Datenschutzgrundverordnung

Das neue Datenschutzrecht (DSGVO)

DSGVO - EU Datenschutzgrundverordnung
© Khakimullin Aleksandr

Inhaltsnavigation

Weihnachtskarten und die Datenschutz-Grundverordnung

Die gute Nachricht: Bei Versand von Weihnachtskarten an Kunden, ob per Brief oder E-Mail, ist im Normalfall keine vorherige Einwilligung erforderlich. Denn Weihnachts- und sonstige Glückwunschkarten zählen im Rahmen einer Kundenpflege zu den sozialadäquaten Verhaltensweisen. Haben Unternehmen ihren Kunden in den Vorjahren Weihnachtsgrüße übermittelt, so können sie dies auch in Zeiten der DSGVO weiterhin tun. Denn ihren Kunden ist die Verarbeitung ihrer Adressdaten hierfür bekannt und sie können dieser jederzeit widersprechen.

Rechtlich lässt sich ein Versand von Weihnachtskarten und eine hierauf basierende Datenverarbeitung auf die Rechtsgrundlage "berechtigtes Interesse" in Art. 6 Abs. 1 f) DSGVO stützen. Folgende Voraussetzungen müssen hierfür erfüllt sein:

  • Die Betroffenen müssen vor der Verarbeitung (z. B. bei Vertragsabschluss) darüber informiert werden (d. h. nur Information, keine Einwilligung!) , dass ihre Daten zum Versand von Weihnachtskarten verwendet werden und auf welchen Weg der Versand (z. B. via E-Mail, SMS) erfolgt.
  • Eine Interessenabwägung zwischen den Interessen des Betroffenen und des Unternehmens muss durchgeführt werden. Sofern die Weihnachtskarten keine Werbung enthalten, wird die Interessenabwägung in der Regel zu Gunsten der Interessen des Unternehmens ausfallen. Eine Interessenabwägung erübrigt sich, wenn Kunden vorab bekunden, dass sie dies nicht wünschen. Ein Widerspruch des Kunden ist in jenem Fall zu berücksichtigen.
    Ist die Karte zum Zeitpunkt des Widerspruchs bereits verschickt, entsteht für das versendende Unternehmen kein Handlungsbedarf. Der Widerspruch wirkt jedoch für die Zukunft.

Was ist die DSGVO?‎

Seit dem 25. Mai 2018 gelten in der gesamten Europäischen Union einheitliche und strengere Datenschutz-Regeln: Mit der Datenschutz-Grundverordnung (DSGVO) wird die Bearbeitung personenbezogener Daten innerhalb des europäischen Binnenmarktes eindeutigen Regeln unterworfen. Diese haben Auswirkungen für alle Unternehmen, die im EU-Raum geschäftlich aktiv sind. Die DSGVO ersetzt dabei die EU-Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995. Was viele Entscheider nicht wissen: Die Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Nach Ablauf der zweijährigen Umsetzungsfrist muss sie seit dem 25. Mai 2018 endgültig angewendet werden – die Schonfrist ist vorbei!

Unternehmen, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen. Diese können dabei nicht nur gegen Privatunternehmen erlassen werden. Selbst für Behörden hat der Schutz personenbezogener Daten nun oberste Priorität. Wer die gesetzlichen Vorgaben ignoriert, wird kräftig zur Kasse gebeten: Die Verordnung sieht Bußgelder bis zu 20 Millionen Euro vor. Bei besonders schweren Vergehen werden sogar bis zu 4 % des gesamten weltweiten Umsatzes im letzten Geschäftsjahr fällig. Nicht nur deshalb ist es sehr wichtig, die Inhalte der DSGVO zu kennen. Datenschutzkonformes Arbeiten ist mit Inkrafttreten der Regeln endgültig ein essenzieller Bestandteil der betrieblichen Organisation.

Datenschutzgrundverordnung: Was ist neu?‎

Die Modernisierung des Datenschutzes sorgt in erster Linie dafür, dass EU-weit einheitliche Bestimmungen gelten. Während in Deutschland das Thema Datenschutzschon immer sehr ernst genommen wurde, galten in anderen Ländern deutlich schwächere Gesetzesvorgaben. Vor allem die rasante Entwicklung der gesamten Informationstechnik macht eine Novellierung des Datenschutzes nötig. Die Standards der alten Datenschutzrichtlinie (95/46/EG) von 1995 waren längst nicht mehr zeitgemäß.

Doch was ändert sich durch die DSGVO genau? Diese Frage lässt sich in fünf Stichpunkten beantworten:

  • Das Marktortprinzip
    Mit Einführung der Datenschutzgrundverordnung gilt das einheitliche europäische Datenschutzrecht nicht nur für Betriebe mit EU-Standort. Vielmehr sind auch Unternehmen in der Pflicht, die ihre Waren und Dienstleistungen innerhalb der EU anbieten. Solche Unternehmen aus Drittländern (z. B. Social-Media-Anbieter) müssen sich also genau so an die DSGVO halten. Sie sind außerdem verpflichtet, einen bestellten Vertreter in der EU zu benennen, sofern sie in Europa keine Niederlassung haben. Wichtig ist nicht mehr, wo ein Artikel produziert wurde. Entscheidend ist vielmehr, ob ein Produkt oder eine Dienstleistung auf dem europäischen Binnenmarkt angeboten wird. Das Marktortprinzip gilt sogar für statistische Erhebungen. Wenn ein Marktforschungsunternehmen mit Firmensitz außerhalb der EU Daten über das Internetverhalten von EU-Bürgern sammelt, findet auch hier die DSGVO Anwendung.
  • Mehr Transparenz für Verbraucher
    Jeder Verbraucher soll und darf wissen, welche Firmen persönliche Daten über ihn gesammelt haben. Dazu sieht die Datenschutzgrundverordnung erweiterte Informationsansprüche vor. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck persönliche Kundendaten gespeichert wurden. Auch über die Speicherdauer muss Rechenschaft abgelegt werden. Zudem sind Unternehmen mitteilungspflichtig, wenn europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden. Jeder Kunde hat die Möglichkeit, diese Daten bei einem Unternehmen abzufragen. Eine kleine Ausnahme gibt es allerdings: Die Neufassung des Bundesdatenschutzgesetzes (BDSG), welche ebenfalls seit dem 25. Mai 2018 gültig ist, schränkt den Informationsanspruch in wenigen Fällen ein. Kleinstbetriebe, die ihre Datenerfassung noch in analoger Form betreiben, sind beispielsweise von der Informationspflicht ausgenommen.
  • Recht auf Vergessenwerden
    Fotos, Postings, Blogs oder Kleinanzeigen – das Internet vergisst so gut wie nichts. Wer über eine große Suchmaschine nach Daten über eine bestimmte Person sucht, kann oftmals schnell ein aussagekräftiges Persönlichkeitsprofil erstellen. Die Datenschutzgrundverordnung schiebt dieser Entwicklung bei Bedarf einen Riegel vor: Internetnutzer können persönliche Daten entfernen lassen. Vor allem bei sehr persönlichen Angaben zur ethnischen Herkunft, zu sexuellen Vorlieben oder zur politischen Meinung eines Users besteht nach DSGVO ein persönlicher Löschungsanspruch. Große Unternehmen stellen zu diesem Zweck oft Formulare zur Verfügung wie dieses Musterformular. Der Unternehmer muss die entsprechenden Daten löschen und zudem andere Unternehmen, die diese Daten veröffentlicht oder hierauf verlinkt haben, über den Löschanspruch informieren.
  • Datenportabilität
    Verbraucher können durch die Datenschutzgrundverordnung einfacher über ihre eigenen Daten bestimmen. Nach dem Motto „Meine Daten, meine Entscheidung“ dürfen sie ihre Daten beispielsweise zu einem anderen Unternehmen mitnehmen. Die neuen Bestimmungen machen nicht nur einen Telefon- oder Stromanbieterwechsel einfacher, sondern jeglichen Vertragswechsel. Der bisherige Anbieter ist durch die DSGVO dazu verpflichtet, alle gespeicherten Kundendaten in einem standardisierten Formular bereitzustellen, sofern die Anwendung bereits über eine derartige Funktionalität verfügt. Eine Nachrüstung bereits vorhandener Tools ist nicht erforderlich. Bei einer Neuanschaffung sollte dieser Punkt jedoch berücksichtigt werden. Der neue Anbieter muss diese Daten – soweit technisch möglich – dann in sein System übernehmen. Im besten Fall übermittelt der alte Anbieter die Daten direkt an den neuen Geschäftspartner des ehemaligen Kunden. Diesem Datentransfer muss der Verbraucher natürlich zuvor zustimmen.
  • Eine Anlaufstelle bei allen Datenschutzfragen
    Wenn ein ausländisches Unternehmen gegen Datenschutzbestimmungen verstoßen hat, mussten sich Verbraucher bislang direkt an die Aufsichtsbehörde des jeweiligen Landes wenden. Da aber ein internationales Beschwerdeverfahren viele Hürden mit sich bringt, sieht die DSGVO eine vereinfachte Regelung vor. Bürger eines EU-Landes können sich jetzt direkt an die inländische Aufsichtsbehörde wenden, wenn der Verdacht einer nicht konformen Nutzung von personenbezogenen Daten besteht. Für deutsche Staatsbürger ist demnach die deutsche Aufsichtsbehörde zuständig. Diese kümmert sich um alle weiteren Belange und stimmt mit der Dienststelle des betroffenen EU-Landes das weitere Vorgehen ab. Eine gerichtliche Überprüfung von ausländischen Datenschutzverfehlungen wird ebenfalls im Heimatland des Betroffenen durchgeführt. So lassen sich aufwendige internationale Verfahren vermeiden.

Was bedeuten die neuen Datenschutz-Regeln für mein ‎Unternehmen?‎

All die genannten Punkte haben primär Auswirkungen auf die Geschäfte aller Betriebe mit Firmensitz in der Europäischen Union: vom kleinen Ein-Personen-Unternehmen bis zum international agierenden „Big Player“. Aus diesem Grund sind Betriebe zum Handeln gezwungen, um alle Vorgaben der DSGVO im geschäftlichen Alltag umsetzen zu können. Das mag zunächst kompliziert klingen, doch mit einigen wenigen Tipps lässt sich ein Betrieb in puncto Datenschutz zukunftssicher aufstellen:

  • Bestandsanalyse
    Unternehmer müssen spätestens mit Inkrafttreten der Datenschutzgrundverordnung wissen, wo und warum sowie auf welcher rechtlichen Grundlage (z. B. Vertrag, Einwilligung) kundenspezifische Daten verarbeitet werden. Im Zuge einer „Dateninventur“ sollten Betriebe deshalb genau prüfen, wo und für welche Zwecke sie die Angaben über ihre Kundschaft verwenden. Ebenfalls wichtig zu wissen: Wie lange werden die Daten gespeichert, wer hat Zugriff darauf und an wen werden die Informationen weitergegeben. Im Zweifelsfall bedarf es einer genauen Absprache zwischen Geschäftsführung, Datenschutzbeauftragtem, IT-Abteilung und Kundenservice, um die aktuellen Gegebenheiten zu klären.
  • Verarbeitungsverzeichnis erstellen
    Das Verarbeitungsverzeichnis erweitert die Dokumentationspflicht. Rechtskonforme Muster dazu lassen sich im Internet finden, z. B. auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) oder des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V..Es löst die bisherigen Meldungen beim Verfahrensregister ab und bietet eine gute Übersicht über folgende Punkte:
    • Zweck der Datenverarbeitung,
    • Kontaktdaten des zuständigen Ansprechpartners im Unternehmen,
    • Darstellung der Datensicherheitsmaßnahmen und
    • Aufstellung der erhobenen Datenkategorien.
  • Umgehende Meldung von Datenschutzverletzungen
    Um Verbraucherdaten besser zu schützen, sieht die Datenschutzgrundverordnung das sofortige Melden von Hackerangriffen vor. Unternehmen müssen im Falle von Datenschutzverletzungen die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies ist über den Online-Service der zuständigen Datenschutzaufsichtsbehörde möglich. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).Von der Meldepflicht ausgenommen sind lediglich Datenschutzverletzungen, die kein Risiko für die Freiheit und die persönlichen Rechte der Betroffenen bedeuten. Im Zweifelsfall ist es definitiv ratsam, eine Datenschutzverletzung schleunig anzuzeigen. Ansonsten drohen dem betroffenen Unternehmen eventuell Geldbußen. Betroffene Kunden müssen nur informiert werden, wenn ein hohes Risiko für ihre Daten besteht.
  • Auftragsverarbeitungsvertrag formulieren
    Sobald ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss nach DSGVO vorab ein Auftragsverarbeitungsvertrag geschlossen werden. Wenn also externe Buchhalter, Hoster oder IT-Unternehmen im Spiel sind, muss ein entsprechender Kontrakt abgeschlossen werden. Als Grundlage dient ein kommentierter Mustervertrag – wie dieVorlage des BayLDA , die Musterverträge und begleitende Hinweise von Bitkom e. V. und diejenigen von der Gesellschaft für Datenschutz und Datensicherheit e. V..

    Die Datenschutzgrundverordnung kann also zunächst ein wenig Arbeit für ein Unternehmen bedeuten. Es ist allerdings wichtig, sich dieser Herausforderung zu stellen. Betriebe, die datenschutzkonform arbeiten, haben schließlich ein deutlich höheres Ansehen bei potenziellen Kunden. Zudem müssen solche Firmen keine Sanktionen oder Rügen bezüglich eines mangelhaften Datenschutzes befürchten. Damit bei den Planungen zur Umsetzung der Datenschutzgrundverordnung kein wesentlicher Aspekt vergessen wird, hat die IHK München die Umsetzung anhand eines Kleinstunternehmens durchgespielt: So setzt die Einzelhändlerin Miranda Mustera die unterschiedlichen DSGVO-Pflichten um.

In 10 Schritten zur DSGVO

1. Dateninventur
Wo und wie werden personenbezogene Daten im Unternehmen verarbeitet? Wie verwendet der Betrieb die Daten?

2. Dauer der Speicherung / Löschkonzept
Wie lange werden Daten gespeichert? Gibt es Möglichkeiten, die Speicherdauer zu verkürzen? Sind automatische Löschroutinen vorhanden oder geplant?

3. Datenanwendung
Welche Systeme werden zum Zwecke der Datenverarbeitung benutzt? Sind diese sicher genug? Wenn nicht, gibt es alternative Möglichkeiten?

4. Budget und Zeit planen
Gibt es im Unternehmen genügend finanzielle und personelle Ressourcen, um die DSGVO-Vorgaben pünktlich und umfassend umzusetzen? Oder sollte ein externer Dienstleister bei der Aufgabe helfen?

5. Maßnahmen planen
Wann müssen welche Aufgaben erledigt werden, damit alles Wichtige rechtzeitig erledigt ist?

6. Zuständigkeiten klären
Wer übernimmt im Betrieb welche Aufgaben zur Umsetzung der Datenschutzgrundverordnung? Besteht die Notwendigkeit, einen Datenschutzbeauftragten zu bestellen?

7. Dokumentation erstellen
Mit der Erstellung eines Datenverarbeitungsverzeichnisses sollte frühestmöglich gestartet werden. Wichtige Meilensteine auf dem Weg Richtung DSGVO müssen umfangreich dokumentiert werden. Um die Arbeit zu erleichtern, können dafür verschiedene Musterdokumente verwendet werden.

8. Vorlagen / AGB checken
Halten die verwendeten Vorlagen und AGBs der DSGVO stand?

9. Werbemaßnahmen prüfen
Auch die Datenschutzerklärung auf der Firmenwebseite sowie Werbemaßnahmen wie E-Mail-Newsletter an Kunden müssen ggf. angepasst werden (Stichwort: Double-Opt-In).

10. Interne Datensicherheit optimieren
Sind die genutzten IT-Komponenten sicher und umfassend geschützt? Gibt es gravierende Lücken, beispielsweise beim Schutz vor Hackerangriffen? Wie sieht es mit Passwortsicherungen, Backup-Systemen und Zugriffsbeschränkungen aus?

DSGVO praxisnah: Personenbezogene Angaben ‎datenschutzkonform verarbeiten

Es mag seltsam klingen, aber nach der aktuellen Datenschutzgrundverordnung ist die Erhebung von Daten über eine natürliche Person zunächst generell verboten. Die Hintertür für Unternehmen nennt sich im Fachjargon „gesetzlicher Erlaubnistatbestand“. Doch wann ist eine Datenspeicherung laut DSGVO eigentlich gestattet? Informationen dazu finden sich in Art. 6 DSGVO. Eine Datenverarbeitung ist demnach nur rechtmäßig, wenn eine der folgenden Gegebenheiten erfüllt ist:

  • Einwilligung
    Die betroffene Person hat der Datenerhebung explizit zugestimmt.
  • Bestehendes oder geplantes Vertragsverhältnis
    Unternehmen dürfen die personenbezogenen Daten ihrer Kunden verarbeiten, die für eine Vertragserfüllung erforderlich sind.
  • Rechtliche Pflicht
    Zur Erfüllung gesetzlicher Pflichten können Daten über eine natürliche Person auch ohne deren Zustimmung verarbeitet werden.
  • Lebenswichtige Belange
    Für den Schutz von Leib und Leben können ebenso Daten verarbeitet werden. Das ist u. a. in einem Krankenhaus oder auf einer Gesundheitskarte der Fall.
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse
    Wenn die Datenverarbeitung notwendig ist, damit eine Person eine bestimmte Aufgabe im öffentlichen Interesse erledigen kann, ist sie ebenfalls erlaubt.
  • Berechtigtes Interesse
    Zur Wahrung eines berechtigten Interesses kann einer Datenverarbeitung auch zugestimmt werden.

Die ausdrückliche Einwilligung der betroffenen Person zur Datenverarbeitung – birgt für Unternehmen einige Tücken. Die Einwilligung muss nämlich freiwillig geschehen und eindeutig sein. Eine Kopplung an Verträge oder an sonstige Leistungen, die erbracht werden sollen, ist laut Datenschutzgrundverordnung untersagt.

  • Datenschutz und Datensicherheit
    Um personenbezogene Daten in einem Unternehmen möglichst sicher verarbeiten zu können, sollten Administratoren einige wichtige Aspekte berücksichtigen. Zunächst müssen sich IT-Mitarbeiter mit den Themen „Privacy by Design“ und „Privacy by Default“ auseinandersetzen. Diese Fachbegriffe sind nicht unbedingt neu, doch durch die Datenschutzgrundverordnung bekommen sie eine ganz neue Relevanz.
  • Privacy by Design
    Lässt sich am ehesten mit „Datenschutz durch Technik“ übersetzen. Die komplette IT eines Unternehmens – von der Webseite bis zur Netzwerkkonfiguration – sollte demnach so strukturiert sein, dass sämtliche Datenschutzaspekte logisch und nachvollziehbar bleiben.
  • Privacy by Default: ist der „Datenschutz durch Voreinstellungen“ (siehe hierzu auch den Fachartikel "Datenschutz und Datensicherheit"). Damit ist gemeint, dass User durch werkseitige Einstellungen so durch Bestellprozesse etc. geleitet werden, dass diese Standardeinstellungen für größtmöglichen Datenschutz sorgen. Ein Browser, der Cookies generell ablehnt, wäre dafür ein adäquates Beispiel. Im Unternehmensbereich haben sich beim Thema „Privacy by Default“ derweil folgende Voreinstellungen bewährt:
    • Pseudonymisierung,
    • Verschlüsselung,
    • Einschränkung der Eingabemöglichkeiten und
    • automatische Löschung von Daten.
  • Datenschutz-Folgenabschätzung
    In manchen Fällen ist es durchaus möglich, dass bei der Verarbeitung von personenbezogenen Daten ein gewisses Risiko entsteht. Wenn Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung der Daten unmittelbar gefährdet sein könnten, sieht die Datenschutzgrundverordnung eine schriftliche Folgeabschätzung vor. Hier müssen Unternehmen genau erläutern, warum die Notwendigkeit einer Datenerhebung besteht. Ebenso anzuführen sind die detaillierten Verarbeitungsvorgänge sowie eine genaue Bewertung der möglichen Datenschutzrisiken. Eine umfassende Beschreibung der momentan angewendeten Datensicherheitsmaßnahmen komplettiert die Datenschutz-Folgenabschätzung. Weitere Aspekte zu dem Thema beleuchten die DSFA-Tipps der IHK München.
  • Datenschutzmanagement
    Eine datenschutzkonforme Bearbeitung von personenbezogenen Daten ist nur durch effizientes Datenschutzmanagement möglich. Diese Aufgabe wird – zumindest in größeren Betrieben – von einem Datenschutzbeauftragten übernommen. Dieser ist dabei nicht nur dafür verantwortlich, entsprechende Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Vielmehr sorgt er zusammen mit den Administratoren auch für einen datenschutzkonformen Umgang, für IT-Sicherheit, schult gegebenenfalls Mitarbeiter und meldet eventuelle Datenpannen an die Geschäftsführung. Weitere Maßnahmen für ein effektives Datenschutzmanagement können hier eingesehen werden.

Mit welchen Strafen bei Verstößen ist zu rechnen und an wen ‎melde ich diese?‎

Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen. Weitere Informationen hat die IHK München in einem ausführlichen FAQ-Bereich zu den Melde- und Benachrichtigungspflichten zusammengetragen.

Auch zu den Rechten von Betroffenen im Datenschutz gibt es von der IHK München detailliertes Informationsmaterial. Folgende Fragen werden hier anschaulich beantwortet:

  • Welche Rechte hat eine Person, deren Daten erhoben wurden?
  • Wie weit geht die Auskunftspflicht?
  • Was muss unter Umständen berichtigt werden?

Neuerungen für den Datenschutzbeauftragten

Mit Inkrafttreten der Datenschutzgrundverordnung wird die Benennung eines Datenschutzbeauftragten für viele Firmen europaweit zur Pflicht. Ergänzend zu den Bestellvoraussetzungen nach DSGVO können Mitgliedsstaaten nationale Bestellkriterien festlegen. Für alle Unternehmen in Deutschland gilt z. B. eine Bestellpflicht wie folgt:

  • Ab 10 Personen, die ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind.
  • Kerntätigkeit: Umfangreiche und systematische Überwachung von Betroffenen oder die Verarbeitung sensibler Daten i.S.d. Art. 9 oder 10 DSGVO.
  • Unabhängig von der Anzahl der Personen, wenn Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung unterliegen.

Sollten diese Punkte – auch nur teilweise – auf ein Unternehmen zutreffen, muss zwingend ein Datenschutzbeauftragter benannt werden. Unternehmen können wählen, ob sie einen Mitarbeiter oder einen externen Datenschutzbeauftragten benennen. Ein ernannter Datenschutzbeauftragter muss der Datenschutzaufsichtsbehörde gemeldet werden. Zu den Aufgaben eines Datenschutzbeauftragten gehört es u. a., das Unternehmen über die datenschutzrechtlichen Vorgaben in einem Betrieb zu beraten und die Umsetzung zu überwachen. Bei Datenschutzverstößen sind Mitarbeiter sowie Vertragspartner verpflichtet, das Management oder einen benannten betrieblichen Ansprechpartner (z. B. einen Datenschutzbeauftragten) entsprechend zu informieren.

Neue Pflichten beim Datenschutz von Arbeitgebern

Die Datenschutzgrundverordnung beinhaltet nicht nur Änderungen im Umgang mit Kundendaten. Auch die Daten von Arbeitnehmern unterliegen den erhöhten Anforderungen der DSGVO. Dies wird u. a. durch umfassende Informations- und Dokumentationspflichten sichergestellt. Zum Beschäftigtendatenschutz gehören:

  • die Einwilligung von Arbeitnehmern zur Verarbeitung persönlicher Daten, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (z. B. Fotos eines Mitarbeiters auf der Unternehmenswebsite),
  • die Übereinstimmung von Betriebs- oder Dienstvereinbarungen mit den Vorgaben der DSGVO und
  • Regeln für den Datentransfer im Konzern (z. B. über die Rechtsgrundlage „berechtigtes Interesse“).

Ausführliche Informationen zum Beschäftigtendatenschutz lassen sich auf der Webseite der IHK München nachlesen.

Müssen die Datenschutzerklärungen auf Website & Co. angepasst werden?

  • Auch die Firmenwebsite und das Newslettersystem sollten während einer Bestandsanalyse zur DSGVO überprüft werden. Betreiber einer geschäftlichen Webseite sind z. B. verpflichtet, eine rechtskonforme Datenschutzerklärung zu hinterlegen. Diese sollte auch die erweiterten Informationspflichten beinhalten. Über die IHK-Checkliste können Sie prüfen, ob Sie alle notwendigen Angaben veröffentlicht haben. Dabei ist u. a. auf folgende Punkte einzugehen:
  • Rechtsgrund und Speicherdauer von personenbezogenen Daten,
  • Logfiles,
  • Cookies,
  • Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),
  • Registrierungsmöglichkeiten,
  • Einbindung sozialer Netzwerke und
  • Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).

Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Der Nachweis der Einwilligung ist vom Unternehmen konkret zu erbringen, was beispielsweise über Double-Opt-In-Verfahren erfolgen kann und muss. Von einer Datenverarbeitung betroffene Personen müssen also zwingend über diese informiert werden.

Alles zum Datenschutz bei Ihrer Website finden Sie hier.

Benötige ich einen Experten für die neue Datenschutzerklärung?

Für eine rechtskonforme Datenschutzerklärung im Sinne der DSGVO ist nicht unbedingt eine Rechtsberatung notwendig. Im Internet finden sich zahlreiche Vorlagen und Hilfestellungen, mit denen eine individuelle Datenschutzerklärung erarbeitet werden kann. Praxishilfen gibt es u. a. hier:

Wo finde ich Checklisten, Muster und Tools zur DSGVO?

Im Internet gibt es nicht nur unzählige Mustervorlagen für eine DSGVO-konforme Datenschutzerklärung. Mit vielen nützlichen Tools lässt sich z. B. auch prüfen, ob die aktuelle Webseite eines Unternehmens den Datenschutzbestimmungen der DSGVO standhält.

Praktische Hilfsmittel gibt es hier:

BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht stellt nicht nur einen kostenlosen HTTPS-Check zur Verfügung. Beim Test zur Sicherung des Datenschutzes wird geprüft, ob es eine ausreichende HTTPS-Verschlüsselung gibt, um den Datentransfer zwischen dem Browser des Nutzers und dem Internet-Server des Anbieters abzusichern. Dies ist besonders für Onlineshops wichtig und für Webseiten, die Kontaktdaten und Zahlungsdaten erheben.

Sie wollen sich auf die Anforderungen der Datenschutzgrundverordnung (DSGVO) vorbereiten? Arbeiten Sie den Fragenbogen zum Datenschutz in Ihrem Betrieb ab!

Auf einer Themenseite zum EU-Datenschutz gibt es hier außerdem Checklisten, Mustervorlagen und Tools, die speziell auf kleine Unternehmen und Vereine ausgerichtet sind.

IHK-Fachforum
Das IHK-Fachforum zur Datenschutzgrundverordnung informiert über alle relevanten Vorgaben der DSGVO und gibt hilfreiche Tipps für die Umsetzung. Die Vorträge können Sie hier downloaden.

Wirtschaftskammer Österreich
Die WKÖ hat neben hilfreichen Musterdokumenten auch Infoblätter im Angebot, die als kompaktes Informationspaket zum kostenlosen Download bereitstehen. Hierbei ist zu beachten, dass die DSGVO einheitlich für Österreich wie für Deutschland gilt, die die DSGVO ergänzende Bundesdatenschutzgesetze (BDSG) jedoch nicht. Mustervorlagen anderer Mitgliedsstaaten wie Österreich können nur dann unverandert übernommen werden, wenn diese sich ausschließlich auf die DSGVO beziehen. Bezugnahmen auf das österreichische Bundesdatenschutzgesetz sollten nicht übernommen werden.

FAQs zur Datenschutz Grundverordnung DSGVO

Zusammenfassung

Die Datenschutzgrundverordnung gibt Verbrauchern zweifellos mehr Rechte. Dazu gehören u. a. mehr Transparenz, ein gestärktes Selbstbestimmungsrecht im Umgang mit personenbezogenen Daten und bessere Möglichkeiten, einem Datenschutzverstoß entgegen zu wirken. Unternehmen sehen sich durch die DSGVO jedoch auch neuen Herausforderungen gegenüber, denn ein rechtskonformer Umgang mit Kundendaten ist seit dem 25. Mai 2018 unabdinglich. Dabei alle rechtlichen Aspekte zu berücksichtigen, bedarf einer guten Planung. Schließlich hat es die Europäische Kommission mit dem Gesetzestext sehr genau genommen – das Dokument umfasst mehr als 250 Seiten. Zudem ist das Strafmaß für Unternehmen drastisch erhöht worden. Wer also auf Nummer sicher gehen möchte, muss das eigene Unternehmen in puncto Datenschutz neu aufstellen und sich der Datenschutzrevolution stellen. Dieser Aufwand ist aber auf jeden Fall lohnenswert: Die akkurate Verarbeitung von Kundendaten sorgt nicht nur für ein gutes Vertrauensverhältnis gegenüber Geschäftspartnern, sondern vermeidet auch rechtliche Fallstricke und eventuelle Geldbußen. Schlussendlich wächst Europa mit der DSGVO ein Stück weiter zusammen – von der internationalen und einheitlichen Rechtssicherheit profitieren Verbraucher und Unternehmen gleichermaßen.