Ab Mai 2018 tritt die neue Datenschutzgrundverordnung in Kraft!

Am 25. Mai 2018 tritt die neue Datenschutzverordnung in Kraft und für viele Unternehmen bedeutet das einen hohen Umsetzungsaufwand. Relevant wird es für alle Unternehmen, die personenbezogene Daten verarbeiten, beispielsweise über ein Kontaktformular auf der Webseite oder wenn Auswertungstools wie Google Analytics, Piwik, etc. eingesetzt oder CRM-Systeme als Offline-Tool genutzt werden.


Das Wichtigste in Kürze:


1. Personenbezogene Daten – wer ist gemeint?

Die neue Verordnung wird diesen Begriff noch deutlich enger fassen bzw. erweitern.
Jeder Datensatz, der im entferntesten Sinn Rückschluss auf eine Person zulässt, gilt als personenbezogener Datensatz. So zum Beispiel IP-Adressen aber auch hinterlegte Cookies.

2. Welche Voraussetzungen sind für die Datenverarbeitung relevant?

Bei der Verarbeitung personenbezogener Daten müssen folgende Voraussetzungen bestehen:

- Vertrags- oder Anfrageabwicklungen (z.B. Bestellungen, Katalog-Anforderung)
- Gesetzliche Pflichten (z.B. Aufbewahrung von Rechnungen)
- Berechtigtes Interesse (exakte Prüfung und Begründung erforderlich)
- Explizite Einwilligung in eine konkrete Verarbeitung
  (besondere Hürden bei Einwillligung, Informationspflicht, Widerruf etc.)

Darüber hinaus gibt es noch strengere Vorschriften für u.a. Daten Minderjähriger, sensible Daten (Ethnie, Gesundheit, Biometrie etc.), Videoüberwachungen, automatisierte Entscheidungen sowie Daten von Angestellten.

3. Wie erfolgt die Einwilligung zur Datenverarbeitung?

Benutzer müssen ausführlich über die Verarbeitung und ihre Rechte (z.B. Widerrufsrecht) in Kenntnis gesetzt werden. Ferner darf eine Einwilligung nicht dem eigentlichen Zweck im Wege stehen (Kopplungsverbot, z.B. Einwilligung Newsletter-Abo für Kontaktaufnahme). Zudem darf dem Benutzer kein erheblicher Nachteil bei Verweigerung der Einwilligung zu Teil werden. Einen entsprechenden Nachweis über die unmissverständliche Einwilligung muss jederzeit vorgelegt werden können.

4. Wie muss das Verzeichnis der Verarbeitungstätigkeiten geführt werden?

Jedes Unternehmen, das personenbezogene Daten erhebt, wird künftig verpflichtet werden ein Verzeichnis zur Verarbeitungstätigkeit zu führen. D.h. jede Art der Verarbeitungstätigkeit von personenbezogenen Daten obliegt einer ausführlichen Beschreibung und muss stets aktualisiert werden. Das können Vorgänge wie bspw. Anmeldung Newsletter, Kontaktformular, Bestellung, Informationenanfragen/ oder -anforderungen etc. Die Datensicherheit der personenbezogenen Daten, speziell auch bei der Speicherung bei Drittanbietern, muss stets gewährleistet sein.

5. Wie wird die Auftragsdatenverarbeitung durch Dritte geregelt?

Meist werden bei der Verarbeitung von personenbezogenen Daten auch Dritte in Anspruch genommen. Hier sollten die Vertragsvereinbarungen unbedingt geprüft werden. Gibt es möglicherweise auch Ketten bei den Dienstleistern? Dienstleistungen, wie Auswertungen von Websiten-Zugriffen, Mailings mittels CRM Tools, Webmail-Programme etc. könnten betroffen sein.

6. Welche besonderen Informationspflichten nebst Datenschutzerklärung werden für Webseiten gefordert?

Für Webseiten werden neue, erweiterte Anforderungen gestellt, welche insbesondere für etwaige Abmahnungen hohe Relevanz haben. Darüber hinaus existieren gegenüber dem Kunden bzgl. der Datenverarbeitung bestimmte Informationspflichten. Ab 10 Mitarbeitern wird des weiteren die Angabe des Datenschutzbeauftragten verpflichtend sein.

Sie benötigen detaillierte Informationen zu dem Thema?

Da die aufgeführten Themenfelder lediglich einen Auszug der neuen Datenschutzerklärung liefern, möchten wir Ihnen dringend empfehlen, sich ausführlich mit dem Thema zu befassen. Hierbei sollten Sie unbedingt rechtliche Unterstützung durch einen Fachanwalt in Betracht ziehen.


Bei allgemeinen Fragen zu dem Thema stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.

 
Bitte finden Sie außerdem weitere Informationen unter folgenden Links:

t3n.de - DSGVO: Diese Änderungen kommen auf dein Online-Business zu
heise.de - Informationspflicht: Die Datenschutzerklärung (mit Checkliste)
t3n.de - DSGVO: Bitkom warnt Unternehmen vor Millionen-Bußgeldern
Datenschutz-Guru - Abmahngefahren durch die DSGVO
Baden-Württemberg - Dokumente der Datenschutzkonferenz
Der betriebliche Beauftragte für den Datenschutz