Datenschutzgrundverordnung

Die vom europäischen Parlament beschlossene neue Datenschutz-Grundverordnung tritt in Kürze europaweit in Kraft. Unternehmen müssen daher schon jetzt die Weichen stellen. Wir geben einen kurzen Überblick darüber, was sich mit der neuen DSGVO ändern wird und was das für Unternehmen bedeutet.

Überprüfen Sie mit einer übersichtlichen Checkliste selbst, ob Ihr Unternehmen den neuen Anforderungen der DSGVO gerecht wird und welche Änderungen Sie vornehmen sollten

CHECKLISTE

EU-Datenschutzgrundverordnung –
Was ist das?

Die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz europäische Datenschutzgrundverordnung (DSGVO) genannt, wurde im Frühjahr 2016 beschlossen.

Ab dem 25. Mai 2018 stellt sie eine anwendbare Verordnung dar, die in der gesamten europäischen Union greift. Bisher galten in jedem Land andere Gesetze zum Datenschutz. Ziel der neuen Verordnung ist es daher, die Regelung zur Verarbeitung personenbezogener Daten durch private oder öffentliche Unternehmen auf Europaebene zu vereinheitlichen.

Die wesentlichen Ziele sind dabei die Stärkung der Betroffenenrechte, ein verstärkter Fokus auf der Datensicherheit, die Einführung von Beauftragten des Datenschutzes im öffentlichen Sektor sowie eine Verstärkung der Strafmaßnahmen bei einem Verstoß.

Wen betrifft die DSGVO?

Ganz konkret kann diese Frage pauschal leider nicht beantwortet werden. Weil sich verschiedene Details ändern, müssen sämtliche Unternehmensprozesse überprüft werden, bei welchen eine Verarbeitung von Nutzer- beziehungsweise Kundendaten von Bestand ist.
Einige Aspekte, die wohl die meisten Webseitenbetreiber und Betreiber von online Shops betreffen, sind im hier angeführt.

Newsletter & (Kontakt-) Formulare
Mit Ausnahme der E-Mail-Adresse müssen alle Angaben auf freiwilliger Basis erfasst werden. Das heißt, in Zukunft darf nur mehr die Mail-Adresse als Pflichtfeld gekennzeichnet sein. Zudem sollte die Seite, auf der die Anmeldung zum Newsletter erfolgt SSL geschützt sein.

Log-In-Daten
Im Log-In-Bereich wird in der Regel nach einem Benutzernamen oder der E-Mail-Adresse gefragt. Hinsichtlich der Anonymität sollte dem Benutzernamen in Zukunft der Vorzug gegeben werden. Generell lohnt es sich bei Registrierungsseiten vorsichtshalber an Datensparsamkeit zu halten – Es sollte sich auf die Erhebung von zwingend benötigten Daten beschränkt werden. Auch hier ist auf einen ausreichenden SSL-Schutz zu achten.

Datenschutzerklärungen
In diesem Zusammenhang werden auf inhaltlicher Ebene ein paar Änderungen auf die Website-Betreiber zukommen. Laut Artikel 13, Absatz 1 der DSGVO sind zum Zeitpunkt der Datenerhebung künftig folgende Informationen in der Datenschutzerklärung der betroffenen Person mitzuteilen:

–    Name und Kontaktdaten des Verantwortlichen beziehungsweise
gegebenenfalls dessen Vertreters
–    Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
–    Zweck der Datenerhebung sowie die Rechtsgrundlage für die Verarbeitung
–    Gegebenenfalls Empfänger beziehungsweise Kategorien von Empfängern der betreffenden Daten
–    Gegebenenfalls die Absicht der Verantwortlichen, die betreffenden Daten an ein Drittland oder eine internationale Organisation weiterzugeben sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle einer Übermittlung gemäß Artikel 46, Artikel 47 oder Artikel 49 Absatz 1, Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Social-Media-Plug-Ins
Bei Social-Media-Plug-Ins handelt es sich immer um die Weitergabe personenbezogener Daten und ist daher bereits jetzt rechtlich vergleichsweise streng geregelt. Bisher gab es Lösungen, welche die Datenübermittlung ohne eine Einwilligung ermöglichten. In Zukunft muss laut DSGVO eine Erklärung vorliegen, welche eine Datenerhebung ohne Einwilligung der betroffenen Personen rechtfertigt – Dies trifft im Falle der Plug-Ins nicht zu. Da nicht bekannt ist, wie Social-Media-Plattformen wie Twitter oder Facebook Daten verarbeiten, wird es problematisch den Nutzern die nötigen Informationen bereitzustellen und so deren Einwilligung wirksam einzuholen. Um diesem Problem aus dem Weg zu gehen, kann beispielsweise auf Plug-Ins verzichtet werden oder auf andere Varianten wie dem Verlinken zurückgegriffen werden.

Cookies
Die Verwendung von Cookies wurde bisher in der Regel mithilfe sogenannter Cookie-Bars gehandhabt. Hinweise in Form von Bannern, welche die Nutzer auf den Einsatz von Cookies aufmerksam machen und auf diese Art deren Einverständnis einholen.

Datenschutzbezogene Regelungen, die im Rahmen des Telemediengesetzes bisher wirksam waren, werden mit der neuen Datenschutzverordnung ungültig. Allerdings fehlt in dieser Gesetzesnovelle eine eindeutige Regelung bezüglich dessen, daher werden Daten, die mithilfe von Cookies erhoben werden, in Zukunft mit allen anderen personenbezogenen Daten gleichgesetzt. Dies gilt unabhängig davon, ob die betroffenen Daten anonymisiert sind.

Ab Mai 2018 sollte im Vorhinein stets geprüft werden, ob vonseiten des Online-Händlers ein Interesse besteht, das den Einsatz von Cookies rechtfertigt und ob diese Datenverarbeitung zur Wahrung tatsächlich notwendig ist. Das Interesse vonseiten der Betroffenen am Schutz ihrer Daten muss gegen das Interesse des Händlers abgewogen werden.

Die Interessenabwägung erfolgt unter Beachtung des Artikel 6, Absatz 1, Satz 1 der Datenschutzgrundverordnung. Ist der Einsatz laut diesem Artikel zulässig, so entfällt die Pflicht ein Cookie-Banner zu verwenden, es ist also keine ausdrückliche Einwilligung erforderlich.

Es bleibt zu sagen, dass in Österreich und auch in Deutschland im Vergleich zu anderen europäischen Ländern bisher schon ein hohes Niveau des Datenschutzes erreicht wurde und dass sich deshalb auch in einigen Grundsätzen nicht gravierend viel ändert. Spätestens bis zum 25.Mai 2018 müssen alle Datenanwendungen an die neue Rechtslage angepasst sein, andernfalls drohen hohe Bußgeldstrafen in der Höhe von 2 % – 4 %, abhängig vom Jahresumsatz. Außerdem wurde bereits angekündigt, dass speziell in der Anfangsphase, also ab dem 25.05.2018, verstärkt geprüft wird.

Als professionelle Webagentur helfen wir gerne in allen Belangen zu diesem Thema weiter. Weitere hilfreiche Informationen zu diesem Thema finden Sie auf den Seiten der WKO

Checkliste zur Umsetzung der DSGVO

Datenverarbeitung

Sie sind verpflichtet, ihre Verarbeitung personenbezogener Daten darlegen zu können. Stellen Sie sicher, dass die Verarbeitung sensibler Daten exakt dokumentiert wird

Die DSGVO verlangt, dass Unternehmen die Rechtsgrundlage ihrer Datenverarbeitung darlegen können. Überprüfen Sie also die Rechtsgrundlage Ihrer Datenverarbeitung und vermerken Sie diese in Ihrer Datenschutzerklärung

Jedes Unternehmen benötigt die Einwilligung von Personen, deren persönliche Daten erhoben, gespeichert und verarbeitet werden. Stellen Sie sicher, dass Sie diese Einwilligung einholen, wenn sie personenbezogene Daten nutzen

Bei Minderjährigen Personen ist eine Einwilligung der Erziehungsberechtigten zur Datenverarbeitung nötig. Denken Sie gegebenenfalls über Altersprüfungsprozesse im Onlinebereich nach

Nutzerrechte

Jeder Internetuser hat das Recht, die über ihn gesammelten Daten von einem Unternehmen einzufordern. Stellen Sie sicher, dass Sie diese Auskunft personenbezogen liefern können

Jeder Kunde hat das Recht, dass die über ihn gespeicherten Daten gelöscht werden, selbst wenn er der Speicherung einst zugestimmt hat. Auch eine Korrektur der Daten kann verlangt werden. Stellen Sie also sicher, dass Sie diesen Anforderungen nachkommen

Für bestimmte Datenschutzverletzungen besteht in Zukunft eine Meldepflicht für Unternehmen gegenüber der betreffenden Behörde oder auch der betroffenen Person. Führen Sie also effiziente Verfahren zur Ermittlung und Bearbeitung von Datenschutzverletzungen ein

Nutzer haben das Recht zu verlangen, dass über sie gespeicherte Daten von einem Unternehmen an Dritte übergeben werden. Stellen Sie sicher, dass solche Anfragen den Anforderungen entsprechend bearbeitet werde

Verträge & Formulare

Arbeiten Sie mit Dienstleistern zusammen, die personenbezogene Daten in Ihrem Auftrag verarbeiten? Dann sind sie künftig verpflichtet einen Vertrag zur Auftragsdatenverarbeitung mit diesen Unternehmen abzuschließen, der den Anforderungen der DSGVO entspricht

✓ Die gestiegenen Dokumentationspflichten und Bußgelder machen häufig eine Überarbeitung der Vertragswerke nötig. Prüfen Sie die Haftungs- und Datenschutzregeln in Ihren Verträgen und passen Sie diese gegebenenfalls den neuen Anforderungen an

Mit Eintreten der DSGVO ändern sich die Anforderungen an Einwilligungserklärungen. So muss z.B. bei jeder Einwilligung über Widerrufsmöglichkeiten informiert werden. Prüfen und überarbeiten Sie also Ihre Einwilligungserklärungen