Die Datenschutz- Grundverordnung (DSGVO)

Heute geht es um die Datenschutz-Grundverordnung (DSGVO). Ich werde versuchen, dieses neue Monster, zumindest für den Onlinebereich, zu bändigen, indem ich auf wichtige Punkte eingehe. Und ich möchte Sie motivieren, die für Ihr Unternehmen wichtigen Punkte auch umzusetzen. Dabei betrachte ich vor allem die Punkte, die auch mich als Unternehmerin betreffen. Erwarten Sie deshalb keine Vollständigkeit. Und eine Rechtsberatung ersetzt dieser Artikel auch nicht.

Was ist die DSGVO?

Die DSGVO ist eine EU-Verordnung. Sie gilt in der gesamten EU und dient dem Schutz der personenbezogenen Daten der EU-Bürger. An sie müssen sich auch Unternehmen aus Drittländern halten, wenn sie in der EU tätig sind. Die DSGVO muss bis zum 25.05.2018 umgesetzt sein. Bei Nichteinhaltung sind sehr hohe Strafen möglich.

Wen betrifft die DSGVO?

Die DSGVO betrifft jedes Unternehmen, da in jedem Unternehmen personenbezogenen Daten verarbeitet werden! Falls Sie denken: "Ich habe nur ein kleines Unternehmen und falle nicht auf." Dann trifft das vielleicht auf Ihr Büro zu, aber nicht auf Ihre Website und Ihre Online-Aktivitäten. Damit sind Sie sehr öffentlich und ein gefundenes Fressen für geldgierige Abmahnanwälte, liebensunwürdige Mitbewerber und auch für Behörden.

Was sind die Grundsätze der DSGVO?

Die Grundsätze möchte ich hier nur als Schlagworte nennen, weil sie deutlich machen, worum es eigentlich geht. Denn wenn man sich in Detailfragen oder Paragrafen verliert, geben diese Grundsätze wieder die Orientierung. Die Grundsätze:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Als Unternehmer sind Sie für die Einhaltung verantwortlich und rechenschaftspflichtig! Für mehr Details lesen Sie gern in der DSGVO.

Was sind personenbezogene Daten?

Personenbezogenen Daten sind alle Daten mit denen eine natürliche Person direkt oder indirekt identifizierbar ist. Dazu gehören sensible, wie Kundendatenblätter, Bewerber-, Personal-, Gesundheitsdaten, Geburtstage etc., aber auch die folgenden Daten:

• Namen
• Anschrift
• IP-Adressen
• E-Mail-Adressen
• Tracking
• Social-Media-Daten

Was muss ich als Unternehmer tun?

1. Verschlüsselte Datenübertragung

Das sollte mittlerweile eine Selbstverständlichkeit sein, wird aber noch nicht überall praktiziert. Das betrifft die Daten, die auf Ihrer Website in ein Formular eingetragen werden. Das betrifft aber auch Ihren E-Mail-Verkehr!!

2. Sicherstellung, dass nur die für den konkreten Zweck wirklich benötigten Daten erfasst werden.

Dazu sollten alle Formulare bzw. Eingabemöglichkeiten überprüft werden.

3. Aufklärung des Nutzers und Einwilligung einholen

Dazu gehören die Information des Nutzers, wozu seine Daten benötigt werden, inklusive Widerspruchsmöglichkeit.

Und es muss die Einwilligung des Nutzers zur Datenspeicherung bei jedem Formular eingeholt und dokumentiert werden.

Es gehört auch dazu, den Besucher zu informieren, wie lange seine Daten gespeichert werden und was er tun muss, wenn er sie löschen lassen will. Löschen heißt übrigens physisch vom Speichermedium entfernen.

4. Kopplungsverbot eingehalten?

Besonderes Augenmerk gilt den bisherigen Online-Marketing-Strategien. Besteht wirklich keine Kopplung mehr nach dem Motto: "Du bekommst das eBook, wenn Du meinen Newsletter abonnierst."

5. Wer hat noch Zugriff auf die Daten? An wen übermitteln Sie Daten?

Als Betreiber einer Website sind Sie für alles, was mit den personenbezogenen Daten Ihrer Kontakte, Kunden, Mitarbeiter, Bewerber etc. passiert, verantwortlich.
 

Das heißt, wenn fremde Unternehmen auch auf Daten zugreifen können, und sei es nur die IP-Adresse, sind Sie trotzdem verantwortlich! Und hier sollten Sie sich absichern. Das kann vom ein Passus in der Datenschutzerklärung (z.B. bei Facebook) bis zur gesonderten schriftlichen Vereinbarung mit dem Dienstleister zur Auftragsdatenverarbeitung (ADV- oder AV-Vertrag) reichen und muss ganz konkret abgeklärt werden.
 

Hier möchte ich Sie dafür sensibilisieren, wer eigentlich alles Daten nutzt oder nutzen könnte, d.h. an wen Sie bewusst oder unbewusst Daten übermitteln:

• der Provider
• der Dienstleister für den Newsletterversand
• Cloudanwendungen: Sie werden gern nutzt für die Kundendatenbank, Rechnungslegung, Buchhaltung
• Kalender, Buchungssysteme, die auf der Website eingebunden sind
• generell fast alle auf der Website eingefügten Codeschnipsel fremder Anbieter: Die meisten haben die Google-Maps-Karte eingebunden oder eine Schrift aus dem Google-Schriftfonts.
  Wenn der Besucher Ihrer Website parallel in seinem .gmail-Konto eingeloggt ist (was bei mobiler Nutzung - Android - meistens ist), dann kann Google das Surfverhalten genau der Person zuordnen. Und was macht Google mit diesen Informationen?
• Einbindung von Analysetools, z.B. Google-Analytics

6. Was ist mit Cookies und Tracking?

Cookies sind kleine Datenpakete, die in Ihrem Browser hinterlegt werden und die im positiven Fall das Internetleben angenehmer gestalten. Tracking ist eine wichtige Methode im Online-Marketing. Damit ist die Verfolgung von Aktivitäten gemeint. Zum Beispiel kann beim Newsletterversand gekennzeichnet werden, an wen der Newsletter versandt wurde und ob der Leser ihn überhaupt geöffnet (und gelesen) hat.

Cookies und Tracking werden in der ePrivacy Verordnung geregelt sein, und die wird voraussichtlich erst 2019 fertig sein.

7. Datenschutzbeauftragter

Wenn Sie verpflichtet sind, einen Datenschutzbeauftragten zu haben, gehören die Kontaktdaten in die Datenschutzerklärung.

Ein Datenschutzbeauftragter muss bereits bei 10 Personen, die im Unternehmen ständig mit automatisierter Verarbeitung von personenbezogenen Daten zu tun haben, benannt werden. Darunter fällt auch die Nutzung digitaler Kundendateien oder die Verwendung von Kundendaten auf einem Smartphone. Der Datenschutz-Beauftragte kann auch ein externer sein.

8. Datenschutzerklärung

Die neue bzw. angepasste Datenschutzerklärung wird ellenlang, um alle Punkte unterzubringen. Das widerspricht dem Grundgedanken der DSGVO, nach der der Besucher in einfacher, verständlicher Sprache erfahren soll, wozu seine Daten benötigt werden, was mit ihnen passiert und wie er reagieren kann. Der Trend geht daher zu zwei Datenschutzerklärungen: einer verständlichen für den Besucher und einer umfangreichen für mehr Informationen und zur eigenen Absicherung.

9. Ist im Unternehmen selbst alles geregelt?

Einige formelle Pflichten sind zu beachten. Dazu gehören Dokumentationspflichten. So ist ein "Verzeichnis der Verarbeitungstätigkeiten" ist zu erstellen.

Resümee

Die DSGVO ist beherrschbar und auch eine Chance für mehr Sicherheit unserer Daten. Wichtig ist, dass Sie wissen, was Sie im Unternehmen tun müssen und dass Sie die nötigen Schritte einleiten. Für mehr Informationen habe ich Ihnen hier Links zusammengestellt:

Eine gute und verständliche Übersicht zur DSGVO inklusive diverser Vorlagen bietet der Zentralverband des Handwerks (ZDH). Die Empfehlungen gelten weitestgehend auch für Nichthandwerksbetriebe:
https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/ 

Als Mitglied von eRecht24 erhalten Sie aktuelle Informationen, Materialien und Unterstützung von Reschtanwälten, die auf Online-Recht spezialisiert sind:
https://www.erecht24.de

Hier startet am 03.04.2018 ein sehr praxisnaher Online-Kurs von Rechtsanwältin Sabrina Keese-Haufs, der sich ausschließlich mit der Umsetzung der DSGVO für Freiberufler und Selbstständige beschäftigt. Die Anmeldung muss bis 28.03.2018 erfolgen:
https://elopage.com/s/lawlikes/onlinemarketing-trifft-dsgvo