Die neue Europäische Datenschutzgrundverordnung ist am 04. Mai 2016 veröffentlicht worden. Parallel hat die Bundesregierung ein neues Bundesdatenschutzgesetz beschlossen. Mit dem 25. Mai 2018 fällt nun der Startschuss für die neue Datenschutz-Grundverordnung (DSGVO) in allen europäischen Ländern und für alle Unternehmen innerhalb der EU. Was bedeutet das nun aber für die eigene Website und das eigene Unternehmen?
Datenschutz: Für mein Unternehmen unwichtig!
Tatsächlich ist jedes Unternehmen innerhalb der Europäischen Union von der neuen DSGVO betroffen, egal um welche Unternehmensgröße es sich handelt. Wer bisher nun dachte, dass das Thema Datenschutz für sein Unternehmen nicht relevant ist, der irrt sich gewaltig. Jedes Unternehmen verarbeitet personenbezogene Daten, entweder bei der Auftragsdatenverarbeitung, der Mitarbeiterverwaltung oder eben im Rahmen der eigenen Website. Gerade hinsichtlich der eigenen Website, werden personenbezogene Daten erfasst, über bspw.:
- den Newsletter,
- dem Kontaktformular,
- der IP-Adressen die in Server-Statistiken vorgehalten werden,
- einem Google Analytics Account,
- einen Facebook Like-Button.
Unberührt von dieser Betrachtung sind noch die Verarbeitung der Daten im unternehmensinternen Umfeld, die wir weiter unten in diesem Artikel kurz erwähnen. Wer die Grundverordnung bei einen dieser Punkte missachtet, muss mit Bußgeldern von bis zu 2o Millionen Euro oder 4% des Vorjahresumsatzes rechnen.
Richtlinien für die Website
Mit der neuen DSGVO ist es erforderlich, dass die eigene Website an zwei Stellen aktualisiert wird: der Datenschutzerklärung und dem Impressum. Für die Datenschutzerklärung und dem Impressum schreibt der Gesetzgeber vor, dass diese präzise, transparent, verständlich, leicht zugänglich und in deutlicher Sprache formuliert sein müssen. Ebenso wird vorgegeben, dass die Rechtsgrundlage für die Datenverarbeitung erwähnt wird.
Unerwähnt darf in diesem Zusammenhang natürlich nicht die Nutzung von Analyse Tools bleiben. Sofern ein solches Tool eingesetzt wird ist in der Datenschutzerklärung explizit darauf hinzuweisen.
Ferner ist ein Kopplungsverbot in der DSGVO formuliert. Was aber ist eine Kopplung im Zusammenhang des Datenschutzes? Eine Kopplung liegt beispielsweise vor, wenn ein Website-Besucher seine E-Mail Adresse in einem Formular eingeben muss, damit auf Inhalte einer Website zugegriffen werden darf, wie bspw. einem Whitepaper als PDF, oder um an einem Gewinnspiel teilnehmen zu dürfen. Das Kopplungsverbot wird in der DSGVO also strenger formuliert als in dem vorherigen Bundesdatenschutzgesetz. Insofern sind Einwilligungen explizit einzuholen. Datenschutz-Generatoren können hier helfen aufzuzeigen, wie eine rechtssichere Datenschutzerklärung aussehen kann.
Hinweis: Die Impressum-Pflicht gilt natürlich nicht nur für die eigene Website, sondern auch für Social Media Pages auf Facebook oder Twitter, was auf der verlinkten Seite aber erklärt wird.
Newsletter und Benachrichtigungen per E-Mail
Auch bei digitalen Werbemitteln – wie einem Newsletter – greift die neue Datenschutz-Grundverordnung mit dem Kopplungsverbot, denn gerade hier steht die Freiwilligkeit der Einwilligung im Vordergrund. Der Versender eines Newsletters ist verpflichtet, nachweisen zu können, dass zum Empfang eines Newsletters der Empfänger „freiwillig“ zugestimmt hat. Diese Einwilligung kann mündlich oder schriftlich erfolgt sein. In der Praxis hat sich hier das Double-Opt-In Verfahren durchgesetzt, da so eine 100% Nachweisbarkeit sichergestellt ist. Aber auch der Entzug einer Einwilligung, das sogenannte Widerrufsrecht, muss für den Empfänger so einfach wie möglich sein.
Hinweis: Achtet bei der Erstellung eurer Newsletter unbedingt darauf, dass ihr dem Empfänger über euer Unternehmen informiert und verlinkt auf das Impressum eurer Website (Informationspflicht).
Formulare und die liebe Datenschutzerklärung
Sofern personenbezogene Daten in einem Website-Formular verarbeitet werden, ist mit der Neuregelung besonders auf die Datenschutzerklärung hinzuweisen. Ergänzt also in jedem eurer Formulare einen Hinweis auf eure Erklärung und achtet darauf, dass die Daten sicher übertragen werden. Mit anderen Worten ist der Einsatz eines SSL Zertifikates wichtiger denn je für einen datenschutzkonforme Verarbeitung (nach DSGVO) der Formulardaten.
DSGVO Spezialitität: Verarbeitungsverzeichnis
Das war schon alles zur DSGVO? Leider nein. Die Verarbeitung personenbezogener Daten findet natürlich insbesondere im eigenen Unternehmen statt und unterliegt damit dem Auge des Gesetzes. Nach Artikel 30 der DSGVO ist jeder Unternehmer verpflichtet ein Verzeichnis aller Verarbeitungstätigkeiten zu erstellen und zu pflegen, sofern dieser eine Kundendatenbank und/oder eine Mitarbeiterdatenbank führt. Diese Verzeichnisse müssen auf Nachfrage der Aufsichtsbehörden zur Verfügung gestellt werden.
Wie soll so etwas aber nun aussehen, fragt ihr euch? Sehr gute Frage. Bisher schreibt der Gesetzgeber nichts konkretes vor, was natürlich für Verunsicherungen sorgt. Das Bayerische Landesamt für Datenschutz hat zu diesem Zweck versucht erste Vorschläge zu erarbeiten und stellt diese online bereit. Aber auch das IT-Service-Network veröffentlicht eine gute Zusammenfassung zur Vorgehensweise, um ein solches Verzeichnis aufzubauen. Eine hervorragende und lockere Herangehensweise zur Erstellung eines Verarbeitungsverzeichnisses ist dem Flensburger Rechtsanwalt Stephan Hansen-Oest gelungen. Aber schaut selber einmal rein. 😉 Ein großes Lob für den hohen Praxisbezug seines Videos. Weitere kostenlose Muster und Formulare zur DSGVO findet ihr häufig bei Datenschutz-Dienstleistern, wie diesen hier aus Berlin.
DSGVO – Was muss ich tun?
Wem das nun alles zu viele Links zu anderen Seiten sind, dem sei nachfolgendes Video ans Herz gelegt, um einen Überblick zu bekommen. Der Schweizer Reno Stuber hat in seinem YouTube Kanal eine tolle Zusammenfassung zur DSGVO bereitgestellt. Bei dem über 51 Minuten langen Video müsst ihr natürlich etwas Zeit mitbringen, aber inhaltlich deckt der Beitrag doch viele Punkte ab, die für euer Unternehmen relevant sind.
DSGVO im Umgang mit Mitarbeitern
Die Einhaltung der Datenschutz-Grundverordnung bringt natürlich nur etwas, wenn sie von allen Mitarbeitern im Unternehmen gelebt werden. Zu diesem Zweck sieht der Gesetzgeber verpflichtend vor, dass diejenigen Unternehmen einen internen oder externen Datenschutz-Experten bestellen, sofern eine automatisierte Verarbeitung von Daten erfolgt. Eine Vorabkontrolle ist hier verpflichtend. Auch im Umgang mit den Daten sind Mitarbeiter besser zu schulen und zu sensibilisieren, wie in dem Artikel der Deutschen Handwerks-Zeitung zusammengefasst wird. In diesem Zusammenhang sei ebenso erwähnt, dass personenbezogene Daten eines Mitarbeiters nur zum Zwecke eines Beschäftigungsverhältnisses erhoben werden dürfen. Existiert dieses Verhältnis nicht mehr, ist eine weitere Nutzung der Daten untersagt.
melon|media und die DSGVO
Kunden von melon|media können sich „etwas“ zurücklehnen, denn wir sind eRecht24 Partner und generieren so Datenschutzerklärungen und Impressen nach DSGVO. Dazu gehört auch die rechtssichere Verwendung von Google Analytics.
Fazit
Das war also die DSGVO im Schnelldurchmarsch. Nicht alle Bestandteile sind in diesem Artikel in angemessen Tiefe behandelt worden, aber ein erster Überblick sollte damit gegeben sein. Wer sein Wissen abschließend testen möchte kann das gerne tun. Denn von dem Landesamt Bayern ist ein Selbsteinschätzungs-Tool bereitgestellt worden, um Schwachstellen in dem eigenen Unternehmen zu identifizieren. Abschließend weisen wir darauf hin, dass dieser Artikel keine juristische Beratung ersetzt und nur als eine grobe Orientierung dienen soll. Wir übernehmen keine Gewähr für die Richtigkeit oder Aktualität der Informationen in diesem Beitrag und empfehlen Dir aus diesem Grund einen Fachspezialisten zu konsultieren, den wir Dir auch gerne empfehlen können. Bei konkrete Fragen, nutzt bitte unten die Kommentar-Funktion.
Update vom 26.07.2019
Herr Engel von der DeinData GmbH hat uns eine interessante und aktuellere DSGVO Checkliste bereitgestellt, die im Grunde obige Liste ersetzt. Die Checkliste deckt so gut wie alle DSGVO-Punkte ab und ist mit Beispielen hinterlegt. Viel Spaß beim Lesen 😉