Datenschutzgrundverordnung (DSGVO)

Am 25.Mai 2018 tritt die neue europäische Datenschutzgrundverordnung DSGVO in Kraft. Unternehmer und Freiberufler müssen dann deren Vorgaben technisch und organisatorisch umgesetzt haben. Hier einige wichtige Informationen

Mehr Datenschutz mit DSGVO

Voraussetzungen für die Anwendung der DSGVO:

Es muss sich um personenbezogene Daten handeln. Daten sind dann personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind (Identifikation) oder diese Zuordnung zumindest mittelbar (Identifizierbarkeit) hergestellt werden kann. Beispiele: Name, Adresse, Geschlecht, Geburtsdatum, Adresse, Login-Daten, Stimmaufzeichnungen, Fotos, Gesundheitsdaten, Fingerabdrücke…  – sowie IP-Adressen und Cookies!

Es muss eine Verarbeitung der Daten vorliegen. Diese kann durch das Unternehmen selbst oder durch einen externen Dienstleister erfolgen. Beispiele: Eingabemasken auf einer Website, Online-Anmelde- und Bestellprozesse, Kundendateien, Kalendertools, Ordner mit Mitarbeiter-Daten, Bewerbungen, Lohnverwaltung…

Ein EU-Bezug muss gegeben sein. Der ist grundsätzlich immer gegeben, wenn es sich um die Daten von EU-Bürgern handelt. Die DSGVO ist somit auch anwendbar auf Unternehmen, die ihren Sitz außerhalb der EU haben, sofern sie Daten von EU-Bürgern verarbeiten. Wenn der – evtl. beauftragte – Verarbeiter der Daten einen Sitz oder eine Niederlassung in der EU hat, ist die DSGVO ebenfalls anzuwenden.

Was ist jetzt für Unternehmen, Organisationen und Selbstständige zu tun?

1.Bestandsaufnahme machen: Welche Daten werden wo, wann und von wem wie verarbeitet?

Um sich die Einhaltung der der DSGVO zu erleichtern, sollten spätestens jetzt Abläufe überprüft und Zuständigkeiten festgelegt werden:

– Welche Daten werden erhoben?

– Wo, wann und von wem werden sie verarbeitet?

– Wer ist wofür verantwortlich?

– Wer hat auf welche Daten Zugriff?

– Braucht es einen – externen oder internen – Datenschutzbeauftragten?

2. Rechtsgrundlagen prüfen!

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten –  es sei denn, es gibt dafür eine entsprechende Rechtsgrundlage, wie z. B. eine explizite Einwilligung der betroffenen Person. Diese kann erteilt werden durch Unterschrift oder durch selbstständiges (!) Setzen eines Häkchens bei einem Online-Formular. Eine weitere Rechtsgrundlage ist gegeben, wenn die Verarbeitung personenbezogener Daten für eine Vertragserfüllung unerlässlich ist,  wie z. B. im Versand- oder Online-Handel.

Unbedingt den Zweckbindungsgrundsatz beachten! Oft möchten Unternehmen einmal gewonnene Daten für weitere Zwecke nutzen, doch aufgrund der Zweckbindung ist eine solche Weiterverarbeitung nicht ohne weiteres gestattet. Zulässig ist sie nur, wenn sie mit dem ursprünglichen Zweck vereinbar ist.

3. Informationen geben, Einwilligungen einholen und lfd. Verträge anpassen

Eine der wesentlichen Neuerungen durch die DSGVO besagt: Personen, deren Daten verarbeitet werden, müssen ausreichend informiert sein.

Wann hat die Information zu erfolgen?

– immer dann, wenn ein Betroffener seinen Auskunftsanspruch geltend macht

– grundsätzlich immer zum Zeitpunkt der jeweiligen Datenerhebung

Um welche Informationen geht es?

-Wer verarbeitet die Daten?

– Warum werden sie erhoben? (z. B. zur Vertragsabwicklung)

– An wen werden die Daten übermittelt?

– Welche Daten werden übermittelt? (z. B. Name, Adresse, E-Mail-Adresse…)

– Auf Basis welcher Rechtsgrundlage geschieht die Datenverarbeitung? (z.B. Einwilligung)

– Erfolgt eine Datenübermittlung in ein Land außerhalb der EU, dann muss die Rechtsgrundlage dafür ebenfalls benannt sein, z. B. ein Angemessenheitsbeschluss der EU-Kommission.

– Wie lange werden die Daten gespeichert und wann gelöscht?

Aufklärung: Betroffene müssen auf ihre Rechte hingewiesen werden, wie z. B. das Recht auf Auskunft und zum Widerruf.

Die passende Form finden

– In der DSGVO steht, dass die Informationen „klar, präzise, transparent, leicht zugänglich und unentgeltlich“ zu erfolgen hat. Eine genauere Formvorschrift gibt es leider nicht. RA’in Christina Bauer LL.M. aus Berlin rät,  sich selbst ein Formular zu erstellen, um es in eine Website zu integrieren oder offline zur Unterschrift vorzulegen.

Quelle: RA’in Christina Bauer : Webinar zur Datenschutzgrundverordnung

Quelle: RA’in Christina Bauer LL.M. aus Berlin / Webinar am 17.4.18 von Gründerszene

Da kaum jemand bereits im Sinne der neuen DSGVO gearbeitet hat, müssen Einwilligungen im Regelfall neu eingeholt werden. Bestehende Verträge gilt es also zu prüfen und ggf. anpassen! Wenn Sie z. B. einen externen Dienstleister für Ihre Lohnbuchhaltung nutzen, muss der Vertrag an die DSGVO angepasst werden.

4. Website-Compliance

Schon heute besteht die Verpflichtung, Besucher der eigenen Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren. Die DSGVO weitet die Pflichten des Seitenbetreibers aus und das Telemediengesetz (TMG) wird durch sie abgelöst. Die genauen Verpflichtungen sind aus der DSGVO abzuleiten.

Datenschutzerklärungen: Die Notwendigkeit datenschutzkonformer Erklärungen bleibt bestehen. Als typische Bereiche, die hiervon betroffen sind, gelten Social Media, Web-Analyse-Tools und der Einsatz von Werbemitteln. Datenschutzerklärungen sollten jedoch vereinfacht werden und in Zukunft eher kürzer als bisher ausfallen. Passende Generatoren für Datenschutzerklärungen werden derzeit angepasst. Hierüber berichtete ich bereits im letzten Newsletter.

Das Recht auf Vergessenwerden ist ein wesentlicher Bestandteil der DSGVO. Dazu zählt die Verpflichtung, den Betroffenen darin zu unterstützen, wenn seine Daten – z. B. Personenfotos in einem Blog – von Dritten heruntergeladen oder an Dritte weitergeleitet worden sind. Wenn Betroffene die Löschung der fordern, so ist diese Löschanweisung entsprechend weiterzuleiten.

5.Werbung / Direktmarketing

Dies ist ein Dauerthema für Unternehmer und Selbstständige: Was darf ich? Was darf ich nicht? Entscheidend beim Werben ist die vorherige Interessenabwägung. Unternehmen müssen im Vorfeld bewerten, wie es um die Interessen der Betroffenen steht und ob ihnen eine Werbemaßnahme zugemutet werden kann. Zugleich geht mit der neuen DSGVO eine Dokumentationspflicht einher – und zwar für jede einzelne Werbemaßnahme einschließlich der Interessenabwägung!

Für die einzelnen Werbekanäle gelten folgende Auflagen:

  • Postalische Werbung: Die Einwilligung des Betroffenen ist erforderlich. Eine Ausnahme liegt vor, wenn die Werbung auf Basis von Listendaten (z.B. Name und Anschrift) erfolgt. Der Betroffene muss erkennen können, wer der Verantwortliche für die Werbung ist. Sollten die personenbezogenen Daten von einer dritten Quelle stammen, ist diese zu nennen.
  • E-Mail: Eine Einwilligung muss grundsätzlich vorliegen. Zur eigenen Absicherung empfiehlt sich das Double-Opt-in Verfahren, wie wir es vom Newsletter kennen.
  • Telefon: Die EU sieht einen hohen Schutzbedarf des Angerufenen, weshalb eine Einwilligung ebenfalls erforderlich ist – zumindest bei der Ansprache von Verbrauchern. Im B2B Umfeld entscheidet die Interessenabwägung.

6. Widerspruchsrecht

Außerdem wird mit der EU Datenschutz-Grundverordnung ein umfassendes Widerspruchsrecht eingeführt. Art. 21 sichert dem Betroffenen zu, jederzeit widersprechen zu können – und zwar unabhängig von der Form der Werbung. Sollte er beispielsweise E-Mail Werbung erhalten, kann er dennoch telefonisch widersprechen. Ein Widerspruch hat ein Verarbeitungsverbot der personenbezogenen Daten zur Folge

7. Regelmäßige Überprüfung und Anpassung

Es empfiehlt sich, jedes Quartal oder jeden Monat ein Screening des eigenen Geschäfts auf DSGVO-Konformität durchführen und ggf. Anpassungen zu machen.

 

Unser Beratungs- und Seminarangebot zu diesem Thema in Berlin: Sprungbrett zum Erfolg – Weiterbildung

 

Analytics Opt-out