Vollständige EU-Datenschutzgrundverordnung DSGVO

Worauf muss ich achten bei der DSGVO?

Die EU-Datenschutzgrundverordnung (DSGVO) ist ein wichtiges Thema für jedes Unternehmen. Nachfolgend möchten wir erklären, worauf Sie achten müssen.

Was ist die DSGVO, wo und ab wann gilt sie?

Die Datenschutzgrundverordnung DSGVO vereinheitlicht das Datenschutzrecht innerhalb der EU und tritt am 25. Mai 2018 in Kraft. Die Vorschrift regelt den Umgang von Unternehmen mit personenbezogenen Daten, und zwar europaweit einheitlich. Der Bürger soll die Hoheit über seine Daten soweit wie möglich zurückerhalten. Hohe Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes sollen diese Rechte flankieren.

Wen betrifft die DSGVO?

Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten verarbeiten und in der EU ansässig sind, eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Personenbezogene Daten sind beispielsweise: Name, Adresse, E-Mail-Adresse, Telefonnummer, Kfz-Kennzeichen, Standortdaten, IP-Adressen, Cookies.

Es reicht schon eine Website mit einer Kontaktseite, das Analysieren von Websitezugriffen, Versenden von Newslettern oder Werbemails oder das Betreiben von Webshops.
Es gilt der alte Leitsatz: „Unwissenheit schützt vor Strafe nicht.“

Checkliste mit wichtigen Punkten, worauf man bei der DSGVO achten muss

Datenschutzerklärung

Für alle einsehbar erklären Sie die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.
INCONY-Hinweis: Wir empfehlen hierzu analog zum „Impressum“ einen Punkt „Datenschutz“ auf Ihren Websites. Die Datenschutzerklärung muss präzise, transparent, verständlich, leicht zugänglich und in klarer und einfacher Sprache verfasst sein.

Datenschutzbeauftragter

Unternehmen müssen i. d. R. einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte ist für die Einhaltung der Datenschutzbestimmungen im Unternehmen verantwortlich. Die Rolle kann ein Mitarbeiter oder ein externer Berater übernehmen. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Es wird empfohlen, zumindest eine Mailadresse des Datenschutzbeauftragten auf der Website bzw. dem Webshop auszuweisen - die Veröffentlichung seines Namens ist aber nicht erforderlich.
Ausnahme für kleine Betriebe: Sind regelmäßig weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen keinen Datenschutzbeauftragten. Diese Ausnahme gilt nicht für Unternehmen mit hochsensiblen Personendaten, etwa bei Daten zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung.

Einwilligung

Eine Einwilligung zur Verarbeitung ihrer personenbezogenen Daten einholen: Sie benötigen von jeder Person eine Einwilligung zur Nutzung seiner personenbezogenen Daten. Für die rechtmäßige Erhebung der Daten Minderjähriger ist die Einwilligung eines Erziehungsberechtigten notwendig. Auf Anfrage muss man die Einwilligung nachweisen können.
INCONY-Hinweis: Insbesondere sollten Ihre Kontaktformulare auf der Website oder Registrierungsformulare von Webshops eine Checkbox zur Einwilligung in Ihre Datenschutzerklärung enthalten, die aktiv vom Formular-Ausfüller anzuhaken und mit Ihrer Datenschutzerklärung zu verlinken ist. INCONY kann Sie unterstützen, ANTEROS-Webanwendungen oder durch INCONY erstellte Websites DSGVO-ready zu machen.

Recht auf Vergessenwerden

Jede Person hat Anspruch darauf, dass personenbezogene Daten gelöscht oder gesperrt werden, wenn entweder für die Verwendung der Daten keine Berechtigung mehr vorliegt oder er seine Einwilligung widerruft.
INCONY-Hinweis: Hierzu sollte man im Vorfeld überschlagen, mit wie vielen Löschanfragen in Zukunft zu rechnen ist und ggf. die zugehörigen Prozesse weiter automatisieren. INCONY unterstützt Sie bei solchen Automatisierungsprojekten mit Beratung und Schnittstellen.

Recht auf Daten und Datenübertragbarkeit

Jeder Nutzer kann vom Datenbeauftragten verlangen, seine personenbezogenen Daten in einem „gängigen Format“ zu erhalten und kann diese auf Wunsch auch an einen anderen Verantwortlichen weitergeben.
INCONY-Hinweis: Der Aufwand zum Zusammensuchen personenbezogener Daten für solche Anfragen kann durchaus nicht unerheblich sein, insbesondere wenn Sie die Personendaten in verschiedenen Systemen speichern, weil sich der Nutzer beispielsweise im Newslettersystem, Webshop und Dokumenten-Servicebereich angemeldet hat. Daher sollten Sie überschlagen, mit wie vielen Anfragen Sie rechnen und wie lange jede einzelne Anfrage im Durchschnitt dauern kann. In diesem Bereich rentieren sich Automatisierungen oftmals sehr schnell. INCONY unterstützt Sie dazu mit Beratung, Analyse und Schnittstellen (beispielsweise um per REST-Schnittstelle personenbezogene Daten aus ANTEROS zu liefern).

Datensicherheit

Der Datenverarbeiter muss unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang, weiterer Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten.
INCONY-Hinweis: Wir empfehlen dazu mindestens, alle Websites mit Formularen zur Eingabe von Personendaten (zur Anmeldung für Newsletter, Veranstaltungen etc.) auf https und damit eine verschlüsselte Übertragung der Personendaten umzustellen.

Rechenschaftspflicht - Dokumentation der Datenverarbeitung

Unternehmen sind verpflichtet, Aufzeichnungen über erfasste personenbezogene Daten, die Art und Weise der Erfassung, die Verarbeitung und den Austausch sowie die angewandten Prozesse zur Sicherstellung von Datenschutzgrundsätzen zu führen und aufzubewahren.

Datenschutz-Folgenabschätzung bei hochsensiblen Daten

Wer mit hochsensiblen Daten arbeitet, muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgenabschätzung durchführen. Das gilt für Unternehmen, die eine Identifizierung und Kategorisierung von Personen nach Sexualität, Krankheiten, Finanzen, rassischer oder ethnischer Herkunft oder politischen Ansichten o. Ä. durchführen können.

Zur DSGVO

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website
spamshield	Mit Hilfe des Cookies wird ermittelt ob der Browser des Besuchers Cookie-fähig ist, was die meisten SPAM-Bots ausschließt und so den Mißbrauch von Formularen verhindert.	Session	HTML	Website
test_cookie	Wird testweise gesetzt, um zu prüfen, ob der Browser das Setzen von Cookies erlaubt. Enthält keine Identifikationsmerkmale.	15 Minuten	HTML	Google Tag Manager (https://policies.google.com/privacy)

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Erkennen von Besuchern (z.B. wenn der Besucher bereits eine aktive Sitzung hat), Berechnen von eindeutigen Besuchern, Erstellen des Berichts "Anzahl der Besuche, die zur Umwandlung benötigt werden". "Tage seit dem letzten Besuch", "Tage bis zur Konversion", "Besuche zählen" zur Erkennung wiederkehrender Besucher.	13 Monate	HTML	Website
_pk_ses	Wenn das Cookie nicht verfügbar ist und der letzte Besuch (in pk_id Cookie) mehr als 30 Minuten zurückliegt, wird die Anzahl der Besuche in pk_id Cookie erhöht.	30 Minuten	HTML	Website

Name	Zweck	Ablauf	Typ	Anbieter
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet.	3 Monate	HTML	Google Tag Manager (https://policies.google.com/privacy)
Tidio	Wird von Tidio verwendet, um die Chat-Funktion nutzbar zu machen.	30 Tage	HTML	Tidio (https://www.tidio.com/privacy-policy/)
IDE	Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google den User über verschiedene Websites domainübergreifend wiedererkennen und personalisierte Werbung ausspielen.	1 Jahr	HTML	Google Tag Manager (https://policies.google.com/privacy)
Conversion	Speichert jede Conversion, die Sie auf der Seite machen wenn Sie über eine Google Ad zu uns gekommen sind.	3 Monate	HTML	Google Tag Manager (https://policies.google.com/privacy)