19
.
April
2018
|
Company News
Einen ersten Einblick in das viel diskutierte neue Gesetz gaben wir bereits vor einiger Zeit in einem Gastbeitrag in unserem Blog. Nun haben wir nochmals wichtige Infos in einer ausführlichen Checkliste mit passenden Erklärungen zusammengestellt und auch eine Sammlung nützlicher Links vorbereitet. Hier erfahren Sie, welche Schritte zur Vorbereitung auf die DSGVO nötig sind.
Im Rahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) wird das Verfahrensverzeichnis zum „Verzeichnis für Verarbeitungstätigkeiten“ (VVT). Dieses Verzeichnis bestimmt konkret welche Daten in einem Unternehmen verarbeitet werden, zu welchem Zweck und wo diese Daten liegen. Verschaffen Sie sich also zunächst einen Überblick, welche personenbezogenen Daten innerhalb Ihres Unternehmens verarbeitet werden. Dieses Dokument müssen Sie allerdings nicht öffentlich zugänglich machen. Auf Nachfrage muss es jedoch binnen kürzester Zeit vollständig vorgelegt werden können.
Das Unternehmen, das personenbezogene Daten verarbeitet, unterliegt der Rechenschaftspflicht. Diese Pflicht besagt, Unternehmen müssen bei Bedarf die Einhaltung der Rechtsgrundsätze nachweisen können. Um das zu gewährleisten, benötigt man ein funktionierendes Datenschutzmanagement, in dem verantwortliche Personen und Abläufe definiert und festgehalten werden. Sie müssen außerdem in der Lage sein, den Betroffenen Ihre Daten offenzulegen und diese auf Anfrage auch vollständig zu löschen. Stellen Sie sich folgende Fragen und passen Sie Ihr VVT dementsprechend an.
Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte bzw. identifizierbare natürliche Person beziehen. Diese Einstufung ist weitreichend. Sobald also die Zuordnung einer Kennung des Betroffenen möglich ist, handelt es sich um personenbezogene Daten. Zu dieser Möglichkeit einer Identifizierung oder Kennung gehören u.a.:
In Bezug auf die DSGVO ist mit „verarbeiten“ jede Verwendung personenbezogener Daten gemeint – egal ob automatisiert oder manuell. Hier geht es also um erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern, verwenden, abgleichen, offenlegen, vernichten etc. Wichtig ist, dass Sie wissen, wo bzw. wozu und wie Sie die personenbezogenen konkret nutzen:
Bsp.: Online Shop, CRM-Tool, Tracking Tool, Newsletter-Dienste, ERP-System, Warenwirtschaftssystem, etc.
Bsp.: Erfüllung eines Vertrages (Bestellung im Online-Shop), rechtliche Verpflichtung (steuerliche Verpflichtung), Newsletter-Versand, etc.
An dieser Stelle geht es um Ihre Auftragsdatenverarbeitung-Verträge (ADV). Diese waren bisher unter §11 im Bundesdatenschutzgesetz (BDSG) geregelt. An bestimmten Stellen Ihrer Kommunikationsprozesse zum Beispiel geben Sie Daten Ihres Kunden an Dienstleister wie Ihrem Mailing-Tool zum Newsletter-Versand weiter. Es besteht also eine Regelung zur Überlassung der Kundendaten, die zwischen Ihrem Unternehmen und dem Dienstleister vertraglich geregelt ist. Die Datenübermittlung an den Dienstleister regeln Sie mit Ihrem Kunden innerhalb Ihrer Datenschutzerklärung (DSE). Laut DSGVO besteht eine gemeinsame Verantwortlichkeit für den Schutz der Daten. Die Haftung muss jedoch mit dem Dienstleister in einem neuen Auftragsverarbeitungsvertrag geklärt sein.
Prüfen Sie alle bestehenden Verträge mit Dienstleistern wie Web-Hostern, Mailing-Diensten oder Anbietern von Tracking-Tools. Wichtig ist, dass auch diese Verträge klare Richtlinien zur Auftragsverarbeitung enthalten.
Das A&O der DSGVO ist das Einholen der Einwilligung zur Erhebung personenbezogener Daten. In dieser Einwilligungserklärung müssen die Betroffen ausdrücklich der Verarbeitung ihrer Daten zustimmen, sofern es keine rechtliche Grundlage wie z.B. einen Kaufvertrag in Form einer Bestellung im Online-Shop oder ähnliche vertragliche Notwendigkeiten für die Datenverarbeitung gibt.
Neu ist in diesem Zusammenhang ein eindeutiger Hinweis auf das Widerspruchsrecht. Dieses ist nicht mit dem Widerrufsrecht in Bezug auf eine vertragliche Vereinbarung zu verwechseln. Sowohl Einwilligung als auch Widerspruchshinweis müssen nach dem Simplizitätsgebot in einem leicht zugänglichen und verständlichen Text verfasst sein.
Shop-Betreiber müssen auf Anfrage und zu jeder Zeit nachweisen können, dass eine Einwilligung zur Verarbeitung personenbezogener Daten vorliegt. Dies kann beispielsweise mit dem Double-Opt-In Verfahren (DOI) für Newsletter erfüllt werden.
Zudem müssen die Betroffenen künftig konkret informiert werden welche Daten zu welchem Zweck erhoben und wie diese verarbeitet werden.
Bsp.: Erstellung eines Kundenkontos
Bereits erteilte und nach deutschem Recht wirksame Einwilligungen behalten Ihre Gültigkeit und erfüllen grundsätzlich die Bedingungen der DSGVO.
Beachten Sie hier jedoch die Ausnahmen: Beim Erteilen der Einwilligung muss die Freiwilligkeit gegeben sein. Hier spricht man von einem Kopplungsverbot. Dieses besagt, dass die Erfüllung eines Vertrages nicht von der Einwilligung weiterer Datenverarbeitungsprozesse abhängig sein darf. Dem Betroffenen muss es beispielsweise möglich sein, eine Bestellung durchzuführen, ohne automatisch dem Erhalt eines regelmäßigen Newsletters zustimmen zu müssen. Mehr dazu erfahren Sie im Kurzpapier der Datenschutzkonferenz.
Das Widerspruchsrecht gewinnt innerhalb der neuen Verordnung an Gewicht. Stellen Sie hier sicher, dass der Widerspruch ebenso einfach erfolgen kann, wie die Einwilligung. Außerdem muss dieser transparent in der Datenschutzerklärung als separater Paragraph geregelt werden.
Sollte es zu einer Datenschutzpflichtverletzung kommen, müssen Unternehmen diese unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Aufsichtsbehörde melden. Diese Meldung muss folgende Details enthalten:
Je nach Ausfallen der Risikoabschätzung der betroffenen Daten, müssen außerdem die betroffenen Personen benachrichtigt werden. Die Meldung sollte immer schriftlich direkt an die Geschädigten erfolgen oder als offizielle Meldung veröffentlicht werden, z.B. auf der eigenen Homepage. Wichtig ist bei der Dokumentation einer Datenpanne auch, dass die zuhängenden Fakten oder Umstände und die eingeleiteten Maßnahmen nachvollziehbar erfasst werden.
Unternehmen, die personenbezogene Daten verarbeiten oder von Dritten bekommen, müssen künftig umfangreiche Auskünfte über die Datenerhebung an die Betroffenen erteilen. Die Informationen sind der betroffenen Person zum Zeitpunkt der Datenerhebung mitzuteilen. Unternehmen, die personenbezogene Daten verarbeiten oder von Dritten bekommen, müssen künftig umfangreiche Auskünfte über die Datenerhebung an die Betroffenen erteilen. Die Informationen sind der betroffenen Person zum Zeitpunkt der Datenerhebung mitzuteilen.
Nach der neuen Datenschutzgrundverordnung haben Personen, die personenbezogene Daten zur Verfügung stellen, das Recht Auskünfte über die Datenerhebung einzufordern. Folgende Auskünfte müssen bereitgestellt werden:
Als Unternehmen müssen Sie intern sicherstellen, dass Sie die Rechte der Betroffenen bestmöglich und rechtskonform wahren. Zu diesen Rechten zählen die Folgenden.
Unternehmen müssen dem Nutzer in der Datenschutzerklärung konkret mitteilen, welche Daten erhoben werden, wo und wie diese verarbeitet und gespeichert werden.
Die Nutzer bzw. der Betroffene hat das Recht, Details zu seinen persönlichen Daten zu erfragen. Unternehmen müssen hierzu alle Auskünfte erteilen und dem Betreffende ggf. die Daten übermitteln.
Der Betroffene darf verlangen, dass seine Daten berichtigt werden.
Betroffene können die Löschung der von Unternehmen erhobenen Daten verlangen. Die Löschung muss umgehend erfolgen, insbesondere wenn der Zweck für die Erhebung der personenbezogenen Daten nicht mehr erforderlich ist (ausgenommen Aufbewahrungsfristen aus Handels- oder Steuerrecht). Gelöscht werden müssen Daten auch, wenn die betroffene Person Widerspruch einlegt und keine Gründe für die Verarbeitung vorliegen oder diese nicht rechtmäßig erfolgt sind.
Der Betroffene kann die Nutzung seiner Daten einschränken lassen. Das bedeutet, seine Daten bleiben z.B. in Ihrer Kundendatenbank, da sie diese aus steuerrechtlichen Gründen noch speichern müssen, er möchte aber keinen Newsletter mehr erhalten (Stickwort Blacklist).
Eine Person, zu der Sie Daten erhoben haben, hat das Recht, die von ihr bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format anzufordern. Die Bereitstellung der Daten kann dem Betroffenen beispielsweise dienen, um die Versicherung zu wechseln oder Ähnliches.
Bsp: Gesundheitsdaten aus einer mit der Krankenkasse verknüpften Apple-Watch
Tracking und Targeting-Maßnahmen beruhen auf der rechtlichen Grundlage des „berechtigten Interesse“. Verarbeiten Sie als Unternehmen Daten mit dieser Begründung, müssen Sie dem Betroffenen die Möglichkeit zum Widerspruch geben und auf dieses Recht in der Datenschutzerklärung gesondert hinweisen. Diese „Opt-Out-Lösung“ müssen Sie technisch abbilden und leicht zugänglich machen. Spätestens bei der ersten Kommunikation müssen sie den Nutzer auf dieses Recht hinweisen, es klar formulieren und getrennt von anderen Informationen in der DSE darstellen.
Ein besonders wichtiger Punkt bei der Vorbereitung zur neuen DSGVO ist sicherlich das Update bzw. die Erneuerung der Datenschutzerklärung. Häufig wird hier geraten, diese neu aufzusetzen, um sicher zu gehen, dass sich dort keine „Altlasten“ einschleichen.
Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereitzustellen. Nun steigen zwar die Anforderungen an die Information und Belehrung der Betroffenen, die Pflicht zur Offenlegung einer DSE bleibt jedoch weiterhin bestehen. Achten Sie darauf, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Nicht nur der Zweck der Datenverarbeitung ist ab dem 25.Mai 2018 zu nennen, sondern auch eine klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. Dieser kann z.B. der Abschluss eines Vertrages sein (Bestellung im Online-Shop), oder auch berechtigtes Interesse (Targeting). Wichtig ist, dass ein Grund zur Erhebung bzw. Verarbeitung der Daten genannt werden kann. Die detaillierte und verständliche Aufklärung über die Verarbeitung der personenbezogenen Daten ist die Basis einer DSGVO-konformen Datenschutzerklärung.
Wir möchten Sie abschließend darauf Hinweisen, dass die vorliegende Zusammenfassung als Übersicht und Hilfestellung für unsere Kunden gedacht ist, jedoch keinerlei Anspruch auf Vollständigkeit stellt und auch nicht als rechtswirksame Beratung zu sehen ist. Dennoch möchten wir Ihnen aufzeigen wo und wie Sie sich weitergehend über das Thema DSGVO informieren können.
Gesetzestext
Fragebogen zur Vorbereitung auf die DSGVO
Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)
Trusted Shops Whitepaper: FAQs zur DSGVO
Trusted Shops: Allgemeine Übersicht
Whitepaper: DSGVO & Shopware
Webinar mit IT Fachanwalt Sascha Kremer
DSGVO FAQs
FAQs (englisch)
7.4. Vorlagen und Muster
7.4.1. Datenschutzerklärung-Generator
Trusted Shops (ab 25.Mai für Nicht-Kunden DSGVO-konform)
Deutsche Gesellschaft für Datenschutz
