören. Die Erlaubnis des Onlinemarketings auf Grundlage berechtigter Interessen hat jedoch einen Haken.

 

Die schutzwürdigen Interessen der Nutzer dürfen die berechtigten Interessen nicht überwiegen:

 

Art. 6 Abs. 1 […]

f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 

Zu den Interessen der Nutzer gehört vor allem der Schutz der Privatsphäre.

 

 

Art. 6 Abs. 2 […]

Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

 

Sowie in vielen Lagen könnte man der deutschen Regierung eine gewisse Untätigkeit unterstellen.

 

Tatsächlich ist Anpassung an die DSGVO von Fall zu Fall unterschiedlich.

Es gibt Punkte die individuell zu beachten sind.

 

Hier ein paar Hinweise wie Sie sich auf die DSGVO vorbereiten können.

Dokumentieren Sie Ihre Datenflüsse

 

Wer? Prüfen Sie, von welchen natürlichen Personen Sie Daten erhalten.

Warum? Klären Sie, zu welchem Zweck Sie personenbezogene Daten brauchen.

Welche? Hinterfragen Sie, welche Daten Sie genau (mit-)erheben und welche Sie nutzen.

Wie? Sie müssen sich auch damit auseinandersetzen, wie Sie an die Daten kommen.

Wie lange? Schließlich müssen Sie auch regeln, wie lange Sie die Daten aufbewahren.

 

 

 

Holen Sie sich Einwilligungen

Der Versand von Werbemails oder Newslettern kann zum Stolperstein werden. Denn Zusendungen zu Werbezwecken sind außerhalb aufrechter Geschäftsbeziehungen unzulässig, außer Sie haben vorher eine wirksame Einwilligung des Betroffenen eingeholt.

 

 

Vorsicht bei „Global Player“

Viele digitale Dienste werden von Firmen angeboten die in den USA oder außerhalb der EU ansässig sind. Mailchimp, Facebook, Apple, Microsoft, WhatsApp & Co.

Grundsätzlich besteht in den USA kein angemessenes Datenschutzniveau.

Um für europäische Geschäftspartner die Datenübermittlung zu erleichtern, wurde zwischen EU und USA das Abkommen „EU-US Privacy Shield“ abgeschlossen. Voraussetzung ist, dass sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich damit selbst zertifizieren. Ihr Unternehmen als Datenübermittler hat im Vorfeld der Übermittlung nur zu überprüfen, ob das betreffende US-Unternehmen in dieser Liste des US-Handelsministeriums gelistet ist und ob das Ablaufdatum der Zertifizierung noch nicht erreicht ist. Sind diese Voraussetzungen erfüllt, handelt es sich um eine melde- und genehmigungsfreie Übermittlung.

 

Findet die Datenübermittlung an ein Unternehmen statt, auf das keine der oben genannten Ausnahmen zutrifft, müssen Sie als Datenübermittler sicherstellen, dass der Empfänger dennoch ein angemessenes Datenschutzniveau vorweisen kann. In einem solchen Fall ist es empfehlenswert, die von der EU ausgearbeiteten Standardvertragsklauseln zu verwenden. Dieser Vertrag kann nach der DSGVO grundsätzlich ohne Hinzuziehung der Datenschutzbehörde verwendet werden, wenn Sie ihn in seiner ursprünglichen Form belassen. Werden einzelne Klauseln individuell verändert, bedarf der Vertrag der Genehmigung (wie das nach der derzeitigen Rechtslage auch bei unveränderter Verwendung gilt).

 

Für die Erstellung des Verarbeitungsverzeichnisses müssen Sie daher die vollständigen Namen und Adressen der Unternehmen, an die Sie Daten übermitteln, aufnehmen. Zusätzlich müssen Sie vermerken, ob Sie die Daten an diese Unternehmen übermitteln, weil Sie sie zur Vertragserfüllung brauchen oder weil Ihnen etwa der Betroffene seine Einwilligung zur Datenweitergabe gegeben hat, etc. Schließlich müssen Sie im Falle von Datenübermittlungen in Drittstaaten die entsprechenden Verträge (z. B. EU-Standardvertragsklauseln) beilegen.

 

 

Das Recht auf Vergessen werden.

Achtung!

Mit dem Recht auf "Vergessen Werden" räumt die DSGVO den Betroffenen das Recht auf unverzügliche Löschung der sie betreffenden Daten ein, wenn sie ihre Einwilligung widerrufen. Damit trifft Ihr Unternehmen nicht nur die Verpflichtung, die Zusendung weiterer Werbemails abzustellen, sondern auch dafür zu sorgen, dass andere verantwortliche Dritte darüber informiert werden. Die Daten müssen dann von Ihnen und verantwortlichen Dritten tatsächlich gelöscht werden. Das könnte sich in Zeiten von Clouds, Backups und IM nur schwer erreichen lassen.

 

 

Schätzen Sie Ihre Risikofaktoren ein.

Unternehmen müssen laut DSGVO selbst beurteilen, ob ihre Datenverarbeitung ein Risiko für die Betroffenen darstellen kann. Ist dies der Fall, ist eine detaillierte Folgenabschätzung vor der Datenverarbeitung notwendig.

 

Deshalb sollte Ihr Unternehmen bereits jetzt die entsprechenden datenschutzrechtlichen Vorgaben kennen und durch datenschutzrechtliche Voreinstellungen und durch eine datenschutzgerechte Gestaltung dafür Sorge tragen, dass Sie Daten ohne datenschutzrechtliche Mängel verarbeiten. Um die angemessenen technischen und organisatorischen Maßnahmen durch "Privacy by Default" und "Privacy by Design" zu treffen, bildet das Erstellen des Verarbeitungsverzeichnisses eine wesentliche Voraussetzung. Hat man nämlich einmal die Voraussetzungen für die zulässige Verarbeitung von personenbezogenen Daten verinnerlicht, gestaltet sich die Abwägung, welche "Privacy by-Default" und "Privacy by Design"-Maßnahmen man ergreifen sollte, leichter:

 

Dem "Privacy by Default"-Prinzip entsprechend sollte Ihr Unternehmen über eine Website verfügen, die geeignete Privatsphäre-Einstellungen für Ihre Nutzer bereitstellt. Dies kann sich dadurch äußern, dass im Onlinemarketing-Bereich und einer damit zusammenhängenden Onlinekontoregistrierung dem Nutzer die Möglichkeit gegeben wird, seine erteilte Einwilligung einzusehen und jederzeit zu entziehen. Darüber hinaus ist sicherzustellen, dass die Website über eine Datenschutzerklärung verfügt, welche den Nutzer über die Datenverarbeitung informiert. Auch ist es empfehlenswert, Nutzungsbedingungen/Allgemeine Geschäftsbedingungen entsprechend anzupassen. Letztlich ist ein System zu implementieren, das die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerruf, Einschränkung der Verarbeitung) sicherstellt. Das könnte z. B. durch die Bereitstellung eines Online-Formulars/ einer E-Mail-Adresse zur Kontaktaufnahme geschehen.

 

Schließlich ist dem Grundsatz des "Privacy by Design"-Prinzips beispielsweise dann Genüge getan, wenn bei einer Datenverarbeitung, die auf einer Einwilligung beruhen soll, die Einwilligung erst dann eingeholt wird, wenn sie tatsächlich benötigt wird und folglich mit der Datenverarbeitung vor Abgabe der Einwilligung nicht begonnen wird.

 

 

 

All das zu verstehen und umzusetzen, könnte schwerfallen. Wir erklären Ihnen gerne, in einem persönlichen Gespräch, wie Sie mit der DSGVO umgehen können. In unserem Downloadcenter finden Sie eine kleine Hilfestellung. Wir unterstützen Sie gerne bei der Umsetzung der DSGVO.

 

Downloadcenter 

 

info@l13g.com //  +49 201 858668 14