Zum Inhalt der Seite springen
zeroseven design studiosZur Startseite
Men├╝ und Suche ein/ausblenden

Mit in Kraft treten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wird sich im Online Business rechtlich einiges ├Ąndern. Gerade f├╝r international t├Ątige Unternehmen verspricht die, in der gesamten EU geltende, wesentliche Vereinfachungen, da ├╝ber nationale Grenzen hinweg dieselben Bestimmungen angewendet werden, auch f├╝r Marktteilnehmer aus sogenannten Drittl├Ąndern.

Das Thema ist komplex und nicht einfach. Oftmals wird es von Unternehmen als l├Ąstig empfunden und vor sich hergeschoben, in der Hoffnung man werde nicht erwischt. Dennoch versuchen wir nachstehend die wichtigsten Punkte, insbesondere aus Unternehmens- sowie Agentursicht, zusammenzufassen, jedoch ohne hier eine rechtliche Empfehlung zu formulieren. Diese kann lediglich Ihr pers├Ânlicher Rechtsbeistand f├╝r Ihre individuelle Unternehmenssituation definieren.

F├╝r wen gilt die Datenschutzgrundverordnung?

Grunds├Ątzlich gilt die DSGVO f├╝r alle Unternehmen sowie Privatpersonen (ausgenommen zur Aus├╝bung ausschlie├člich pers├Ânlicher oder famili├Ąrer T├Ątigkeiten), die personenbezogene Daten verarbeiten und im Anwendungsbereich der Europ├Ąischen Union liegen. Im nachfolgenden gehen wir jedoch ausschlie├člich auf Unternehmen ein.

Im Anwendungsgebiet der DSGVO liegen, neben den in Mitgliedstaaten der EU ans├Ąssigen Unternehmen, auch jene, die Produkte und Dienstleistungen in diesem Bereich anbieten, dort jedoch nicht sitzen.

Was sind personenbezogene, pseudonymisierte und anonymisierte Daten?

Nach der DSGVO geht man grunds├Ątzlich und insbesondere im Zweifelsfall davon aus, dass alle Daten einen Personenbezug haben. In den meisten F├Ąllen wird dieser vorliegen und damit unterliegen diese Daten einem datenschutzrechtlichen Verarbeitungsverbot. In diesem Zusammenhang ist es notwendig, die Begrifflichkeiten zu differenzieren.

Personenbezogene Daten

Ich wei├č wer du bist und was du machst

Sind alle Daten, die insbesondere im Direkt- und Dialogmarketing die Personalisierung und Individualisierung von Inhalten erm├Âglichen. Diese Daten dienen dazu, Personen f├╝r bestimmte Zwecke, z. B. Werbema├čnahmen, unmittelbar oder mittelbar zu identifizieren.

Pseudonymisierten Daten

Ich kenne dich nicht, wei├č dennoch was du treibst

Diese Daten lassen regelm├Ą├čig keinen R├╝ckschluss auf eine Person zu. Daten die zur Identifizierung einer bestimmten Personen dienen werden durch ein Pseudonym ersetzt. Sie stellen personenbezogene Daten dar, mit deren Hilfe Profile f├╝r bestimmte Zwecke, z. B. Werbema├čnahmen erstellt werden k├Ânnen. Sie erm├Âglichen die Bereitstellung von individualisierten, jedoch nicht personalisiert Inhalten. Je nach Ausgestaltung der Pseudonymisierung ist die Verarbeitung f├╝r Werbeaktivit├Ąten denkbar zul├Ąssig.

Anonymisierte Daten

Ich habe keinen blassen Schimmer wer du bist und was du machst

Sie stellen Daten dar, die keinerlei Personenbezug haben. Hierzu z├Ąhlen z. B. Daten, die geclustert werden, ohne jedoch Nutzerprofile anzulegen oder diese zu analysieren.

Welche Anwendungen betrifft die DSGVO?

Grafik aktualsisiert zum 21.08.19 zum EuGH Urteil C-40/17 vom 29.07.19

Was muss ein Unternehmen bzw. die Agentur leisten?ÔÇĘ

Die Datenschutzgrundverordnung stellt Unternehmen aus dem gewerblichen, produzierenden Gewerbe genauso wie Dienstleister, wie z. B. Agenturen vor erhebliche Herausforderungen. Nach einer aktuellen Erhebung der Bitkom ignoriert jedes dritte Unternehmen bislang die DSGVO.

Wenn man den zeitlichen Aspekt hierzu in den Fokus r├╝ckt, verbleibt nicht mehr all zu viel Zeit um notwendige technische sowie organisatorische Ma├čnahmen umzusetzen, die sicherstellen und nachweislich belegen, dass die Verarbeitung von personenbezogenen Daten entsprechend der Datenschutzgrundverordnung erfolgt.

In einem ersten Schritt von Unternehmen und Agenturen gilt es, zwei ma├čgeblichen Grunds├Ątze der DSGVO zu verinnerlichen, die wir nachstehend erl├Ąutern.

Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default)

Beschreibt alle Ma├čnahmen, die ergriffen werden, um die Verarbeitung von personenbezogenen Daten zu minimieren. Dies ber├╝cksichtigt insbesondere Prozesse, die zur Durchf├╝hrung weniger Daten ben├Âtigen, als abgefragt werden.

Hierzu z├Ąhlen z. B. die Pflichtangaben in einem Newsletter-Anmeldeformular. Streng genommen ist zum Versand eines Newsletters lediglich die E-Mail-Adresse als personenbezogenes Datum zu erfassen. Nichtsdestotrotz ist es, unter bestimmten Bedingungen, im berechtigten Interesse zus├Ątzliche Daten zu verarbeiten, um beispielsweise die Anrede zu personalisieren.

Dar├╝ber hinaus soll betroffenen Personen die M├Âglichkeit gegeben werden, die Verarbeitung personenbezogener Daten zu ├╝berwachen.

Dementsprechend sollten Unternehmen bei der Definition Ihrer Anforderungen und Agenturen beim Hinterfragen der Anforderungen darauf achten, dass die Entwicklung sowie Gestaltung entsprechender Anwendungen das Recht auf Datenschutz ber├╝cksichtigen und nach dem Stand der Technik sicherstellen.

Benennung eines Datenschutzbeauftragten

Die Benennung eines internen oder externen Datenschutzbeauftragten ist f├╝r Unternehmen verpflichtend ab 10 Mitarbeiter, die mit personenbezogenen Daten umgehen oder wenn hohe Risiken der Datenverarbeitung vorliegen. Diese Risiken liegen vor, wenn Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabsch├Ątzung unterliegen.

F├╝hren eines Verarbeitungsverzeichnisses

Jedes Unternehmen ist verpflichtet seine Verarbeitungst├Ątigkeiten zu identifizieren, deren Zul├Ąssigkeit zu pr├╝fen und diese in ein Verzeichnis aufzunehmen. Mithilfe dieser Verzeichnisse wird es den Aufsichtsbeh├Ârden erm├Âglicht zu pr├╝fen, kooperierende Unternehmen ihren wechselseitigen Informations- und Dokumentationspflichten, z. B. Auftragsverarbeitungsvertr├Ąge nachkommen.

Auftragsdatenverarbeitungsvertr├Ąge pr├╝fen oder aktualisieren

Auftragsdatenverarbeitungsvertr├Ąge regeln die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer, z. B. einer Agentur, gem├Ą├č den Weisungen des Auftraggebers.

Die Agentur darf nur auf Weisung des f├╝r die Verarbeitung Verantwortlichen (Auftraggeber) die personenbezogenen Daten verarbeiten. Wenn die Agentur diesen Rahmen der Weisung verl├Ąsst, wird sie selbst zum Verantwortlichen. Unternehmen d├╝rfen nur mit Agenturen arbeiten, die gew├Ąhrleisten k├Ânnen, dass geeignete technische und organisatorische Ma├čnahmen durchgef├╝hrt werden, damit die Verarbeitung der Daten im Einklang mit der Datenschutzgrundverordnung erfolgt.

Auftragsdatenverarbeitungsvertr├Ąge m├╝ssen folgende Regelungen enthalten:

  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen (Weisungsbefugnis)
  • Die Verpflichtung, die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Die Verpflichtung zur Vertraulichkeit der zur Verarbeitung der personenbezogenen Daten befugten Personen
  • Regelungen zur Hinzuziehung von Subunternehmern
  • Die Verpflichtung, den Verantwortlichen bei Anfragen und Anspr├╝chen Dritter sowie bei den Meldepflichten zu unterst├╝tzen
  • Die Verpflichtung nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu l├Âschen oder zur├╝ckzugeben
  • Die Verpflichtung dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung und ├ťberpr├╝fung der datenschutzrechtlichen Pflichten zu erm├Âglichen
  • Die Verpflichtung den Verantwortlichen unverz├╝glich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verst├Â├čt

Technische und organisatorische Ma├čnahmen pr├╝fen und umsetzen

In Abh├Ąngigkeit der Risiken und deren Eintrittswahrscheinlichkeit sind technische und organisatorische Ma├čnahmen unter Ber├╝cksichtigung des Stands der Technik und der Implementierungskosten zu ergreifen, welche die Wahrung der Interessen der betroffenen Personen sicherstellen. In Verbindung mit den Grunds├Ątzen ÔÇ×privacy by designÔÇť und ÔÇ×privacy by defaultÔÇť z├Ąhlen hierzu u. a.:

  • technisch organisatorische Ma├čnahmen, um sicherzustellen, dass die Verarbeitung gem├Ą├č der Verordnung erfolgt - z. B. durch Benennung eines Datenschutzbeauftragten
  • f├╝hren von Protokollen, die nachtr├Ąglich gepr├╝ft werden k├Ânnen und Eingaben, ├änderungen oder L├Âschungen personenbezogener Daten nachvollziehbar machen
  • Sensibilisierung und Schulung von Mitarbeitern
  • Zugangsbeschr├Ąnkung zu den personenbezogenen Daten
  • Pseudonymisierung personenbezogener Daten
  • Verschl├╝sselung personenbezogener Daten
  • Einf├╝hrung eines Monitorings und Reportings zur Bewertung und Evaluierung der Wirksamkeit der Ma├čnahmen

Durchf├╝hrung von Datenschutzfolgeabsch├Ątzungen

Sollen neue Technologien verwendet werden oder stellt die Verarbeitung personenbezogener Daten eine erhebliche Gefahr der Interessen betroffener Personen dar, so ist unter Hinzunahme eines Datenschutzbeauftragten eine Absch├Ątzung der Folgen f├╝r die betroffenen Personen zu erstellen. Diese Folgeabsch├Ątzung muss mindestens nachstehende Punkte enthalten und muss u. U. nach Abschluss kontrolliert werden.

  • eine systematische Beschreibung der geplanten Verarbeitungsvorg├Ąnge und der Zwecke der Verarbeitung
  • eine Bewertung der Notwendigkeit und Verh├Ąltnism├Ą├čigkeit der Verarbeitungsvorg├Ąnge in Bezug auf deren Zweck
  • eine Bewertung der Gefahren f├╝r die Interessen der betroffenen Personen
  • sowie die Nennung von L├Âsungsans├Ątzen zur Abwendung der identifizierten Gefahren und der Sicherung der personenbezogenen Daten nach den gesetzlichen Vorgaben

├ťber welche Rechte verf├╝gen betroffene Personen?

Betroffene Personen verf├╝gen ├╝ber vielf├Ąltige Rechte bei der Verarbeitung von personenbezogenen Daten.

Auskunft und Informationspflicht

Betroffenen Personen muss in pr├Ąziser, transparenter, verst├Ąndlicher und leicht zug├Ąnglicher Form sowie in einer klaren und einfachen Sprache Auskunft ├╝ber die Verarbeitung personenbezogener Daten gew├Ąhrleistet werden. Die kann z. B. in Form einer Webseite mit der Datenschutzerkl├Ąrung erfolgen.

Dar├╝ber hinaus steht betroffenen Personen das Recht zu, vor Erhebung personenbezogenen Daten informiert zu werden.

Ferner sind dies das Recht auf

  • Korrektur
  • L├Âschung bzw. Vergessenwerden
  • Einschr├Ąnkung der Verarbeitung
  • Mitteilungspflicht ├╝ber Vollzug der Korrektur, L├Âschung oder Einschr├Ąnkung der Verarbeitung
  • Widerruf
  • und Weitere

Was tun bei einer Datenpanne?

Die DSGVO geht davon aus, dass es zu Datenpannen kommen wird. Daher ist in ihr definiert, dass grunds├Ątzliche jede Panne gegen├╝ber der zust├Ąndigen Aufsichtsbeh├Ârde zu melden ist. Ausgenommen von dieser Meldepflicht sind Pannen, die keine erhebliche Gefahr der Interessen betroffener Personen darstellen. Diese Gefahren sind mittels einer Risikobewertung einzusch├Ątzen. Resultiert aus dieser Einsch├Ątzung ein Risiko f├╝r die pers├Ânlichen Rechte, so ist dies in der gesetzlichen Form unverz├╝glich zu melden. Die DSGVO definiert hierf├╝r einen Zeitraum von maximal 72 Stunden nach Kenntnisnahme der Datenpanne.

Welche Gefahren resultieren aus der Nichteinhaltung der DSGVO?

Die Datenschutzgrundverordnung sieht Bu├čgelder zwischen 10.000.000/20.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 oder 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Im Teil "Was ist bei Unternehmenswebseiten und im Online-Marketing zu beachten" beleuchten wir was im Rahmen von Unternehmenswebseiten sowie im Online-Marketing zu beachten ist.

Der AutorRudolf Moser
Nach oben springen
Im Herzen S├╝ddeutsch. Im Handeln Weltoffen
Nach oben springen