25. Mai 2018 – Stichtag zur Umsetzung der neuen Regelungen nach Datenschutz-Grundverordnung (EU-DSGVO)

Datenschutz-Grundverordnung

Was ist die EU Datenschutzgrundverordnung ?

Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung -  also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht - also den Umgang von Unternehmen mit personenbezogenen Daten - einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wird zeitgleich neu gefasst.

Ab wann gilt die EU-DSGVO?

Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER: Die EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 anwenden.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind.

Wie ist die Definition von Auftragsdatenverarbeitung (ADV)

ADV ist die "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet."

Das können z.B. folgenden Anwendungsfälle sein:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • externer Newsletter-Anbieter
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Wir dürfen als Online-Agentur keine Rechtsberatung leisten, unterstützen unsere Kunden allerdings gern im Bedarfsfall bei der Dokumentation der „technisch-organisatorischen Maßnahmen“.

Persönliche Daten und Datenschutz-Grundverordnung

Was sind persönliche Daten und wann dürfen Sie verarbeitet werden?

Künftig gilt alles, was einen EU-Bürger identifizierbar macht, als persönliche Daten. Dazu gehören auch „Online-Kennungen“ wie IP-Adressen, Cookie-IDs und E-Mail-Adressen. Und es reicht aus, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

Um persönliche Daten zu verarbeiten, bedarf es künftig der aktiven Zustimmung der Nutzer, während sie bisher aktiv widersprechen mussten. Es gilt: "Opt-in" statt "Opt-out".

Dies bekommt eine besondere Relevanz im Bereich des E-Mail-Marketings und erst recht beim Tracking.

Wenn Sie unsicher sind, ob Sie handeln müssen, rufen Sie uns an.

Impressum und Datenschutz in der Website

Sind der Datenschutz und das Impressum auf Ihrer Seite aus rechtlicher Sicht noch aktuell?

Art. 12 DSGVO begründet die Pflicht des Betreibers dem Nutzer alle Informationen zur Verarbeitung seiner Daten in verständlicher, leicht zugänglicher Weise zur Verfügung zu stellen. Hierbei ist zu beachten, dass juristische Fachbegriffe vermieden werden und die Satzstruktur so gehalten wird, dass eine Privatperson sie verstehen kann.

Die inhaltlichen Pflichten sind deutlich weitreichender als die des BDSG (Bundesdatenschutzgesetz), welches durch Inkrafttreten der DSGVO abgelöst wird.

Von nun an muss die gesetzliche Grundlage zur Datenverarbeitung ausdrücklich genannt werden. Weiterhin erweitern sich die Aufklärungspflichten über den Umfang der gespeicherten Daten, inkl. Namen und Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten und der Zweck für den die Daten verarbeitet werden. Die Aufklärung über das Recht auf Korrektur und speziell Löschung selbiger Daten, sowie die Dauer der Speicherung sind ferner von diesen Pflichten erfasst.

Unsere Empfehlung: Um der drohenden Gefahr einer Abmahnung durch den Wettbewerb oder Abmahnvereinen zu entgehen, MÜSSEN Sie bis zum 25.5. Ihre Datenschutzerklärung angepasst haben – wir helfen Ihnen dabei  und liefern Textvorlagen, die Sie am besten von einem Fachmann (zum Beispiel einem Juristen oder Ihrem Datenschutzbeauftragten) überprüfen lassen.

Weitergabe von Daten am Beispiel eines Newsletters

Bei den meisten Weitergaben von Daten handelt es sich um sogenannte Fälle der „Datenverarbeitung im Auftrag“. Das heißt ein Unternehmen beauftragt ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Zum Beispiel wird ein Newsletterversender mit dem Versand von Werbemailings beauftragt.

Für solche Fälle der „Auftragsverarbeitung“ sieht das Gesetz den Abschluss und die Erfüllung eines speziellen Vertrags als hinreichende Risikominderung für die Betroffenen und damit als Erlaubnisgrundlage vor (Art. 28 Abs. 3 S. 1 DSGVO).

Das bedeutet, die berechtigten Interessen an der Weitergabe von Daten überwiegen dann die Datenschutzinteressen betroffener Personen und die Weitergabe ist erlaubt.

Neben dem o.g. Newsletter gibt es weitere Anwendungsfälle, die einen Vertrag zur Datenverarbeitung notwendig machen:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

Wichtig: Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Wir unterstützen unsere Kunden gern im Bedarfsfall bei der Dokumentation der „technisch- organisatorischen Maßnahmen“, ohne eine konkrete Rechtsberatung vorzunehmen und haben einen Mustervertrag zur Datenverarbeitung vorbereitet.

Ist ein SSL-Zertifikat notwendig?

Durch die Installation eines SSL-Zertifikates wird die Datenübertragung von ihrer Website zum Kunden verschlüsselt. Sobald Formulare (z.B. Kontakt-Anfrage, Newsletter-Anmeldung) auf der Website angeboten werden und somit personenbezogene Daten übermittelt werden können, ist eine Verschlüsselung notwendig.
Generell ist die Verschlüsselung der gesamten Internetseite seit Anfang 2018 zu empfehlen, da es Vorteile hinsichtlich der Suchmaschinen-Auffindbarkeit bewirkt und von Google offiziell empfohlen wird.

Kontakt

Möchten Sie Unterstützung für die Umsetzung der EU-DSGVO? Schreiben Sie uns eine E-Mail oder rufen Sie uns an.

Mike Therolf Geschäftsführer unternehmen.online

Mike Therolf

Geschäftsführer

+49.231.477 379-111