Alles neu macht der Mai: Online Business in Zeiten der DSGVO

Mit in Kraft treten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wird sich im Online Business rechtlich einiges ändern. Gerade für international tätige Unternehmen verspricht die, in der gesamten EU geltende, wesentliche Vereinfachungen, da über nationale Grenzen hinweg dieselben Bestimmungen angewendet werden, auch für Marktteilnehmer aus sogenannten Drittländern.

Das Thema ist komplex und nicht einfach. Oftmals wird es von Unternehmen als lästig empfunden und vor sich hergeschoben, in der Hoffnung man werde nicht erwischt. Dennoch versuchen wir nachstehend die wichtigsten Punkte, insbesondere aus Unternehmens- sowie Agentursicht, zusammenzufassen, jedoch ohne hier eine rechtliche Empfehlung zu formulieren. Diese kann lediglich Ihr persönlicher Rechtsbeistand für Ihre individuelle Unternehmenssituation definieren.

Für wen gilt die Datenschutzgrundverordnung?

Grundsätzlich gilt die DSGVO für alle Unternehmen sowie Privatpersonen (ausgenommen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten), die personenbezogene Daten verarbeiten und im Anwendungsbereich der Europäischen Union liegen. Im nachfolgenden gehen wir jedoch ausschließlich auf Unternehmen ein.

Im Anwendungsgebiet der DSGVO liegen, neben den in Mitgliedstaaten der EU ansässigen Unternehmen, auch jene, die Produkte und Dienstleistungen in diesem Bereich anbieten, dort jedoch nicht sitzen.

Was sind personenbezogene, pseudonymisierte und anonymisierte Daten?

Nach der DSGVO geht man grundsätzlich und insbesondere im Zweifelsfall davon aus, dass alle Daten einen Personenbezug haben. In den meisten Fällen wird dieser vorliegen und damit unterliegen diese Daten einem datenschutzrechtlichen Verarbeitungsverbot. In diesem Zusammenhang ist es notwendig, die Begrifflichkeiten zu differenzieren.

Personenbezogene Daten

Ich weiß wer du bist und was du machst

Sind alle Daten, die insbesondere im Direkt- und Dialogmarketing die Personalisierung und Individualisierung von Inhalten ermöglichen. Diese Daten dienen dazu, Personen für bestimmte Zwecke, z. B. Werbemaßnahmen, unmittelbar oder mittelbar zu identifizieren.

Pseudonymisierten Daten

Ich kenne dich nicht, weiß dennoch was du treibst

Diese Daten lassen regelmäßig keinen Rückschluss auf eine Person zu. Daten die zur Identifizierung einer bestimmten Personen dienen werden durch ein Pseudonym ersetzt. Sie stellen personenbezogene Daten dar, mit deren Hilfe Profile für bestimmte Zwecke, z. B. Werbemaßnahmen erstellt werden können. Sie ermöglichen die Bereitstellung von individualisierten, jedoch nicht personalisiert Inhalten. Je nach Ausgestaltung der Pseudonymisierung ist die Verarbeitung für Werbeaktivitäten denkbar zulässig.

Anonymisierte Daten

Ich habe keinen blassen Schimmer wer du bist und was du machst

Sie stellen Daten dar, die keinerlei Personenbezug haben. Hierzu zählen z. B. Daten, die geclustert werden, ohne jedoch Nutzerprofile anzulegen oder diese zu analysieren.

Welche Anwendungen betrifft die DSGVO?

Was muss ein Unternehmen bzw. die Agentur leisten?


Die Datenschutzgrundverordnung stellt Unternehmen aus dem gewerblichen, produzierenden Gewerbe genauso wie Dienstleister, wie z. B. Agenturen vor erhebliche Herausforderungen. Nach einer aktuellen Erhebung der Bitkom ignoriert jedes dritte Unternehmen bislang die DSGVO.

Wenn man den zeitlichen Aspekt hierzu in den Fokus rückt, verbleibt nicht mehr all zu viel Zeit um notwendige technische sowie organisatorische Maßnahmen umzusetzen, die sicherstellen und nachweislich belegen, dass die Verarbeitung von personenbezogenen Daten entsprechend der Datenschutzgrundverordnung erfolgt.

In einem ersten Schritt von Unternehmen und Agenturen gilt es, zwei maßgeblichen Grundsätze der DSGVO zu verinnerlichen, die wir nachstehend erläutern.

Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default)

Beschreibt alle Maßnahmen, die ergriffen werden, um die Verarbeitung von personenbezogenen Daten zu minimieren. Dies berücksichtigt insbesondere Prozesse, die zur Durchführung weniger Daten benötigen, als abgefragt werden.

Hierzu zählen z. B. die Pflichtangaben in einem Newsletter-Anmeldeformular. Streng genommen ist zum Versand eines Newsletters lediglich die E-Mail-Adresse als personenbezogenes Datum zu erfassen. Nichtsdestotrotz ist es, unter bestimmten Bedingungen, im berechtigten Interesse zusätzliche Daten zu verarbeiten, um beispielsweise die Anrede zu personalisieren.

Darüber hinaus soll betroffenen Personen die Möglichkeit gegeben werden, die Verarbeitung personenbezogener Daten zu überwachen.

Dementsprechend sollten Unternehmen bei der Definition Ihrer Anforderungen und Agenturen beim Hinterfragen der Anforderungen darauf achten, dass die Entwicklung sowie Gestaltung entsprechender Anwendungen das Recht auf Datenschutz berücksichtigen und nach dem Stand der Technik sicherstellen.

Benennung eines Datenschutzbeauftragten

Die Benennung eines internen oder externen Datenschutzbeauftragten ist für Unternehmen verpflichtend ab 10 Mitarbeiter, die mit personenbezogenen Daten umgehen oder wenn hohe Risiken der Datenverarbeitung vorliegen. Diese Risiken liegen vor, wenn Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabschätzung unterliegen.

Führen eines Verarbeitungsverzeichnisses

Jedes Unternehmen ist verpflichtet seine Verarbeitungstätigkeiten zu identifizieren, deren Zulässigkeit zu prüfen und diese in ein Verzeichnis aufzunehmen. Mithilfe dieser Verzeichnisse wird es den Aufsichtsbehörden ermöglicht zu prüfen, kooperierende Unternehmen ihren wechselseitigen Informations- und Dokumentationspflichten, z. B. Auftragsverarbeitungsverträge nachkommen.

Auftragsdatenverarbeitungsverträge prüfen oder aktualisieren

Auftragsdatenverarbeitungsverträge regeln die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer, z. B. einer Agentur, gemäß den Weisungen des Auftraggebers.

Die Agentur darf nur auf Weisung des für die Verarbeitung Verantwortlichen (Auftraggeber) die personenbezogenen Daten verarbeiten. Wenn die Agentur diesen Rahmen der Weisung verlässt, wird sie selbst zum Verantwortlichen. Unternehmen dürfen nur mit Agenturen arbeiten, die gewährleisten können, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, damit die Verarbeitung der Daten im Einklang mit der Datenschutzgrundverordnung erfolgt.

Auftragsdatenverarbeitungsverträge müssen folgende Regelungen enthalten:

  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen (Weisungsbefugnis)
  • Die Verpflichtung, die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Die Verpflichtung zur Vertraulichkeit der zur Verarbeitung der personenbezogenen Daten befugten Personen
  • Regelungen zur Hinzuziehung von Subunternehmern
  • Die Verpflichtung, den Verantwortlichen bei Anfragen und Ansprüchen Dritter sowie bei den Meldepflichten zu unterstützen
  • Die Verpflichtung nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben
  • Die Verpflichtung dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung und Überprüfung der datenschutzrechtlichen Pflichten zu ermöglichen
  • Die Verpflichtung den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstößt

Technische und organisatorische Maßnahmen prüfen und umsetzen

In Abhängigkeit der Risiken und deren Eintrittswahrscheinlichkeit sind technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik und der Implementierungskosten zu ergreifen, welche die Wahrung der Interessen der betroffenen Personen sicherstellen. In Verbindung mit den Grundsätzen „privacy by design“ und „privacy by default“ zählen hierzu u. a.:

  • technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung erfolgt - z. B. durch Benennung eines Datenschutzbeauftragten
  • führen von Protokollen, die nachträglich geprüft werden können und Eingaben, Änderungen oder Löschungen personenbezogener Daten nachvollziehbar machen
  • Sensibilisierung und Schulung von Mitarbeitern
  • Zugangsbeschränkung zu den personenbezogenen Daten
  • Pseudonymisierung personenbezogener Daten
  • Verschlüsselung personenbezogener Daten
  • Einführung eines Monitorings und Reportings zur Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Durchführung von Datenschutzfolgeabschätzungen

Sollen neue Technologien verwendet werden oder stellt die Verarbeitung personenbezogener Daten eine erhebliche Gefahr der Interessen betroffener Personen dar, so ist unter Hinzunahme eines Datenschutzbeauftragten eine Abschätzung der Folgen für die betroffenen Personen zu erstellen. Diese Folgeabschätzung muss mindestens nachstehende Punkte enthalten und muss u. U. nach Abschluss kontrolliert werden.

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck
  • eine Bewertung der Gefahren für die Interessen der betroffenen Personen
  • sowie die Nennung von Lösungsansätzen zur Abwendung der identifizierten Gefahren und der Sicherung der personenbezogenen Daten nach den gesetzlichen Vorgaben

Über welche Rechte verfügen betroffene Personen?

Betroffene Personen verfügen über vielfältige Rechte bei der Verarbeitung von personenbezogenen Daten.

Auskunft und Informationspflicht

Betroffenen Personen muss in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache Auskunft über die Verarbeitung personenbezogener Daten gewährleistet werden. Die kann z. B. in Form einer Webseite mit der Datenschutzerklärung erfolgen.

Darüber hinaus steht betroffenen Personen das Recht zu, vor Erhebung personenbezogenen Daten informiert zu werden.

Ferner sind dies das Recht auf

  • Korrektur
  • Löschung bzw. Vergessenwerden
  • Einschränkung der Verarbeitung
  • Mitteilungspflicht über Vollzug der Korrektur, Löschung oder Einschränkung der Verarbeitung
  • Widerruf
  • und Weitere

Was tun bei einer Datenpanne?

Die DSGVO geht davon aus, dass es zu Datenpannen kommen wird. Daher ist in ihr definiert, dass grundsätzliche jede Panne gegenüber der zuständigen Aufsichtsbehörde zu melden ist. Ausgenommen von dieser Meldepflicht sind Pannen, die keine erhebliche Gefahr der Interessen betroffener Personen darstellen. Diese Gefahren sind mittels einer Risikobewertung einzuschätzen. Resultiert aus dieser Einschätzung ein Risiko für die persönlichen Rechte, so ist dies in der gesetzlichen Form unverzüglich zu melden. Die DSGVO definiert hierfür einen Zeitraum von maximal 72 Stunden nach Kenntnisnahme der Datenpanne.

Welche Gefahren resultieren aus der Nichteinhaltung der DSGVO?

Die Datenschutzgrundverordnung sieht Bußgelder zwischen 10.000.000/20.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 oder 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Im Teil "Was ist bei Unternehmenswebseiten und im Online-Marketing zu beachten" beleuchten wir was im Rahmen von Unternehmenswebseiten sowie im Online-Marketing zu beachten ist.

Im Herzen Süddeutsch. Im Handeln Weltoffen.

Kontakt aufnehmen