Datenschutzgrundverordnung - Das sollten Sie jetzt wissen!
Die EU-Datenschutzgrundverordnung (DSGVO) – Sind Sie vorbereitet?
Als Online Shopbetreiber kommen Sie um den Datenschutz nicht herum. Ob Sie Kunden haben, die in Ihrem Online-Shop über die Eingabe persönlicher Daten bestellen, Sie im Rahmen Ihres Unternehmens eine E-Mail-Kampagne starten oder Nutzertracking betreiben – der Schutz der Daten muss zu jeder Zeit gewährt sein.
Ab 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung
Was sind die Inhalte der DSGVO?
Was ist neu im Vergleich zu ihrem Vorgänger, dem Bundesdatenschutzgesetz (BDSG)
Für wen genau gilt diese eigentlich?
Was sind die Inhalte der EU-Datenschutzverordnung?
Die EU-Datenschutzrichtlinie ist eine europaweit gültige Verordnung, die den Datenschutz regelt. Sie ist daher maßgebend für alle Unternehmen, die mit personenbezogenen Daten arbeiten. Für die Einhaltung der Datenschutzgrundverordnung sind alle natürlichen oder juristischen Personen sowie Behörden verantwortlich, die personenbezogene Daten verarbeiten. Ebenso verpflichtend ist die Verordnung für alle Auftragsverarbeiter, das heißt Personen, die im Auftrag der Verantwortlichen handeln.
Wesentliche Inhalte der EU-Datenschutzgrundverordnung sind die Folgenden:
- Daten von Personen dürfen grundsätzlich nur erhoben werden, wenn es dazu eine Erlaubnis gibt. Eine solche ergibt sich aus einem Gesetz, wie dem Bundesdatengesetz, dem Telemediengesetz (TMG) oder der DSGVO & aus der Einwilligung der jeweiligen Person.
- Generell dürfen Sie nur die Daten erheben, die Sie für die Zwecke Ihres Unternehmens tatsächlich brauchen. Gemäß den Regeln der Zweckbindung dürfen die Daten nur für den Zweck verwendet werden, den Sie bei der Erhebung angegeben haben. Generaleinwilligungen sind nach wie vor unzulässig.
- Artikel 5 der DSGVO schreibt vor, dass Sie auf Nachfrage die Einhaltung der EU-Datenschutzgrundrichtlinie nachweisen müssen. Wie Sie das gewährleisten können? Am besten Sie führen von Anfang an ein professionelles Datenschutzmanagement. Wenn Sie die Einhaltung aller Pflichten exakt dokumentieren, können Sie das der Aufsichtsbehörde auf Nachfrage ohne Probleme vorlegen.
- Gemäß Artikel 32 DSGVO müssen Sie die Sicherheit für die erhobenen Daten gewährleisten. Das bedeutet unter anderem, dass die Daten verschlüsselt und vor dem unrechtmäßigen Zugriff unbefugter Dritter sicher sein müssen.
- Sie müssen das Recht auf Vergessenwerden einhalten: Wenn für bestimmte Daten keine Berechtigung mehr vorliegt, müssen Sie diese löschen (Artikel 17 DSGVO). Dasselbe gilt für den Fall, dass eine Person ihre Einwilligung zurückgezogen hat oder die Verarbeitung der Daten unrechtmäßig erfolgt ist.
- Artikel 20 der Datenschutzgrundverordnung regelt das Recht auf Datenübertragbarkeit. Was das bedeutet? Verbraucher können von Verantwortlichen verlangen, ihre personenbezogenen Daten an wechselnde Verantwortliche weiterzuleiten. Das ist zum Beispiel der Fall, wenn User zu einem anderen Social-Media-Portal wechseln möchten.
Was ist neu an der Datenschutzgrundverordnung?
Bisher war es so, dass der Datenschutz länderspezifisch geregelt wurde. Innerhalb der EU kann es also aktuell noch sein, dass es in verschiedenen Ländern abweichende Datenschutz-Regelungen gibt. Mit der neuen EU-Datenschutzverordnung soll sich das jetzt ändern. EU-weit sollen weitestgehend einheitliche Standards gelten und auch über die Grenzen Europas hinaus soll das neue Datenschutzrecht im Zusammenhang mit Daten von Personen aus der EU zur Anwendung kommen. So soll sichergestellt werden, dass sich Anbieter von Cloud-Diensten oder Social-Media-Plattformen weltweit an die neuen Vorschriften halten müssen.
Das heißt: Die Einhaltung der EU-Datenschutzgrundverordnung gilt für alle Unternehmen, die
- in der EU ansässig sind & mit personenbezogenen Daten von EU-Bürgern arbeiten
Personenbezogene Daten sind Beispielsweise:
- Vor- und/oder Zuname
- Anschrift
- E-Mail-Adresse
- Festnetz- oder Handynummer
- Geburtsdaten
- Standortdaten
- Kontoverbindungen
- Cookies
Die Einhaltung der Datenschutzgrundverordnung betrifft alle Unternehmen, unabhängig von der Branche sowie der Datenverarbeitung sowohl in einer Cloud als auch vor Ort.
Hat die neue Datenschutzgrundverordnung was mit mir zu tun?
Grundsätzlich gilt: Wann immer Sie mit einem Unternehmen online aktiv sind, betrifft Sie die neue EU-Datenschutzgrundverordnung.
Warum?
Weil sie den Schutz persönlicher Daten regelt, mit denen Sie im Rahmen von Newslettern, Werbe-E-Mails, Nutzertracking oder Kundenbestellungen arbeiten. Die Datenschutzgrundverordnung gilt auch, wenn Sie die Daten Ihrer Kunden in ein Customer-Relationship-Management aufnehmen und speichern.
Was bedeutet die Datenschutzgrundverordnung für Sie?
Unternehmen bzw. dafür zuständige Datenschutzbeauftragte sollten sich mit der EU-Datenschutzverordnung befassen und deren Inhalte kennen. Wichtig ist eine Überprüfung, wie im Unternehmen personenbezogene Daten aktuell verarbeitet werden und ob diese Prozesse mit den neuen Standards kompatibel sind. Wann immer Sie personenbezogene Daten erheben oder verarbeiten, benötigen Sie dazu eine Einwilligung von der betreffenden Person. Dabei ist es unerheblich, ob die Einwilligung schriftlich, mündlich oder elektronisch erfolgt. Denken Sie daran: Eine mündliche Einwilligung ist im Zusammenhang mit der Dokumentationspflicht entsprechend schwerer nachzuweisen.
Tipp: Lassen Sie sich Einwilligungen immer per Opt-In geben. Nur so haben Sie die explizite Bestätigung durch den Endverbraucher. Nach wie vor hat der Nutzer ein Widerrufsrecht. Dieses kann formfrei erfolgen und muss nach der neuen EU-Datenschutzgrundverordnung genauso unkompliziert möglich sein wie die Einwilligung. Haben Sie sich in Bezug auf die Einwilligung an die bisherigen Vorgaben des BSDG sowie des TMG gehalten? Dann gilt, dass „alte“ Einwilligungen auch unter der DSGVO weiterhin wirksam bleiben.
Was ist jetzt zu tun?
Datenschutzerklärungen auf Webseiten müssen bis zum 25. Mai 2018 dahingehend überprüft werden, ob Sie den Anforderungen der Datenschutzgrundverordnung gerecht werden. Sollte das nicht der Fall sein, müssen sie überarbeitet werden. Arbeiten Sie für eine erfolgreiche Webseite nicht nur mit einer professionellen E-Commerce-Agentur, sondern gegebenenfalls ebenso mit fachkundigen Anwälten zusammen, um alle rechtlichen Grundsätze einzuhalten. Wenn Sie die Richtlinien nicht einhalten, müssen Sie ggf. mit erhöhten Strafen rechnen, wenn Sie die Richtlinien nicht einhalten: Bis zu 20 Millionen € oder 4 Prozent des Jahresumsatzes, den Sie mit Ihrem Unternehmen erzielen. Gegebenenfalls kann es zu einer Einschränkung Ihrer Datenübermittlung sowie einer öffentlichen Verwarnung kommen.