Jetzt Mitglied werden!
eRecht24.de
(327 Bewertungen, 4.17 von 5)
hero landingpage dsgvo

Die DSGVO ist da: Sind Sie gut vorbereitet?

  • Alle wichtigen Änderungen zur DSGVO
  • Was Sie als Unternehmer wissen müssen
  • So sichern Sie Ihr Unternehmen gegen Abmahnungen ab
  • Vermeiden Sie teure Bußgelder

So gestalten Sie Ihre Webseite schnell und einfach DSGVO-konform

92% der Seitenbetreiber haben die DSGVO noch nicht umgesetzt.* Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden. Sie müssen jetzt handeln!
Jetzt Webseite absichern

*Stand November 2017 lauf Studie des European Business Awards (EBA) für RSM

Was sich 2018 im Datenschutz ändert. Und warum das für Sie wichtig ist.

 

Autoren: RA Sören Siebert, Dipl.-Juristin Bea Brünen, RA Lev Lexow

Letztes Update: 05.07.2018

Inhaltsverzeichnis:

  1. Aktuelle Meldungen zur DSGVO
  2. Was ist die Datenschutzgrundverordnung? (Video)
  3. Gilt die EU-DSGVO eigentlich schon?
  4. Für wen gilt die DSGVO?
  5. An wen wendet man sich bei Verstößen?
  6. Strafen, Bußgelder und Abmahnungen
  7. Was genau ist denn nun neu?
  8. Datenschutzerklärung anpassen: Muster, Checklisten und Generatoren
  9. Achtung bei Auftragsdatenverarbeitung
  10. Datenschutzbeauftragter und die DSGVO
  11. Externen Datenschutzbeauftragten bestellen
  12. Verarbeitungsverzeichnis nach DSGVO
  13. Neue Pflichten für Arbeitgeber
  14. Wie finden Sie den richtigen Anwalt zur DSGVO?
  15. Checkliste zur DSGVO
  16. Die häufigsten Irrtümer zur DSGVO
  17. Der DSGVO-Gesetztestext
  18. DSGVO für Unternehmen und Organisationen

 

Aktuelle Meldungen zur Datenschutz-Grundverordnung

DSGVO: Kein vorrübergehendes Abmahnverbot

Zahlreiche Abmahnungen nach dem Start der Datenschutz-Grundverordnung (DSGVO) hatten die CDU auf die Idee gebracht, Abmahngebühren vorrübergehend zu verbieten. Darauf konnte sich die Partei jedoch nicht mit ihrem Koalitionspartner SPD einigen. Was wollen die beiden Parteien nun stattdessen gegen die DSGVO-Abmahnungen unternehmen?

Das wollte die CDU gegen DSGVO-Abmahnungen tun

Viele Wettbewerber haben den Start der neuen Datenschutzregeln ausgenutzt, um ihren Konkurrenten finanziell eins auszuwischen. Sie mahnten die Konkurrenz beispielsweise für eine fehlerhafte Einbindung von Google Analytics oder von Google Fonts ab und forderten in diesem Rahmen die Zahlung hoher Abmahngebühren.

Derzeit ist jedoch rechtlich noch nicht geklärt, ob Wettbewerber überhaupt Datenschutzverstöße nach dem Gesetz gegen den unlauteren Wettbewerb anwaltlich abmahnen lassen dürfen. Die CDU sieht daher in den zahlreichen Abmahnungen einen Rechtsmissbrauch, den sie unterbinden will. Dafür hatte die Union der SPD vorgeschlagen, man könne Abmahngebühren mit einer Frist von einem Jahr gesetzlich verbieten. Auf diese Weise sollten Unternehmen in Deutschland mehr Zeit haben, ihren Betrieb an die neuen gesetzlichen Anforderungen anzupassen. Dazu hatte Bundesinnenminister Horst Seehofer (CDU) die Bundesministerin der Justiz und für Verbraucherschutz (SPD), Katarina Barley, darum gebeten, das derzeitige Abmahnverhalten deutlich zu minimieren.

So reagierte die SPD auf den Vorschlag zur Datenschutzgrundverordnung

Die SPD lehnte diese Art der „Soforthilfe“ jedoch ab. Die CDU gab dazu enttäuscht an, dass die geplanten Maßnahmen mit der SPD in dieser Form leider nicht möglich seien. Beide Parteien sind sich jedoch einig, schnell und umfassend gegen den derzeitigen Abmahnmissbrauch vorgehen zu wollen. Das sei auch im Koalitionsvertrag festgehalten.

So will die SPD gegen den Abmahnmissbrauch vorgehen

Statt einem vorrübergehenden Verbot, das nicht als Langzeitlösung möglich gewesen wäre, will die SPD den Abmahnmissbrauch grundlegender angehen. Ihr Ansatz: Die Partei will Anwaltsgebühren für DSGVO-Abmahnungen so wie im Urheberrecht deckeln. Darüber hinaus sollen sich Kläger nicht mehr den Ort für eine eventuelle Klage aussuchen können.

Fazit

Die CDU wollte ein laufendes Gesetzgebungsverfahren nutzen, um Abmahngebühren bereits im Juli vorrübergehend zu verbieten. Wann SPD und CDU jetzt grundlegende Änderungen gesetzlich festhalten können, um einen Abmahnmissbrauch dauerhaft zu verbieten, ist bisher nicht klar.

Bußgelder: Mecklenburg-Vorpommern begrenzt Höchstbetrag auf 50.000 Euro

 In Deutschland entscheiden insgesamt 18 Aufsichtsbehörden darüber, ob Bußgelder für Datenschutzverstöße notwendig sind und wie hoch diese ausfallen. Der ehemalige Datenschutzbeauftragte von Mecklenburg-Vorpommern, Karsten Neumann, ließ jetzt verlauten, dass das Bundesland den Höchstbetrag für Bußgelder auf 50.000 Euro beschränkt habe. Was sagen die EU-Kommission und die Bundesregierung dazu?

Bußgelder in der Datenschutzgrundverordnung nur reine Theorie?

Eigentlich können Aufsichtsbehörden Datenschutzverstöße mit bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens ahnden. Mecklenburg-Vorpommern scheint auf diese Möglichkeit jedoch nicht zurückgreifen zu wollen, wie eine Beschränkung der Bußgelder zeigt. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, bezeichnete das als echte Katastrophe.

So sieht die EU-Kommission die Begrenzung des Bußgelds

Das ist mittlerweile auch der EU-Kommission zu Ohren gekommen. Diese sieht die Sanktionen für Rechtsverletzungen als wichtiges Mittel zur Abschreckung. Das gab Renate Nikolay, Kabinettschefin der EU-Justizkommissarin Věra Jourová, vor wenigen Tagen in einem Seminar der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin an. Die EU-Kommission will sich daher Mecklenburg-Vorpommern vorknöpfen.

So sieht die Bundesregierung die Begrenzung des Bußgelds

Bundesinnenminister Horst Seehofer gab dazu an, dass die Bundesregierung das Vorgehen Mecklenburg-Vorpommerns in den nächsten Monaten genau beobachten werde. Man wolle abwarten, welche Erfahrungen Verbraucher, Konzerne und Behörden mit den neuen Gesetzen machen. Sollte sich hier Bedarf für Änderungen zeigen, würden diese unmittelbar umgesetzt. Gleichzeitig verwies Seehofer jedoch auch darauf, dass er davon ausgeht, dass die Aufsichtsbehörden mit Augenmaß vorgingen. Wie das mit der generellen Bußgeldbegrenzung Mecklenburg-Vorpommerns zusammenpasst, ließ Seehofer offen.

Datenschutzverstöße in Österreich sollen straffrei bleiben

Einen ähnlichen Kurs wie Mecklenburg-Vorpommern fährt derzeit Österreich. Die österreichische Regierung hatte verlauten lassen, dass die meisten Datenschutzverstöße straffrei bleiben sollen. Es soll lediglich Strafen für Wiederholungstäter geben, wobei es selbst dabei Ausnahmen geben soll. Öffentliche Einrichtungen sollen keine Strafen erhalten. Die EU-Kommission hat auch hierzu bereits Bedenken geäußert.

Fazit

Nicht jeder Datenschutzverstoß muss zwingend ein Bußgeldverfahren nach sich ziehen. Die Schwere und Zahl der Datenschutzverstöße und die Sensibilität der betroffenen Daten entscheiden darüber, ob ein Bußgeldverfahren angebracht ist. Dass eine generelle Begrenzung des Bußgelds auf wenige tausend Euro nicht mit der DSGVO vereinbar ist, hat die EU-Kommission bereits deutlich gemacht.

Nach dem Start der DSGVO: Erste Beschwerden gegen Google und Facebook

Max Schrems und noyb hatten es vor dem Start der Datenschutz-Grundverordnung (DSGVO) bereits angekündigt: Sie wollen großen IT-Unternehmen genau auf die Finger schauen, wie ernst diese den neuen Datenschutz nehmen. Seit wenigen Tagen gilt nun die DSGVO und noyb hat bereits erste Beschwerden gegen Facebook und Google eingereicht. Was wirft noyb den Unternehmen vor?

Das kritisiert noyb bei Google und Facebook

Facebook und Google machen es sich leicht: Erst wenn User in die Verarbeitung ihrer Daten zugestimmt haben, dürfen sie die Dienste weiter nutzen. Das verstößt laut Max Schrems jedoch gegen die Regelungen der DSGVO. Denn: Auf diese Weise erzwingen die Unternehmen die Einwilligung der Nutzer.

Facebook geht dabei besonders rigide vor. So können sich User hier nur entscheiden, ob sie die Datenverarbeitung akzeptieren oder ob sie ihr Konto löschen wollen. Das sei keine freie Wahl, sondern erinnere an Wahlen in Nordkorea, so der Vergleich von Schrems. Diese Vorgehensweise könnte damit gegen das Kopplungsverbot der DSGVO verstoßen. Dies verbietet es Unternehmen, den Zugang zu Diensten davon abhängig zu machen, ob User in die Datennutzung einwilligen.

So reagiert noyb auf das Verhalten von Facebook und Google

Max Schrems und noyb haben daher Beschwerden gegen Google und seinen Dienst Android sowie gegen Facebook und die dazugehörigen Dienste WhatsApp und Instagram eingelegt. Dabei entscheidet die französische Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) über Google, die österreichische Datenschutzbehörde (DSB) über Facebook, die belgische Data Protection Authority (DPA) über Instagram und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über WhatsApp. noyb hat die Klagen dort eingereicht, wo man sich die besten Chancen auf einen Sieg gegen die Datensünder erhofft.

noyb will Strafzahlungen testen

Mit seinen ersten Beschwerden will noyb nicht nur den europäischen Datenschutz durchsetzen. Die Organisation will auch testen, ob der mögliche Strafrahmen genutzt wird. Die neuen Gesetze sehen ein Strafmaß von bis zu 4 Prozent des weltweiten Umsatzes von Unternehmen vor. Bei Google wären das satte 3,7 Milliarden Euro, bei Facebook und seinen weiteren Diensten um die 1,3 Milliarden Euro. Max Schrems erwartet zwar nicht diese Höchststrafen, die Kosten könnten jedoch in einem Rahmen liegen, der die Unternehmen empfindlich trifft.

Fazit

Die ersten Beschwerden von noyb dürften der Beginn einer Reihe von Klagen sein. Die Organisation will allen großen Datensündern auf die Finger hauen und so den europäischen Datenschutz durchsetzen. Daher stellt sich nur die Frage: Who is next?

Eingeschränkt und ausgesperrt: So gehen US-Nachrichtenseiten mit der DSGVO um

Während sich deutsche Unternehmen bemühen, den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachzukommen, machen es sich amerikanische Nachrichtenseiten leicht: Sie schränken ihre Angebote ein oder sperren europäische Nutzer gleich ganz aus. Wo schauen EU-User ab jetzt in die Röhre?

Diese Nachrichtenseiten können EU-User wegen der DSGVO nicht mehr lesen

New York Daily News, Chicago Tribune, Baltimore Sun, Los Angeles Times und San Diego Union-Tribune machen für europäische Nutzer dicht. Die zum US-Verlag Tronc gehörenden Medien zeigen beim Besuch ihrer Webseite lediglich die Meldung an, dass die Seite in den meisten europäischen Ländern nicht mehr zur Verfügung steht. Sie arbeiten jedoch an einer technischen Lösung, um ihre Inhalte dem EU-Markt wieder zugänglich zu machen.

Neben Tronc sperrt auch das US-Verlagshaus Lee Enterprises europäische Nutzer aus. Damit können sie zahlreiche amerikanische Lokalzeitungen wie Fremont Tribune und Arizona Daily nicht mehr lesen.

Diese Nachrichtenseiten gewähren einen eingeschränkten Zugriff

USA Today will europäische User nicht ganz vor die Tür setzen. Diese landen seit dem 25. Mai auf einer Unterseite, die USA Today als „European Union Experience“ bezeichnet. User finden hier eine funktional reduzierte Seite, die vor allem auf der Startseite wie ein Nachrichtenticker wirkt. Dafür sammelt USA Today jedoch keine personenbezogenen Daten und erfüllt somit die Anforderungen der DSGVO. National Public Radio (NPR) – ein Zusammenschluss von amerikanischen Hörfunksendern – lässt europäische Nutzer wählen: Sie können die Bedingungen des Senders akzeptieren oder auf eine stark reduzierte Version der Seite zurückgreifen. Diese sieht jedoch aus wie eine der ersten Seiten aus dem Internet der 90er Jahre.

DSGVO bringt Nutzern zusätzliche Kosten

Einige Portale nutzen die DSGVO, um zusätzliche Einnahmen zu generieren. So können Nutzer zum Beispiel bei der Washington Post eine „Premium EU Subscription“ buchen. Diese lässt die Zeitung auf Werbung und Tracking verzichten. Das Abo kostet jedoch 9 statt 6 Dollar pro Monat. User können zwar nach wie vor die kostenlose Version der Seite aufrufen. Dafür müssen sie jedoch die Datenschutzbestimmungen und den Cookie-Hinweis der Washington Post akzeptieren.

Fazit

Die Reaktionen der amerikanischen Nachrichtenseiten auf die DSGVO sind keine Überraschung. Sie sind nicht auf europäische User angewiesen. Daher macht es für sie mehr Sinn, EU-Usern den Zugang zu verwehren oder die Nutzung einzuschränken als ihre Seite der DSGVO anzupassen.

Strafzahlungen: So gefährdet sind Unternehmen

Unternehmen sprechen von „existenzbedrohend“, Datenschützer von einem „Meilenstein des Datenschutzes“: Die Meinungen zur Datenschutz-Grundverordnung (DSGVO) könnten derzeit kaum mehr auseinander gehen. Was aber erwartet Unternehmen in der Praxis wirklich? Wie schnell sind Strafzahlungen zu erwarten? Wir zeigen, was Datenschutzbeauftragte dazu sagen und worauf Unternehmen hoffen.

Das sagen Datenschützer

Aus Sicht der Datenschützer betreiben Unternehmen derzeit Schwarzmalerei, wenn es um die DSGVO geht. Die Diskussion um die Umsetzung der neuen Regelungen sei emotional höchst aufgeladen. Daher sei es notwendig, die Panik abzubauen, so der hessische Datenschutzbeauftragte Michael Ronellenfitsch. Wirklich Probleme erwarten können nur die Unternehmen, die schon immer deutsche Datenschutzbestimmungen verletzt haben. Alle anderen seien auf der sicheren Seite, so der hessische Datenschutzbeauftragte weiter.

Wie schnell sind Bußgelder zu befürchten?

Unternehmen bezeichnen die DSGVO oftmals als bürokratisch oder innovationshemmend. Die Bundesdatenschutzbeauftragte Andrea Voßhoff sieht diese negative Darstellung jedoch nicht als gerechtfertigt. Sie fordert, nicht die möglichen Hemmnisse in den Vordergrund zu stellen. Die Angst vor Strafzahlungen sei zudem übertrieben, da die Kontrollbehörden zwar neue Kompetenzen hätten, aber keine von ihnen ab dem 25. Mai ihre Runden drehen würden, um Bußgelder einzusammeln. Diese Einschätzung passt zu den Äußerungen vieler Aufsichtsbehörden, die angaben, weder über die personellen Mittel noch über die juristischen Kompetenzen zu verfügen, um aktiv nach Gesetzesverstößen zu suchen.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk sieht die deutschen Kontrollbehörden jedoch nicht ganz so zahnlos. Sie stuft das Verhängen von Strafzahlungen als wichtiges Mittel ein, um den Datenschutz zu erreichen, den die DSGVO beabsichtigt. Unternehmen könnten bei geringen Verstößen noch mit Verwarnungen rechnen. Sollten sich Unternehmen bei Verstößen einsichtig und kooperativ zeigen, sollen die Bußgelder moderat bleiben.

Unternehmen hoffen auf Nachsicht

Unternehmen fühlen sich von der Politik im Stich gelassen. Sie hätten viel zu wenig Input und Hilfestellung erhalten, um die erforderlichen Datenschutzanpassungen kompetent vornehmen zu können. Daher hoffen sie auf etwas Nachsicht in den ersten Wochen nach dem 25. Mai. Diese hatte die EU-Justizkommissarin Vera Jourova vor wenigen Tagen anklingen lassen, als sie sagte, die nationalen Aufsichtsbehörden würden keine Sanktionsmaschinen sein. Offiziell gäbe es allerdings keine weitere Übergangsphase. Die nationalen Behörden entschieden selbst, wie hart sie gegen Datenschutzverstöße vorgehen wollen.

Fazit

Wie hart die deutschen Datenschutzbehörden tatsächlich durchgreifen werden, liegt in ihrem eigenen Ermessen (und im Rahmen der gesetzlichen Möglichkeiten). Eine eindeutige Linie ist dabei vor dem Start der DSGVO nicht erkennbar.

WordPress: Neue Datenschutzfunktionen für die Datenschutzgrundverordnung

Die Datenschutz-Grundverordnung (DSGVO) macht auch vor WordPress nicht halt. Das viel verwendete CMS hat daher jetzt einige neue Funktionen hinzugefügt, damit Webseitenbetreiber ihre Seite den neuen Datenschutzanforderungen anpassen können. Worauf sollten Seitenbetreiber einen Blick werfen?

Das sind die neuen DSGVO-Funktionen bei WordPress

Seitenbetreiber können bei Kommentarfeldern auf Wunsch jetzt ein Häkchen einblenden lassen, das Nutzer in die Speicherung ihrer Daten für die nächsten Besuche einwilligen lässt. Nicht eingeloggte User können somit entscheiden, ob sie bei ihrem nächsten Besuch ihren Namen, E-Mail-Adresse oder Webseite im Kommentarfeld bereits voreingetragen finden möchten.

Darüber hinaus können Seitenbetreiber jetzt eine Datenschutzrichtlinienseite im CMS festlegen. WordPress verlinkt diese dann automatisch auf den Login- und Registrierungsseiten. Sie müssen diese dann noch eigenhändig auf allen anderen Seiten selbst verlinken, um rechtlich auf der sicheren Seite zu stehen. Darüber hinaus verfügt WordPress jetzt über eine Löschfunktion, die Seitenbetreiber alle personenbezogenen Daten aus dem CMS löschen lässt. Diese Löschfunktion erfasst alle personenbezogenen Daten, die WordPress oder ein installiertes Plugin abgespeichert hat.

WordPress stellt Übersicht aller Userdaten aus

Die Datenschutzgrundverordnung fordert zudem: Webseitenbesucher müssen die Möglichkeit haben, eine Übersicht über ihre gespeicherten Daten zu erhalten. WordPress hat auch hierfür neue Funktionen hinzugefügt. Seitenbetreiber finden jetzt ein passendes Export-Werkzeug, das ein ZIP-Archiv mit allen gespeicherten Informationen erzeugt. Wollen sich Webseitenbetreiber vorher vergewissern, ob die betroffene Person eine Anfrage zur Datenübersicht wirklich gestellt hat, kann WordPress eine Mail mit einem Bestätigungslink verschicken.

Fazit

Die DSGVO erfasst auch das viel genutzt WordPress. Seitenbetreiber, deren Webseiten auf WordPress laufen, müssen sich daher mit den neuen WordPress-Funktionen auseinandersetzen, um ihre Seite datenschutzkonform zu gestalten. Insgesamt hat WordPress für seine neue Version 95 Updates integriert. Alle relevanten Funktionen für die Datenschutzgrundverordnung finden Seitenbetreiber im Admin-Bereich unter „Werkzeuge“.

Vorbereitung auf die DSGVO: 500 Menschjahre hat Google dafür investiert

Während einige Unternehmen und Händler noch keinen Finger für die anstehende Datenschutz-Grundverordnung (DSGVO) gerührt haben, ackert Google seit Monaten an einer Lösung. Googles Datenschutzjustiziar Peter Fleischer hat jetzt verraten, wie viel Zeit der Konzern in die Umsetzung der neuen EU-Regelungen investiert hat. Wie viel Aufwand hatte Google für die DSGVO?

500 Menschenjahre: So viel Arbeit steckte in der Vorbereitung auf die DSGVO

Diesen Aufwand hat Google in seine Bemühungen gesteckt, die Datenschutzanforderungen der DSGVO zu erfüllen. Das erklärte Peter Fleischer auf den 8. European Data Protection Days in Berlin. 40 Jahre davon hat die Suchmaschine allein investiert, um die rund 1110 Google-Produkte und -Projekte zu überprüfen und den neuen Regelungen entsprechend anzupassen. Weitere beeindruckende Zahlen: Darüber hinaus hat Google 12,5 Millionen Verträge mit Kunden und Geschäftspartnern erneuert.

Während sich bereits kleinere Unternehmen mit den komplizierten Anforderungen der DSGVO schwertun, zeigt Google, welche Ausmaße die Anpassungen in Sachen Datenschutz annehmen können. Und das, obwohl der Konzern im Vergleich zu anderen großen IT-Playern bereits seit Jahren vergleichsweise transparent mit dem Thema Datenschutz umgeht.

Das haben Unternehmen von Googles Aufwand

Unternehmen haben jetzt einige nützliche Werkzeuge an der Hand, um ihren Datenschutz gesetzeskonform umzusetzen. So können sie nun beispielsweise selbst Einwilligungen in Werbeschaltungen einholen. Darüber hinaus können Unternehmen zum ersten Mal direkt ihre bei Google gespeicherten Daten überprüfen und verwalten. Die neue Datenschutzerklärung von Google liest sich zudem deutlich userfreundlicher als die alte Version.

Mit diesem Aufwand hat Google jedoch nicht an allen datenschutzrelevanten Schrauben gedreht. Denn: Der Konzern hat laut Fleischer bereits seit Jahren an der Anpassung aller wichtigen Datenschutzfragen gearbeitet.

Fazit

Google hat viel Arbeit in die Anpassung seiner Produkte und Verträge gesteckt, um den Anforderungen der DSGVO gerecht zu werden. Umso erstaunlicher ist daher die Erklärung des Konzerns, dass die Datenschutz-Grundverordnung nicht zu überschätzen sei. Es müsse sich erst noch zeigen, welche Gesetze den Datenschutz tatsächlich verbessern werden.

DSGVO: So vorbereitet sind deutsche Unternehmen

In wenigen Tagen steht die Datenschutz-Grundverordnung (DSGVO) vor der Tür. Unternehmen müssen dann die Erhebung und Verarbeitung von Daten zahlreichen neuen Bestimmungen angepasst haben. Wie vorbereitet sind deutsche Firmen?

DSGVO: So viele Unternehmen haben den Datenschutz angepasst

Zahlen des Online-Marketing-Consultants absolit und des eco-Verbands der Internetwirtschaft zeigen: Lediglich 13 Prozent der deutschen Unternehmen habe ihre Prozesse angepasst und sind somit bereit für die DSGVO. Gut die Hälfte (56 Prozent) steckt mitten in den Vorbereitungen und etwas mehr als ein Viertel hat noch nicht damit begonnen, die Datenschutzanforderungen anzugehen. Selbst die Unternehmen, die glauben, bereit für die DSGVO zu sein, zeigen nach wie vor Mängel in Sachen Datenschutz. So erfüllt nur die Hälfte dieser Befragten wichtige Kriterien wie abgeschlossene Verträge zur Auftragsverarbeitung mit Dienstleistern oder den Umgang mit E-Mail-Adressen.

Die Befragung der gut 600 Unternehmen hat auch ergeben: Je nach Branche sind Firmen unterschiedlich vorbereitet. Während im Software-Segment 85 Prozent ihre Prozesse den Bestimmungen der DSGVO angepasst haben, haben 48 Prozent in der Pharma-Industrie damit noch nicht begonnen.

Top-50-Onlineshops noch nicht bereit für die Datenschutzgrundverordnung

Diese Erkenntnisse bestätigt eine Analyse des Beratungsunternehmens Usercentrics. Dies fand heraus, dass von den Top-50-Onlineshops in Deutschland 70 Prozent noch nicht für die DSGVO bereit sind. Beide Studien stammen zwar aus dem März und sind somit bereits einige Wochen alt. Sie vermitteln jedoch eine Momentaufnahme, die zeigt, dass deutsche Unternehmen den Anforderungen der DSGVO auf den letzten Drücker nachkommen und damit das Risiko eingehen, am 25. Mai deutsche Datenschutzbestimmungen nicht zu erfüllen.

Die Zahlen der Untersuchungen zeigen: Viele deutsche Unternehmen sind noch nicht für die anstehende DSGVO bereit und damit stark abmahngefährdet. Ihnen drohen Strafzahlungen in Millionenhöhe.

Snapchat und DSGVO: User unter Jahren 16 weiter erlaubt

Wenn in wenigen Tagen die neue Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, dürfen Dienste wie Facebook und WhatsApp nur personenbezogene Daten von Usern erheben, die mindestens 16 Jahre alt sind. Ansonsten benötigen diese die Erlaubnis der Eltern. Junge Snapchat-User brauchen jedoch auch nach dem 25. Mai kein „Ja“ der Erziehungsberechtigten. Was ändert der Dienst, um den Regeln der DSGVO zu entsprechen?

Das schreibt die DSGVO bezüglich des User-Alters vor:

Nutzen User Online-Dienste wie die populären Apps WhatsApp und Facebook, müssen sie ab dem 25. Mai mindestens 16 Jahre alt sein. Teenager im Alter von 13 bis 16 Jahren müssen daher erst Mama oder Papa fragen, bevor sie die Dienste nutzen. Damit sich Unternehmen und User daran halten, verlangt die DSGVO einen eindeutigen Altersnachweis - oder die Erlaubnis der Eltern. Dienste müssen Letztere jedoch nicht auf Teufel komm raus einholen. Sie haben laut Artikel 8 DSGVO die Pflicht, „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ zu unternehmen, um zu überprüfen, ob die Einwilligung der Eltern vorliegt.

Diese Maßnahmen will Snapchat ergreifen 

Damit Snapchat-Nutzer erst gar nicht die Erlaubnis der Eltern einholen müssen, ändert der Dienst seine Erhebung und Speicherung von personenbezogenen Daten. Snapchat will künftig schlichtweg weniger personenbezogene Daten sammeln. Unter anderem will das Unternehmen keine Informationen mehr zur Ortung der User aufnehmen. Usern von 13 bis 16 Jahren bleibt damit das „OK“ der Eltern erspart.

So handhaben Facebook und WhatsApp die neuen Regelungen

Die Dienste wollen durch die neue Regelung der DSGVO nicht auf die Erhebung von bestimmten personenbezogenen Daten verzichten. So fragt WhatsApp derzeit bereits seine User, ob sie 16 Jahre alt sind. Das müssen sie mit einem Klick bestätigen. Das funktioniert ohne jeden Nachweis. Ehrliche Teenager unter 16 Jahren müssen ihre Eltern per Klick zustimmen lassen.Facebook geht das Ganze etwas strenger an. Der Konzern implementiert einen Mechanismus, um die Zustimmung der Erziehungsberechtigen einzuholen. User sollen dabei entweder ihre Eltern bei Facebook finden oder eine E-Mail der Eltern nennen, unter der Facebook sie kontaktieren kann.

Snapchat macht es sich leicht und verzichtet fortan auf bestimmte personenbezogene Daten. Das ist nur logisch. Denn: Die App ist insbesondere bei Teenagern unter 16 Jahren verbreitet, so dass die Zustimmung der Eltern zu einem Stolperstein werden könnte.

DSGVO: Unternehmen fühlen sich von der Politik im Stich gelassen

Deutsche Unternehmen fühlen sich von der Politik nicht ausreichend unterstützt, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) termingerecht zu erfüllen. Was genau beklagen Firmen? Und wie sehen Datenschützer den Aufwand für die DSGVO?

DSGVO-Aufklärung: Verbraucher vor Unternehmen

Allein mit einem riesigen Haufen von Daten: Unternehmen fühlen sich von den Behörden im Stich gelassen, um ihren Datenwust den Regelungen der DSGVO anzupassen. Sie wünschen sich mehr Unterstützung der Behörden, um am 25. Mai wirklich vorbereitet zu sein. Vor allem beklagen Unternehmen, nicht ausreichend informiert worden zu sein. Das gab Gerhard Göttert, Vorstandsmitglied des Verbands der SAP-Anwender, zu verstehen. Der Fokus der Politik habe vielmehr auf den Verbrauchern gelegen, um ihnen den neuen Schutz ihrer Daten zu erklären, so Göttert weiter.

Datenschutzgrundbverordnung: Bußgelder existenzbedrohend

Die schwere und umfangreiche Aufgabe, den Datenschutz entsprechend der DSGVO anzupassen, macht Unternehmen so kurz vor der Deadline nervös. Das hat seinen Grund: Zum ersten Mal drohen Bußgelder, die richtig weh tun können. Göttert stuft diese für Unternehmen als existenzgefährdend ein.

Können Unternehmen die Deadline einhalten?

Ob es deutsche Unternehmen noch bis zum 25. Mai schaffen, ihre Prozesse auf die DSGVO umzustellen, ist fraglich. Erst kürzlich zeigten verschiedene Umfragen, dass nur wenige Firmen lückenlos auf die neuen Gesetze vorbereitet sind. Eine ähnliche Einschätzung gab auch Göttert ab, der eine Punktlandung bis zum Stichtag für manche Unternehmen als schwierig ansieht.

Politik sieht Umsetzung der EU DSGVO als machbar

Die Politik sieht die Aufregung um die DSGVO gelassen. Stefan Brink, Datenschutzbeauftragter in Baden-Württemberg, glaubt, dass die Umsetzung in den meisten Fällen machbar sei. Denn: Das Datenschutzrecht werde mit der DSGVO nicht neu erfunden. Lediglich Unternehmen, für die die Datenverarbeitung das Hauptgeschäft sei, stünden vor einem großen Aufwand.

Gleichzeitig gewännen Unternehmen mit der DSGVO auch klare Vorteile. So haben die neuen Gesetze beispielsweise den Grundsatz der Datensparsamkeit durch den Begriff Datenminimierung ersetzt. Das würde Unternehmen, die große Datenmengen analysieren müssen, mehr Spielraum geben, erklärte Stefan Brink.

Fazit
Unternehmen sind vor der anstehenden DSGVO nervös, rechtzeitig alle Anforderungen erfüllen zu können. Ausreichend Zeit dafür hatten sie jedoch: Insgesamt zwei Jahre konnten sie sich auf die neuen Gesetze vorbereiten.

 

Die neue EU Datenschutzgrundverordnung: Das müssen Händler und Unternehmer wissen

Video: Datenschutzgrundverordnung DSGVO einfach erklärt!

Lernen Sie die Datenschutzgrundverordnung - DSGVO kennen. [Erstellt von https://www.erklaerhelden.de/]

 

Datenschutz ist für alle Unternehmer wie Shopbetreiber und Dienstleister bereits heute ein wichtiges Thema. Kundenbestellungen, E-Mail Kampagnen oder Nutzertracking: überall spielt der Datenschutz eine Rolle.    

2018 kommen auf alle Unternehmen weitreichende Änderungen zu: Seit dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland verbindlich. Diese stellt viele Grundsätze des Datenschutzrechts nach dem alten BDSG auf den Kopf.

Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.

1. Was ist die DSGVO und was hat das mit mir zu tun?

DSGVO vom Anwalt betrachtet. Das müssen Sie zur Datenschutzgrundverordnung wissen

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht - also den Umgang von Unternehmen mit personenbezogenen Daten - einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Was ist das Ziel der DSGVO?

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz ausserhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten.

Zweites Ziel der Verordnung: Das Datenschutzrecht soll datenschutzfreundlicher für die betroffenen Nutzer werden. Der Bürger soll die Hoheit über seine Daten soweit wie Möglich zurück erhalten.  Zusammen mit deutlich höheren Bußgeldern soll so sicher gestellt werden, dass sich auch Cloud Dienste oder soziale Netzwerke etwa aus den USA an die Regeln halten müssen.

Was hat das mit mir als Unternehmer zu tun, werden sich nun viele Fragen?

...die neue Verordnung betrifft doch nur Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter. Leider nicht, die DSGVO betrifft wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.  

Video: Einführung in die Datenschutzgrundverordnung DSGVO

Lernen Sie im Video Teil1: Die Grundlagen der Datenschutzgrundverordnung - DSGVO kennen.

2.  Ab wann gilt die EU-DSGVO?

Über die DSGVO wurde schon überall gesprochen, Irritation gab es aber über den offiziellen Start.  

Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER: Unternehmen und Webseitenbetreiber in den  EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst seit dem dem 25. Mai 2018 verbindlich anwenden.

Muss die Verordnung nicht erst umgesetzt werden?

Manche Webseitenbetreiber fragen sich vielleicht: Muss Deutschland die EU- Gesetze nicht noch im nationalen Recht umsetzen? Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra umsetzen. Sie gelten direkt (anders ist das aber bei EU-Richtlinien). Allerdings haben die Mitgliedstaaten in einigen Bereichen auch Gestaltungsspielräume, sodass es keine 100%ig einheitliche Rechtslage geben wird.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird derzeit auch deswegen noch angepasst.

eRecht24: Neuregelungen in der DSGVO

Link-Tipp:

Falls Sie hierzu nähere Informationen haben wollen, könnte Sie folgender Beitrag interessieren: https://www.bundesregierung.de/Content/DE/Artikel/2017/02/2017-02-01-datenschutz.html

Achtung Website-Betreiber: Auch die für Sie wichtigen Regelungen des Telemediengesetzes (TMG) werden durch die Datenschutzgrundverordnung zum Teil verdrängt.

Hier kommen zukünftig aber noch weitere Änderungen auf Sie zu! Da die DSGVO nicht speziell für Telemedien konzipiert ist, wird es zukünftig wohl noch eine speziellere Verordnung geben: die neue e-Privacy Verordnung. Diese sollte 2018 mit der DSGVO in Kraft treten, ist aber auch 2019 verschoben. Wir werden Sie hierzu auf dem Laufenden halten.

3. Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für:

alle Unternehmen, die in der EU ansässig sind.

Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie:

  • Eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten

Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung: personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar"´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind z.B.:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

4. An wen wendet man sich bei Verstößen?

Wenn bald in der ganzen EU das gleiche Recht gilt, wer ist denn dann für Datenschutzverstöße im Zusammenhang mit der Datenschutzgrundverordnung zuständig? Gibt es vielleicht eine zentrale Aufsichtsbehörde?

Wer beispielsweise als Online-Händler international verkauft, hat in diesem Zusammenhang vielleicht schon etwas vom neuen "One-Stop-Shop" gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

erecht24 datenschutzgrundverordnung2

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde Ihre Aufsichtsbehörde bei Fragen und Verstößen gegen die DSGVO.

5. Welche Strafen und Bußgelder drohen bei Verstößen gegen die DSGVO? Was ist mit Abmahnungen?

Strafen und Bußgelder

Neu sind vor allem die immens hoben Strafen und Bußgelder, die die DSGVO vorsieht. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Das wird sich aber sehr wahrscheinlich ändern. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig: Anfragen/ Beschwerden von Nutzern ernst nehmen.
Noch wichtiger: Anfragen/ Beschwerden von Datenschutzbehörden ernst nehmen.
Ziel: Bußgelder nach DSGVO möglichst vermieden

One-Stop-Shop und Zuständigkeiten

Noch nicht abschließend geklärt sind jedoch die Zuständigkeiten der jeweiligen Behörden. Also die Frage, ob nun ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder  Datenschutzbeauftragte in anderen Ländern der EU zuständig ist bzw. diese Zuständigkeiten ggf. auch wechseln können. Um dieses Durcheinander zu vehindern sieht die Verordnung ein "One-Stop-Shop" genanntes Prinzip in Artikel 56 Abs. 1 EU-DSGVO vor.

Bei grenzüberschreitendem Datenverkehr soll dann allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig sein. Dabei stellt sich aber zum Beispiel die Frage, wie sich die verschiedenen Zuständigkeiten verschiedener Behörden zum Beispiel auf die Höhe der Bußgelder auswirken werden.

Hier muss mann wohl abwarten, ob die in der Verordnung geregelten Zuständigkeiten tatsächlich zu einer datenschutzfreundlicheren und gleichzeitig einfachereren Umsetzung führen.

Abmahnungen und die DSGVO

Datenschutzverstöße können – wie von den Gerichten schon in den letzen Jahren immer wieder entschieden - auch nach der DSGVO abgemahnt werden.

Bei Verstößen gegen die DSGVO drohen also Abmahnungen und Gerichtsverfahren, denn:

  • Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
  • Verstöße können auch nach der DSGVO abgemahnt werden!

6. Wichtig für alle Unternehmer: Was ist denn nun neu?

Ihr 10 Punkte Check zur DSGVO

Die Zeit für die Umsetzung der DSGVO wird knapp: Beauftragen Sie noch heute Ihr persönliches Webseiten-Audit zur Umsetzung der DSGVO.
Jetzt informieren

Die Datenschutzgrundverordnung ändert zwar einiges am Datenschutzrecht. Da in Deutschland aber bereits bisher ein recht hohes Datenschutzniveau galt, kommen auf Händler hier nicht so viele Änderungen zu wie in einigen anderen EU-Mitgliedstaaten. Die Unternehmer aus Deutschland sind hier also im Vorteil, wenn Sie sich bisher schon um den Datenschutz gekümmert haben.

a) Neue und alte Grundsätze

An vielen bekannten Grundsätzen des Datenschutzrechts ändert sich nichts. Folgende Grundsätze sollten Sie kennen:

Verbot mit Erlaubnisvorbehalt

Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:

  • Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
  • Einwilligung der betroffenen Person

 Datensparsamkeit

Im Klartext: Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.

Zweckbindung

Im Klartext: Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

 Datenrichtigkeit

Im Klartext: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.

Es gibt allerdings auch neue (bzw. neu niedergeschriebene) Grundsätze:

Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten.

Im Klartext: Das Schutzniveau, dass Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.

Den genauen Wortlaut mit allen Anforderungen können Sie auch noch einmal hier nachlesen:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-32

b) Recht auf Vergessenwerden (Recht auf Löschung)

Viele Unternehmen wissen: Das Recht auf Vergessenwerden ist nicht ganz neu. Der EuGH hat hierzu entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.
Das Recht auf Vergessenwerden ist also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.

erecht24 datenschutzgrundverordnung3

Achtung: Das Recht auf Vergessenwerden können die Nutzer aber nicht nur gegen Suchmaschinenbetreiber geltend machen! Der Anspruch kann man nämlich gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.

In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17.

Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

  • Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Buchstabe a)
  • Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Buchstabe b)
  • Die Datenverarbeitung war unrechtmäßig (Art. 17 Buchstabe d)

Hier können Sie die alle gesetzlichen Bestimmung abrufen:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-17

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Die Datenportabilität ist zum Beispiel wichtig für:

  • Wechsel zu anderen (sozialen) Netzwerken
  • Wechsel der Bank
  • Wechsel des Arbeitgebers

Die Umsetzung dieses neuen Rechts kann es aber in sich haben. Lassen Sie sich hierzu am besten individuell beraten!

d) Auch neu: Die Rechenschaftspflicht

Die EU-DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2 der Datenschutzgrundverordnung). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien nachweisen können.

Praxis-Tipp:

Richten Sie also ein effektives Datenschutzmanagement ein und dokumentieren Sie die Einhaltung der Datenschutzanforderungen. So können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Achtung: Die drohenden Bußgelder sind deutlich höher als früher!

Bußgelder von bis zu 20 Millionen Euro können die Aufsichtsbehörden verhängen. Bei großen Unternehmen und Konzernen drohen sogar noch größere Geldbußen: bis zu 4 % vom weltweiten Konzernumsatz des Vorjahres.

Lassen Sie sich also unbedingt beraten!

eRecht24 Neuregelungen DSGVO

e) Einwilligungen einholen

Einwilligungen der Nutzer spielen für Händler und Unternehmer eine größere Rolle, als viele vielleicht glauben. Denken Sie zum Beispiel an die Einwilligung zur Newsletter-Zusendung.

Aber wie muss eine Einwilligung aussehen? Wir haben Ihnen hier die wichtigsten Anforderungen zusammengestellt:

Form:

Die Einwilligung im Datenschutz ist nicht an besondere Formerfordernisse gebunden. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung erlaubt. 

Achtung: Bei Einwilligungen müssen Sie immer auch an die Dokumentation denken. Mündliche Einwilligungen können hier natürlich schneller zum Problem werden, als wenn Sie die schriftliche oder elektronische Einwilligung im System vermerkt und gespeichert haben.

Opt-In oder Opt-Out:

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Freiwillig:

Besonders wichtig ist auch das Gebot der Freiwilligkeit. Das heißt: Die Vertragserfüllung Ihrerseits dürfen Sie nicht davon abhängig machen, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist.

Inhaltliche Anforderungen:

Die Einwilligung müssen Sie immer zweckgebunden einholen und die Verarbeitungszwecke dabei aufführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt.

Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Widerruf:

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Neu ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Was passiert mit "alten" Einwilligungen? Müssen Sie jetzt alle Kunden neu auffordern?

Hier können Händler aufatmen. Die bisher eingeholten datenschutzrechtlichen Einwilligungen bestehen auch unter der DSGVO weiterhin fort. Das gilt aber nur, wenn Sie sich an die bisherigen Anforderungen des BDSG und TMG gehalten haben. Wenn die Einwilligung bisher nicht wirksam erteilt wurde, wird sie auch nicht durch die DSGVO wirksam.

Wichtig in diesem Zusammenhang ist,dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist. Wer beispielsweise Newsletter versendet, muss nun nach der DSGVO die Einwilligung des Empfängers per double opt in auch nachweisen können. Das war bisher ein reines Beweisprobblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU- DSGVO geregelt.

Einwilligung bei Minderjährigen

Achtung: Neu ist auch, dass die Datenschutzgrundverordnung in Artikel 7 nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

7. Müssen Webseitenbetreiber ihre Datenschutzerklärungen anpassen? Wo gibt es Muster, Checklisten und Generatoren?

Die kurze Antwort: Ja.

Alle Webseitenbetreiber benötigen seit dem 25. Mai 2018 eine komplett neue Datenschutzerklärung. eRecht24 Premium-Nutzern steht deshalb unser neuer DSGVO-konforme Datenschutz-Generator zur Verfügung.

Sören Siebert
Sören SiebertRechtsanwalt

Die ausführliche Antwort: Ja.

Auf alle Seitenbetreiber, Dienstleister, Shopbetreiber oder Unternehmer kommen mit der EU DSGVO Änderungen der Datenschutzbestimmungen zu.

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

  • Präzise
  • Transparent
  • Verständlich
  • Leicht zugänglich
  • In klarer und einfacher Sprache verfasst sein
  • Die Rechtsgrundlage für die Datenverarbeitung benennen

Weitere zusätzliche Neuregelungen die beachtet werden müssen:

Zum einen gibt es neue Informationspflichten für Seiten, die sich speziell an Kinder richten. Zum anderen gibt es mit der DSGVO ein echtes Koppelungsverbot. Einwilligungen dürfen dann nicht mehr an den Download von bestimmten Inhalten wie whitepaper oder Checklisten gekoppelt werden. Auch dies hat Auswirkungen auf die Neuformulierung der Datenschutzerklärungen.

Ohne professionelle Beratung wird es für viele Webseitenbetreiber hier kaum möglich sein, diesen Anforderungen gerecht zu werden und eine DSGVO-sichere Datenschutzerklärung zu erstellen. Die notwendigen technischen Erläuterungen präzise und aber zugleich verständlich und einfach zu formulieren wird hier wohl das größte Kopfzerbrechen bereiten.

Zusammengefasst: Nahezu alle Datenschutzerklärungen auf Webseiten müssen mit Geltung der DSGVO neu erstellt oder überarbeitet werden.
  

Praxis-Tipp: Lassen Sie sich bei der Neufassung bzw. Umarbeitung Ihrer Datenschutzerklärung  anwaltlich beraten. Muster, Checklisten und unseren neuen DSGVO-Datenschutzgenerator finden Sie bei eRecht24 Premium.

8. Achtung bei Auftragsdatenverarbeitung

Zunächst: Die "Auftragsdatenverarbeitung" (ADV) heißt nach der DGSVO nun "Auftragsverarbeitung" (AV).

Auftragsdatenverarbeitung ist natürlich nicht neu und bisher in § 11 BDSG geregelt. Aber mit der DSGVO gibt es für Auftragsdatenverarbeiter nun einheitliche europäische Anforderungen.

Für Sie erst einmal wichtig zu wissen: Was ist ADV genau?

ADV ist die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet)."
z.B.:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • externer Newsletter-Anbieter
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Aber: Nach der DSGVO ist jetzt neu, dass auch der Auftragnehmer (also der Auftragsdatenverarbeiter) mitverantwortlich ist.
Auftragsverarbeiter müssen z.B.:

  • ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
  • mit der Aufsichtsbehörde zusammenarbeiten (Artikel 31)
  • technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1 DSGVO)

Tipp: Lesen Sie mehr in unserem Artikel zum Thema Auftragsverarbeitung, u.a. wo Sie AV-Verträge bestimmter Anbieter anfordern oder downloaden können!

Neu ist auch, dass der Vertrag zur ADV nicht mehr zwingend schriftlich geschlossen werden muss. Auftragsverarbeiter und Auftraggeber können den Vertrag nach der DSGVO nun auch in elektronischer Form abschließen.

Die einzelnen Anforderungen an den Vertrag zur Auftragsdatenverarbeitung sind hier aufgelistet:
https://www.e-recht24.de/dsgvo-gesetz.html#artikel-28

Tipp: Prüfen Sie noch einmal Ihre Verträge und Vertragsvorlagen und passen Sie ggf. die Vorgaben an! Nur so können Auftraggeber und Auftragsverarbeiter sichergehen, dass Sie auch die neuen Anforderungen erfüllen.

9. Der Datenschutzbeauftragte und die Datenschutzgrundverordnung

Auch zum Datenschutzbeauftragten (DSB) gibt es im Zusammenhang mit der DSGVO viele Fragen von Unternehmen:

  • Wann ist ein Datenschutzbeauftragter Pflicht?
  • Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?
  • Welche Aufgaben hat ein Datenschutzbeauftragter?
  • Welche Ausbildung muss ein Datenschutzbeauftragter haben?
  • Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?
  • Wie sieht es mit den Kosten oder der Kündigung beim Datenschutzbeauftragten aus?
  • Kann ich einen externen oder internen Datenschutzbeauftragten bestellen?

Wann ist ein Datenschutzbeauftragter Pflicht?

Die Datenschutzgrundverordnung regelt europaweit die Bestellpflicht für einen Datenschutzbeauftragten in Art. 35 ff DSGVO. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich im wesentlichen aus 3 Bereichen:

  1. Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 der DSGVO oder
  2. Ihre "Kerntätigkeit" betrifft eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen"
  3. es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

Wenn einer der Punkte bei Ihnen zutrifft, benötigen Sie einen DSB.

Wenn Sie eine Einschätzung dazu benötigen können Sie gern unser DSGVO Audit beauftragen:
https://www.e-recht24.de/lp/dsgvo-check.html

Freiwillig kann natürlich jedes Unternehmen einen Datenschutzbeauftragten bestellen. Das kann aus Gründen des internen Controllings auch für viele Unternehmen sinnvoll sein, die per Gesetz keinen DSB bestellen müssen. Aber auch was Außendarstellung und Marketingaspekte angeht ist ein Datenschutzbeauftragter sicher ein gutes Argument, den Kunden und Aufsichtsbehörden zu signalisieren "Wir kümmern uns".

Welche Aufgaben und Zuständigkeiten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen und führt das Verarbeitungsverzeichnis (AV). Er ist zudem Schnittstelle zwischen IT-Marketing und Geschäftsführung und Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Der Datenschutzbeauftragte hält als Verantwortlicher also alle Zuständigkeiten bei Datenschutzfragen in der Hand.

Wie sieht es mit der Bestellung eines Datenschutzbeauftragten aus?

Vor der DSGVO musste der Datenschutzbeauftragte immer schriftlich bestellt werden.
Die Bestellung eines Datenschutzbeauftragten kann nach der DSGVO jetzt auch ohne Schriftform vorgenommen werden. Ein "unterschriebener Vertrag" ist also nicht mehr nötig, die DSGVO spricht nur allgemein von einer "Benennung".

Hier können Unternehmen einen externen Datenschutzbeauftragten günstig bestellen.

Welche Ausbildung muss ein Datenschutzbeauftragter haben? Gibt es Vorgaben zur Zertifizierung eines Datenschutzbeauftragten?

Es gibt keine gesetzliche Pflicht, eine Ausbildung/ Zertifizierung des DSB bei bestimmten Anbietern durchführen zu lassen. Als Unternehmer sind Sie aber, wenn es an diesem Punkt Auseinandersetzungen geben sollte, in der Pflicht zu beweisen, dass Ihr DSB die "erforderliche Fachkunde" verfügt.

Im Fall der Fälle hilft es natürlich, wenn der DSB eine juristische Ausbildung hat oder über ein Ausbildungszertifikat von TÜV, IHK usw. verfügt.

Sollte ich einen externen oder internen Datenschutzbeauftragten bestellen?

Beide Modelle haben vor und Nachteile:

Der interne Datenschutzbeauftragte ist naturgemäß "näher dran" am Geschäftsmodell und den Abläufen in einem Unternehmen. Nachteil: Er wird sich von Weisungen seines Vorgesetzen naturgemäß nie ganz frei machen können. Es kann auch nicht jeder interne Mitarbeiter als Datenschutzbeauftragter beschäftigt werden. Geschäftsführer und oft auch der Chef der IT dürfen aufgrund möglicher Interessenskonflikte nicht Datenschutzbeauftragter im eigenen Unternehmen sein.

Hinzu kommt, dass sich Fragen nach Kündigung und Kündigungschutz hier im Gegensatz zu einem internen Datenschutzbeauftragten nicht stellen.

Bei externen Datenschutzbeauftragten bestehen all diese Gefahren nicht.

Dafür ist eventuell ein höherer Aufwand beim "Onboarding" bzw. der Einarbeitung in die Unternehmensprozesse nötig. Auch ist der DSB im Fall der Fälle nicht immer sofort greifbar, wenn es Fragen oder Beschwerden gibt. 

Tipp: Fragen zu Kündigung und Kündigungsschutz des Datenschutzbeauftragten beantworten wir in unserem Beitrag "DSGVO und Datenschutzbeauftragter"

Hier können Unternehmen und Organisationen günstig einen externen Datenschutzbeauftragten bestellen.

10. Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO

Nach Artikel 30 DSGVO muss jeder Verantwortliche ein so genanntes Verarbeitungsverzeichnis - bzw. offiziell "Verzeichnis von Verarbeitungstätigkeiten" - anlegen und führen. Datenschutzprofis wird dies bekannt vorkommen, es gab auch unter der Geltung des BGSG schon für bestimmte Unternehmen die Pflicht, ein so genanntes „Verfahrensverzeichnis“ zu führen.

Was ist beim Verarbeitungsverzeichnis nach DSGVO neu?

Kein öffentliches Verfahrensverzeichnis mehr

Zunächst die positive Nachricht: Das Verfahrensverzeichnis/ Verarbeitungsverzeichnis nach DSGVO muss nicht mehr öffentlich sein. Es kann nun nicht mehr von Unternehmen „auf Zuruf“ verlangt werden, die Datenverarbeitung offen zu legen, das „öffentliche Verfahrensverzeichnis“ nach BDSG gibt es seit dem 25.Mai 2018 nicht mehr.

Wichtig ist auch, verantwortlich für das Verarbeitungsverzeichnis ist die Unternehmensleitung, nicht der Datenschutzbeauftragte.

Vorlagepflicht gegenüber Datenschutzbehörden

Das Verarbeitungsverzeichnis nach DSGVO ist für den reinen unternehmens- oder behördeninternen Gebrauch gedacht, es muss aber auf Verlangen der Datenschutzbehörde vorgelegt werden.

Schriftliches oder elektronisches Verzeichnis?

Die DSGVO sagt in Art. 30 Abs. 3, dass das Verzeichnis von Verarbeitungstätigkeiten schriftlich zu führen ist, erlaubt aber auch die elektronische Form.

Praxis-Tipp: Sie sollten das Verzeichnis nicht "auf Papier" führen sondern besser elektronische Tools und Vorlagen nutzen. Achtung Werbung: Wir empehlen dafür das Datenschutz-Kit

Sören Siebert
Sören SiebertRechtsanwalt

Wer konkret muss denn nun ein Verarbeitungsverzeichnis führen?

Jetzt wird es leider kompliziert: Eigentlich müssen nach Art. 30 Abs.5 DSGVO nur Unternehmen ein Verarbeitungsverzeichnis führen die

  • mehr als 250 Mitarbeiter beschäftigen,
  • besonders sensible Daten nach Artikel 9 DSGVO verarbeiten,
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (Videoüberwachung und Ähnliches)
  • personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10. Verarbeiten oder
  • wenn die Datenverarbeitung nicht nur gelegentlich erfolgt

Verarbeitungsverzeichnis auch für Online Shops und kleine Unternehmen?

An dem Merkmal „Die Datenverarbeitung erfolgt nicht nur gelegentlich“ hat sich aber bereits ein heftiger Streit entbrannt. Einige Juristen sind der Auffassung, die Verarbeitung von Kundendaten ist wesentlicher Bestandteil fast jedes Geschäftsmodells im Internet, wenn dabei regelmäßig Kundendaten erhoben werden. Das würde bedeutet, dass jeder Online Shop ein Verfahrensverzeichnis erstellen muss.

Andere sind der Auffassung, dass „nicht nur gelegentlich“ erfordert, dass die Datenverarbeitung der eigentliche Geschäftszweck ist oder stellen auf Häufigkeit und Umfang der Datenspeicherung ab.

Hier kommt es bis zu einer verbindlichen Vorgabe oder Klärung durch die Gerichte auf Ihre Risikobereitschaft an. Wer 100%ig auf der sicheren Seite sein will, sollte ein Verfahrensverzeichnis führen. Zumal dies mit den richtigen Tools für die meisten Shops und kleinere Seiten in 30 Minuten erstellt ist.

Was gehört in das Verfahrensverzeichnis (DSGVO)?

Im wesentlichen gehören in das Verarbeitungsverzeichnis (bei Unternehmen)

  • Name und Kontaktdaten des Unternehmens
  • der Zwecke der Datenverarbeitung
  • die Kategorien betroffener Personen
  • die Kategorien personenbezogener Daten
  • die Kategorien von Empfängern der Daten
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • Fristen für die Löschung der verschiedenen Datenkategorien

Die Details zu den konkreten Inhalten eines Verfahrensverzeichnisses sowie Tools und Checklisten für die Erstellung, das Verfahrensverzeichnis bei Auftragsdatenverarbeitung usw. werden wir in Kürze in einem eigenen Beitrag auf eRecht24 darstellen.

 11. Neue Datenschutz-Pflichten für Arbeitgeber

Im Zuge der Harmonisierung des deutschen Rechts mit der Datenschutzgrundverordnung (DS-GVO) hat der Gesetzgeber auch den Beschäftigtendatenschutz angepasst. Die wichtigste Änderung ist aus Arbeitgebersicht dabei der erhöhte Bußgeldrahmen bis zu 20 Millionen Euro und das gesteigerte Risiko von Arbeitnehmer-Klagen. Die Regelungen zwingen aber nicht nur Arbeitgeber, sondern alle Institutionen, die Arbeitnehmer-Daten verarbeiten, zu einer Anpassung ihrer unternehmensinternen Datenschutzprozesse.

Wer ist betroffen?

Arbeitgeber

Zunächst betrifft die Neuregelung natürlich die Arbeitgeber selbst. Arbeitgeber sind dabei alle Unternehmer, die Arbeitnehmer beschäftigen. Als Arbeitnehmer gelten dabei auch Leiharbeiter oder Azubis und viele weitere Beschäftigtengruppen. Und selbst Bewerber werden durch die neuen Vorschriften geschützt.

Personalvermittler, Betriebsräte etc.

Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur die Arbeitgeber selbst. Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch Personalvermittler, Betriebsräte, Behörden und viele weitere sein.

Was wird geregelt?

Die neuen Vorschriften zum Beschäftigtendatenschutz enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen. Im Einzelnen:

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind

Im Grundsatz sollen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Erlaubt ist die Verarbeitung zudem, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist (diese Punkte bleiben im Folgenden erstmal außer Betracht).

Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden. Dabei sind die kollidierenden Arbeitgeber- und Arbeitnehmerinteressen abzuwägen. Diese Abwägung muss auf Grundlage der bisherigen Rechtssprechungspraxis unter Berücksichtigung der Bestimmungen aus der DS-GVO erfolgen. Im Zweifel sollte daher qualifizierter Rechtsrat eingeholt werden.

Wie holt man wirksame Einwilligungen bei den Beschäftigten ein?

Wer sich den rechtlichen Unsicherheiten rund um „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden. Dies könnte problematisch sein. Denn welcher Mitarbeiter wird seinem Vorgesetzten oder gar im Vorfeld einer Einstellung die Einwilligung verweigern, will er doch den Arbeitsplatz behalten oder bekommen? Und gerade dieses Abhängigkeitsverhältnis muss von Gesetzes wegen berücksichtigt werden.

Eine wirksame Einwilligung muss außerdem bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden.

Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden. Die Einholung von Einwilligungen sollte daher gut vor- und nachbereitet werden.

Beweislast des Arbeitgebers im Klagefall

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Tipp: Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).

Risiken bei Datenschutz-Verstößen

Eine wesentliche Änderung bringen die neuen Vorschriften bei der Sanktionierung von Datenschutzverstößen. Zum einen können Verstöße jetzt mit erheblich höheren Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro von den Datenschutz - Aufsichtsbehörden geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich.

Des Weiteren dürften Mitarbeiter-Klagen teurer werden, da künftig auch immaterielle Schäden eingeklagt werden können. Hinzu kommt, wie schon angesprochen, dass der Arbeitgeber vor Gericht die Einhaltung der Datenschutzvorschriften beweisen muss. Kann er dies nicht, geht das zu seinen Lasten. Dieses Risiko lässt sich letztlich nur durch ein geeignetes Compliance-Management minimieren.

Was sollten Arbeitgeber tun?

Arbeitgeber sollten ihre unternehmensinternen Prozesse prüfen und eine Compliance-Strategie entwickeln (lassen), mit der datenschutzrechtliche Verstöße verhindert werden können.

Neben der Anpassung der Prozesse gehört hierzu auch eine Schulung und Sensibilisierung der Mitarbeiter. Da dies nicht von heute auf morgen geht, sollten Arbeitgeber spätestens jetzt mit der den notwendigen Maßnahmen beginnen. Ist man selbst kein Datenschutzexperte, sollte auf qualifizierten Rechtsrat nicht verzichten, da Fehler beim Datenschutz künftig teuer werden können.

Checkliste DSGVO für Arbeitgeber

➢ Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Unternehmen

  • Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?
  • Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch?

➢ Achten Sie auf eine datenschutzkonforme Vertragsgestaltung

  • Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Beschäftigtendaten haben (z. B. externe Rechnungsstellen).
  • Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein.

➢ Unternehmensinternes Compliance-Management

  • Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).
  • Beachten Sie die zahlreichen neuen Pflichten (z.B. Unterrichtungs- und Löschungspflichten).
  • Belehren Sie Ihre Mitarbeiter über die neuen Pflichten.

12. DSGVO: So finden Sie den richtigen Anwalt

Datenschutzrecht ist eine sehr spezielle Materie. Ein Rechtsanwalt, der im normalen Kanzleibetrieb Arbeitsrecht oder Erbrecht macht, kann Ihnen bei Fragen zur DSGVO nicht weiter helfen.

Sie benötigen dafür eine Kanzlei, die sich:

1. schwerpunktmäßig mit Datenschutzrecht auskennt,

2. spezialisiert im Internetrecht ist und dies im Idealfall

3. schon seit mehreren Jahren.

Die Verfasser dieses Beitrages - Rechtsanwalt Sören Siebert und Rechtsanwalt Lev Lexow – sind in der Kanzlei Siebert Goldberg tätig. Die Partner der Kanzlei Rechtsanwalt Sören Siebert (Gründer von eRecht24) und Rechtsanwalt Alexander Goldberg befassen sich seit Jahren ausschließlich mit den Themen Internetrecht und Datenschutz.

Die Anwälte der Kanzlei Siebert Goldberg beraten und schulen mittelständische und große internationale Unternehmen bereits seit vielen Monaten zu allen Fragen, die es im Zusammenhang mit der Datenschutzgrundverordnung gibt.

Wenn Sie anwaltliche Beratung wünschen oder Bedarf an Schulungen zur DSGVO haben, nehmen Sie gern Kontakt zur Kanzlei Siebert Goldberg auf.

13. Checkliste zur DSGVO

Hier finden Sie eine Checkliste zu den wichtigsten Fragen und Antworten der DSGVO.

Gemeinsam mit der Kanzlei Siebert Goldberg haben wir für unsere Leser zudem eine umfangreiche DSGVO Checkliste erstellt, die Sie hier kostenlos herunter laden können:

Checkliste DSGVO Downloaden

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine neue EU-Verordnung -  also eine Verordnung die in der ganzen EU gilt.

Der Vorteil: Es werden einheitliche Datenschutzstandards im gesamten Unionsgebiet geschaffen. Der bisherigen Datenschutz-Flickenteppich wird damit der Vergangenheit angehören.

Seit wann gilt die DSGVO?

Die DSGVO ist schon am 14. April 2016 vom EU-Parlament beschlossen worden und trat am 25. Mai 2016 in Kraft. Die EU-Mitgliedstaaten müssen die DSVO seit dem 25. Mai 2018 verbindlich anwenden.

Muss ich die DSGVO überhaupt beachten?

Wenn Sie sich fragen, ob Sie als Unternehmer die neuen DSGVO Regeln beachten müssen:

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind.

Aber auch außereuropäische Unternehmen müssen sich an die neuen Regelungen halten, wenn Sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

An wen kann ich mich bei Verstößen oder Streitigkeiten wenden?

Mit der Datenschutzgrundverordnung wird das Verfahren rund um Datenschutzverstöße und Streitigkeiten vereinfacht.

Wer als Online-Händler international verkauft, hat in diesem Zusammenhang sicher schon etwas vom neuen ´One-Stop-Shop´ gehört. Der ermöglicht es den EU-Bürgern, dass sie sich bei Beschwerden immer an ihre eigene Datenschutzbehörde wenden können – also die Datenschutzbehörde in ihrem Land.

Achtung: Das gilt unabhängig davon, wo der Datenschutzverstoß passiert ist.

Der One-Stop-Shop ist aber auch gut für Händler und andere Unternehmer. Sie müssen sich dann nämlich auch nur noch mit einer Datenschutzbehörde befassen. In dem Mitgliedstaat in dem Sie Ihren Hauptsitz haben, ist dann die zuständige Datenschutzbehörde zu finden.

Neuer niedergeschriebener Grundsatz der Datensicherheit (Artikel 32 DSGVO)

Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Neu: Recht auf Vergessenwerden (Recht auf Löschung)

In der Datenschutzgrundverordnung gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden: Artikel 17 DSGVO. Das gilt vor allem für Fälle wie den Wegfall des Zwecks der Datenverarbeitung und den Widerruf der Einwilligung.

Neu: Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Das neue Recht gibt Betroffenen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Sie müssen Datensätze deswegen portabel gestalten (können).

Neu: Die Rechenschaftspflicht

Die DSGVO jetzt auch eine Rechenschaftspflicht vor (Artikel 5 Absatz 2). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können.

Neuerungen gibt es auch bei der Einwilligung

Hier ist für Sie wichtig: Wenn die Einwilligungen Ihrer Kunden (z.B. zum Newsletterversand) den bisherigen gesetzlichen Bestimmungen entsprachen, gelten diese Einwilligungen fort.
Es gibt aber trotzdem ein paar Neuerungen im Bereich der Einwilligungen, sodass Sie sich hierzu noch umfassend informieren sollten.

Muss ich meine Datenschutzbestimmungen anpassen?

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig

  • präzise
  • transparent
  • verständlich
  • leicht zugänglich
  • in klarer und einfacher Sprache
    sein.

14. Die häufigsten Irrtümer zur Datenschutzgrundverordnung

1. Die DSGVO gilt doch nur für Shops und große Unternehmen!

Falsch.

Es gibt für die Anwendbarkeit der DSGVO keine Begrenzung auf „große“ Unternehmen oder Shops. Alle Webseiten, egal ob Einzelunternehmer oder GmbH, müssen die DSGVO umsetzen, wenn es um personenbezogene Daten im Unternehmen oder auf der Webseite geht.

2. Wir verarbeiten auf unserer Webseite doch gar keine personenbezogenen Daten!

In 99% aller Fälle falsch.

Personenbezogene Daten sind nicht nur Name, Anschrift oder Bestelldaten aus Shops. Goolge Analytics, Kontaktformulare, Newslette-Daten, IP Adressen aus Server Statistiken, plugins, Facebook Like Button, Google Analytics usw., überall geht es um personenbezogene Daten.

Ich habe noch Zeit, es gibt doch Übergangsfristen!

Falsch.

Die DSGVO ist bereits im Mai 2016 in Kraft getreten und ist verbindlich und ausnahmslos ab dem 25. Mai 2018 anzuwenden. Wir befinden uns also gerade am Ende der „Übergangsfrist“.

Beratung und Schulungen zum neuen Datenschutzrecht

Die Datenschutzänderungen zum Mai 2018 betreffen jedes Unternehmen.
Die Anwälte der Kanzlei Siebert Goldberg schulen und beraten Sie kompetent und verständlich!
Jetzt informieren

Warum Sie es sich nicht leisten können, die neue DS-GVO zu ignorieren

Die Datenschutz Grundverordnung gilt für alle Unternehmen mit Sitz in der EU.

Es gibt zahlreiche Änderungen, die Sie als Unternehmer umsetzen müssen.

Bei Verstößen riskieren Sie Abmahnungen oder massive Bußgelder.

Praxis Ratgeber zur neuen DS-GVO

Bei eRecht24 Premium finden Sie einen Praxisratgeber zu den relevanten Neuregelungen der Datenschutzgrund-Verordnung.
Jetzt informieren
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details