DSGVO
15. März 2018

DSGVO – Anforderungen des Bundesbeauftragten für den Datenschutz

Ab dem 25. Mai 2018 gilt die neue EU-weite Datenschutzgrundverordnung (DSGVO) für Unternehmen jedweder Größe*, Freiberufler und Vereine, die das bisherige Bundesdatenschutzgesetz (BDSG) ersetzt. Die Regelung betrifft umfangreiche Vorschriften für den Umgang mit personenbezogenen Daten (Erhebung, Kauf, statistische Auswertung, Nutzung, Speicherung, Tracking usw.) – auch neuerdings über dritte Vertragspartner als Auftragsdatenverarbeiter. Bisher gibt es dazu keine festgelegte Rechtsprechung, jedoch hat die zuständige Aufsichts- und Kontrollbehörde – „Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“ – einige Rahmenbedingungen veröffentlicht, die ab dem Stichtag des 25. Mai 2018 ohne weitere Übergangszeit gelten und bei Nichteinhalten zu Sanktionen seitens der Behörde führen können.

Was muss nach DSGVO umgesetzt werden bzw. worauf muss geachtet werden? (Soll-Zustand)

  • Rechtsgrundlage: Die DSGVO schreibt für jede Verarbeitung personenbezogener Daten eine rechtliche Grundlage vor. Diese kann eine eindeutige Einwilligung sein (die wiederum an bestimmte Voraussetzung geknüpft ist wie z.B. das Alter des Betroffenen), das berechtigte Interesse oder auch diverse andere rechtliche Verpflichtungen. Vgl. dazu Art. 6ff DSGVO. Dieser Punkt sollte mit juristischer Beratung Ihres Vertrauens geklärt werden.
  • Betroffenenrechte: Den Betroffenen der Datenverarbeitung stehen umfangreiche Rechte zu, die Sie als Unternehmen zu beachten und deren Nutzung Sie möglichst einfach zu gewährleisten haben. Dazu gehören Informationspflichten gegenüber dem Betroffenen bestenfalls nach Möglichkeit direkt bei oder vor der Datenverarbeitung, eine umfangreiche Auskunftsmöglichkeit über die Art und Weise der Nutzung und Erhebung der personenbezogenen Daten, das Recht des Betroffenen seine vorhandenen Daten berichtigen zu können oder seine Daten auf Verlangen unwiderruflich löschen zu lassen (sofern keine berechtigten oder rechtlichen Ansprüche anderes verlangen), sowie das Recht des Betroffenen seine selbstangegebenen Daten in maschinenlesbarer (elektronischer, gängiger) Form mit zu einem ähnlichen Unternehmen zu nehmen und letztlich auch die Möglichkeit einer Datenverarbeitung möglichst unkompliziert – auch nachträglich – zu widersprechen.
  • Datenschutz „per default“: Die DSGVO schreibt vor, schon bei der Einrichtung und Installation oder Konzeption von Verarbeitungsprozessen und deren technischer Hilfsmittel darauf zu achten, dass diese den bestmöglichen Datenschutz und nur die nötigsten personenbezogenen Daten verarbeiten.
  • Dritt-Partner als Dienstleister/Vertragsanpassungen: Die DSGVO schreibt auch für Dienstleister, die im Auftrag Daten des ursprünglichen Unternehmens verarbeiten oder überlassen bekommen, nun ein detailliertes Verarbeitungsverzeichnis vor und ein angemessenes Niveau an Datenschutz. Bsp.: Hostingpartner, die Kundendaten eines Onlineshops im Auftrag verarbeiten müssen.
  • Dokumentationspflicht/Verarbeitungsverzeichnis: Vor allem wichtig und aufwändig sind die neuen Dokumentationspflichten der DSGVO für Sie. So sind Sie bzw. der Verantwortliche verpflichtet Nachweis darüber zu dokumentieren, dass personenbezogene Daten rechtmäßig verarbeitet werden als auch das wichtige Verarbeitungsverzeichnis zu erstellen und für jede Datenverarbeitung zu pflegen. Unter engen Grenzen können Unternehmen <250 Mitarbeiter davon ausgenommen sein. Im digitalen Umfeld jedoch in der Regel nicht. Das Verarbeitungsverzeichnis wird in der Regel die Summe von vielen einzelnen Verarbeitungsprozessbeschreibungen sein. Es kann in elektronischer Form geführt werden und muss auf Verlangen umgehend der Aufsichtsbehörde vorgelegt werden können.
  • Datenschutzfolgenabschätzung: Bei einzelnen Verarbeitungsprozessen kann zusätzlich zur Dokumentation im Verarbeitungsverzeichnis die gesonderte Datenschutzfolgenabschätzung nötig werden, in der eine individuelle Datenverarbeitungsmaßnahme mit besonders hohem Risiko für die Rechte der Betroffenen detailliert beschrieben werden muss und wie das explizite Risiko verhindert werden soll. Diese ist der Aufsichtsbehörde mitzuteilen.
  • Datenschutzbeauftragter/Meldepflicht: Nach DSGVO müssen Unternehmen mit mehr als 10 Mitarbeitern in der Datenverarbeitung oder mit einem höherem Risiko aus der Geschäftstätigkeit für die Freiheitsrechter der Betroffenen (wie Marktforschungsunternehmen) einen geeigneten internen oder auch externen Datenschutzbeauftragten benennen und diesen der Aufsichtsbehörde melden. Dies entbindet nicht von der Pflicht der Geschäftsführung sich aktiv selbst um den Datenschutz zu kümmern. Verstöße im Umgang des Schutzes von personenbezogenen Daten sind der Aufsichtsbehörde sofort zu melden.
  • Datensicherheit/TOM: Das Unternehmen muss technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau für die Datenverarbeitung personenbezogener Daten zu gewährleisten und dies regelmäßig prüfen.
  • Zertifizierung: Das Unternehmen kann sich durch ein Zertifzierungsverfahren nachweisen lassen, die Anforderungen der DSGVO zu erfüllen.

Erste Schritte – Check des Ist-Zustands

Um sicherzugehen, dass die DSGVO effektiv und wirksam umgesetzt wird, sollte eine Bestandsaufnahme des Ist-Zustands erfolgen. Betroffene Abteilungen und Mitarbeiter müssen sich miteinander abstimmen, welche Prozesse angepasst oder erst noch geschaffen werden müssen:

  • Identifikation der derzeitigen Prozesse, bei denen personenbezogene Daten verarbeitet werden (Kunden, Mitarbeiter, Besucher usw.)
  • Identifikation der dafür nötigen Rechtsgrundlagen nach momentanem Stand
  • Identifikation aller momentan vorhandenen Datenschutzmaßnahmen, sowohl digital als auch analog (Datenschutzkonzept, Vorab- und Zugangskontrollen, IT-Sicherheitsvorkehrungen, bereits vorhandenes Verfahrensverzeichnis usw.)
  • Definition und Erläuterung der momentanen Dienstleitungsverträge mit Auftragsdatenverarbeitern
  • Betriebsinterne Regelungen (z.B. für Umgang mit Mitarbeiterdaten)

Folgeschritte – Die Umsetzung

Nach erfolgtem Check des Ist-Zustandes, muss die Analyse stattfinden. Welche Diskrepanz besteht zwischen Ist-Zustand und den Anforderungen der DSGVO und in welchen Bereichen sind Maßnahmen zur Verbesserung nötig. Rein rechtliche Fragen, ob eine spezifische Datenverarbeitung rechtmäßig ist, müssen hier mit juristischer Unterstützung geklärt werden.

Generell müssen umgesetzt werden:

  • Anpassung der betroffenen Prozesse und technischen sowie personellen Strukturen
  • Festlegen der rechtlichen Grundlagen (Einwilligung, berechtigtes [wirtschaftliches-] Interesse, rechtliche oder vertragliche Verpflichtungen usw.) und des Zweckes der jeweiligen Datenverarbeitung und Dokumentation der Interessenabwägung
  • Implementierung der Informationspflichten, Auskunftspflichten und Betroffenenrechten
  • Anpassung der Datenschutzorganisation
  • Falls nötig: Benennung des Datenschutzbeauftragten
  • Organisation von Reaktionsmechanismen bei Pannen und Meldepflichten
  • Falls nötig: Anpassung der Dienstleistungsverträge mit Auftragsverarbeitern
  • Aufbau, Anpassung oder Erstellung der Dokumentationen wie Verarbeitungsverzeichnis und Datenschutzfolgenabschätzungen
  • Anpassung der IT-Sicherheitsvorkehrungen
  • Falls nötig: Anpassung der internen betrieblichen Vereinbarungen

Wie kann Simple Web-Solutions Sie dabei professionell unterstützen?

Bei der Umsetzung der nötigen Änderungen kann Simple Web-Solutions Ihnen in der technischen Umsetzung der nötigen zentralen Datenmanagementsystemen helfen.  Simple Web-Solutions prüft die IT-Sicherheit und ist ein sicherer Auftragsdatenverarbeiter als Hosting-Anbieters für Ihre Datenverarbeitung:

  • Server- und Software-Security-Patches und Updates
  • Regelmäßige Sicherheitsprüfungen und Wartungen (SLA-Verträge)
  • Beratung zu nötigen IT-Maßnahmen
  • Beratung und Beurteilung Ihrer technischen Dienstleistungspartner
  • Umsetzung eines elektronischen Systems oder Erweiterung für Ihr CRM-System zur zentralen, komfortablen Erstellung und Pflege von Verarbeitungsverzeichnissen und Datenschutzfolgenabschätzungen
  • Umsetzung/Integration von Systemen für die maschinenfähige Datenportabilität und die Auskunftserstellung gegenüber Betroffenen
  • Angriff-Simulationen gegen bestehende IT-Sicherheitsmaßnahmen
  • Hosting für Webseiten, CRM-Systeme und Onlineshops
  • Einbinden der nötigen Informationspflichten auf Ihrer Domain und nötiger Einwilligungsabfragen
  • Umsetzung von Personendaten-Management-Systemen für die verschlüsselte, anonymisierte Speicherung und Verarbeitung von Daten und gleichzeitiger einfacher Wiederzuordnung, um einfache Berichtigungen und Löschungen zu ermöglichen.

 Was droht bei Nichteinhalten und fehlender Umsetzung der neuen DSGVO?

  • Das Risiko: Jedermann kann und soll durch die weitreichenden Betroffenenrechte Verstöße gegen die DSGVO bzw. deren fehlende Umsetzung bei der Aufsichtsbehörde melden. Das können (potentielle) Kunden oder auch Mitarbeiter des Unternehmens sein. Die Aufsichtsbehörde kann auch ihrerseits jederzeit proaktiv z.B. das Verarbeitungsverzeichnis umgehend anfordern und kontrollieren, ob das Unternehmen den umfassenden Pflichten des Datenschutzes nachkommt. Pressearbeit kann ebenfalls ein Grund sein, dass die Aufsichtsbehörde aktiv wird. Auch eine Selbstanzeige ist natürlich möglich.
  • Strafen (Analog zu Art. 83 und 84): Die maximale monetäre Strafe sieht 20 Mio. € oder 4% des weltweiten (Konzern-)Umsatzes des Vorjahres vor. Zusätzlich kann die Behörde anordnen den Verstoß aus der Welt zu schaffen bis hin zu einem zeitlich begrenzten oder gar endgültigen Verbot der konkreten Datenverarbeitungsmaßnahme.

Verbot von Geo-Blocking für Webseiten, Onlineshops und Onlineportale

Ab Herbst 2018 gilt EU-weit das Verbot von Geo-Blocking für Dienstleistungen und Produkte (mit Ausnahme lizenzrechtlicher geschützter Verträge wie bspw. Streamingangebote) aufgrund IP-basierter Lokalisierung der Internetnutzer und potentiellen Kunden. D.h. unterschiedliche Preise, Produktkataloge oder gar geblockte Seiten für Nutzer aus unterschiedlichen EU-Staaten sind mehr zulässig.

Was muss umgesetzt werden bzw. worauf muss geachtet werden? (Soll-Zustand)

  • Verbot von automatischer Weiterleitung von Usern auf länderspezifische Domains oder Webseiten von lokalen Zwischenhändlern.
  • Verbot der Blockade und Verhinderung von Zugriff auf Seiten aufgrund der IP-Lokalisierung.
  • Verbot der Verhinderung des Kaufes von physischen Waren, des Downloads von digitalen Gütern oder des Abschlusses einer Bestellung/Buchung aufgrund des Ortes des Nutzers. (Versandmöglichkeit des Produktes an den Käufer wiederum ist keine Pflicht, Möglichkeit der Abholung oder der Selbsttransportorganisation genügt)
  • Verbot von unterschiedlichen Preisen und Zahlungsbedingungen (z.B. Ablehnung einer in einem anderen Staat ausgestellten Kreditkarte).

Erste Schritte – Check des Ist-Zustands

Um Ihr Onlineangebot an das kommende Verbot des Geo-Blockings effektiv anzupassen, sollte der Ist-Zustand Ihres Onlineshops oder Webportals festgehalten werden.

  • Identifikation, ob und an welchen Stellen im gesamten Bestell- oder Buchungsprozess Ihres Angebots Geo-Blocking genutzt wird
  • Identifikation, ob automatische Weiterleitungen bestehen
  • Identifikation, ob Domains für EU-Staaten blockiert oder ausgeblendet werden
  • Identifikation, ob unterschiedliche Produktkataloge aufgrund unterschiedlicher EU-Staaten vorkommen
  • Identifikation, ob Ihr System eine Abholung oder einen selbstorganisierten Transport unterstützt
  • Identifikation, ob angebotene Zahlungsmittel für Kunden aus unterschiedlichen EU-Staaten nicht akzeptiert werden

Folgeschritte – Die Umsetzung

  • Anpassung der Domainweiterleitung, sodass alle EU-Bürger unabhängig ihres Standortes direkt auf deren gewünschte Web-Adresse zugreifen können oder eine eindeutige Einverständniserklärung (z.B. per Auswahlmenü) geben können, um dann auf eine sprachlich-spezifische Länderseite umgeleitet zu werden.
  • Anpassung der Preise für alle EU-Bürger sowohl im Shop als auch bei Buchungen für bspw. Tickets oder Übernachtungen sicherstellen. * **
  • EU-Bürgern den Zugriff auf das gleiche Angebot/denselben Produktkatalog ohne Seitenblockierungen anbieten. **
  • Sicherstellen, dass bei bereits angewandten Zahlungssystemen keine nur lokal-begründeten Abweisungen anfallen.
  • Integration der Möglichkeit einer Abholung durch den EU-Kunden selbst oder durch einen durch diesen organisierten Transport
  • Sicherstellen von gleichen AGB für alle EU-Bürger.
  • Sicherstellen, dass eine Transaktionsverweigerung für alle EU-Bürger mitdenselben Maßstäben begründet wird mit Ausnahme der lokalen Verortung des potentiellen Kunden.

* Ausnahmen sind nationale Gesetzesregelungen und Pflichten wie dt. Buchpreisbindung.

** Weitere Ausnahmen sind Regelungen über Preise und Angebote mit regionalen Vertriebslizenzbeschränkungen bei Streaming, Filmen, Serien usw.

Wie kann Simple Web-Solutions Sie dabei professionell unterstützen?

  • Anpassung/Aufhebung der Weiterleitungen
  • Umsetzung einer Einwilligungs-Seite für eine Weiterleitung
  • Aufhebung von unterschiedlich angezeigten Produkten und Subdomains per IP-Tracking
  • Implementierung von neuen Zahlungssystemen
  • Anpassung bestehender Zahlungssysteme
  • Anpassung und Integration für Distributionsmodelle und Versand (Versandmöglichkeit für bestimmte EU-Staaten und Optionen für Selbstabholung und Integration von Speditionsdienstleistern für EU-Bürger aus Staaten ohne Versandoption)
  • Anpassung der angezeigten AGB
  • Anpassung/Implementierung von Scoring-Modulen für anderweitige Bewertung von Transaktionsverweigerungen abseits des geografischen Standortes des Nutzers
  • Anpassung des Checkout-Moduls

Simple Web-Solutions - Fragen Sie uns!

Weitere Informationen:

Datenschutz-Grundverordnung 2018 – Wichtige Neuerungen!

Verbot von Geoblocking durch die EU – Das müssen Sie wissen!