Kristina Wätzel- Mein Fach: Einfach. Werbung!

DSGVO – Und nun?

DSGVO – Und nun?

Sie ist in aller Munde: Ab Mai 2018 gilt die neue Datenschutzgrundverordnung (kurz DSGVO).
Alle sprechen darüber, von einer großen Abmahmwelle ist die Rede und bis zu 20 Mio. Euro Bußgeldern. Aber was bedeutet das eigentlich und was muss von wem getan werden?

Grundsätzlich empfehlen wir zu diesem Thema eine Beratung bei einem spezialisierten Rechtsanwalt oder Steuerberater. Wir streifen die Themen hier nur etwas und greifen dabei auf eigene Recherche zurück. Wir erheben keinen Anspruch auf Richtigkeit und/oder Vollständigkeit!
Für eine ausführliche Behandlung des Themas empfehlen wir die Seiten von e-Recht24 dazu.

Die DSGVO

Die Datenschutzgrundverordnung ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommisssion beschlossene Verordnung. Sie soll die Rechte der EU-Bürgerinnen und -Bürger in Sachen Datenschutz stärken und vereinheitlichen.

Die DSGVO tritt am 25. Mai 2018 in Kraft. Bei Nichteinhaltung drohen im schlimmsten Falle Bußgelder bis zu 20 Mio. Euro oder 4% des jährlichen weltweiten Umsatzes.

Wichtig: In Deutschland gibt es bereits ein Datenschutzrecht mit einigen Regeln, an die Sie sich schon länger halten müssen. Die neue Verordnung bringt zahlreiche und teilweise komplexe Veränderungen mit sich. Diese gelten für alle Unternehmen, die in der EU ansässig sind oder personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, unabhängig davon, wie groß es ist.
Das klingt jetzt alles erstmal sehr aufwändig, aber sich an die DSGVO zu halten, hat neben dem Vermeiden der Strafzahlung, auch seine Vorteile. So erhöhen Sie beispielsweise das Vertrauen in Sie, indem Sie Ihren Kundinnen und Kunden die Kontrolle über ihre Daten übergeben.

Was ist also für Sie zu tun und an welchen Stellen können wir Ihnen helfen?

Änderungen, die Ihre internen Strukturen betreffen, können wir Ihnen natürlich nicht abnehmen.

So muss in Unternehmen ab 10 datenverarbeitenden Mitarbeitern ein Datenschutzbeauftragter gestellt werden. Es ist hierbei irrelevant, ob es sich dabei um interne (Personal-/Mitarbeiterdaten) oder externe (Kunden, Interessenten, Geschäftspartner, Dritte) personenbezogene Daten handelt. Ein Datenschutzbeauftragter benötigt laut Gesetz zwar keine Ausbildung oder Zertifizierung, im Falle von Auseinandersetzungen, müssen Sie aber beweisen können, dass die "erforderliche Fachkunde" vorliegt. Im Zweifel macht es natürlich Sinn, wenn eine juristische Ausbildung vorliegt oder ein entsprechendes Zertifikat der IHK, TÜV etc. Personenbezogene Daten sind bspw. Name, Adresse, E-Mail, Telefonnummer, Geburtstag, Kontodaten, KFZ-Zeichen, Standortdaten, IP-Adresse, Cookies usw.

Außerdem muss ein Verzeichnis von Verarbeitungstätigkeiten angelegt werden. Dieses kann jederzeit durch die zuständige Aufsichtsbehörde angefordert werden und es drohen Bußgelder, wenn es nicht oder unvollständig vorliegt. Aus den Dokumenten muss hervorgehen, welche personenbezogene Daten (auch hier wichtig: intern und extern!) das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet hat und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten getroffen worden sind. Zwar gibt es Ausnahmen, in denen ein solches Verzeichnis nicht geführt werden muss (z.B. bei weniger als 250 Mitarbeitern), doch sobald eine regelmäßige Verarbeitung von Daten vorliegt, gelten diese nicht. Da dazu auch schon regelmäßige Lohnabrechnungen, Newsletter oder jährliche Weihnachtskarten gehören, wird diese Ausnahme für die wenigsten Unternehmen gelten. Wir empfehlen aber das Führen einer solchen Liste allein schon deshalb, um der Behörde gegebenenfalls zu zeigen, dass man sich mit dem Thema auseinander gesetzt hat.
Kundinnen und Kunden dürfen von Ihnen verlangen, die über sie gesammelten Daten jederzeit einzusehen, zu korrigieren, an jemand anderes zu übertragen oder komplett zu löschen.
Es finden sich viele ausführliche Seiten, die sich mit dem Thema des Verzeichnisses und was da hinein gehört auseinandersetzen, unter anderem hier.

Ab hier können wir Ihnen helfen:

Sollten weitere Unternehmen Zugriff auf Ihre Kundendaten haben, sollten Auftragsverarbeitungsverträge geschlossen werden. Dies betrifft zum Beispiel Webhoster, da hier auch die IP-Adressen und Kontaktnachrichten von Website-Besuchern auflaufen, Newsletter-Dienste usw.
An dieser Stelle werden wir gern für Sie tätig, sofern Sie Ihre Website und/oder Newsletter über uns betreuen lassen.

Jede Website benötigt eine überarbeitete Datenschutzerklärung. Auch wenn Sie bereits eine haben, muss diese angepasst werden. Zukünftig muss die Erklärung präzise, transparent, verständlich, leicht zugänglich und in klarer und einfacher Sprache verfasst sein und die Rechtsgrundlage für die Datenverarbeitung benennen. Auch hier unterstützen wir gern sowohl bei der Erstellung der Erklärung als auch beim Onlinestellen dieser. Sprechen Sie uns gern an.

Ihre Website sollte SSL-verschlüsselt, also auf https umgestellt sein, das bedeutet, dass Daten, die auf dieser Website übertragen werden (beispielsweise in Kontaktformularen) werden verschlüsselt. Auch hier werden wir gern für Sie tätig und sagen Ihnen, ob Ihre Seite bereits sicher ist oder was dafür getan werden muss.

Apropos Kontaktformular. Sollten Sie ein solches oder auch eine Kommentarfunktion auf der Website haben, ist dies eine Stelle, an der Ihre Besucher zukünftig eine Einwilligung abgeben müssen, dass Sie deren Daten übertragen, speichern und verarbeiten dürfen. Wie dies aussehen kann, klären wir gern mit Ihnen.

Neben der Tatsache, dass Sie sich in Sachen Newsletter mit den oben genannten Auftragsverarbeitungsverträgen auseinandersetzen müssen, ist es nun umso wichtiger, dass Sie eine zweifache Bestätigung im Falle eines Abos einrichten. Dies bedeutet, dass neue Abonennten dieses Abo über eine zusätzliche Bestätigungsmail bestätigen müssen. Dies läuft bei den meisten Newsletter-Anbietern automatisiert ab, aber gern helfen wir hier auch. Auch bei der Newsletter-Anmeldung ist zukünftig eine explizite Einwilligung und Information über das Verarbeiten der Daten wichtig. Diese können beispielweise in die Bestätigungsmail eingearbeitet werden. Im Zuge der neuen DSGVO müssen Abonennten, die den Newsletter wieder abbestellen, zukünftig komplett aus dem System gelöscht werden. Inwiefern dies passiert, hängt von dem Anbieter ab, über den Sie Ihren Newsletter versenden. Wir beraten Sie hier gern.

Klar ist: Zu so einem komplexen Thema können wir keine pauschalen Antworten geben.
Was wir tun können, ist aber an den beschriebenen Punkten zu unterstützen und zu klären, wo Sie noch Änderungen vornehmen müssen oder auch nicht. Bei weiterführenden Fragen empfehlen wir Ihnen sonst auch gern einen fachkundigen Anwalt oder Steuerberater.