Blog Zeige alle Beiträge

DSGVO Checkliste – Was Sie wissen müssen

by SMART LEMON Team | SMART LEMON Team

Tags

    Am 25.Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Sie wird für alle Unternehmen, die in der EU ansässig sind, eine Niederlassung in der EU haben, deren Angebot sich an einen EU-Markt richtet oder personenbezogene Daten von Personen mit EU-Wohnsitz verarbeiten, zur Pflicht.

    Was sind die Ziele der neuen Verordnung?

    • Europaweite Vereinheitlichung der Rechtsgrundlage im Bereich Datenschutz
    • Schutz der einschlägigen Grundrechte und Grundfreiheiten natürlicher Personen
    • Regelung der Datenverarbeitung von personenbezogenen Daten

    Was sind personenbezogene Daten?

    • Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:
      • Name
      • E-Mail (bei Personenbezug)
      • IP-Adresse
      • IBAN
      • Pseudonyme
    • Dazu zählen nicht:
      • Unternehmensdaten
      • Daten verstorbener Personen
      • Allgemeine Beschreibungen
      • Personenmehrheiten (Vereine, politische Parteien)

    Welche Maßnahmen muss ich als Unternehmen treffen, um auf die DSGVO vorbereitet zu sein?

    Welche Maßnahmen getroffen werden müssen, hängt vor allem davon ab wie gut Sie sich an die bisherigen Richtlinien gehalten haben. Für Unternehmen, die dahingehend bereits Vorleistungen getroffen haben, ist der Aufwand möglicherweise geringer.

    Generell sollten Sie sich einen Überblick über die aktuellen Datenverarbeitungsverfahren von personenbezogenen Daten innerhalb des Unternehmens verschaffen. Sämtliche Verfahren müssen in einem Verzeichnis dokumentiert werden und bei Anfrage jederzeit zur Verfügung stehen.

    Wichtig für alle Unternehmen:  Datenschutz- und Einwilligungserklärungen unbedingt an die neuen Begebenheiten anpassen und darüber hinaus alle existierenden Verträge zur Auftragsverarbeitung mit Dienstleistern (Web-Hosts, Anbieter von Tracking-Tools) prüfen und gegebenenfalls erneuern. Darüber hinaus ist jedes Unternehmen dazu verpflichtet, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu erstellen.

    Einwilligung (Art. 4 Abs. 11 & Art. 7 DSGVO)

    In Zukunft müssen Unternehmen, die personenbezogene Daten erheben möchten, die ausdrückliche Einwilligung zur Datenverarbeitung des Betroffenen (Nutzer) einholen. Zusätzlich ist es Pflicht den Nutzer darauf hinzuweisen, dass er diese Einwilligung jederzeit wiederrufen kann (Opt Out). Alle Informationen müssen verständlich und leicht zugänglich sein. Die Unternehmen sind des Weiteren dazu verpflichtet, Nachweise über die Einwilligung zur Datenverarbeitung durch die betroffenen Personen, bereitstellen zu können. Bisher nach deutschem Recht wirksame Einwilligungen erfüllen grundsätzlich die Bedingungen der DSGVO.

    Achtung bei Einwilligungen von Minderjährigen: Neu ist, dass die Datenschutzgrundverordnung in Artikel 7 nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

    Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1, 3 & 5 DSGVO)

    Das Anlegen eines solchen Verzeichnisses ist für jeden Verantwortlichen (z.B. Online Shop) und jeden Auftragsverarbeiter (z.B. Agentur) verpflichtend. Das Verzeichnis kann sowohl schriftlich als auch elektronisch angelegt werden.

    Folgende Punkte müssen in diesem Verzeichnis enthalten sein:

    • Name und Kontaktinformationen des Unternehmens
    • Zwecke der Datenverarbeitung
    • Beschreibung der Kategorien von betroffenen Personen und personenbezogenen Daten
    • Kategorien der Organisationen, die diese Daten erhalten (Personal, Buchhaltung, Online Shop, CRM, Marketing)
    • Angaben zu Übermittlungen in ein Drittland
    • Angaben zu Löschfristen, sofern möglich.
    • Technische und organisatorische Maßnahmen (TOMs)

    Datenschutzerklärung (Art.13 Nr. 1-13 & Art. 14 DSGVO)

    Die neue Datenschutzerklärung, die ab dem 25.Mai auf Ihrer Webseite implementiert sein muss unterliegt nach der DSGVO erhöhten Transparenzpflichten. Aus Artikel 12 DSGVO geht folgendes hervor:

    „Es sind geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen […] , die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“

    Dabei sollten Sie versuchen eine geeignete Balance zwischen Einfachheit und Vollständigkeit finden.

    Folgendes sollte enthalten sein:

    • Zwecke der Datenverarbeitung
    • Nennung der Rechtsgrundlage für die Datenverarbeitung – und speicherung
    • Einwilligungserklärungen innerhalb der Datenschutzerklärung
    • Aufklärung über Cookies und Tracking
    • Informationspflichten im Hinblick auf die Rechte der Betroffenen
    • Aufklärungspflicht zur Möglichkeit der Einschränkung bei der Datenverarbeitung
    • Hinweis auf die Widerspruchsmöglichkeiten
    • Hinweis auf die Beschwerdemöglichkeit
    • Name und Anschrift des für die Verarbeitung Verantwortlichen
    • Speicherfristen

    Auftragsdatenverträge (Art.28 DSGVO)

    Dies ist im Vergleich zum Bundesdatenschutzgesetz keine Neuerung. In Zukunft sollten Sie sich jedoch darauf einstellen, dass solche Verträge auf Nachfrage vorgelegt werden müssen. Daher ist es empfehlenswert aktuelle Verträge mit Dienstleistern wie Google Analytics oder MailChimp zu prüfen und ggf. anzupassen. Falls noch keine Verträge existieren, sollten Sie diese zeitnah abschließen. Vorlagen stellen Ihnen die Dienstleister in der Regel auf Anfrage zur Verfügung oder sind direkt als Download verfügbar. Neu ist, dass die Schriftform nicht mehr erforderlich ist.

    Newsletter

    Grundsätzlich sind die geltenden Regelungen für den Newsletter-Versand unverändert. Falls noch nicht vorhanden, ist das sogenannte Double-Opt-In-Verfahren zu erfahren, welches eine zweimalige Zustimmung des Nutzers einholt. So sind Sie im Zusammenhang der DSGVO auf der sicheren Seite. Der Empfänger des Newsletters ist vor der Einwilligung mittels eines kleinen Infotexts darüber in Kenntnis zu setzen worin er einwilligt:

    • Inhalte des Newsletters
    • Protokollierung der Anmeldung
    • Informationen über den Anbieter, der den E-Mailversand abwickelt
    • Statistische Auswertung
    • Abbestellmöglichkeiten
    • Link zur Datenschutzerklärung

    Weitere wichtige Punkte:

    Kopplungsverbot (Art.7 Abs. 4 DSGVO)

    Das Kopplungsverbot besagt, dass z.B. der Download einer PDF-Datei mit spezifischem Infomaterial unter Angabe der E-Mailadresse keine wirksame Einwilligung zum Versand eines Newsletters ist. Der Webseitenbetreiber muss dem Nutzer die Möglichkeit anbieten, den Service auch ohne Zustimmung zum Newsletterversand zu nutzen.

    Datenschutzbeauftragter (35 ff. DSGVO)

    Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich im Wesentlichen aus 3 Bereichen:

    • Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 der DSGVO.
      • Beispielsweise Daten aus denen die rassische und ethnische Herkunft, die politische Meinung oder diereligiöse oder weltanschauliche Überzeugzung hervorgeht.
    • Ihre „Kerntätigkeit“ betrifft eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“.
    • es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst.
    • Wenn einer der Punkte bei Ihnen zutrifft, benötigen Sie einen Datenschutzbeauftragten.

    Datenschutzfolgeabschätzung (Art.35 DSGVO)

    Eine solche Folgeabschätzung ist notwendig, wenn die Art, der Umfang, die Umstände sowie der Zweck der Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffene Person darstellen. Es ist also zu prüfen, ob die Verarbeitung sensibler Daten zu physischen, materiellen und immateriellen Schäden bei den betroffenen Personen führen können.

    Beispiele:

    • Diskriminierung
    • Identitätsdiebstahl
    • Finanzieller Verlust
    • Rufschädigung
    • Hinderung der Kontrolle über eigene Daten
    • Profilbildung mit Standortdaten
    1. Meldepflicht von Datenschutzverletzungen (Art.33 DSGVO)

    Bei einer Verletzung der Datenschutzrichtlinien muss ein Unternehmen spätestens nach 72 Stunden einen solchen Verstoß der zuständigen Aufsichtsbehörde melden. Bei einem hohen Risiko für Betroffene, sind diese ebenfalls zu informieren (per Mail oder Hinweis auf Webseite)

    Folgendes muss in der Meldung enthalten sein:

    • Die Art der Datenschutzverletzung
    • Name und Kontaktdaten Datenschutzbeauftragten
    • Eine Beschreibung möglicher Konsequenzen der Datenschutzverletzung
    • Geplante Maßnahmen

    Rechte der Betroffenen

     

    1. Rechenschaftspflicht (Art.5 Abs. 2 DSGVO)

    Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können. Um die datenschutzrechtlichen Umsetzungen gegenüber der Aufsichtsbehörde nachweisen zu können, ist es daher sinnvoll, die Einhaltung der Datenschutzanforderungen eindeutig zu dokumentieren.

    1. Datenübertragbarkeit (Art. 20 DSGVO)

    Webseiten-Nutzer haben nun die Möglichkeit ihre Daten zu einem anderen Anbieter „mitzunehmen“. Unternehmen müssen Datensätze deswegen portabel gestalten und in einem elektronischen Format aushändigen können. Nutzer können Unternehmen ebenfalls dazu auffordern, die Daten direkt an einen weiteren Empfänger weiterzuleiten. Dies gilt jedoch nur für Daten, die die betroffene Person selbst übermittelt hat. Das heißt Erkenntnisse (z.B. Kaufvorlieben, Zahlungsverhalten, Retourenquote), die anhand der ermittelten Daten gezogen wurden, fallen nicht darunter.

    1. Recht auf Vergessenwerden (Art. 17 DSGVO)

    Das Recht auf Vergessenwerden ist ein Anspruch darauf, dass personenbezogene Daten gelöscht oder gesperrt werden müssen.

    Gründe:

    • Für die Verwendung der Daten liegt keine Berechtigung mehr vor.
    • Der Zweck für die Datenverarbeitung ist weggefallen.
    • Die Datenverarbeitung war unrechtmäßig.
    1. Recht auf Bestätigung

    Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.

    1. Recht auf Auskunft (Art. 15 DSGVO)

    Jeder EU-Bürger hat nach der neuen DSGVO das Recht,  jederzeit unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten.

    • Verarbeitungszwecke
    • Verarbeitetet Kategorien personenbezogener Daten
    • Empfänger die diese Daten bereits erhalten haben oder künftig erhalten werden
    • Geplante Speicherdauer
    • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
    • Widerspruchsrecht gegen diese Verarbeitung
    • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
    • Herkunft der Daten
    • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
    1. Widerspruchsrecht (Art.21 DSGVO)
    • Opt-Out-Lösung bei Datenverarbeitung aufgrund berechtigter Interessen (z.B. Tracking, Targeting)
    • Bei Direktwerbung/Profiling
    • Belehrungspflicht
      • Spätestens bei der ersten Kommunikation
      • Klar formuliert
      • Getrennt von anderen Informationen

    Cookies

    Mitte 2019 wird voraussichtlich noch zusätzlich zur DSGVO die ePrivacy-Verordnung in Kraft treten und gerade die Verwendung von Cookies verändern:

    • Hinweis auf Cookies reicht nicht mehr aus.
    • Opt-Out System muss auf der Webseite implementiert werden.
    • Zukünftig wird eine vollumfängliche Einwilligung notwendig sein.
    • Theoretisch muss für jedes Cookie oder Pixel, welches den Zweck der Datensammlung erfüllt, die eindeutige Zustimmung des Nutzers eingeholt werden, und zwar noch bevor der Nutzer den Content der Landing-Page erreicht.

    Was passiert bei Nichtbeachtung der neuen DSGVO?

    Die Datenschutzbehörden haben strengere Kontrollen angekündigt, die als Konsequenz der Nichtbeachtung der neuen Vorschriften empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4% des weltweiten erzielten Jahresumsatzes (Art. 83 Abs. 5 lit.a DSGVO) zur Folge haben. Daher gilt es, die neuen Änderungen bis zum Start der DSGVO umzusetzen und Anfragen bzw. Beschwerden von Nutzern und Datenschutzbehörden ernst zu nehmen.

     

    Wir, SMART LEMON, können als Online Marketing Agentur keinerlei Garantie auf Vollständigkeit geben und dürfen außerdem keine Rechtsberatung liefern. Daher sind alle Informationen und Maßnahmen lediglich als Empfehlung zu verstehen, weswegen Sie zur Absicherung einen Anwalt aufsuchen sollten. Zusätzliche Informationen zur neuen DSGVO finden Sie im Originaltext: https://dsgvo-gesetz.de/

    STAY IN TOUCH

    NEWSLETTER