Sie sorgt derzeit ordentlich für Verwirrung – die neue Datenschutz-Grundverordnung, kurz DSGVO. Ab dem 25. Mai 2018 tritt sie in Kraft und regelt sämtliche Prozesse und Anforderungen an das Datenschutzmanagement von Unternehmen. Obwohl die DSGVO im Großen und Ganzen keine absolute Neustrukturierung der bisher geltenden Vorschriften bedeutet, so erscheint sie jedoch in einem deutlich schärferen Gewand und überschreitet die Grenzen ihres bisherigen Umfangs.
Kurz erklärt: Was ist die neue DSGVO?
Die Datenschutz-Grundverordnung soll die Rechte von Personen stärken, deren Daten gesammelt werden. So hat ein Internet-User beispielsweise das Recht auf Auskunft, Löschung oder Korrektur von mit seiner Person in Verbindung stehenden Informationen.
Informationspflicht bedeutet transparenter werden
Ein wesentlicher Bestandteil der DSGVO sind Änderungen im Hinblick auf neu definierte Informationspflichten, denen Unternehmen nachkommen müssen. Hier gilt der sogenannte Grundsatz der Transparenz. Was dies bedeutet? Jede Person soll Kenntnis darüber besitzen, welche personenbezogenen Daten von welchen Unternehmen, auf welche Weise und zu welchem Zweck gesammelt werden.
Demnach müssen im digitalen Kontext Besucher von Webauftritten vor der Erfassung ihrer persönlichen Daten leicht und gut verständlich über die Hintergründe deren Verarbeitung informiert werden. Geschehen muss dies immer dann, sobald Daten erhoben werden. Im Online-Geschäft regelt sich dies bisher, und auch in Zukunft, in Form der altbekannten Datenschutzerklärung. Doch die Dinge haben sich gewandelt. Es müssen mehr Facetten beachtet werden als lediglich eine Datenschutzerklärung auf der Website einzubinden. So besitzt der Besucher ein Recht auf Auskunft und Berichtigung sowie – ganz wichtig – ein Recht auf Löschen und Vergessen. Des Weiteren besteht das Recht auf Einschränkung. In diesem Falle dürfen personenbezogene Daten nur eingeschränkt genutzt werden.
Was sind „personenbezogene Daten“?
Personenbezogene Daten stehen für die Identifizierbarkeit von Menschen. Zu diesen zählen beispielsweise Geburtsdatum, Anschrift oder Telefonnummer sowie – zumindest in Deutschland – auch die IP-Adresse.
DSGVO - Hier ist Handeln angesagt! Neue Fragen verlangen neue Antworten
Die DSGVO wirft viele Fragen auf, mit denen sich Unternehmen mühsam und in akribischer Präzisionsarbeit beschäftigen müssen, um ihr voll und ganz gerecht zu werden. Wurde die Datenschutzerklärung bereits auf Vollständigkeit geprüft? Welche Services und Dienstleister erheben Daten auf dem eigenen Webauftritt? Besteht die Möglichkeit, Formulare abzusenden? Wird ein Tracking- oder Analysetool verwendet? Fragen wie diese zu stellen, erweist sich vor der Überarbeitung der Datenschutzerklärung als sinnvoll – denn all diese Services müssen dort in einer leicht verständlichen Sprache aufgeführt werden.
Auftragsdatenverarbeitung – mit der DSGVO steigen die Anforderungen
Als weitere wichtige Änderung und tragende Säule der DSGVO präsentiert sich das Thema der Auftragsdatenverarbeitung. Hier gilt der sogenannte Vertrag zur Auftragsdatenverarbeitung, den jedes Unternehmen abschließen muss, welches personenbezogene Daten im Auftrag eines Dienstleisters verarbeiten lässt. Dieser regelt unter anderem Gegenstand und Dauer der Datenverarbeitung, definiert den Kreis betroffener Personen oder gibt Angaben zum Umfang von Weisungsbefugnissen. Um den Überblick im eigenen Dienstleister-Dschungel zu bewahren, empfehlen wir das Anfertigen einer Liste mit allen geschäftlichen Kooperationspartnern. So lässt sich leicht prüfen, ob bei den eigenen Dienstleistern ein Vertrag zur Auftragsdatenverarbeitung vorliegt oder dieser noch abgeschlossen werden muss.
Immer im Auge behalten: Technische Implikation auf dem eigenen Webauftritt
Wie sieht es mit eingesetzten Services und technischen Implikationen auf dem eigenen Webauftritt aus? Hier befinden sich Unternehmer in der Haftung. Wir haben eine erste, kleine Check-Liste mit wichtigen Fragen zusammengestellt.
- Haben Sie ein HTTPS-Verschlüsselung?
- Kommen Sie der Pflicht nach, auf Cookies hinzuweisen?
- Setzen Sie Web-Analyse Tools wie Google Analytics, Matomo (ehemals Piwik) oder eTracker ein?
- Anonymisieren Sie IP-Adressen bei Ihren Trackingverfahren?
- Haben Sie das „Recht des Vergessens“ im Blick und löschen gespeicherte Daten fristgemäß?
- Wie, wohin und mit welchen Daten werden Ihre Formulare, beispielsweise Kontaktformulare, übermittelt?
- Ist Ihr Checkout im Online-Shop datenschutzkonform?
- Setzen Sie Double-Opt-In Verfahren im Newslettermarketing ein?
- Haben Sie sich bereits Gedanken über ein Opt-In Verfahren für Remarketing Maßnahmen gemacht?
- Gibt es Opt-Out Möglichkeiten für die Datenerhebung über Ihre Drittanbieter?
Eine technische und inhaltliche Prüfung im Rahmen der neuen DSGVO erfordert viel Aufwand und zusätzlich zu Ihrer Rechtsberatung einen vertrauensvollen Online-Experten, der Ihnen zur Seite steht. Wir helfen Ihnen gerne bei der Umsetzung eines Check-ups Ihres Webauftritts und liefern Ihnen konkrete Handlungsempfehlungen, praktische Tipps sowie technischen Support. Sprechen Sie uns an!
Unsere angebotenen Inhalte dienen dem unverbindlichen Informationszweck und stellen keine Rechtsberatung im eigentlichen Sinne dar.