DSGVO – Das müssen Sie wissen

Die DSGVO – Ihr Ziel und die daraus resultierenden Konsequenzen

Den wenigsten ist bewusst, dass die DSGVO bereits am 24.05.2016 in Kraft getreten ist und nun am 25.05.2018 lediglich die auf zwei Jahre begrenzte Übergangsfrist abläuft. Daher ist es unabdingbar, sich spätestens jetzt etwas intensiver mit der Thematik des Datenschutzes, explizit des Schutzes personenbezogener Daten auseinander zu setzten, sofern nicht bereits geschehen.

Gerade im Bereich der IT-Branche und jenen Bereichen, die bedingt oder unmittelbar damit in irgendeiner Form in Berührung kommen, ist dies besonders wichtig. Gleichgültig, ob es sich hierbei um die unternehmensinterne Datenerfassung und Verarbeitung, etwa von Mitarbeiterdaten handelt oder ob Daten von Kunden oder von Kooperationspartnern im Fokus stehen.

Ziel der DSGVO ist es, der Bedeutsamkeit des Datenschutzes mehr Nachdruck zu verleihen. Dabei liegt das Hauptaugenmerk vorrangig auf den personenbezogenen Daten. Verstanden werden darunter sämtliche Daten, mittels derer eine natürliche Person, gleich mit welchem Aufwand,theoretisch identifiziert werden kann.
Dieser Schutz soll sowohl in privatwirtschaftlicher Hinsicht als auch im Hinblick auf die Verwaltung solcher personenbezogener Datenerfassung europaweit „die Grundrechte und Grundfreiheiten natürlicher Personen […]“ (Art.1 DSGVO) beinhalten und durchsetzten und ersetzt die zahlreichen unterschiedlichen nationalen Datenschutzbestimmungen der einzelnen Länder.

Was bedeutet das nun für Sie?

Mit Inkrafttreten der DSGVO sind folgende bürokratische Schritte zwingend notwendig:

  • Abschluss eines Auftragsverarbeitungs-Vertrages (AV-Vertrag)
  • Verfassen eines Verzeichnis von Verarbeitungstätigkeiten (VV)
  • Technische und organisatorische Maßnahmen zum Datenschutze (TOM)

Unter einem AV-Vertrag ist das vertraglich festgesetzte Verhalten der beteiligten Parteien zu verstehen, in dem zweifelsfrei festgehalten wird, dass personenbezogene Daten gemäß der Rechtslage verarbeitet und geschützt werden. Dies ist erforderlich, sobald Daten von Kunden bzw. Mitarbeitern seitens des Auftraggebers an einen Verarbeiter weitergegeben werden. Beispielsweise zur Erstellung eines Newsletters oder Zeiterfassungs- oder Rechnungsprogrammen etc.

Das VV dient zum einen dazu, dass Sie zu jeder Zeit, sofern gründlich geführt, den Überblick über Ihre Auftragslage und Ihre Tätigkeiten im Datenverarbeitungsprozess behalten und zum andren kann es gegebenenfalls den Behörden vorgelegt werden. Hier werden alle Projekte und die damit einhergehenden Handlungsabläufe nachvollziehbar dokumentiert.

TOM ist eine Übersicht aus geeigneten Vorkehrungen, die getroffen werden, um im Sinne der DSGVO den Schutz der personenbezogenen Daten zu gewährleisten. Diese Maßnahmen ergeben sich teilweise selbsterklärend aus dem zuvor erstelltem Verzeichnis von Verarbeitungstätigkeiten.

Die horrenden Bußgelder, die einer Zuwiderhandlung drohen, dienen der Durchsetzung dieser neuen europaweit geltenden Datenschutzbestimmungen.
Die Verarbeitung von personenbezogenen Daten ist immer zweckgebunden und es sollten lediglich nur so viele Daten erhoben werden, wie zwingend erforderlich. Gespeichert werden diese Daten dann ausschließlich für den notwendigen Zeitraum, den die Zweckbindung ergibt.
Unter der Verarbeitung ebensolcher Daten sind sämtliche Verfahren zur Erfassung, Speicherung, Verwendung, Sortierung, Veränderung, Übermittlung und Veröffentlichung zu verstehen.

Aber es gibt auch Grauzonen, bei denen man sich noch uneinig darüber ist, ob sie nun als personenbezogene Daten zu sehen und somit mit der verlangten Sorgfalt zu behandeln sind. Dies gilt vornehmlich für die sogenannten Daten zur Geolokalisierung.
Zwar ist ein Aufenthaltsort allein nicht als personenbezogenes Datenelement zu sehen, aber in Kombination mit anderen erhobenen Daten wie beispielsweise einer IP-Adresse oder einem personalisiertem Login mit Standortabfrage durchaus so zu interpretieren.

Daher empfiehlt es sich im Zweifelsfall so vorzugehen, als handele es sich um personenbezogene Daten. Sicher ist sicher. Zudem können Sie sich Rat und Hilfestellung durchaus bei einem Datenschutzbeauftragten einholen.

Als Betreiber einer Website/Onlineshops sind Sie dazu verpflichtet, ein aktuell gültiges Impressum auf Ihrer Website auszuweisen, das für den Besucher direkt und unkompliziert von der Startseite ebenso wie von sämtlichen Unterseiten aufzurufen ist.
Nicht minder von Bedeutung und absolut verbindlich ist eine der Website hinzugefügte Datenschutzerklärung.
Außerdem sollten Sie sich von den Gästen Ihrer Website/Ihres Onlineshops die ausdrückliche Bestätigung geben lassen, dass diese mit der Speicherung von Daten einverstanden sind. Den meisten ist diese Bestätigung als Verweis auf die Nutzung von Cookies bekannt. Gegen eine Nutzung von sogenannten Social Media Plugins wie Facebook, Twitter, Google etc. auf Webseiten spricht nichts insofern der Besucher diesen zuvor ausdrücklich zugestimmt hat.
Und sollten Sie Kontaktformulare verwenden, so gilt hier zu beachten, dass ausschließlich die Daten abgefragt werden dürfen, die für den Zweck der Erfassung zwingend erforderlich sind. Diese Pflichtfelder sind unmissverständlich als solche zu kennzeichnen und die Verschlüsselung der so übermittelten Daten ist ausnahmslos zu gewährleisten. Zudem ist die Belehrung des Kunden über den Verlauf und Zweck der so erhobenen Daten vor Aktivierung des Kontaktformulars verpflichtend.
Wenn Sie für Ihre Kunden und Gäste einen Newsletter Ihrer Website oder Ihres Onlineshops anbieten, ist es empfehlenswert, ebenfalls kurz darüber zu informieren, was mit den so erhaltenen personenbezogenen Daten geschieht. Eine Verlinkung der Datenschatzerklärung ist hier durchaus sinnvoll. Zudem sollten Sie beachten, dass ein Newsletter-Abonnement jederzeit kündbar und bei der Registrierung in einem Onlineshop niemals standardisiert bereits ausgewählt sein sollte.

Wichtig zum Schluss

Bereits im Zeitraum vor Ablauf der zweijährigen Übergangsfrist geschlossene Datenschutzvereinbarungen verlieren ihre Gültigkeit! Ab dem 25.05.2018 ist die DSGVO rechtsverbindlich und Ihr Unternehmen und dessen Internetauftritt und andere datenverarbeitende Sektionen müssen dringend dieser entsprechen. Zuwiderhandlungen werden mit hohen Geldbußen (bis zu 20 Mio. € oder 4% des letzten Jahresumsatzes) belegt.

Gerne lassen wir Ihnen ein individuell zugeschnittenes Angebot für die notwendigen Verifizierungen und Angleichungen Ihrer Website bzw. Ihres Onlineshop zukommen. Vereinbaren Sie einfach einen unverbindlichen Beratungstermin.

 

Schlagwörter: , , , , , , , , , , ,