Umsetzung der DSGVO

Online-Unternehmer aufgepasst: Für den Datenschutz gelten bald neue Regeln!

Bisher haben Sie sich mit dem Thema Datenschutzgrundverordnung (DSGVO) noch gar nicht auseinandergesetzt? Dann sind Sie einer von vielen Unternehmern in Deutschland, wie eine Umfrage der Bitkom beweist. Nur jedes fünfte der befragten Unternehmen geht davon aus, bis zum Stichtag am 25. Mai 2018 ausreichend auf die DSGVO vorbereitet zu sein. Dabei ist Datenschutz insbesondere für Online-Unternehmer ein absolutes Muss! Wir zeigen Ihnen, welche Regeln ab Mai für Ihr Unternehmen gelten und wie Sie gelassen in die Zukunft blicken können.

Welche Daten gelten als personenbezogene Daten?

Das Recht auf informationelle Selbstbestimmung ist die Basis des deutschen (bzw. europäischen) Datenschutzrechts. Jeder darf bestimmen, was, wo, wie und von wem über die eigene Person gespeichert wird. Dass Namen, Adresse und Besitzmerkmale (beispielsweise Kfz-Daten) dazugehören, ist den meisten klar.

Relevanter für Betreiber von Online-Shops und E-Mail-Marketing wird mit der DSGVO aber Folgendes: Unter personenbezogenen Daten versteht der Gesetzgeber nicht mehr nur die Informationen, die eine Person identifizierbar machen, sondern auch »Online Identifier« wie Cookie-IDs, IP-Adressen, Standortdaten und Ähnliches. Speichern oder verarbeiten Sie solche Daten, dann sind auch Sie in der Regel zum Einholen einer Einwilligung zur Datenverarbeitung bzw. -speicherung verpflichtet.

Einwilligungen richtig einholen

Das Verarbeiten der personenbezogenen Daten ist nur mit Einwilligung erlaubt. Wie diese eingeholt werden muss, regelt Art. 7 DSGVO. Obwohl es keine vorgeschriebene Form gibt, die Einwilligung also auch mündlich erteilt werden kann, ist es für Unternehmer besser, diese schriftlich oder elektronisch einzuholen.

Das liegt an der neuen Rechenschaftspflicht der DSGVO: Der Unternehmer muss im Zweifel nachweisen können, dass die Einwilligung vorliegt, sonst droht ein Bußgeld! Die Einwilligung muss demnach freiwillig, zweckgebunden und mit der Möglichkeit des Widerrufs erteilt werden. Achtung: Eine AGB-Klausel reicht für die Einwilligung nicht aus! Der Kunde muss die Einwilligung im Wege des Opt-In- Verfahrens abgeben, also aktiv einen Haken in einer Checkbox setzen.

Newsletter: Double-Opt-In-Verfahren ist besser

Holen Sie Ihre Einwilligungen im Zuge eines Newsletters ein, wird das Opt-In-Verfahren regelmäßig nicht reichen. Stattdessen sollten Sie auf das Double-Opt-In-Verfahren setzen. Dabei setzt der Kunde gezielt den Haken zum Newsletter-Versand und bestätigt in einem zweiten Schritt die Anmeldung aus seinem E-Mail-Postfach heraus. Das hat vor allem den Vorteil, dass mittels Zeitstempel und Protokoll die Einwilligung besser nachgewiesen werden kann.

Die E-Mail mit einem Bestätigungslink sollte Sie jedoch nicht in Versuchung führen, bereits Werbung zu platzieren! Dem hat die Rechtsprechung bereits 2014 einen Riegel vorgeschoben und das als unlauteren Wettbewerb deklariert. Achten Sie beim Double-Opt-In-Verfahren also darauf, dass die E-Mail nur Standardangaben enthält.

Beschäftigen Sie einen »Auftragsverarbeiter«?

Viele Online-Unternehmer nutzen externe Tools, um beispielsweise das Kontaktformular oder den Newsletter zu realisieren. Mit der DSGVO stehen solche Praktiken nun auf dem Prüfstand, denn: Sobald erfasste Daten auch extern gespeichert und übertragen werden, bedienen Sie sich eines sogenannten Auftragsverarbeiters im Sinne der DSGVO.

Sie sind der Datenverarbeiter und müssen gewährleisten, dass die von Ihnen erfassten Daten auch angemessen geschützt werden. Kompliziert wird es, wenn Sie beispielsweise einen Cloud-Dienst für die Datenverarbeitung nutzen, der im Ausland hostet. Es liegt nun in Ihrer Verantwortung, das Datenschutzniveau des Landes zu prüfen und entsprechende Verträge zu schließen. Wie das am besten für Ihr Unternehmen umzusetzen ist, sollten Sie Datenschutzexperten fragen.

Die Datenschutzerklärung unbedingt anpassen!

Die DSGVO bietet den optimalen Anlass, die Datenschutzerklärung auf der Website mal wieder gegenzulesen. Wie umfangreich oder groß Ihre Website bzw. Ihr Unternehmen ist, spielt keine Rolle. Sobald Sie personenbezogene Daten (beispielsweise die temporäre Speicherung der IP-Adresse) speichern, muss die Datenschutzerklärung gut sichtbar und erreichbar für den Besucher platziert werden.

Der Footer oder Header in einer Website bietet sich an, um eine Verlinkung zur Datenschutzerklärung zu setzen. Zusätzlich zu einer Widerspruchsmöglichkeit muss die Datenschutzerklärung verständlich sein. Das heißt: in klarer, einfacher Sprache, präzise und transparent formuliert.

Neu ist ebenfalls, dass die Nennung der Rechtsgrundlage zur Datenverarbeitung zwingend vorhanden sein muss. Es empfiehlt sich ein Datenschutzerklärungsgenerator oder eine Mustererklärung aus dem Internet für eine vollständige und rechtssichere Darstellung!

Fazit: Gut vorbereitet ist die DSGVO kein Problem

Die Umsetzung der DSGVO wird für Datenschutzlaien kein einfaches Unterfangen werden. Zu undurchsichtig und gut versteckt sind einige Regeln noch beziehungsweise in ihrer Bedeutung auch noch umstritten. Ob Ihre Prozesse im Unternehmen den neuen Anforderungen der DSGVO gerecht werden, lässt sich mittels fundierter Literatur und Ratgeber genau überprüfen. Verzichten Sie bei diesem wichtigen Thema nicht auf den vorherigen Rat eines Experten, denn: Gut vorbereitet ist die DSGVO auch für Ihr Unternehmen kein Problem!

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien

Folgen Sie uns: