Worauf muss ich achten bei der DSGVO?

Download der vollständigen EU-Datenschutzverordnung DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO) ist ein wichtiges Thema für jedes Unternehmen. Nachfolgend möchten wir erklären, worauf Sie achten müssen.

 

Was ist die DSGVO, wo und ab wann gilt sie?

Die Datenschutzgrundverordnung DSGVO vereinheitlicht das Datenschutzrecht innerhalb der EU und tritt am 25. Mai 2018 in Kraft. Die Vorschrift regelt den Umgang von Unternehmen mit personenbezogenen Daten, und zwar europaweit einheitlich. Der Bürger soll die Hoheit über seine Daten soweit wie möglich zurück erhalten. Hohe Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes sollen diese Rechte flankieren.

 

Wen betrifft die DSGVO?

Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten verarbeiten und in der EU ansässig sind, eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Personenbezogene Daten sind beispielssweise: Name, Adresse. E-Mail-Adresse, Telefonnummer, Kfz-Kennzeichen, Standortdaten, IP-Adressen, Cookies.

Es reicht schon eine Webseite mit einer Kontaktseite, das Analysieren von Webseiten-Zugriffen,  Versenden von Newslettern oder Werbemails oder das Betreiben von Webshops.
Es gilt der alte Leitsatz: „Unwissenheit schützt vor Strafe nicht.“

 

Checkliste mit wichtigen Punkten, worauf man bei der DSGVO achten muss:

  • Datenschutzerklärung: Für alle einsehbar erklären Sie die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. 
    INCONY-Hinweis:  Wir empfehlen hierzu analog zum "Impressum" einen Punkt "Datenschutz" auf Ihren Webseiten. Die Datenschutzerklärung muss präzise, transparent, verständlich, leicht zugänglich und in klarer und einfacher Sprache verfasst sein.
  • Datenschutzbeauftragter: Unternehmen müssen i.d.R. einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte ist für die Einhaltung der Datenschutzbestimmungen im Unternehmen verantwortlich. Die Rolle kann ein Mitarbeiter oder ein externen Berater übernehmen. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Es wird empfohlen, zumindest eine Mailadresse des Datenschutzbeauftragten auf der Webseite bzw. dem Webshop  auszuweisen - die Veröffentlichung seines Namens ist aber nicht erforderlich.
    Ausnahme für kleine Betriebe: Sind regelmäßig weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen keinen Datenschutzbeauftragten. Diese Ausnahme nicht gilt für Unternehmen mit hochsensiblen Personendaten, etwa bei Daten zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. 
  • Einwilligung zur Verarbeitung ihrer personenbezogenen Daten einholen: Sie benötigen von jeder Person eine Einwilligung zur Nutzung seiner personenbezogenen Daten. Für die rechtmäßige Erhebung der Daten Minderjähriger ist die Einwilligung eines Erziehungsberechtigten notwendig. Auf Anfrage muss man die Einwilligung nachweisen können.
    INCONY-Hinweis: Insbesondere sollten Ihre Kontaktformulare auf der Webseite oder Registrierungsformulare von Webshops eine Checkbox zur Einwilligung in Ihre Datenschutzerklärung enthalten, die aktiv vom Formular-Ausfüller anzuhaken ist und mit Ihrer Datenschutzerklärung zu verlinken ist. INCONY kann Sie unterstützen, ANTEROS-Webanwendungen oder durch INCONY erstellte Webseiten DSGVO-ready zu machen.
  • Recht auf Vergessenwerden: Jede Person hat Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden, wenn entweder für die Verwendung der Daten keine Berechtigung mehr vorliegt oder er seine Einwilligung widerruft.
    INCONY-Hinweis:  Hierzu sollte man im Vorfeld überschlagen, mit wievielen Löschanfragen in Zukunft zu rechnen ist und ggf. die zugehörigen Prozesse weiter automatisieren. INCONY untersützt sie bei solchen Automatisierungsprojekten mit Beratung und Schnittstellen.
  • Recht auf Daten und Datenübertragbarkeit: Jeder Nutzer kann vom Datenbeauftragten verlangen, seine personenbezogenen Daten in einem "gängigen Format" zu erhalten und kann diese auf Wunsch auch an einen anderen Verantwortlichen weitergeben.
    INCONY-Hinweis:   Der Aufwand zum Zusammensuchen personenbezogenen Daten für solche Anfragen kann durchaus nicht unerheblich sein, insbesondere wenn Sie die Personendaten in verschiedenen Systemem speichern, weil sich der Nutzer beispielsweise im Newslettersystem, Webshop und Dokumenten-Service-Bereich angemeldet hat. Daher sollten Sie überschlagen, mit wievielen Anfragen Sie rechnen und wie lange jede einzelne Anfrage im Durchschnitt dauern kann. In diesem Bereich rentieren sich Automatisierungen oftmals sehr schnell. INCONY unterstützt Sie dazu mit Beratung, Analyse und Schnittstellen (beispielsweise um per REST-Schnittstelle Personenbezogene Daten aus ANTEROS zu liefern).
  • Datensicherheit: Der Datenverarbeiter muss unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang, weiterer Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten.
    INCONY-Hinweis:  Wir empfehlen dazu mindestens, alle Webseiten mit Formularen zur Eingabe von Personendaten (zur Anmeldung für Newsletter, Veranstaltung, etc.) auf https und damit eine verschlüsselte Übertragung der Personendaten umzustellen.
  • Rechenschaftspflicht - Dokumentation der Datenverarbeitung: Unternehmen sind verpflichtet, Aufzeichnungen über erfasste personenbezogenen Daten, die Art und Weise der Erfassung, die Verarbeitung und den Austausch sowie die angewandten Prozesse zur Sicherstellung von Datenschutzgrundsätzen zu führen und aufzubewahren.
  • Datenschutz-Folgeabschätzung bei hochsensiblen Daten: Wer mit hochsensiblen Daten arbeitet, muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgeabschätzung durchführen. Das gilt für  Unternehmen, die eine Identifizierung und Kategorisierung von Personen nach Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten o.ä. durchführen können. 

Link zur vollständigen EU-Datenschutzverordnung