Datenschutz-Verordnung EU- DSGVO – was muss ich Online beachten? | Teil 1

update-owl
Home / Der update-Blog | Up-to-date rund um Ihren Webauftritt / Blog - Rechtsvorschriften bei Webauftritten / Datenschutz-Verordnung EU- DSGVO – was muss ich Online beachten? | Teil 1
EU-DSGVO

Worum geht es bei der EU-DSGVO?

Kurz gesagt, werden hier die persönlichen Daten einer Einzelperson geschützt. Die EU-DSGVO regelt die Verarbeitung personenbezogener Daten sowohl von Unternehmen als auch von öffentlichen Institutionen, die von EU-Bürgern (egal ob beruflich oder privat) erhoben werden.

Denn durch das Internet werden wir immer gläserner und selbst persönlichste Daten sind nicht mehr so geschützt, wie es eigentlich sein sollte. Das soll allerdings nun mit der europäischen Datenschutz-Grundverordnung in der ganzen EU besser geschützt werden und solche Datenlecks – auch bei den außereuropäischen Unternehmen wie Google, Amazon und Facebook gestopft werden. Auch diese Daten-Kraken dürfen infolgedessen ab dem 25. Mai 2018 dementsprechend nur noch mit ausdrücklicher Genehmigung diese persönlichen Daten verarbeiten oder gar abspeichern.

Waren die Daten bisher nicht gesetzlich geschützt?

In Deutschland war auch überdies schon ein recht hohes Datenschutzniveau mit dem BDSG. Die Europäische Union schafft im Foldenden mit der EU-DSGVO einheitliche Regeln. Viele Gesetze aus unserer bereits bestehenden Gesetzesgebung wurden dementsprechend in die DSGVO übernommen. Die neue Europäischen Datenschutz-Grundverordnung wurde bereits mit einer Übergangsfrist von 2 Jahren 2016 verabschiedet.

Alles in Allem:

Die DSGVO ist sehr umfangreich. Deshalb bedarf es auch in vielen Fällen einer Benennung eines Datenschutzbeauftragten.

Dieser Artikel kann nur einen ersten Einblick geben, welches Wissen ich mir durch recht langwierige Recherche und Besuche von Fachvorträgen angeeignet habe. Für die Umsetzung der gesamten Verordnung rate ich dazu, zertifizierte Datenschutz-Beauftragte, Berufsverbände oder Rechtsanwälte um Unterstützung zu bitten. Mein Wissen ist kein fundiertes Wissen und damit keinesfalls für irgendwelche verbindlichen Ansprüche zurate zu ziehen! Es ist nur für eine reine Erstinfo gedacht.

Welche Konsequenzen hat die EU-DSGVO?

Ab dem 25. Mai 2018 tritt diese Verordnung in der ganzen Europäischen Union in Kraft und gilt kurzum auch für Unternehmen außerhalb der EU, die ihre Tätigkeit auf die EU ausrichten.

Deswegen sollte man alle Online-Auftritte der neuen Verordnung angepasst haben. Denn  die Datenschutzbehörden können ab diesem Zeitpunkt Bußgelder von 20 Mio Euro oder 4% des gesamten WELTWEIT erzielten Jahresumsatzes erheben.

Doch noch wahrscheinlicher ist es in den nächsten Wochen, dass es wieder große Abmahnwellen von entsprechenden Abmahn-Anwälten oder von Mitbewerbern gibt und zusätzlich dadurch mehrere Tausend Euro Mahngelder eingetrieben werden.

Deshalb ist es sehr wichtig, zumindest die Online-Auftritte bis zum Stichtag gesetzeskonform zu haben, wenn man spät dran ist und noch nicht alle Punkte umgesetzt hat.

Was muss ich bei meinem Webauftritt beachten?

Für Ihre Online-Aktivitäten möchte ich Ihnen Folgendes ans Herz legen:

JA!  Diese Neuregelung gilt für ALLE Unternehmen - seihen sie noch so klein oder im Nebenerwerb ausgeführt - die personenbezogene Daten (Kunden-Name, Tel., -Mail-Adresse, Logdatei-Daten von der Webseite, IP-Adressen durch Firewalls oder Analyse-Tools....) erheben oder verarbeiten.

Auch bei Facebook & Co. werden Daten gesammelt. Hier hat man häufig einen Teilen- oder Like-Button auf der eigenen Website, um die eigenen Beiträge in den Sozialen Netzwerken zu teilen. Auch diese Daten können eindeutig zuordbar sein und fallen damit unter die Verordnung.

.. es sei denn, in den Gesetzen (z. B. BDSG, TMG, DSGVO) finden Sie Ausnahmen oder die Betroffene Person willigt ausdrücklich und nachweisbar ein.

Bei sensiblen Daten (z. B. Gesundheitsdaten, religiöse oder philosophische Überzeugungen, politische Meinungen....) bedarf es einer ausdrücklichen Einwilligung auf diese Daten (BDSG § 3 Abs. 9)

Überlegen Sie sich zweimal, ob Sie für die Kontaktaufnahme über das Kontaktformular wirklich das Geburtsdatum benötigen. Auch ist vermutlich zunächst die Adresse nicht ganz so relevant. Wahrscheinlich reicht es aus, nur den Namen des Ansprechpartners und die e-Mail-Adresse abzufragen. Die Telefon-Nummer sollte als optionales Zusatzfeld gehandhabt werden und nicht als Pflichtfeld.

Sie sollten demgemäß mit allen notwendigen Informationen

  • in leicht verständlicher Sprache
  • präzise und
  • transparent
 sein.

Achten Sie regelmäßig darauf, dass alle Daten sowohl sachlich als auch inhaltlich richtig und aktuell sind.

Ist vielleicht bei der Dateneingabe ein Tippfehler oder Zahlendreher passiert? Vielleicht ist der Interessent ja schon verzogen? Oder ist der Kunde inzwischen geschieden und hat den "Mädchennamen" wieder angenommen? - Noch peinlicher wäre es, wenn dieser Kunde bereits vor Jahren gestorben wäre. Deshalb pflegen Sie Ihren Datenbestand wirklich regelmäßig!

Erteilen Sie jedem Betroffenen transparent und wahrheitsgemäß bei Nachfrage Auskunft über Art, Zweck und Nutzung seiner Daten.

Die Betroffenen müssen darüber informiert sein, was zu welchem Zweck mit den personenbezogenen Daten gemacht werden soll- und zwar, bevor es tatsächlich passiert. Konkret insbesondere über:

  • Namen und Kontaktdaten des Verantwortlichen
  • Zwecke, Interessen und deren Rechtsgrundlagen
  • wenn vorhanden/benötigt, Kontaktdaten des Datenschutzbeauftragten

Außerdem muss eine faire und transparente Verarbeitung gewährleistet sein. Folgende Informationen müssen deshalb zur Verfügung gestellt werden:

  • Hinweis des Betroffenen auf Recht auf Auskunft, Berichtigung, Löschung und Widerruf
  • Dauer der Speicherung
  • Kriterien der Löschung
  • Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

... wird in der Verordnung überdies besonders groß geschrieben.

  • schützen Sie die Daten entsprechend durch technische und organisatorische Maßnahmen (z. B. sichere Logins, regelmäßige Software-Updates, Password-Schutz an den PC´s, Viren-, Mal-  und Firewall-Software...)
  • Sichern Sie auch alle mobilen Geräte (Smartphone, Laptop, Tablett...) mit den bereits weiter oben genannten Maßnahmen ab
  • Machen Sie Verträge zur Geheimhaltung mit Ihrem Personal und externen Dienstleistern (wie z. B. Providern, IT-Administratoren, Webdesignern, Entwicklern, Social-Media-Portalen - aber auch Handwerkern und Reinigungskräften) die auch nur theoretisch Zugriff auf die Daten haben könnten
  • Lassen Sie keine Daten offen liegen
  • Sperren Sie den Bildschirm, sobald Sie den Arbeitsplatz verlassen
  • Löschen Sie regelmäßig so viele erhobene Daten, wie möglich

Sollte es trotzdem zu Datenverlusten kommen, lassen Sie keine falsche Scham entstehen und kümmern Sie sich schnellstmöglichst um Schadenbegrenzung. Denn das kann trotz aller Sorgfalt jedem passieren.

MELDEN SIE ES SCHELLSTMÖGLICH - spätestens jedoch innerhalb von 72 Stunden an

  • den IT-Fachmann ( um den Schaden schnellstmöglich zu begrenzen und die Schwachstelle zu schließen)
  • die zuständige Datenschutz-Aufsichtsbehörde des Landes
  • ggf. auch die Polizei (z. B. bei Randomsoftware oder Ähnlichem)
  • genauso ebenfalls die betroffenen Personen

Sobald mindestens 20 Personen beschäftig werden, ist ein Datenschutzbeauftragter zu bestellen.

Darüber hinaus gilt:

Sollten regelmäßig mehr als 9 Mitarbeiter mit automatisierter Datenverarbeitung ( Erhebung und Nutzung) zu tun haben, besteht ebenfalls die Pflicht!

Wenn personenbezogene Daten verarbeitet werden, welche über

  • religiöse Überzeugung
  • politische Meinung
  • Rasse
  • ethnische Herkunft
  • Sexualleben
  • Gewerkschaftszugehörigkeit oder
  • Gesundheit

einer Person informieren, besteht ebenfalls laut EU-DSGVO unabhängig von der Anzahl der Mitarbeiter diese Pflicht.

Des Weiteren ist die Verpflichtung ebenfalls unabhängig von der Anzahl der Beschäftigten angezeigt, bei der geschäftsmäßigen Übermittlung, Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten.

Einen weiteren Artikel von update-owl zur Datenschutz-Grundverordnung finden Sie hier.

 

HINWEIS: Dieser Beitrag ist bestenfalls als reine Orientierungshilfe zu sehen und erhebt keinesfalls Anspruch auf Vollständigkeit und demzufolge auch keine rechtliche Relevanz. Dementsprechend übernehme ich keine Garantie auf Vollständigkeit oder rechtliche Korrektheit. Dessen ungeachtet ist das EU-DSGVO auch ein neues Gesetz, welches sicherlich noch häufig verändert oder angepasst wird. Von daher sollten Sie regelmäßig auf neue Rechtsprechungen achten.

Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.

Ich freue mich sehr über nützliche Kommentare. Haben Sie noch weiterführende Informationen? Gerne dürfen Sie diese hier posten!

Ebenso freue ich mich über Ihre Kommentare bei weiteren Fragen (nicht rechtlicher Bestimmung!)  und Anregungen!

Contact Form Powered By : XYZScripts.com