Wir sind Montag - Freitag von 08:00 - 12:00 und 12:30 - 17:00 Uhr für Sie erreichbar

Datenschutz – sind auch Sie betroffen?

Die neue EU-Datenschutzgrundverordnung

Der 25. Mai rückt immer näher, dann tritt die neue Datenschutzgrundverordnung (DSGVO) mit einer Fülle neuer Vorschriften für den Daten- und Verbraucherschutz offiziell in Kraft. 

Mit der DSGVO sollen die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Ab diesem Stichtag kann die Einhaltung der gesetzlichen Regelungen behördlich überprüft und im Falle von Verstößen Sanktionen verhängt werden. Vor allem aber besteht bei der Nichteinhaltung der Regelungen die Gefahr von Abmahnungen durch den Wettbewerb.

Was sich mit den neuen Datenschutzregeln ändert

Die DSGVO regelt im Kern die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden. Zu den personenbezogenen Daten gehören etwa Name, Adresse, E-Mail-Adresse, Geburtsdatum, Ausweisnummer, Kontaktdaten wie Adressen und Telefonnummern oder auch die IP-Adresse. Die Verarbeitung von Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, wird untersagt. Das gilt ebenfalls für besonders sensible Daten wie Gesundheitsdaten, genetische oder biometrische Daten. Sie dürfen nur dann verarbeitet werden, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.

Neu in der DSVGO sind auch die hohen Anforderungen an die Einwilligung des Nutzers in die Weiterverarbeitung seiner Daten. Die Einwilligung der betroffenen Person muss freiwillig, unmissverständlich und in informierter Weise durch eine Zustimmungshandlung erklärt worden sein. Ein stillschweigendes Einverständnis reicht nicht mehr aus. So ist zum Erhalt von Werbemails beispielsweise die physische Zustimmung des Kunden notwendig, also das Setzen eines Häkchens. Unternehmen können ebenso nicht mehr die vorhandene E-Mail-Adressen einfach beliebig nutzen. Dies ist nur möglich, sofern sie die Anforderungen der DSGVO erfüllen. Um bisher gesammelte E-Mail-Adressen auch nach dem 25. Mai 2018 weiter zu nutzen, ist also zu prüfen, ob die alten Einwilligungen die neuen Kriterien erfüllen oder ob nachgebessert werden muss.

Personenbezogene Daten dürfen nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Spätestens, wenn personenbezogene Daten für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet werden, muss das Unternehmen diese Daten löschen.

Nach der neuen Verordnung können Nutzer ihre Einwilligung in die Verarbeitung ihrer Daten „jederzeit“ und „ohne Begründung“ widerrufen.  Der Nutzer hat in Zukunft zudem das Recht, die personenbezogenen Daten zu einem anderen Anbieter mitzunehmen. So soll ein Wechsel ohne Datenverlust möglich werden. Diese Pflicht zur sogenannten Portabilität der Daten betrifft aber wohl nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat.

Die neue DSVGO zwingt Unternehmen dazu, ihre Arbeitsweise anzupassen oder gänzlich zu ändern. So müssen beispielsweise Verstöße, die zu einer Gefährdung der Rechte und Freiheiten des Einzelnen führen können -  beispielsweise in Form von finanziellen Verlusten – gemeldet werden. Eine solche Meldung der Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde erfolgen. Ist der Verstoß hinreichend schwerwiegend ist, muss auch die Öffentlichkeit informiert werden.

Aussitzen bringt nichts

Im Hinblick auf die Vielzahl und den Umfang der neuen Vorschriften sollten Unternehmen beim Thema Datenschutz keine Zeit verlieren und ihre internen und externen Prozesse schnellstmöglich an die Regelungen der DSGVO anpassen. Unternehmen müssen ihre neuen Prozesse nicht nur definieren, sondern auch festhalten und dokumentieren. Auch die Zwecke von Datenverarbeitungen sollten präzise und umfassend festgelegt und diese Zwecke auch im Löschkonzept des Unternehmens klar dokumentiert werden. Hier müssen sämtliche Unternehmensbereiche tätig werden, die Daten verarbeiten, wie etwa IT, HR, Recht, Sales oder Marketing.

Laut Artikel 37 der DSGVO brauchen außerdem alle Unternehmen, in denen personenbezogene Daten wie Namen, E-Mail-Adressen oder Kontonummern automatisiert verarbeitet werden, einen Datenschutzbeauftragten. Falls es noch keinen gibt, muss also spätestens jetzt ein betrieblicher Datenschutzbeauftragter ernannt werden. Und nicht zuletzt ist die kontinuierliche Mitarbeitersensibilisierung und -schulung ein Muss bei der Umsetzung der DSGVO.

Passen Sie Ihre Webseite schnell und einfach an die DSGVO an

Viele Online Shop und Webseitenbetreiber haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, hohe Bußgelder und Ärger mit Ihren Kunden. Sie müssen jetzt handeln!

Wie Sie Ihre Webseite oder Ihren Online Shop datenschutzkonform machen, lesen Sie hier.