„Der künftige europäische Rechtsrahmen stellt eine historische Chance für die Stärkung des Datenschutzes innerhalb der EU dar“, so die Bundesbeauftragte für Datenschutz, Andrea Voßhoff. Der Digitalverband Bitkom kontert, der „EU-Datenschutz könnte ein ‚bürokratisches Monster’ schaffen“. Die Meinungen gehen selten so lautstark auseinander. Was jedoch feststeht: Ab Mai 2018 muss jeder die neue DSGVO anwenden.

Checkliste
© Servikos / Shutterstock.com

Maßnahme: Rechtzeitig um eine neue Datenschutzerklärung kümmern

Jeder Webseitenbetreiber, der personenbezogene Daten erhebt und verarbeitet, muss eine Datenschutzerklärung verwenden. Zu unterrichten ist über Folgendes: 1. dass Daten gespeichert werden und 2. welchen Umfang diese Erhebung, Verarbeitung oder Nutzung/Verwendung der Daten hat und zu welchem Zweck sie erfolgt. Um bei der Preisgabe von persönlichen Daten noch mehr Transparenz für den Einzelnen entsteht, werden die Pflichten für Händler noch einmal erweitert. Zukünftig müssen sie etwa die Kontaktdaten des Datenschutzbeauftragten nennen, auf das Recht auf Datenübertragbarkeit hinweisen oder über das Beschwerderecht bei einer Aufsichtsbehörde hinweisen. Die Datenschutzerklärungen können also ab Mai 2018 u. a. durch neue Informationspflichten noch deutlich umfangreicher werden. 

Praxistipp: Suchen Sie sich also einen Partner, der Ihnen hierbei hilft. Händlerbund-Mitglieder erhalten selbstverständlich rechtzeitig eine auf die aktuellen Anforderungen abgestimmte Datenschutzerklärung.

Maßnahme: Auf neue Betroffenenrechte/Auskunftspflichten einstellen

Die Rechte der Personen, deren Daten genutzt wurden, also der “Betroffenen”, werden ebenfalls umgekrempelt. Die betroffene Person hat beispielsweise das Recht, eine Bestätigung zu verlangen, ob die betreffende Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten sowie über Informationen, unter anderem über die Verarbeitungszwecke, deren Herkunft, Empfänger, über die Dauer der Speicherung. Als besondere Ausformung des Löschungsanspruches wurde das „Recht auf Vergessenwerden“ in der DSGVO gesetzlich verbrieft. Neu ist auch das Recht auf Datenübertragbarkeit.

Praxistipp: Nutzen Betroffene ihre neu hinzugewonnen Rechte, dann sollte jedes Unternehmen zumindest ein Stück weit darauf vorbereitet sein. Auch die neuen Auskunftspflichten sollten Händler nicht unvorbereitet treffen. Was darf der Betroffene und in welcher Frist sind die Auskünfte zu erteilen? Unternehmen müssen sich informieren, welche Rechte Betroffene künftig haben und wie auf sie zu reagieren ist. Mehr dazu hier: Auskunftspflichten und Betroffenenrechte.

Maßnahme: Der Datenschutzbeauftragte im Unternehmen

Der Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken sowie die gesetzmäßige Nutzung von EDV-Programmen im Unternehmen zu kontrollieren und zu überwachen. Während die DSGVO nur wenig Online-Händler mit der Pflicht zur Bestellung eines Datenschutzbeauftragten treffen dürfte, sieht es nach nationalem Recht anders aus. Ergänzend zur DSGVO benennt der Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Kleine Online-Händler sind damit auch weiterhin befreit. Es haben aber zumindest mittelständige Unternehmen eine nicht zu vernachlässigende Aufgabe bis Mai 2018.

Praxistipp: Prüfen Sie, ob Sie nach der DSGVO oder dem neuen Bundesdatenschutzgesetz verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, und setzen Sie dies zeitnah um. Wer ist geeignet, intern oder extern für den Datenschutz zu sorgen? Klären Sie die Tätigkeit des Datenschutzbeauftragten bis Mai 2018 ab.

Maßnahme: Sensibilisierung und interne Datenschutzorganisation

Auch wenn keine Pflicht für einen eigenen Datenschutzbeauftragten besteht, muss jemand im Unternehmen gefunden werden, der sich um Datenschutzbelange kümmert oder oben genannte Auskünfte erteilt und den Datenschutz und die Einhaltung aller Vorschriften im Auge behält. Dazu gehören auch die Meldepflichten oder die datenschutzkonforme Gestaltung von Datenverarbeitungsprozessen. Hinzu treten Dokumentationspflichten.

Praxistipp: Die DSGVO muss spätestens bis zum 25. Mai 2018 umgesetzt werden. Da es eine Vielzahl von Änderungen gibt, sollten Online-Händler diese nicht auf die lange Bank schieben und schon jetzt mit der Umsetzung beginnen. Legen Sie fest, wer intern für die Datenschutz Compliance verantwortlich ist und wie viel Zeit er dafür zur Verfügung gestellt bekommt. Ist der Datenschutz Chefsache oder haben Angestellte genügend Zeit für Vorbereitung, Schulung und Weiterbildung hinsichtlich des Datenschutzes in Ihrem Unternehmen?

Maßnahme: Auftragsdatenverarbeitung anpassen

Viele Unternehmen sourcen ihre Datenverwaltung aus, etwa durch externe Mailing-Dienstleister oder Callcenter. Verträge mit solchen Subunternehmern, sog. Auftragsverarbeitungsverträge, des Unternehmers müssen künftig neu gefasst werden, weil neue Klauseln aufgenommen werden müssen. Neu ist insbesondere, dass nicht nur der Auftraggeber, sondern künftig auch der Auftragnehmer in die Verantwortung genommen und schlimmstenfalls auch ein Bußgeld gegen ihn verhängt werden kann.

Praxistipp: Prüfen Sie intern, wer außerhalb Ihres Unternehmens mit der Verwaltung von Kundendaten betraut wurde. Bestehen Verträge und welche Regelungen fehlen noch? Passen Sie daraufhin die bestehenden Verträge an.

Maßnahme: Webanalyse-Tools und Cookies ordnen

Tracking-, Analyse- und Remarketing-Tools sind auf Tausenden von Websites im Einsatz. Mit der DSGVO wird für die Verwendung der genannten Tools eine ausdrückliche Einwilligung der Nutzer erforderlich sein. Dies kann etwa in Form einer schriftlichen (auch elektronisch) oder einer mündlichen Erklärung erfolgen.

Praxistipp: Welche Analyse-Tools, Social Plugins und Cookies sind auf Ihren Websites im Einsatz? Nehmen Sie Rücksprache mit dem Shop- oder Websites-System-Anbieter, welche Möglichkeiten für die Einwilligung bestehen. Die Einwilligung könnte etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Werden die Daten ins Ausland übermittelt, was meistens der Fall ist, kommen besondere Hürden hinzu.

Maßnahme: Newsletter-Versand anpassen

Bisher galt auch schon, dass ein Newsletter nur versendet werden darf, wenn dafür eine Einwilligung vom Empfänger vorliegt. Das wird künftig sogar noch verschärft: Eine Einwilligung in den Erhalt von Newslettern darf nicht vom Vertragsabschluss abhängig gemacht werden, sofern diese nicht erforderlich für die Erfüllung des Vertrages ist.

Praxistipp: Checken Sie Ihre Webseiten in puncto Newsletter-Bestellung. Sind Klauseln in der Datenschutzerklärung vorhanden? Wenn ja, sind diese noch aktuell? Und wie ist der Ablauf bei der Newsletter-Anmeldung gestaltet? Weitere Informationen gibt es in Teil 1 der Themenreihe.

Maßnahme: Rechtliche Entwicklung beobachten

Auch mit der DSGVO selbst ist das letzte Wort noch nicht gesprochen. Da viele Regelungen noch unklar sind, müssen sie mühsam von Praktikern und Datenschützern interpretiert werden. In den kommenden Monaten werden daher Datenschutz-Gremien wie der Düsseldorfer Kreis oder die Behörden von Bund und Ländern zu einzelnen Problematiken Stellung nehmen und damit für hoffentlich mehr Klarheit sorgen, beispielsweise zur Fortgeltung bisher erteilter Einwilligungen.

Zudem wird die DSGVO durch zahlreiche weitere Verordnungen und Gesetzesänderungen untermauert. So kommt etwa die e-Privacy-Verordnung noch hinzu. Außerdem wird es bei den Landesdatenschutzgesetzen Überarbeitungen geben. Am 25. Mai 2018 tritt ebenfalls das neue Bundesdatenschutzgesetz in Kraft, welches neben der DSGVO Anwendung findet.

Praxistipp: Die verbleibenden Monate sollten daher sowohl zur Vorbereitung genutzt werden als auch, um die kommenden Rechtsänderungen und Interpretationen im Blick zu behalten. Informationsportale und Webseiten der öffentlichen Stellen bzw. Behörden sind dabei gleichfalls Anlaufstelle.

 

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)