Datenschutz-Grundverordnung
15. November 2017

Datenschutz-Grundverordnung 2018 – Wichtige Neuerungen!

Wenn wir Ihnen einfach die fast schon kryptische Bezeichnung DSGVO entgegenschmettern, werden die meisten Leserinnen und Leser wohl zunächst mit der Stirn runzeln. Hinter dieser Abkürzung verbirgt sich jedoch etwas, dass für jedes datenverarbeitende Unternehmen bares Geld wert ist! Die Abkürzung steht für die Datenschutz-Grundverordnung!

Wir weisen auch gleich noch darauf hin, dass die hier zusammengestellten Informationen rechtlich nicht verbindlich sind und Simple Web-Solutions keine Rechtsberatung vornehmen wird. Setzen Sie sich zur Bedarfsanalyse und Klärung Ihres Datenschutzes mit dem Rechtsanwalt Ihres Vertrauens in Verbindung. Wir geben im Folgenden einen kurzen Überblick über die Anforderungen der etwas sperrigen Datenschutz-Grundverordnung 2018.

Am 25. Mai 2018 treten DSGVO-Neuregelungen in Kraft

Der 25. Mai 2018 und somit das Inkrafttreten der neuen DSGVO sollte Ihnen als datenverarbeitendem Unternehmer, Marketer, Marktforscher, Internetseitenbetreiber oder Onlineshop-Betreiber eine dicke rote Markierung im Kalender wer sein. Und Sie sind nicht nur betroffen, wenn Sie Daten verarbeiten, auch wenn Sie Daten erheben oder kaufen, ist die neue Datenschutz-Grundverordnung 2018 anzuwenden.

Das neue Gesetz gilt einheitlich in der gesamten EU und für Unternehmen aller Größen – von Großkonzernen über KMUs bis zu Start-ups. Bei Verstößen drohen harte finanzielle Strafen. Für viele Unternehmen dürfte es zu spät sein, sich erst im Mai des kommenden Jahres damit zu beschäftigen. Es gilt einiges zu beachten und sich effektiv vorzubereiten. Das benötigt eine gewisse Vorlaufzeit.

Was ändert sich?

Mit der Datenschutz-Grundverordnung 2018 verschärft die EU die Pflichten von datenverarbeitenden Unternehmen und setzt für die Erhebung bzw. Verarbeitung von Daten einen deutlich strengeren Rahmen:
Die neue Richtlinie verlangt deutlich umfangreichere Dokumentationsnachweise: D.h. jedes Unternehmen muss jederzeit ausführlich Rechenschaft darüber ablegen können, warum und in welchem Umfang Daten erhoben werden. Die Datenerhebung muss nach Möglichkeit auf das nötige Minimum beschränkt werden. Weiterhin muss dokumentiert werden zu welchem konkreten Zweck und von wem Daten erhoben und verarbeitet werden inkl. der Anzahl an Mitarbeitern, die mit Daten arbeiten. All dies muss jedes Unternehmen beleg- und nachvollziehbar nachweisen können und dazu eine Art Verarbeitungsverzeichnis führen.

Transparentes Datenhandling

Wenn Sie nun der Meinung sind, dass das ganz schön viel sein soll, dann war das leider noch nicht alles, was von entscheidender Bedeutung sein wird und eine gute Vorbereitung benötigt. Sie müssen in Zukunft Menschen deutlich besser informieren, sollten Sie deren Daten erheben, verarbeiten und speichern wollen. Und damit nicht genug! Sollten Sie beispielsweise eine Webseite oder einen Onlineshop betreiben und Metadaten Ihrer Besucher und Kunden z.B. über Tracking-Tools wie Google Analytics erfassen wollen, darf dies nicht wie bisher nur über eine schweigende Zustimmung und der darauffolgenden Nutzung des Users Ihrer Seite stattfinden, sondern eine „eindeutige bestätigende Handlung“ für o.g. Beispiel ist ab dem 25. Mai 2018 Pflicht, bevor Sie Informationen verarbeiten dürfen. Stichwort Transparenz!

Zusätzlich müssen Sie dafür Sorge tragen, dass Daten sowohl generell einer zeitlichen Begrenzung angesichts deren Verarbeitung bzw. Speicherung unterliegen als auch auf direkten Wunsch des Betroffenen. Wenn keine besonderen Gründe zur Speicherung der Daten bestehen, müssen Sie Betroffenen künftig die Möglichkeit einräumen, nicht nur einer Datenerfassung nachträglich ohne Passwort oder sonstigen Gängelungen zu widersprechen, sondern auch deren Daten unwiederbringlich zu löschen – am besten mit zwei einfachen Klicks!

Zu guter Letzt kommt es dann bei manchen Dingen eben doch auf die Größe an. Nämlich auf die Anzahl der Mitarbeiter, die bei Ihnen mit Informationen zu tun haben und diese regelmäßig verarbeiten. Sollten diese mindestens die Zahl 10 erreichen oder Daten generell bei Ihnen Gefahr laufen, einem „hohen Risiko“ ausgesetzt zu sein, dann wird für Sie ein zusätzlicher Datenschutzbeauftragter Pflicht! Dieser kann jedoch auch durch externe Dienstleister bestellt werden und hat die Aufgabe, Unternehmen und verarbeitende Mitarbeiter auf o.g. Pflichten hinzuweisen und deren Einhaltung zu kontrollieren. Letztlich ist dieser dann auch Schaltstelle zur Aufsichtsbehörde. Hierfür sollten Sie also frühzeitig nötige Finanzen einplanen!

Allgemein haben Sie dafür Sorge zu tragen, alles an „technischen oder organisatorischen Maßnahmen“ zu ergreifen, um das Risiko eines Datenmissbrauches oder eine Gefährdung der Freiheit der Betroffenen zu minimieren.

Viele Daten, hohes Risiko – die Folgenabschätzung!

Neben den allgemeinen strengeren Dokumentationspflichten, müssen Sie bzw. die Verantwortlichen für eine konkrete Datenverarbeitung jederzeit „kritisch“ abschätzen, ob eine individuelle Verarbeitungsmaßnahme konkret durch Art und Umfang ein besonders hohes Risiko für die Betroffenen darstellt. Das kann beispielsweise eine Umfrage mit vielen Teilnehmern sein, die geantwortet haben. Verarbeiten Sie diese Daten und können besonders viele persönliche Rückschlüsse auf die individuellen Menschen ziehen, wird es eng für Sie. Sollten Sie sich jetzt erkennen und betroffen sein, setzt die DSGVO nochmal einen oben auf: Die Folgenabschätzung!

Die Folgeabschätzung muss detailliert beschreiben, welche Vorgänge im Zuge der Datenverarbeitung geplant sind. Weiterhin muss der Grund dafür erläutert werden. Darüber hinaus muss darin eine Bewertung und Abwägung enthalten sein, welche Rechte und Freiheiten der Betroffenen in welchem Umfang beschnitten werden und wie dies nach Möglichkeit vermieden werden kann. Nun sind die Formulierungen, was genau nun ein „hohes Risiko“ sein soll, natürlich wie so oft in EU-Gesetzen sehr schwammig. Da dies letztlich eine Abwägungsentscheidung ist, wurden dafür jedoch bisher zehn Kriterien für Datenverarbeitungen veröffentlicht, die jedes Unternehmen selbst beantworten muss. Je mehr der Kriterien auf Ihre Datenverarbeitung zutreffen, desto wahrscheinlicher ist eine Folgenabschätzung zwingend nötig und sollte zwecks Rechtssicherheit im Streitfall vor Gericht angefertigt werden:

  • Bewertung / Einstufung inkl. Prognosen- und Profilerstellung aus den Daten
  • Automatische erfolgende Entscheidungen mit rechtlichen oder ähnlich signifikanten Auswirkungen für Betroffene
  • Systematisches Monitoring
  • Vorhalten umfangreicher personenbezogener Daten
  • Vorhalten große Datenmengen
  • Vergleich oder Kombination von Datensätzen
  • Vorhalten von Daten ungeschützter Betroffener
  • Einsatz von neuen Technologien / organisatorischer Lösungen
  • Datentransfers in Länder außerhalb der EU
  • Verhinderung, dass die betroffene Person ein Recht, eine Dienstleistung oder einen Vertrag in Anspruch nehmen kann.

Kurz zusammengefasst:

Die Kernelemente der Bestimmungen für die Nachweispflichten insgesamt fassen wir kurz noch einmal zusammen:

  •  Transparenz
  • Sinn und Zweck der Datenverarbeitung
  • Rechtmäßigkeit
  • So wenige Daten wie möglich
  • Klare Einwilligung der Betroffenen
  • Begrenzte Verwendungsdauer / Recht auf Löschen
  • Sicherheit / Unversehrtheit der Daten
  • Individuell benötigte Folgenabschätzung

Datenschutz-Grundverordnung 2018 – Hoher Aufwand als Chance

Für die meisten Unternehmen dürfte das Thema Datenschutz-Verordnung 2018 kompliziert werden. Liegen doch meist Daten und Verantwortlichkeiten fragmentiert nicht zentralisiert vor. Um den individuellen Status Quo zur Datenverarbeitung und -speicherung im Unternehmen zu erheben, bedarf es einiger Vorbereitung sowie humane und finanzielle Ressourcen. Eine systematische Erstellung eines Datenschutz-Management-Systems wird oft unumgänglich sein. Hier sind Kompetenzen klar verteilt und die neuen Anforderungen gegenüber Stakeholdern können pünktlich zum Mai des nächsten Jahres an allen nötigen Stellen implementiert werden.

Was zunächst also eher wie eine Hiobsbotschaft der EU aussieht, bringt auch die Chance, Kompetenzen und wertvolle Informationen im eigenen Unternehmen nun zu bündeln. Zukünftig  konzentrieren Sie sich durch die entstandenen Pflichten auf die wirklich entscheidenden Informationen und so bereinigen Sie Datenerhebung und -verarbeitung von unnötigen Ballast. Statt einem Wald, den Sie vor lauter Bäumen nicht sehen, haben Sie jetzt die Chance, Ihr Marketing zu evaluieren und selbst einer Prüfung zu unterziehen.

Und es gibt noch einen eindeutigen Pluspunkt, der den 25. Mai 2018 zu einer Chance werden lässt: Waren bisher fast alle personalisierten Daten sowie Rückschlüsse auf Personen und deren Nutzung im Marketing für eine personalisierte Ansprache in Deutschland verboten, ist dies in Zukunft – unter Rücksicht auf die o.g. Rahmenbedingungen und Pflichten – vollumfänglich erlaubt. Das eröffnet für Unternehmen ganz neue Möglichkeiten zur Kundenansprache und deren Gewinnung. Verbesserter personalisierter Werbung steht also nichts mehr im Wege – auch im Onlineshop und auf Ihrer Webseite!

Mehr Informationen und Quellen:

https://www.datenschutz-praxis.de/fachnews/entwurf-der-leitlinien-zur-folgenabschaetzung-publiziert/

https://www.fuer-gruender.de/blog/2017/08/datenschutz-grundverordnung/

http://www.horizont.net/marketing/kommentare/Datenschutz-Grundverordnung-5-Dinge-die-Marketer-ueber-den-neuen-Umgang-mit-Kundendaten-wissen-sollten-161898

https://www.e-commerce-magazin.de/neues-eu-datenschutzurecht-so-versteht-es-jedermann

https://www.bfdi.bund.de

https://dsgvo-gesetz.de/

Simple Web-Solutions - Fragen Sie uns!

Neues Verpackungsgesetz: Das ändert sich für Onlineshop Betreiber!

Die CRM-Trends 2017 – wo geht die Reise hin?