Wichtige Fragen zur neuen DSGVO

Datenschutz in der EU soll einheitlicher und professioneller werden. Dafür tritt zum 25. Mai 2018 die Datenschutz-Grundverordnung in Kraft. Was bedeutet das für Ihre Unternehmenswebsite?

von

Wenn über die Einführung der Datenschutz-Grundverordnung (DSGVO) berichtet wird, geht es vor allem um eines: Angst. Bußgelder von bis zu 20 Millionen Euro und das "Bürokratie-Monster" stehen im Mittelpunkt der öffentlichen Meinung, dabei bringt die neue Verordnung vor allem Klarheit und Transparenz für Unternehmer und Ihre Kunden, wenn es um den Umgang mit personenbezogenen Daten geht.

Wer ist betroffen und was ändert sich?

Betroffen sind alle Unternehmen innerhalb der EU, die personenbezogene Daten verarbeiten. Aber auch für Webhosting-Unternehmen, Cloud-Betreiber, Newsletter-Systeme und weitere Unternehmen, die nicht in der EU ihren Sitz haben, gilt die DSGVO, wenn dort Daten von EU-Bürgern (z.B. im Auftrag einer Werbeagentur) verarbeitet werden.

Das bisher in Deutschland geltende Bundesdatenschutzgesetz (BDSG) wird zum 25. Mai 2018 durch die EU-weit geltende Verordnung abgelöst und in vielen Bereichen deutlich erweitert. Insbesondere die Definitionen wichtiger Begriffe wie "Einwilligung", "Verarbeitung" oder der Begriff der "personenbezogenen Daten", sind so weit gefasst, sodass nahezu alle digitalen Geschäftsprozesse darunter fallen.

Was sollte ich als Unternehmer als Erstes tun?

Ganz wichtig: Begreifen Sie Datenschutz als Chefsache und arbeiten Sie sich umfangreich in die Thematik ein. Selbst wenn Sie später viele Arbeiten an einen internen oder externen Datenschutzbeauftragten oder an weitere Mitarbeiter delegieren können, sollten Sie die wichtigsten Regelungen kennen. Nur so können Sie Datenschutzrisiken richtig bewerten, für die in den meisten Fällen nicht nur das Unternehmen, sondern auch Sie als Geschäftsführer haften müssen.

Einen empfehlenswerten Ratgeber für einen ersten Überblick zum Thema finden Sie als sechsteilige Beitragsreihe hier bei den Kollegen von t3n.

Brauche ich einen Datenschutzbeauftragten?

In den meisten Fällen: ja. Sobald in Ihrem Unternehmen mindestens zehn Personen automatisiert personenbezogene Daten verarbeiten, brauchen Sie auf jeden Fall einen Datenschutzbeauftragten. Die Begriffe "automatisiert" und "verarbeiten" sind dabei so weit ausgelegt, dass bereits die Eingabe von Adressdaten eines Kunden z.B. in eine Kontaktverwaltung darunter fällt.

Doch auch bei Unternehmen mit weniger als zehn Mitarbeitern kann die Bestellung eines Datenschutzbeauftragten nötig sein, etwa wenn besonders sensible Daten, wie Religion, politische Ansicht oder Gesundheitsdaten von Kunden verarbeitet werden.

Die Funktion des Datenschutzbeauftragten kann durch einen Mitarbeiter in Ihrem Unternehmen erfolgen, sofern sich kein Interessenkonflikt ergibt (der Datenschutzbeauftragte sollte z.B. nicht zugleich der IT-Verantwortliche sein) oder aber durch einen externen Dienstleister.

Wie sichere ich mich ab, wenn ich Daten erhebe?

Sie sollten immer für den Nachweis sorgen, dass Sie die personenbezogenen Daten eines Betroffenen auch verarbeiten dürfen. Zwar gibt es mehrere Bedingungen, wonach die Verarbeitung auch ohne ausdrückliche Einwilligung des Betroffenen möglich ist (etwa wenn die Daten für die Vertragserfüllung nötig sind), dennoch sollten Sie sich gerade im Onlinemarketing zusätzlich absichern.

Die Einwilligung ist nun nicht mehr an die Schriftform gebunden, aber da Sie im Zweifel die Einwilligung nachweisen müssen, sollten Sie z.B. auf Ihrer Website technische Möglichkeiten zum Nachweis implementieren. Dies kann ein Double-Opt-in-Verfahren für Ihre Newsletter-Anmeldung sein oder eine verpflichtende Checkbox in Formularen, dass der Absender Ihre Datenschutzerklärung akzeptiert hat.

Muss ich meine Datenschutzerklärung überarbeiten?

Das lässt sich in den meisten Fällen nicht vermeiden. Insbesondere wenn Sie ein Newsletter-Tool wie Campaign Monitor oder Mailchimp einsetzen, Google Analytics als Statistik-Tool installiert haben oder Social Media Kanäle wie Facebook verknüpfen wollen, muss die neue Datenschutzerklärung deutlich erweitert werden.

Einige Online-Services bieten bereits jetzt Datenschutz-Generatoren nach DSGVO an. Im Zweifel, gerade bei der Nutzung nicht alltäglicher Drittanbieter-Tools, sollte die Datenschutzerklärung von einem Rechtsanwalt erarbeitet oder zumindest rechtlich geprüft werden.

Welche Dokumente sollte ich noch vorbereiten?

Wenn Sie sich mit der DSVGO auseinandersetzen, sollten Sie bereits vor dem 25. Mai 2018 die wichtigsten Dokumente erstellt und Datenschutzverfahren in Ihrem Unternehmen umgesetzt haben. Dazu zählen:

  • Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Geheimhaltungsverpflichtungen für Mitarbeiter
  • Verträge mit Auftragsverarbeitern

Darf ich weiterhin Kundendaten bei einem Cloudanbieter speichern? Was passiert mit meinem Newsletter-Tool?

Viele Unternehmen nutzen Cloud-Tools für die Verwaltung ihrer Kundendaten, versenden ihre Newsletter mit über externe Tools oder haben ihre Website bei einem anderen Unternehmen gehostet. Hierbei werden personenbezogene Daten an Dritte weitergegeben und es handelt sich in den meisten Fällen um eine sogenannte Auftragsdatenverarbeitung, für die Verträge mit den Dienstleistern abgeschlossen werden müssen. Fragen Sie am besten schon jetzt aktiv bei Ihren Dienstleistern nach angepassten Verträgen für die DSGVO.

Noch etwas komplizierter wird es, wenn der externe Anbieter seinen Sitz außerhalb der EU hat. Hier muss geprüft werden, ob ein "angemessenes Datenschutzniveau" vorhanden ist. Bei den meist amerikanischen Anbietern kann davon aktuell ausgegangen werden, wenn diese dem Privacy-Shield-Abkommen angehören. Falls möglich sollten Sie hier zukünftig Anbieter aus der EU bevorzugen, um den Aufwand zu minimieren.

Wie kann mich medienreaktor bei der Umsetzung der DSGVO für meine Website unterstützen?

Als Agentur dürfen wir keine juristische Beratung anbieten, helfen Ihnen aber gerne dabei, die bei Ihnen eingesetzten Tools zu prüfen und ggf. Alternativen zu finden. Für die Überarbeitung Ihrer Datenschutzerklärung empfehlen wir Ihnen gerne Online-Generatoren oder Rechtsanwälte, die bei der Erstellung helfen können.

Bei einem Relaunch Ihrer Website achten wir bereits in der Entwicklung stets auf die neuen Anforderungen und weisen Sie nach bestem Wissen auf mögliche Risiken hin. Dies kann eine abschließende rechtliche Prüfung Ihrer Website durch einen Anwalt jedoch nicht ersetzen.

Angebot für unsere Kunden

Damit Sie als unser Kunde optimal vorbereitet sind, haben wir für Sie ein Komplett-Paket mit juristischer Prüfung durch unseren Anwalt erarbeitet. So setzen wir alle Neuerungen unkompliziert für Sie um und sichern Ihre Website bestmöglich ab.

Alle Details und eine Bestellmöglichkeit finden Sie hier.