Die neue EU Datenschutz-Grundverordnung

Date:  |  Author: Matthias Pommranz

Icon Website-RechtWer einen Onlineshop betreibt, kennt das: Ständig müssen neue rechtliche Vorgaben umgesetzt werden. Dabei ist kein Ende in Sicht: Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft. Dieser Artikel fasst wichtige Informationen rund um das Thema zusammen.

Kurz das Wichtigste

  • Was für ein Gesetz? Ab 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (DSGVO) auch in Deutschland. Sie soll in allen EU-Ländern einheitliche Standards für den Datenschutz schaffen. Das Bundesdatenschutzgesetz (BDSG) wird entsprechend angepasst.
  • Worum geht es? Die DSGVO dient dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Dazu zählen z.B. Name, Geburtstag, Adressdaten, Einkommen, Konto, Standortdaten, IP-Adresse, Klickverhalten usw. Sensible Daten wie Angaben zu Hobbies, Religion, politischer Aktivität, Krankheiten etc. werden besonders geschützt.
  • Bin ich betroffen? Die DSGVO gilt für jedes Unternehmen, das in der EU aktiv ist und dort Daten verarbeitet: Auf der Website oder Facebook-Seite, bei Bestellungen im Laden oder Onlineshop, durch Newsletter oder Mailings…
  • Kann ich das Ganze ignorieren? Nicht zu empfehlen. Die DSGVO sieht bei Datenschutz­verstößen hohe Bußgelder von bis zu 20 Millionen Euro vor. Und nach den Erfahrungen der letzten Jahre ist mit einer neuen Welle von Abmahnungen zu rechnen.
  • Habe ich dadurch auch Vorteile? Die DSGVO schützt vor allem die Verbraucher. Unternehmen, die länderübergreifend tätig sind, profitieren aber zukünftig von einem einheitlichen Rechtsstandard, z.B. einfachere Zuständigkeiten bei Beschwerden.

Onlineshop-Kasse

Online-Bestellung – ein klassischer Fall für den Datenschutz. Personenbezogene Daten müssen technisch geschützt, nachvollziehbar verarbeitet und nach Gebrauch gelöscht werden.

Ihre Verantwortung für Datenschutz

Die Verarbeitung personenbezogener Daten ist als »Verbot mit Erlaubnisvorbehalt« gefasst. Das heißt: Die Erhebung, Verarbeitung und Nutzung ist grundsätzlich verboten – es sei denn, Sie haben eine Erlaubnis. Das kann durch eine gesetzliche Regelung geschehen, durch Notwendigkeit (z.B. bei der Verarbeitung einer Bestellung) oder durch Einwilligung der betreffenden Person.

Personen haben ein Recht auf Auskunft (Art. 15): Als Unternehmen müssen Sie bei Anfragen darüber informieren, ob Sie persönliche Daten der betreffenden Person verarbeiten, und wenn ja, in welchem Umfang und zu welchem Zweck. Außerdem gibt es nun erstmals ein Recht auf Vergessenwerden (Art. 17): Personenbezogene Daten müssen gelöscht werden, wenn z.B. der Zweck der Datenverarbeitung nicht mehr gegeben ist, oder wenn die Einwilligung zur Verarbeitung widerrufen wird. Inaktiv-Schalten der Daten genügt dazu nicht.

Die EU-DSGVO sieht jetzt auch eine Rechenschaftspflicht vor (Art. 5 Abs. 2): Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzgrundsätze nachweisen können. Dazu gehört, ein »Verzeichnis von Verarbeitungstätigkeiten« zu führen (Ausnahme: Betriebe unter 250 Mitarbeiter). Diebstahl von sensiblen Daten (z.B. Kontoinformationen im Onlineshop) ist innerhalb von 72 Stunden bei den jeweiligen Datenschutz-Aufsichtsbehörden anzuzeigen, die betroffenen Kunden müssen informiert werden.

Grundsätze für die Verarbeitung personenbezogener Daten

  • Rechtmäßigkeit der Verarbeitung
  • Transparenz für die Betroffenen, z.B. durch Information in der Datenschutzerklärung oder durch persönliche Auskunft
  • Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Wer z.B. Adressdaten für seinen Newsletter gesammelt hat, darf diese nicht für andere Zwecke nutzen oder an Dritte weitergeben.
  • Datenminimierung: Sie dürfen nur so viele Angaben abfragen, wie für den geplanten Einsatzzweck tatsächlich erforderlich sind.
  • Datenrichtigkeit: Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein. Veraltete Daten sind zu löschen.
  • Speicherbegrenzung: Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder die Identifizierung der betroffenen Person aufgehoben werden.
  • Integrität und Vertraulichkeit: Sie sind verpflichtet, angemessene Maßnahmen zum Schutz der Daten zu ergreifen. Dabei wird der aktuelle Stand der Technik berücksichtigt, der Aufwand an Implementierungskosten etc.

Die Praxis für Website, Werbung etc.

• Onlineshop

Bei der Erhebung, Verarbeitung und Speicherung von Kundendaten kommen die oben genannten Grundsätze zum Tragen. Speziell genannt seien Datenminimierung, der Schutz der Daten (z.B. durch eine verschlüsselte SSL-Verbindung), die Zweckbindung für den Bestellvorgang sowie Ihre Auskunftspflicht. Klar definierte Prozesse und ihre Dokumentation in einem Verarbeitungs­verzeichnis helfen bei der Arbeit und sind ggf. zur Vorlage bei der Aufsichtsbehörde notwendig.

Bei Verkauf in andere Länder sollten Sie sich über das neue Prinzip der »One-Stop-Shops« informieren. Diese neue Regelung ermöglicht es EU-Bürgern, dass sie sich bei Beschwerden immer an die Datenschutzbehörde in ihrem Land wenden können.

• Newsletter

Für den Versand eines E-Mail-Newsletters muss die Einwilligung des Empfängers vorliegen, die Sie ggf. nachweisen müssen. Daher sollte die Anmeldung über das Double-Opt-In-Verfahren erfolgen. Die Anmeldung muss freiwillig erfolgen, sie darf nicht an andere Zwecke gekoppelt sein und muss jederzeit zu widerrufen sein.

• Website: Kontaktformular

Wenn ein Besucher seine Daten in Ihrem Kontaktformular einträgt, kann von seiner Einwilligung ausgegangen werden. Die Angaben dürfen aber nur für den jeweiligen Zweck genutzt werden, z.B. um eine Anfrage zu bearbeiten.

• Website: Besucherstatistik

Da auch IP-Adressen als persönliche Daten gelten, muss der Besucher vorab zustimmen, wenn sein Besucher-Verhalten z.B. durch Cookies festgehalten wird. Auf den von Studio2 betreuten Websites haben wir die Datenschutz-konforme Anonymisierung (Kürzung) der IP-Adressen aktiviert: die damit verbundenen Informationen lassen sich nicht auf konkrete Besucher zurückführen und gelten daher nicht als persönliche Daten. Der eigentliche Zweck, nämlich einen Überblick über das Besucherverhalten auf der Website zu gewinnen, lässt sich trotzdem erreichen.

• Website: Datenschutzerklärung

Schon bisher mussten Website-Betreiber die Besucher auf einer Datenschutz-Seite über die Verarbeitung personenbezogener Daten informieren. Die DSGVO legt nun fest, dass diese Information präzise sein muss, transparent, verständlich, leicht zugänglich und in klarer und einfacher Sprache erfolgen muss. Hier werden sich in den nächsten Monaten spezielle Formulierungen und Good Practices herausbilden. Wir werden die Augen offen halten und Sie bei wichtigen Änderungen informieren.

Dieser Beitrag ist keine juristische Beratung. Für eine rechtskonforme Gestaltung Ihrer Datenschutz-Seite sowie aller weiteren Aspekte des Datenschutzes wenden Sie sich bitte an einen Fachanwalt.

Fazit

Ab 25.05.2018 schafft die DSGVO einen einheitlichen Rechtsrahmen für den Datenschutz in der EU. Manches bleibt beim Alten, aber es gibt auch neue Rechte und Pflichten. Viele Einzelheiten werden erst in den nächsten Jahren durch ergänzende Vorschriften, Gerichtsurteile etc. konkret werden.

Als Unternehmer sollten Sie über Ihre Pflichten Bescheid wissen. Nutzen Sie diesen Anlass, um alle Geschäftsprozesse mit der Verarbeitung persönlicher Daten zu begutachten, evtl. effektiver und einheitlicher zu gestalten und zu dokumentieren.

 

Weitere Informationen
Der Text der DSGVO
Überblick über die DSGVO bei e-recht24.de
Mit diesen 5 Schritten sind Unternehmen optimal vorbereitet
Weitere Beiträge bei datenschutzbeauftragter-info.de

.