Praxiswissen auf den Punkt gebracht.
logo

·Neues EU-Recht | DSGVO

Datenschutz-Grundverordnung kommt: Jetzt vorbereiten ‒ der Countdown läuft bis 25.05.2018

Bild:© dmutrojarmolinua - stock.adobe.com

| Die Abmahner stehen schon in den Startlöchern: Mit der Datenschutz-Grundverordnung (DSGVO) wird in Europa neues Recht geschaffen. Wenn Sie dem nicht entsprechen, können teure Bußgelder verhängt werden. CE Chef easy fasst die Fakten für Unternehmer und Webshop-Betreiber zusammen. Handeln Sie jetzt! |

Hintergrund und Sanktionen

Wegen der neuen EU-Datenschutz-Grundverordnung (DSGVO) musste auch das deutsche Datenschutzrecht novelliert werden. Sowohl das überarbeitete Bundesdatenschutzgesetz (BDSG) als auch die Grundverordnung treten am 25.5.18 in Kraft.

 

Die angedrohten Sanktionen können hart ausfallen: Bei Global-Playern bis zu vier Prozent des weltweit erzielten Jahresumsatzes. Die Aufsichtsbehörden können aber auch milder agieren und Sie lediglich anweisen, Ihre Datenverarbeitung mit Fristsetzung auf Vordermann zu bringen. Allerdings können auch die Betroffenen (z. B. Ihre Kunden) Schadensersatz einfordern ‒ auch dann, wenn nur immaterieller Schaden entstanden ist.

Alle Unternehmen sind betroffen

Es spielt keine Rolle, ob Sie personenbezogene Daten rechnergestützt oder auf Karteikarten verwalten. Das heißt: Händler, (E-)Shop-Betreiber, Unternehmer, Arztpraxen, Kanzleien, Vereine etc. ‒ alle Unternehmen sind betroffen.

 

Personenbezogene Daten

Personenbezogen sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ... beziehen“ (Art. 4 Nr. 1 DSGVO).

 

Verarbeiten personenbezogener Daten

Jede Art des Umgangs mit personenbezogenen Daten kann dem Begriff „Verarbeitung“ zugeordnet werden. Beispiele sind das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen/Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder auch Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten ... (Art. 4 Nr. 2 DSGVO).

 

Datenschutzgrundsatz: „Verbot mit Erlaubnisvorbehalt“

Kein Scherz: Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn sie ist erlaubt: per Gesetz zum Beispiel oder durch Einwilligung des Betroffenen. In der DSGVO Art. 5 und 6 sind die Anforderungen an die Verarbeitung definiert:

 

  • Rechtmäßigkeit der Verarbeitung
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit und Integrität sowie
  • Vertraulichkeit der gespeicherten Daten

 

Neben der Variante „Einwilligung“ ‒ die Ihnen ja nicht immer vorliegt, gibt es aber auch einige Möglichkeiten, trotzdem mit Kunden in Kontakt zu treten und Daten zu verarbeiten (Art. 6 DSGVO). Fragen Sie sich: Dient die Verarbeitung ...

  • der Vertragserfüllung (z. B. Kaufvertrag, Dienstleistungsvertrag etc.),
  • der Durchführung vorvertraglicher Maßnahmen (z. B. Übersendung von Prospekten) oder Erfüllung rechtlicher Pflichten,
  • dem berechtigten Interesse (Abwägung z. B. bei Werbemaßnahmen ohne Einwilligung des Kunden)?

Direktwerbung erfordert Interessen-Abwägung

Zu Werbemaßnahmen steht nichts in der DSGVO. Soweit also keine Einwilligung zur Kontaktaufnahme über Werbung vorliegt, können Sie auf die Interessenabwägung abstellen. Beachten Sie aber immer die Bestimmungen des Gesetzes gegen unlauteren Wettbewerb (UWG).

 

TIPPS |

  • Bei der Abwägung müssen Sie die vernünftigen Erwartungen der Kunden berücksichtigen.
  • Der Kunde kann jederzeit Widerspruch gegen die Datenverarbeitung einlegen.
  • Sie müssen Transparenz zeigen ‒ und die Widerspruchsoption mitteilen.
  • Sie müssen das Wettbewerbsrecht § 7 UWG beachten. Danach sind immer Einwilligungserklärungen einzuholen ‒ Ausnahme ist die Briefwerbung.
 

Gestaltung der Einwilligungserklärung

Grundsätzlich genügen mündliche oder elektronische Einwilligungserklärungen (kein Schriftformerfordernis). Die Einwilligungserklärung muss verständlich und klar formuliert sein ‒ und mindestens diese vier Punkte beinhalten:

 

  • 1. Identität Ihres Unternehmens bzw. des Datenverarbeiters
  • 2. Zweck (Rechtsgrundlage) der Datenerfassung (Welche Daten wofür ...)
  • 3. Gewährleistung der freiwilligen Zustimmung zur Datenverarbeitung durch den Kunden
  • 4. Jederzeitiges Widerrufsrecht des Kunden (Transparenz)

 

Beachten Sie | Gerade bei mündlichen Erklärungen ist die saubere Dokumentation eine besondere Herausforderung, weil Sie im Zweifel in der Beweispflicht stehen.

TIPPS | Elektronische Formulare im Internet

Checkboxen auf Websites dürfen nicht „voraktiviert“ (also angekreuzt) sein. Der Kunde muss aktiv werden (siehe Punkt 3 oben)! Soll die Einwilligungserklärung z. B. mit den AGB etc. kombiniert werden, müssen Sie dies besonders hervorheben (fetten, unterstreichen, Rahmen setzen). Aber Vorsicht: Dient die Verarbeitung mehreren Zwecken (z. B. Vertragsabwicklung und Kundenbindung (Dienstleistung) und Werbung) muss für alle Verarbeitungszwecke eine Einwilligung eingeholt werden (Kopplungsverbot).

 

Bestehende Datenschutzerklärungen gelten fort

Laut Beschluss des Düsseldorfer Kreises vom 13./14. September 2016 erfüllen die derzeit rechtswirksamen Einwilligungen diese Bedingungen, auch wenn sie die in der DSGVO neu formulierten Informationspflichten nicht enthalten. Dennoch: Tauschen Sie die bisherigen Einwilligungserklärungen sukzessive gegen Erklärungen nach neuem Recht aus.

 

Informationspflichen / AGB

Die DSGVO erweitert Ihre Informationspflichten. Neben Kontaktdaten zum Verantwortlichen (Unternehmen) und den bereits unter der Einwilligungserklärung (oben) genannten vier Punkte sind dies:

 

  • Empfänger der personenbezogenen Daten
  • Dauer der Datenspeicherung (zumindest aber Kriterien für die Festlegung dieser Dauer)
  • Rechte der Kunden auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Übertragbarkeit
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Hinweis, ob die Daten für den Vertrag erforderlich sind

 

Diese Informationspflichten können Sie in die AGB einarbeiten. Achten Sie immer auf klare verständliche Sprache. Dies ist eine Formanforderung. Je unpräziser Sie sind, desto leichter kann sich ein „mögliches Missverständnis“ gegen Sie richten.

 

Wenn Sie Daten bei Dienstleistern erheben oder aus öffentlichen Quellen erheben, müssen Sie die Quelle dazuschreiben und welche Kategorien (Namen, Anschrift, Alter, Geburtsdatum etc.) von Daten erhoben werden.

Kundenrechte und Auskunftspflichen

Wie so oft hat der Kunde alle Rechte. Bei der DSGVO sind das die Rechte auf

  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Neu: „Recht auf Vergessenwerden“, Art. 17, § 35 BDSG),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO, § 35 BDSG),
  • Neu: Datenübertragbarkeit (Art. 20 DSGVO),

 

Will ein Kunde wissen, welche Daten von ihm verarbeitet wurden, müssen Sie mindestens diese Auskünfte erteilen können:

 

  • Verarbeitungszweck(e)
  • Kategorien der Daten
  • Empfänger oder Kategorien von Empfängern, die die Daten erhalten haben
  • Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer

Umgang mit dem Datenschutz

Sie sind für die Einhaltung aller Anforderungen rechenschaftspflichtig. Kommt es zum Streit, gilt die „Umkehr der Beweislast“. Sie müssen das datenschutzkonforme Verhalten belegen können. Deshalb müssen Sie sauber dokumentieren:

 

Verarbeitungsverzeichnis

Sie müssen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten führen (Art. 30 DSGVO). Ein Muster dazu finden Sie unter Abruf-Nr. 45113166.

 

Folgenabschätzung

Wenn Ihre Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Kunden darstellt, ist eine Datenschutz-Folgenabschätzung (ehemals „Vorabkontrolle“) zwingend vorzunehmen. Lesen Sie dazu dieses Kurzpapier zu Art. 35 DSGVO.

 

Datenpannen

Wenn Sie den Schutz personenbezogener Daten verletzen, müssen Sie das der Aufsichtsbehörde melden. Lesen Sie dieses Kurzpapier zu Art. 33 und 34 DSGVO.

 

Technik / Organisation

Konkrete Vorgaben zur Technikgestaltung enthält Art. 25 DSGVO. Darin geht es um Erfordernisse der

  • Pseudonymisierung und Verschlüsselung,
  • IT-Sicherheit,
  • Wiederherstellung und Verfügbarkeit,
  • Weisungsgebundene Verarbeitung der Daten durch Mitarbeiter.

Auftragsverarbeitung

Bestehende Auftragsdatenverarbeitungs-Verträge sind gegen Verträge auszutauschen, die das neue Recht abbilden (Art. 28 DSGVO ‒ hier dazu ein Muster).

 

 

Weiterführende Hinweise

  • Verarbeitungsverzeichnis, Art. 30 DSGVO | IWW-Muster unter Abruf-Nr. 45113166
Quelle: ID 45191553