Datenschutz-Grundverordnung (DS-GVO): Alles, außer privat und familiär

Es ist Aufgabe des Unternehmers, das Ziel der Verordnungen dem Nutzer klar und leicht verständlich beizubringen. Keine leichte Aufgabe. Aber auch kein Grund zu verzweifeln. Wir geben wichtige Hinweise.

Datenschutz-Grundverordnung (DS-GVO): Alles, außer privat und familiär
Jetzt teilen auf:    

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 ausnahmslos in Kraft. Damit sollen persönliche Rechte und Freiheiten geschützt werden.

Als Unternehmer können Sie sich auch vor Abmahnungen schützen.

Die neue EU-DS-GVO besteht aus über 260 Seiten und genau 99 Artikeln. Dazu kommt noch das Bundesdatenschutzgesetz 2018 (BDSG) mit 85 Artikeln sowie eine ePrivacy Verordnung. Die Anhänge sind noch gar nicht mitgezählt. Der Sinn dahinter ist, dem Nutzer möglichst klar und leicht verständlich zu zeigen, wo und wann welche Daten von ihm verarbeitet werden.

Disclaimer: Die nachfolgenden Sachverhalte sind dazu da, zu informieren und Praxistipps zu geben. Sie ersetzen keinen anwaltlichen Rat.

Warum eine Datenschutz-Grundverordnung (DS-GVO)?

Das Europäische Parlament und der Rat der Europäischen Union wollen mit der Datenschutz-Grundverordnung Personenrechte EU-weit durchsetzen: Das Recht auf Schutz personenbezogener Daten. Dabei ist es egal, wo Sie wohnen oder welche Staatsangehörigkeit Sie haben (engl. General Data Protection Regulation GDPR).

Es soll der persönlichen Freiheit sowie der eigenen Sicherheit dienen, Rechte wahren, zum wirtschaftlichen und sozialen Fortschritt beitragen als auch zum persönlichen Wohlergehen.

Der Zweck ist es, den freien und geschützten Verkehr von personenbezogenen Daten zwischen den Mitgliedsstaaten zu gewährleisten – und das geht nur unter strengen Auflagen.

Aus diesen ideellen Gründen folgen viele Konsequenzen für jede Person, die eine digitale Präsenz hat oder digital unterwegs ist: eine Website, einen Blog, einen Shop, eine App, alles, was digital ist und mit persönlichen Daten zu tun hat. Ausgenommen sind rein private oder familiäre Zwecke.

Das betrifft Unternehmen, die in der EU ansässig sind, dort eine Niederlassung haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Was kommt auf mich zu?

Zunächst: Ab dem 25. Mai 2018 werden fahrlässige oder vorsätzliche Verletzungen der DS-GVO mit bis zu 20 Millionen Euro oder 4 Prozent Ihres weltweiten Konzernumsatzes aus dem vorangegangenen Geschäftsjahr bestraft, je nachdem, welcher Betrag höher ist. Auch die betroffenen Personen können zusätzlich Schadensersatzansprüche geltend machen. Leider gibt es viele juristische “Detektive”, die sich darauf spezialisieren, Verstöße in der digitalen Welt aufzuspüren und gnadenlos zu ahnden. Die Vogel-Strauß-Technik wird immer erfolgloser. Das Unternehmen hat die Beweislast.

Neben diesen strafrechtlichen Konsequenzen gibt es nun viele technische und organisatorische Einzelheiten, die beachtet werden müssen. Jedoch nicht von jedem. Für die Kunden von idowapro ist das Wichtigste, einen Vertrag zur sogenannten Auftragsdatenverarbeitung (AV-Vertrag) mit idowapro abzuschließen.

Wann bin ich nicht betroffen?

Wenn Sie personenbezogene Daten in digitalen Projekten verarbeiten, die ausschließlich familiäre oder persönliche Zwecke haben, brauchen Sie sich nicht um die DS-GVO zu kümmern: Beispielsweise ein rein privater Blog, den Sie für Ihre Familie, Freunde und Verwandte mit Inhalten füllen. Damit dürfen Sie keine Werbung machen und mit Produktbeschreibungen kein Geld verdienen.

In jedem anderen Fall sollten Sie sich um die DS-GVO kümmern.

Sollten Sie bereits in einer Form soziale Netzwerke einbinden, die Ihr Facebook-Profil abbilden oder Share-Buttons für Twitter, Facebook, Youtube etc. zeigen, wird die DS-GVO relevant. Dazu reicht auch schon die Erfassung der IP-Adresse von derjenigen Person, die gerade Ihre Webseite besucht.

Der Datenschutz wird damit zu einem zentralen Punkt in Ihrem unternehmerischen Handeln!

Ich bin von der DS-GVO betroffen. Was nun?

Wenn Sie sich bisher an Datenschutzvorschriften gehalten haben, ist bereits einiges geschafft. Demgegenüber gibt es Neuerungen und Verschärfungen, die beachtet und umgesetzt werden müssen.

Zunächst: Daten, die Sie nicht sammeln und verarbeiten, brauchen Sie auch nicht zu verantworten. Daher können Sie sich vorab die Fragen stellen:

  • Warum brauche ich welche personenbezogenen Daten?
  • Wie und wo werden die Daten im gesamten Unternehmen verarbeitet?
  • Wie sicher, transparent und vollständig wird die Verarbeitung dokumentiert?
  • Habe ich einen Plan, wenn Daten missbraucht werden?

Ihr Shopsystem, Blog oder App muss möglichst datenschutzfreundlich voreingestellt sein: “Privacy by Default”. Für die personenbezogenen Daten, die darüber hinaus gesammelt und verarbeitet werden, gilt folgendes: Sie dürfen nur die Daten verarbeiten, für die Sie einen bestimmten Zweck angeben können. Und dieser muss für jedes einzelne Formularfeld in einem Datenschutzhinweis angegeben werden.

Datenschutzhinweis

Wenn Sie bereits eine Webseite oder ähnliches haben, die Sie für berufliche oder wirtschaftliche Zwecke verwenden, haben Sie bereits eine Datenschutzbestimmung auf Ihrer Webseite. Diese muss platziert und individualisiert werden, das bedeutet:

Platzierung: Der Datenschutzhinweis muss für den Nutzer über einen Link erreichbar sein: möglichst als das erste, was er beim Laden der Webseite sieht, also ganz oben. Denn das Laden der Internetseite ist der Zeitpunkt, ab dem Daten gesammelt werden. Ab diesem Zeitpunkt muss der Nutzer informiert werden. Maximal sollte der Nutzer zwei Klicks brauchen, um sie lesen zu können. Die EU will ermöglichen, dass der Nutzer klar und leicht verständlich erkennen kann, wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Eine Erklärung zu Cookies: Viele verbreitete Blog- und Shopsysteme verwenden Cookies, um Besucher zu identifizieren (beispielsweise Redaxo, Contao, Typo3, Drupal, Wordpress). Bisher war ein Cookie-Banner immer ratsam. Inwieweit der Hinweis verpflichtend werden wird, wird sich weiter klären, wenn zusammen mit der DS-GVO auch eine ePrivacy-Verordnung am 25. Mai veröffentlicht wird.

Formulare: In dem Datenschutzhinweis müssen Sie erklären, wie die Daten von jedem Eingabefeld verwendet werden und zu welchem Zweck sie überhaupt angegeben werden sollen. Wenn das Alter und die Lieblingsfarbe an keinen Zweck gebunden sind, dürfen Sie sie nicht abfragen.

Hinweise auf externe Dienste: Die offiziellen Share-Buttons der meisten sozialen Netzwerke sammeln bereits beim Laden der Webseite Daten. Dazu muss der Nutzer noch nicht einmal ein Konto haben. Wenn ein Nutzer das nicht will, darf es nicht geschehen. Daher besser eigene Buttons benutzen, die erst Informationen sammeln, sobald ein Nutzer aktiv darauf geklickt hat.

Google Analytics: Google Analytics wertet Webseiten aus. Dazu benutzt das Tool selbstverständlich IP-Adressen und damit personenbezogene Daten. Darauf muss der Nutzer hingewiesen werden und er muss es widerrufen können. Dafür gibt es meist einen Link im Datenschutzhinweis, den er anklicken können muss, damit Google nicht weiter Daten sammelt (der sogenannte Opt-Out-Cookie). Die IP-Adressen dürfen weiterhin nur anonymisiert und gekürzt übertragen werden (Anonymisierungsfunktion).

Sollten Sie einen Datenschutzbeauftragten im Unternehmen haben, müssen seine Kontaktdaten ebenfalls leicht zu finden sein, beispielsweise in der Datenschutzverordnung.

DS-GVO, Google Analytics und die Auftragsverarbeitung

Jeder, der personenbezogene Daten verarbeitet und dafür Dritte einbindet, muss einen Vertrag zur Auftragsverarbeitung abschließen. Google Analytics und andere statistischen Erfassungen der IP-Adressen dürfen nur genutzt werden, wenn mit dem Dienstanbieter ein Auftragsverarbeitungsvertrag (AV-Vertrag) unterschrieben wurde. Das gilt nicht nur für Google, auch für alle anderen Unternehmen, die die personenbezogenen Daten verarbeiten, die von Ihnen stammen. Dazu gehören IP-Adressen, Kontaktdaten, Bezahldaten etc.

Wichtig: Laut Beschluss des Bundesgerichtshofs dürfen dynamisch vergebene IP-Adressen von Website-Besuchern “als personenbezogenes Datum nur unter den Voraussetzungen des Paragrafen 15 Abs. 1 Telemediengesetz (TMG) gespeichert werden.” Damit soll die flächendeckende Protokollierung des Surfverhaltens eingedämmt werden.

Das bedeutet: Jeder, der IP-Adressen von Website-Besuchern verarbeitet, muss die DS-GVO beachten, da es sich um personenbezogene Daten handelt.

In einem AV-Vertrag müssen die Anforderungen des Art. 28 Abs. 2 und 3 der DS-GVO geregelt sein. Dazu gehören beispielsweise:

  • Gegenstand, Dauer, Art, Zweck der Verarbeitung und der personenbezogenen Daten
  • Pflichte, Rechte und Weisungsbefugnisse
  • Technische und organisatorische Maßnahmen
  • Rückgabe und Löschung bei Abschluss der Auftragsverarbeitung (jede Person hat ein Recht auf Vergessen-Werden!)
  • Was zu tun ist bei Datenschutzverletzungen und wie Sie die Folgen aus der Datenpanne abschätzen werden (Datenschutz-Folgenabschätzung)

Da idowapro von jedem Kunden IP-Adressen und andere personenbezogene Daten verarbeitet, muss jeder Kunde für idowapro sein Einverständnis geben. Das bedeutet, jeder Kunde muss mit idowapro einen AV-Vertrag abschließen -> Formular zum Auftragsdatenverarbeitungsvertrag (bitte ausfüllen und unterschrieben an uns zurückschicken).

Das stellt sicher, dass wir mit Ihren Daten im Sinne der DS-GVO sicher und transparent umgehen und auch im Extremfall bei Datenpannen vorbereitet sind.

Social Media Plug-ins

Es gibt viele Plug-ins, die die Feeds von Facebook, Twitter etc. auf Ihrer Webseite einbinden und darstellen. Bereits beim Laden der Feed-Inhalte werden Daten vom Nutzer gesammelt und möglicherweise auch Cookies gesetzt. Wenn er das nicht will und nicht widersprechen konnte, kann er Schadensersatz verlangen. Dem können Sie vorbeugen, in dem die Plug-ins erst aktiviert werden, wenn der Nutzer das mit einem Klick bestätigt hat. Ein Mouse-Over reicht nicht aus.

Wie bereits erwähnt, sollten Sie sicherstellen, dass die Share-Buttons, die Sie verwenden, dann erst Daten sammeln, wenn der Nutzer zustimmt.

Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten

Es geht um eine transparente Dokumentation. Der Nutzer hat das Recht, in Ihrem Unternehmen anzurufen und in angemessener Zeit erfahren zu können, welche Daten wo und wie von Ihnen gespeichert werden. Das dürfen auch Institutionen und Ämter. Darauf sollten Sie vorbereitet sein.

Für Shopbetreiber wäre der Idealfall dem Nutzer ein Formular in seinem Benutzerkonto zu bieten, über das er unkompliziert Einsicht verlangen kann und über seine personenbezogenen Daten Auskunft erhält oder sie auch löschen lassen kann. Der Kunde hat ein Recht auf eine maschinenlesbare Form seiner Bestellhistorie.

Die Datenpanne und der Reaktionsplan

Die DS-GVO sieht vor, dass Sie innerhalb von 72 Stunden auf eine Datenpanne reagieren und sie den Aufsichtsbehörden melden. Damit das funktioniert und Sie nicht bei Feuer auf dem Dach anfangen zu überlegen, wo der nächste Feuermelder steht, ist es ratsam, sich vorher Gedanken zu machen.

Im Unternehmen bedeutet es, einen Reaktionsplan zu entwickeln: Wie werden die personenbezogenen Daten überwacht, wie werden Unregelmäßigkeiten bemerkt, an wen werden sie weitergeleitet und was muss im Schadensfall Schritt für Schritt unternommen werden?

Fazit

Fast jede Person mit einer digitalen Präsenz muss aktiv werden. Das bedeutet nicht, gleich eine Person einzustellen, die sich nur um Datenschutz kümmert. Das Thema Datenschutz wird auf jeden Fall zentral werden in jedem Unternehmen. Ob Sie einen Mitarbeiter schulen und damit beauftragen, einen Spezialisten einstellen oder einen externen Dienstleister in Anspruch nehmen, ist Ihnen überlassen.

Auch idowapro nimmt sich seit einiger Zeit diesem Thema an. Da wir auch gerne mit Spezialisten arbeiten, wenden wir uns selbst an einen Dienstleister. Wenn Sie von uns Empfehlungen benötigen, dürfen Sie sich gern bei uns melden.

ToDo: Sie.Wir.Jetzt.

Was Sie als Kunde von idowapro sofort tun können: Schließen Sie mit idowapro einen Auftragsverarbeitungsvertrag (AV-Vertrag) ab. Das ist eine Formalität, die sicherstellt, dass alle Ihre Daten bei uns sicher und transparent verarbeitet werden können.

DOWNLOAD: Hier können Sie den AV-Vertrag mit idowapro herunterladen

Jetzt teilen auf: