DSGVO & mediawave: Richtig auf die neue Datenschutz-Grundverordnung vorbereitet

Was ist die aufsehenerregendste Abkürzung dieser Tage? Richtig: DSGVO! In gut einem Monat tritt die neue europaweite Datenschutzgrundverordnung in Kraft. Wir haben noch einmal die wichtigsten Informationen und Schritte für Online-Shop-Betreiber in einer Checkliste zusammengestellt.

Einen ersten Einblick in das viel diskutierte neue Gesetz gaben wir bereits vor einiger Zeit in einem Gastbeitrag in unserem Blog. Nun haben wir nochmals wichtige Infos in einer ausführlichen Checkliste mit passenden Erklärungen zusammengestellt und auch eine Sammlung nützlicher Links vorbereitet. Hier erfahren Sie, welche Schritte zur Vorbereitung auf die DSGVO nötig sind.

 

1. Verfahrensverzeichnis aktualisieren

Im Rahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) wird das Verfahrensverzeichnis zum „Verzeichnis für Verarbeitungstätigkeiten“ (VVT). Dieses Verzeichnis bestimmt konkret welche Daten in einem Unternehmen verarbeitet werden, zu welchem Zweck und wo diese Daten liegen. Verschaffen Sie sich also zunächst einen Überblick, welche personenbezogenen Daten innerhalb Ihres Unternehmens verarbeitet werden. Dieses Dokument müssen Sie allerdings nicht öffentlich zugänglich machen. Auf Nachfrage muss es jedoch binnen kürzester Zeit vollständig vorgelegt werden können.

Das Unternehmen, das personenbezogene Daten verarbeitet, unterliegt der Rechenschaftspflicht. Diese Pflicht besagt, Unternehmen müssen bei Bedarf die Einhaltung der Rechtsgrundsätze nachweisen können. Um das zu gewährleisten, benötigt man ein funktionierendes Datenschutzmanagement, in dem verantwortliche Personen und Abläufe definiert und festgehalten werden. Sie müssen außerdem in der Lage sein, den Betroffenen Ihre Daten offenzulegen und diese auf Anfrage auch vollständig zu löschen. Stellen Sie sich folgende Fragen und passen Sie Ihr VVT dementsprechend an.

  • 1.1. Was sind personenbezogene Daten?

    Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte bzw. identifizierbare natürliche Person beziehen. Diese Einstufung ist weitreichend. Sobald also die Zuordnung einer Kennung des Betroffenen möglich ist, handelt es sich um personenbezogene Daten. Zu dieser Möglichkeit einer Identifizierung oder Kennung gehören u.a.:

    • Persönliche Daten (Name, Anschrift, Geburtsdatum, etc.)
    • Kontaktdaten (Telefon-, Faxnummer, E-Mail, etc.)
    • Finanzdaten (Bankverbindung, Gehaltsabrechnung, etc.)
    • Fotos mit erkennbarer Darstellung einer Person
    • IP-Adressen (statisch & dynamisch)
    • Besonders sensible Daten (ethische Herkunft, genetische od. biometrische Daten, politische Meinungen, etc.)
  • 1.2. Wie und wo werden die Daten verarbeitet?

    In Bezug auf die DSGVO ist mit „verarbeiten“ jede Verwendung personenbezogener Daten gemeint – egal ob automatisiert oder manuell. Hier geht es also um erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern, verwenden, abgleichen, offenlegen, vernichten etc. Wichtig ist, dass Sie wissen, wo bzw. wozu und wie Sie die personenbezogenen konkret nutzen:

    • 1.2.1. Wo werden die Daten verarbeitet?

      Bsp.: Online Shop, CRM-Tool, Tracking Tool, Newsletter-Dienste, ERP-System, Warenwirtschaftssystem, etc.

    • 1.2.2. Wozu werden die Daten verwendet?

      Bsp.: Erfüllung eines Vertrages (Bestellung im Online-Shop), rechtliche Verpflichtung (steuerliche Verpflichtung), Newsletter-Versand, etc.

  • 1.3. Sind Subunternehmen involviert?

    An dieser Stelle geht es um Ihre Auftragsdatenverarbeitung-Verträge (ADV). Diese waren bisher unter §11 im Bundesdatenschutzgesetz (BDSG) geregelt. An bestimmten Stellen Ihrer Kommunikationsprozesse zum Beispiel geben Sie Daten Ihres Kunden an Dienstleister wie Ihrem Mailing-Tool zum Newsletter-Versand weiter. Es besteht also eine Regelung zur Überlassung der Kundendaten, die zwischen Ihrem Unternehmen und dem Dienstleister vertraglich geregelt ist. Die Datenübermittlung an den Dienstleister regeln Sie mit Ihrem Kunden innerhalb Ihrer Datenschutzerklärung (DSE). Laut DSGVO besteht eine gemeinsame Verantwortlichkeit für den Schutz der Daten. Die Haftung muss jedoch mit dem Dienstleister in einem neuen Auftragsverarbeitungsvertrag geklärt sein.

    • 1.3.1. Verträge mit Dienstleistern prüfen

      Prüfen Sie alle bestehenden Verträge mit Dienstleistern wie Web-Hostern, Mailing-Diensten oder Anbietern von Tracking-Tools. Wichtig ist, dass auch diese Verträge klare Richtlinien zur Auftragsverarbeitung enthalten.

 

2. Einwilligungs- und Widerspruchserklärung: Transparenz und Wirksamkeit prüfen

Das A&O der DSGVO ist das Einholen der Einwilligung zur Erhebung personenbezogener Daten. In dieser Einwilligungserklärung müssen die Betroffen ausdrücklich der Verarbeitung ihrer Daten zustimmen, sofern es keine rechtliche Grundlage wie z.B. einen Kaufvertrag in Form einer Bestellung im Online-Shop oder ähnliche vertragliche Notwendigkeiten für die Datenverarbeitung gibt.
Neu ist in diesem Zusammenhang ein eindeutiger Hinweis auf das Widerspruchsrecht. Dieses ist nicht mit dem Widerrufsrecht in Bezug auf eine vertragliche Vereinbarung zu verwechseln. Sowohl Einwilligung als auch Widerspruchshinweis müssen nach dem Simplizitätsgebot in einem leicht zugänglichen und verständlichen Text verfasst sein.

  • 2.1. Einwilligung

    Shop-Betreiber müssen auf Anfrage und zu jeder Zeit nachweisen können, dass eine Einwilligung zur Verarbeitung personenbezogener Daten vorliegt. Dies kann beispielsweise mit dem Double-Opt-In Verfahren (DOI) für Newsletter erfüllt werden.
    Zudem müssen die Betroffenen künftig konkret informiert werden welche Daten zu welchem Zweck erhoben und wie diese verarbeitet werden.
    Bsp.: Erstellung eines Kundenkontos

  • 2.2. Bestehende Einwilligungen

    Bereits erteilte und nach deutschem Recht wirksame Einwilligungen behalten Ihre Gültigkeit und erfüllen grundsätzlich die Bedingungen der DSGVO.

  • 2.3. Ausnahmen

    Beachten Sie hier jedoch die Ausnahmen: Beim Erteilen der Einwilligung muss die Freiwilligkeit gegeben sein. Hier spricht man von einem Kopplungsverbot. Dieses besagt, dass die Erfüllung eines Vertrages nicht von der Einwilligung weiterer Datenverarbeitungsprozesse abhängig sein darf. Dem Betroffenen muss es beispielsweise möglich sein, eine Bestellung durchzuführen, ohne automatisch dem Erhalt eines regelmäßigen Newsletters zustimmen zu müssen. Mehr dazu erfahren Sie im Kurzpapier der Datenschutzkonferenz.

  • 2.4. Widerspruchsrecht

    Das Widerspruchsrecht gewinnt innerhalb der neuen Verordnung an Gewicht. Stellen Sie hier sicher, dass der Widerspruch ebenso einfach erfolgen kann, wie die Einwilligung. Außerdem muss dieser transparent in der Datenschutzerklärung als separater Paragraph geregelt werden.

 

3. Meldepflicht: Aktionsplan für Datenpannen erstellen

Sollte es zu einer Datenschutzpflichtverletzung kommen, müssen Unternehmen diese unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Aufsichtsbehörde melden. Diese Meldung muss folgende Details enthalten:

  • Art der Datenschutzverletzung
  • Vollständige Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Verletzungsfolgen (Datenschutzfolgeabschätzung)
  • Dokumentation der ergriffenen bzw. vorgeschlagenen Maßnahmen zur Behebung und ggf. Abmilderung ihrer möglichen Auswirkungen

 

Je nach Ausfallen der Risikoabschätzung der betroffenen Daten, müssen außerdem die betroffenen Personen benachrichtigt werden. Die Meldung sollte immer schriftlich direkt an die Geschädigten erfolgen oder als offizielle Meldung veröffentlicht werden, z.B. auf der eigenen Homepage. Wichtig ist bei der Dokumentation einer Datenpanne auch, dass die zuhängenden Fakten oder Umstände und die eingeleiteten Maßnahmen nachvollziehbar erfasst werden.

 

4. Gewährleistung der Informationspflicht sicherstellen

Unternehmen, die personenbezogene Daten verarbeiten oder von Dritten bekommen, müssen künftig umfangreiche Auskünfte über die Datenerhebung an die Betroffenen erteilen. Die Informationen sind der betroffenen Person zum Zeitpunkt der Datenerhebung mitzuteilen. Unternehmen, die personenbezogene Daten verarbeiten oder von Dritten bekommen, müssen künftig umfangreiche Auskünfte über die Datenerhebung an die Betroffenen erteilen. Die Informationen sind der betroffenen Person zum Zeitpunkt der Datenerhebung mitzuteilen.

  • 4.1. Informations- und Auskunftsrecht laut DSGVO:

    Nach der neuen Datenschutzgrundverordnung haben Personen, die personenbezogene Daten zur Verfügung stellen, das Recht Auskünfte über die Datenerhebung einzufordern. Folgende Auskünfte müssen bereitgestellt werden:

     
    • Übersicht über erhobene personenbezogene Daten
    • Name und Kontaktdaten der verantwortlichen Person
    • Kontaktdaten des Datenschutzbeauftragten
    • Zweck und die Rechtsgrundlage für die Verarbeitung
    • Die berechtigten Interessen, die mit der Datenverarbeitung verfolgt werden

 

 

5. Berücksichtigung der Betroffenen-Rechte

Als Unternehmen müssen Sie intern sicherstellen, dass Sie die Rechte der Betroffenen bestmöglich und rechtskonform wahren. Zu diesen Rechten zählen die Folgenden.

  • 5.1. Informationen (Art.13, 14 DSGVO)

    Unternehmen müssen dem Nutzer in der Datenschutzerklärung konkret mitteilen, welche Daten erhoben werden, wo und wie diese verarbeitet und gespeichert werden.

  • 5.2. Auskunft (Art.15 DSGVO)

    Die Nutzer bzw. der Betroffene hat das Recht, Details zu seinen persönlichen Daten zu erfragen. Unternehmen müssen hierzu alle Auskünfte erteilen und dem Betreffende ggf. die Daten übermitteln.

  • 5.3. Berichtigung (Art.16 DSGVO)

    Der Betroffene darf verlangen, dass seine Daten berichtigt werden.

  • 5.4. Löschung, „Vergessenwerden“ (Art.17 DSGVO)

    Betroffene können die Löschung der von Unternehmen erhobenen Daten verlangen. Die Löschung muss umgehend erfolgen, insbesondere wenn der Zweck für die Erhebung der personenbezogenen Daten nicht mehr erforderlich ist (ausgenommen Aufbewahrungsfristen aus Handels- oder Steuerrecht). Gelöscht werden müssen Daten auch, wenn die betroffene Person Widerspruch einlegt und keine Gründe für die Verarbeitung vorliegen oder diese nicht rechtmäßig erfolgt sind.

  • 5.5. Einschränkung (früher „Sperrung“), (Art.18 DSGVO)

    Der Betroffene kann die Nutzung seiner Daten einschränken lassen. Das bedeutet, seine Daten bleiben z.B. in Ihrer Kundendatenbank, da sie diese aus steuerrechtlichen Gründen noch speichern müssen, er möchte aber keinen Newsletter mehr erhalten (Stickwort Blacklist).

  • 5.6. Datenübertragbarkeit (Art.20 DSGVO)

    Eine Person, zu der Sie Daten erhoben haben, hat das Recht, die von ihr bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format anzufordern. Die Bereitstellung der Daten kann dem Betroffenen beispielsweise dienen, um die Versicherung zu wechseln oder Ähnliches.
    Bsp: Gesundheitsdaten aus einer mit der Krankenkasse verknüpften Apple-Watch

  • 5.7. Widerspruchsrecht (z.B. bei Tracking), (Art.21 DSGVO)

    Tracking und Targeting-Maßnahmen beruhen auf der rechtlichen Grundlage des „berechtigten Interesse“. Verarbeiten Sie als Unternehmen Daten mit dieser Begründung, müssen Sie dem Betroffenen die Möglichkeit zum Widerspruch geben und auf dieses Recht in der Datenschutzerklärung gesondert hinweisen. Diese „Opt-Out-Lösung“ müssen Sie technisch abbilden und leicht zugänglich machen. Spätestens bei der ersten Kommunikation müssen sie den Nutzer auf dieses Recht hinweisen, es klar formulieren und getrennt von anderen Informationen in der DSE darstellen.

 

6. Datenschutzerklärung (DSE) erneuern

Ein besonders wichtiger Punkt bei der Vorbereitung zur neuen DSGVO ist sicherlich das Update bzw. die Erneuerung der Datenschutzerklärung. Häufig wird hier geraten, diese neu aufzusetzen, um sicher zu gehen, dass sich dort keine „Altlasten“ einschleichen.
Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereitzustellen. Nun steigen zwar die Anforderungen an die Information und Belehrung der Betroffenen, die Pflicht zur Offenlegung einer DSE bleibt jedoch weiterhin bestehen. Achten Sie darauf, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Nicht nur der Zweck der Datenverarbeitung ist ab dem 25.Mai 2018 zu nennen, sondern auch eine klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. Dieser kann z.B. der Abschluss eines Vertrages sein (Bestellung im Online-Shop), oder auch berechtigtes Interesse (Targeting). Wichtig ist, dass ein Grund zur Erhebung bzw. Verarbeitung der Daten genannt werden kann. Die detaillierte und verständliche Aufklärung über die Verarbeitung der personenbezogenen Daten ist die Basis einer DSGVO-konformen Datenschutzerklärung.

  • 6.1. Notwendige Inhalte:

    • Name und Kontaktdaten des Verantwortlichen (Unternehmen)
    • Name und Kontaktdaten des Datenschutzbeauftragten
    • Beabsichtigte Rechtsgrundlage
    • Berechtigtes Interesse des Shops (mit separater Widerspruchsbelehrung)
    • Angaben zur Übermittlung in Drittländer und Garantien
    • Information über (neue) Rechte der Betroffenen Recht auf Datenübertragbarkeit
    • Beschwerderecht bei Aufsichtsbehörden
    • Löschfristen, ggf. inkl. der Kriterien für deren Festlegung
    • Die Datenquelle, wenn Daten nicht beim Betroffenen erhoben werden (z.B. aus einer öffentlichen Quelle)

 

 

7. Zusätzliche Anlaufstellen und Hilfe im Überblick

Wir möchten Sie abschließend darauf Hinweisen, dass die vorliegende Zusammenfassung als Übersicht und Hilfestellung für unsere Kunden gedacht ist, jedoch keinerlei Anspruch auf Vollständigkeit stellt und auch nicht als rechtswirksame Beratung zu sehen ist. Dennoch möchten wir Ihnen aufzeigen wo und wie Sie sich weitergehend über das Thema DSGVO informieren können.