Blog
E-Mail

mxpost

Telefon

0201-848300

Hammerstr. 156
45257 Essen

Anpas­sung der euro­päi­schen Daten­schutz­re­ge­lun­gen

Kategorien

8. Mai 2018

Deadline: 25.05.2018

Nahezu jedes Unternehmen arbeitet heute mit personenbezogenen Daten. Die Datenschutz-Grundverordnung, kurz DSGVO, regelt ab dem 25.05.2018 europaweit den Umgang mit solchen Daten.

Ziel der Anpassungen ist u.a. ein weitestgehend einheitliches Datenschutzrecht innerhalb Europas, die Stärkung der Nutzer und die Verbesserung der Kontrolle der personenbezogenen Daten der Nutzer.

Die Datenschutz-Grundverordnung bringt im Vergleich zur bisherigen Rechtslage viele Änderungen mit sich. Diese gelten für Unternehmen und für Privatpersonen.

Gerade für Unternehmen ist es jedoch wichtig, sich rechtzeitig um die Umsetzung der neuen Regelungen zu kümmern. Die Etablierung von neuen datenschutzrechtlichen Prozessen ist keine Angelegenheit die man zwischen »Tür und Angel« regeln sollte. Wer möchte schon hohe Bußgelder für verspätete oder fehlende Einführungen der neuen Datenschutzvorgaben zahlen?

Grundsätzlich umfasst die DSGVO Regelungen, die viele Unternehmensbereiche betreffen können, z.B. ERP, CRM, HR u.v.a.. Der Gesetzgeber fordert ein umfassendes Datenschutzkonzept. Dieses Konzept muss auf alle Prozesse eingehen die Unternehmen zur Umsetzung der DSGVO in ihrem Unternehmen etabliert haben müssen.

Diese sind nicht Thema dieser Zusammenfassung und müssen gesondert betrachtet werden. Im folgenden werden lediglich solche Aspekte behandelt, die direkt im Zusammenhang mit Websites von Unternehmen stehen. Das sind beispielsweise:

  • Analyse Tools (z.B. Google Analytics, Piwik/Matomo, eTracker)
  • Targeting Tools (wie Google Adwords, AddThis)
  • Cookies (Informationen zum Zweck, Empfänger der Daten etc.)
  • Formulare (Kontaktformulare, Bestellformulare etc.)
  • Newsletter
  • Shops
  • sonstige Registrierungs-/Loginprozesse
  • Social Media Funktionen/Plugins
  • Bewerbung online
  • Datenschutzerklärung

Forderungen der DSGVO

Die DSGVO fordert von Unternehmen den folgenden Umgang mit personenbezogenen Daten:

Prinzipielle Datensparsamkeit
Es sind nur die Daten zu erheben, die zur Erfüllung des jeweiligen Vorgangs unbedingt notwendig sind. Weiterhin sieht die DSGVO die »Privacy by design« vor. Hier müssen Prozesse etabliert werden, die es ermöglichen von vornherein so wenig Daten wie nötig zu erheben und nicht nachträglich einmal erhobene Daten zu entfernen.

Saubere Datenerhebung
Der Nutzer muss explizit zur Datenerhebung und -Nutzung zustimmen, also aktiv sein Häkchen an der entsprechenden Zustimmungsklausel setzen (Opt-in). Ein Opt-out-Prozess, also eine per default gesetzte Zustimmung, die aktiv entfernt werden muss, ist nicht zulässig.

Sichere Verarbeitung
Das Unternehmen verpfichtet sich, die erhobenen Daten technisch und organistorisch zu schützen. Dies setzt eine besondere Vereinbarungen mit externen Dienstleistern voraus.

Umfassende Dokumentation
Das Unternehmen muss in der Lage sein, Einsicht in Art, Umfang und Weiterverarbeitung aller personenbezogenen Daten zu gewähren.

Informationspflicht
Werden personenbezogene Daten erhoben, so müssen folgende Informationen mitgeteilt werden:

  • Name und Kontaktdaten des Verantwortlichen,
    ggf. Kontaktdaten des Datenschutzbeauftragten (DSB)
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • ggf. Empfänger oder Kategorien von Empfängern der Daten
  • ggf. Informationen zur Datenübermittlung in Drittländer
  • Dauer der Datenspeicherung
  • Belehrung über Nutzerrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde)
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)

Bei der Erhebung der Daten müssen die Unternehmen sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte schriftlich (elektronisch, analog oder unter Umständen auch mündlich) durchgeführt werden.

Auskunftrecht
Der Nutzer hat das Recht auf die Auskunft, die Übermittlung sowie auf eine Kopie der erhobenen Daten. Woher stammen die Daten, an wen werden sie übermittelt, zu welchen Zwecken werden die Daten verarbeitet, wird daraus ein Profiling erstellt oder wie lange werden die Daten gespeichert? Auf diese Fragen (auf Vollständigkeit wird verzichtet) muss ebenfalls eingegangen werden.

Recht auf Löschung/Übertragung
Nutzern wird das »Recht auf Vergessen« eingeräumt. Daten müssen, wird dies verlangt, auch tatsächlich gelöscht werden. Ebenso müssen Datensätze exportierbar sein, um sie bei Bedarf auf andere Systeme zu übertragen. Somit wird das wechseln zu einem anderen Anbieter ohne »Datenverlust« gewährleistet. Dies betrifft jedoch nur Daten die der Nutzer selbst zur Verfügung gestellt hat (z.B.: soziales Netzwerk).

Widerspruchsrecht bei automatisierten »Einzelfallentscheidungen«
Nutzer sollen nur noch das Recht haben, einer automatisierten Einzelfallentscheidung zu widersprechen. Die Regelung unterscheidet sich damit erheblich von der bisherigen Regelung. Die deutsche Norm hatte solche Entscheidungen bis auf wenige Ausnahmen generell verboten, unabhängig von einem Widerspruch des Nutzers. Automatisierte Einzelfallentscheidungen sind Entscheidungen, die nicht von einem Menschen getroffen wurden. Dazu zählen beispielsweise die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönliche Aspekte lediglich elektronisch und nicht durch Menschen ausgewertet werden.

Benachrichtigung bei Datenschutzverletzungen
Eventuelle Datenschutzverletzungen müssen unverzüglich von Unternehmen gemeldet werden.

Grundsätzlich dürfen Daten nicht verarbeitet werden, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person dürfen ebenfalls nicht verarbeitet werden. Darunter fallen nun auch biometrische Daten (Fingerprint, Stimmerkennung etc.). Liegt ein Ausnahmetatbestand vor, so dürfen diese Daten erfasst und gespeichert werden.

Daten die nach den bisher bestehenden Regeln erhoben wurden, können weiterhin verwendet werden. Für neu erfasste Daten gelten die neuen Bestimmungen.

Zusammenfassend

Es wird deutlich, dass die korrekte, rechtskonforme Umsetzung der DSGVO eine intensive Prüfung und einen gewissen Aufwand erfordert. Die sportliche Umsetzungsfrist läuft bis zum 25.05.2018. Je nach Größe eines Unternehmens wenig Zeit.

Wir weisen darauf hin, dass wir keine Juristen sind und keine valide Rechtsberatung anbieten können. Alle diese Informationen basieren auf Web-Recherchen und bieten keine Gewähr auf Richtigkeit und Vollständigkeit. Wir fassen Informationen zusammen und empfehlen darüber hinaus grundsätzlich die Prüfung und Freigabe durch die entsprechenden Fachleute.

In diesem Zuge haben wir für unsere Kunden eine Kooperation mit einer Anwaltskanzlei (WWS) initiiert. Die Datenschutzgrundverordnung beinhaltet zahlreiche Vorgaben über den Umgang mit Daten, das Verwalten von Daten und über die Dokumentation aller datenschutzrelevanten Sachverhalte. Unser Kooperationspartner bietet eine rechtliche Überprüfung der Umsetzung der Datenschutzgrundverordnung in Ihren Unterlagen gegenüber Kunden und Mitarbeitern an. Anhand einer Matrix werden die Sachverhalte eruiert und ein Maßnahmenplan erstellt.

Bei Bedarf können Sie sich gerne an uns wenden.
0201 848300

 

Aus unserem Blog:

Gut gemeint, gut gemacht

6. November 2018

Oma Clara war der Meinung, man müsse Schränke nicht von oben putzen, solange keine Riesen zu Besuch kämen. Opa Philip war anderer Auffassung und stieg allmonatlich auf die Leiter. Dafür bekam er von seiner Herzdame beste Haltungsnoten. Es gab also einen Konsens. Der lautete: Jeder so, wie er‘s für … mehr

Kint­sugi / Kint­s­ukuroi

23. Oktober 2018

Im Designprozess versuchen wir alles, um Fehler zu vermeiden. Ausgeklügelte Workflows sollen sicherstellen, dass das Endprodukt perfekt und somit fehlerfrei ist. Über Abstimmungen, Lektorate, Proofs, Freigaben und Debugging wollen wir alle Mängel im Vorfeld erkennen und direkt korrigieren. Der Haken: … mehr

ab‐data

8. Oktober 2018

Der Softwarespezialist ab-data entwickelt Finanzsoftware für Städte und Gemeinden. Damit dieses Thema nicht staubtrocken in langen Featurelisten abgehandelt wird haben wir ein modulares Weblayout entwickelt. Das Layout verwendet wiederkehrende Schrägen und ein Farbsystem, das die 4 Geschäftsfelder repräsentiert. Die Typografie basiert … mehr