Blog
E-Mail

mxpost

Telefon

0201-848300

Hammerstr. 156
45257 Essen

Anpas­sung der euro­päi­schen Daten­schutz­re­ge­lun­gen

Kategorien

8. Mai 2018

Deadline: 25.05.2018

Nahezu jedes Unternehmen arbeitet heute mit personenbezogenen Daten. Die Datenschutz-Grundverordnung, kurz DSGVO, regelt ab dem 25.05.2018 europaweit den Umgang mit solchen Daten.

Ziel der Anpassungen ist u.a. ein weitestgehend einheitliches Datenschutzrecht innerhalb Europas, die Stärkung der Nutzer und die Verbesserung der Kontrolle der personenbezogenen Daten der Nutzer.

Die Datenschutz-Grundverordnung bringt im Vergleich zur bisherigen Rechtslage viele Änderungen mit sich. Diese gelten für Unternehmen und für Privatpersonen.

Gerade für Unternehmen ist es jedoch wichtig, sich rechtzeitig um die Umsetzung der neuen Regelungen zu kümmern. Die Etablierung von neuen datenschutzrechtlichen Prozessen ist keine Angelegenheit die man zwischen »Tür und Angel« regeln sollte. Wer möchte schon hohe Bußgelder für verspätete oder fehlende Einführungen der neuen Datenschutzvorgaben zahlen?

Grundsätzlich umfasst die DSGVO Regelungen, die viele Unternehmensbereiche betreffen können, z.B. ERP, CRM, HR u.v.a.. Der Gesetzgeber fordert ein umfassendes Datenschutzkonzept. Dieses Konzept muss auf alle Prozesse eingehen die Unternehmen zur Umsetzung der DSGVO in ihrem Unternehmen etabliert haben müssen.

Diese sind nicht Thema dieser Zusammenfassung und müssen gesondert betrachtet werden. Im folgenden werden lediglich solche Aspekte behandelt, die direkt im Zusammenhang mit Websites von Unternehmen stehen. Das sind beispielsweise:

  • Analyse Tools (z.B. Google Analytics, Piwik/Matomo, eTracker)
  • Targeting Tools (wie Google Adwords, AddThis)
  • Cookies (Informationen zum Zweck, Empfänger der Daten etc.)
  • Formulare (Kontaktformulare, Bestellformulare etc.)
  • Newsletter
  • Shops
  • sonstige Registrierungs-/Loginprozesse
  • Social Media Funktionen/Plugins
  • Bewerbung online
  • Datenschutzerklärung

Forderungen der DSGVO

Die DSGVO fordert von Unternehmen den folgenden Umgang mit personenbezogenen Daten:

Prinzipielle Datensparsamkeit
Es sind nur die Daten zu erheben, die zur Erfüllung des jeweiligen Vorgangs unbedingt notwendig sind. Weiterhin sieht die DSGVO die »Privacy by design« vor. Hier müssen Prozesse etabliert werden, die es ermöglichen von vornherein so wenig Daten wie nötig zu erheben und nicht nachträglich einmal erhobene Daten zu entfernen.

Saubere Datenerhebung
Der Nutzer muss explizit zur Datenerhebung und -Nutzung zustimmen, also aktiv sein Häkchen an der entsprechenden Zustimmungsklausel setzen (Opt-in). Ein Opt-out-Prozess, also eine per default gesetzte Zustimmung, die aktiv entfernt werden muss, ist nicht zulässig.

Sichere Verarbeitung
Das Unternehmen verpfichtet sich, die erhobenen Daten technisch und organistorisch zu schützen. Dies setzt eine besondere Vereinbarungen mit externen Dienstleistern voraus.

Umfassende Dokumentation
Das Unternehmen muss in der Lage sein, Einsicht in Art, Umfang und Weiterverarbeitung aller personenbezogenen Daten zu gewähren.

Informationspflicht
Werden personenbezogene Daten erhoben, so müssen folgende Informationen mitgeteilt werden:

  • Name und Kontaktdaten des Verantwortlichen,
    ggf. Kontaktdaten des Datenschutzbeauftragten (DSB)
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • ggf. Empfänger oder Kategorien von Empfängern der Daten
  • ggf. Informationen zur Datenübermittlung in Drittländer
  • Dauer der Datenspeicherung
  • Belehrung über Nutzerrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde)
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)

Bei der Erhebung der Daten müssen die Unternehmen sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte schriftlich (elektronisch, analog oder unter Umständen auch mündlich) durchgeführt werden.

Auskunftrecht
Der Nutzer hat das Recht auf die Auskunft, die Übermittlung sowie auf eine Kopie der erhobenen Daten. Woher stammen die Daten, an wen werden sie übermittelt, zu welchen Zwecken werden die Daten verarbeitet, wird daraus ein Profiling erstellt oder wie lange werden die Daten gespeichert? Auf diese Fragen (auf Vollständigkeit wird verzichtet) muss ebenfalls eingegangen werden.

Recht auf Löschung/Übertragung
Nutzern wird das »Recht auf Vergessen« eingeräumt. Daten müssen, wird dies verlangt, auch tatsächlich gelöscht werden. Ebenso müssen Datensätze exportierbar sein, um sie bei Bedarf auf andere Systeme zu übertragen. Somit wird das wechseln zu einem anderen Anbieter ohne »Datenverlust« gewährleistet. Dies betrifft jedoch nur Daten die der Nutzer selbst zur Verfügung gestellt hat (z.B.: soziales Netzwerk).

Widerspruchsrecht bei automatisierten »Einzelfallentscheidungen«
Nutzer sollen nur noch das Recht haben, einer automatisierten Einzelfallentscheidung zu widersprechen. Die Regelung unterscheidet sich damit erheblich von der bisherigen Regelung. Die deutsche Norm hatte solche Entscheidungen bis auf wenige Ausnahmen generell verboten, unabhängig von einem Widerspruch des Nutzers. Automatisierte Einzelfallentscheidungen sind Entscheidungen, die nicht von einem Menschen getroffen wurden. Dazu zählen beispielsweise die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönliche Aspekte lediglich elektronisch und nicht durch Menschen ausgewertet werden.

Benachrichtigung bei Datenschutzverletzungen
Eventuelle Datenschutzverletzungen müssen unverzüglich von Unternehmen gemeldet werden.

Grundsätzlich dürfen Daten nicht verarbeitet werden, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person dürfen ebenfalls nicht verarbeitet werden. Darunter fallen nun auch biometrische Daten (Fingerprint, Stimmerkennung etc.). Liegt ein Ausnahmetatbestand vor, so dürfen diese Daten erfasst und gespeichert werden.

Daten die nach den bisher bestehenden Regeln erhoben wurden, können weiterhin verwendet werden. Für neu erfasste Daten gelten die neuen Bestimmungen.

Zusammenfassend

Es wird deutlich, dass die korrekte, rechtskonforme Umsetzung der DSGVO eine intensive Prüfung und einen gewissen Aufwand erfordert. Die sportliche Umsetzungsfrist läuft bis zum 25.05.2018. Je nach Größe eines Unternehmens wenig Zeit.

Wir weisen darauf hin, dass wir keine Juristen sind und keine valide Rechtsberatung anbieten können. Alle diese Informationen basieren auf Web-Recherchen und bieten keine Gewähr auf Richtigkeit und Vollständigkeit. Wir fassen Informationen zusammen und empfehlen darüber hinaus grundsätzlich die Prüfung und Freigabe durch die entsprechenden Fachleute.

In diesem Zuge haben wir für unsere Kunden eine Kooperation mit einer Anwaltskanzlei (WWS) initiiert. Die Datenschutzgrundverordnung beinhaltet zahlreiche Vorgaben über den Umgang mit Daten, das Verwalten von Daten und über die Dokumentation aller datenschutzrelevanten Sachverhalte. Unser Kooperationspartner bietet eine rechtliche Überprüfung der Umsetzung der Datenschutzgrundverordnung in Ihren Unterlagen gegenüber Kunden und Mitarbeitern an. Anhand einer Matrix werden die Sachverhalte eruiert und ein Maßnahmenplan erstellt.

Bei Bedarf können Sie sich gerne an uns wenden.
0201 848300

 

Aus unserem Blog:

Anpas­sung der euro­päi­schen Daten­schutz­re­ge­lun­gen

8. Mai 2018

Nahezu jedes Unternehmen operiert heute mit personenbezogenen Daten. Die Datenschutz-Grundverordnung, kurz DSGVO, regelt ab dem 25.05.2018 europaweit den Umgang mit solchen Daten. Ziel der Anpassungen ist u.a. ein weitestgehend … mehr

IOTOP

29. März 2018

Das Web ist ein Dschungel. Aber nicht erst seit gestern. Und überhaupt: Was heißt das schon? Dass das Internet groß ist und vielseitig, gefährlich und voller Feinde? Vielleicht heißt das nur, dass im Web Gesetze gelten, die wir aus der Wildnis kennen, aus Biologie und Evolution. Das zumindest ist der Grundgedanke der Iotopie – einem Modell … mehr

Wunsch und Service

5. Februar 2018

Was wünschen sich Menschen?Das menschliche Gehirn operiert nach dem binären Code angenehmer oder unangenehmer Gefühle. Es differenziert alles nach Wohl oder Übel, Lust oder Schmerz. Wir können gar nicht anders, als gute Gefühle zu suchen und schlechte zu vermeiden. Daraus resultiert die ganze Kaskade menschlicher … mehr