Grundsätze der DSGVO - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Ab 25. Mai 2018 gilt in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Ziel der DSGVO ist, ein möglich einheitliches Datenschutzrecht innerhalb der EU zu gewährleisten und den Schutz personenbezogener Daten aller EU-Bürger zu stärken. Wer sich bis dahin nicht auf die Veränderungen durch die europäische Datenschutzgrundverordnung eingestellt hat, dem drohen hohe Geldbußen. Da viele Experten mit Inkrafttreten der Verordnung den Start einer Abmahnwelle befürchten, solltet ihr schnell handeln und die wichtigsten Punkte bis zum 25. Mai 2018 umsetzen.

Doch aktuell herrscht große Unsicherheit, was die DSGVO genau bedeutet und was getan werden muss. Diese Verunsicherung spürt man bei Bloggern, Start Ups und kleinen Unternehmen genauso wie bei großen DAX Konzernen. Es gibt unzählige DSGVO-Infoveranstaltungen, Diskussionsgruppen und Online Schulungen, die regen Zuspruch finden. Das Ergebnis ist überall das gleiche: Das Thema ist wichtig und muss umgesetzt werden! Vielfach wissen die Verantwortlichen hinterher trotzdem nicht, was sie konkret tun müssen oder wo sie starten sollen, denn es kursieren auch jede Menge DSGVO-Mythen im Netz.

Dem wollen wir abhelfen, indem wir zunächst einen umfassenden, eher theoretischen Überblick über die Rechte der Betroffenen und die Pflichten der Unternehmen geben. In einem zweiten Schritt haben wir eine praktische Checkliste für Unternehmen und Blogs zusammengestellt. Sie zeigt, an welche Vorgaben sich Blogger und Unternehmen hinsichtlich Ihres Online-Auftritts und der Verwendung der dort ankommenden, personenbezogenen Daten halten müssen.

Für wen gilt die DSGVO?

Die DSGVO betrifft alle Unternehmen, die mit Daten von EU Bürgern zu tun haben. Große Unternehmen genauso wie kleine Unternehmen, Startups oder Blogger. Auch außereuropäische Unternehmen müssen die neue Datenschutzbestimmung befolgen, wenn es um Daten von EU-Bürgern geht. Ausgenommen sind Privatpersonen, die Daten für persönliche oder familiäre Zwecke verwenden. 

                                                                                   Geltungsbereich DSGVO - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Was ändert die DSGVO für Unternehmen und Blogger?

Betroffene Personen, deren personenbezogene Daten verarbeitet werden, bekommen ab dem 25. Mai mehr Rechte und Kontrollmöglichkeiten über ihre Daten. Personenbezogene Daten sind Angaben, die sich einer natürlichen Person zuordnen lassen und diese dadurch identifizierbar machen. Dazu gehören z.B. Name, Geburtsdatum, Telefonnummer, eMail oder Kontodaten. Informationen, die die Herkunft einer Person, deren Religion, Gesundheit, Weltanschauung, Sexualität, etc. betreffen sind besonders zu schützen.

Bei der DSGVO gilt stärker als zuvor, dass Personen ihre ausdrückliche Zustimmung dazu geben müssen, dass ihre Daten gespeichert und verwendet werden dürfen. Genau diese Zustimmung muss ein Blogger und Unternehmen in Zukunft zweifelsfrei und nachhaltig nachweisen können. Außerdem dürfen Blogger und Unternehmen zukünftig nur noch Daten erheben, die a) für den Zweck der Verarbeitung notwendig sind und b) ausschließlich zweckgeunden verwendet werden.

Betroffene Personen haben ein Informationsrecht

Betroffene Personen haben laut DSGVO Art. 13-15 das Recht auf Auskunft über die zu ihnen gespeicherten personenbezogenen Daten. Aus diesem Auskunftsrecht ergibt sich für Blogger oder Unternehmer die Informationspflicht gegenüber den betroffenen Personen. Unternehmen müssen die Betroffenen also genau darüber informieren, welche Daten wie verarbeitet werden und zu welchem Zweck. Diese Informationen sollte man immer in leicht zugänglicher Form auf der Webseite im Rahmen einer Datenschutzerklärung bereithalten. Die Datenschutzerklärung sollte schriftlich in präziser, transparenter sowie einfacher Sprache geschrieben sein. Für die Beantwortung von spezifischen Anfragen von Betroffenen haben Unternehmen darüber hinaus maximal einen Monat Zeit.

Mögliche Fragen von Betroffenen, auf die ihr eine Antwort haben solltet, sind:

  • woher stammen die Daten und an wen werden sie übermittelt?
  •  zu welchen Zwecken werden die Daten verarbeitet?
  •  wie lange werden sie gespeichert?
  • wird daraus ein Profiling erstellt?

Betroffene Personen haben ein Recht auf Löschung und Berichtigung

Die DSGVO räumt Betroffenen in den Artikeln 16-20 per Gesetz das Recht auf Löschung ihrer personenbezogenen Daten ein. Das muss umsetzbar sein. Außerdem bedeutet es für die verantwortlichen Unternehmen, dass alle Empfänger „denen personenbezogene Daten offen gelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung“ (Art. 19 Satz 1 DSGVO) über die Löschungsanforderung informiert werden müssen.

Das Recht auf Löschung bzw. auf „Vergessen werden“ gilt, wenn

  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • Speicherung der Daten nicht mehr notwendig ist
  • Daten unrechtmäßig verarbeitet wurden
  • Rechtspflicht zum Löschen nach EU- oder nationalem Recht

Unternehmen und Blogger sollten diese Lösch-Szenarien unbedingt und bis in die letzte Konsequenz simulieren, um für den Ernstfall gerüstet zu sein:

  • Fragt euch regelmäßig, ob ihr die gesammelten, personenbezogenen Daten noch braucht oder ihr sie löschen könnt
  • Falls ihr personenbezogene Daten (z.B. IP Adressen) an Partner wie google analytics oder andere Online-Dienste weitergebt, stellt sicher, dass diese die Daten rechtmäßig verarbeiten und sich an EU Recht halten. Dies geschieht über Verträge, die ihr von den jeweiligen Partnern anfordern könnt. Ihr solltet diese unterschreiben, an den Partner einsenden und das vom Partner unterschriebene Vertragsdokument gut ablegen. Falls solche Verträge nicht möglich sind, hinterfragt kritisch, ob ihr weiter mit diesem Onlinedienst / Anbieter zusammenarbeiten wollt oder es alternative Lösungen gibt.

Zusätzlich haben Betroffene ein Recht auf Berichtigung & Vervollständigung sowie auf eingeschränkte Verarbeitung der Daten. Folglich müssen Unternehmen technisch und organisatorisch in der Lage sein, umgehend und zuverlässig auf den Korrekturwunsch zu reagieren.

DSGVO Rechte der Betroffenen - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Unternehmen / Blogger müssen auf korrekte Datenverwendung und Datensicherheit achten

Unternehmer müssen sicherstellen, dass personenbezogene Daten

  • nicht ohne Kenntnisnahme der Betroffenen an Dritte weitergegeben werden
  • in einer sicheren Umgebung gespeichert werden.

Konkret bedeutet das, dass Unternehmer und Blogger personenbezogene Daten nur nutzen dürfen, wenn hierfür eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen vorliegt. Diese Einwilligung muss nachgewiesen werden.

Praxisbeispiel 1: Newsletter

Der Betroffene abonniert den Newsletter des Unternehmens. Das allein ist zukünftig nicht ausreichend, um eine Einwilligung zu belegen. Ein sogenannter „Double-Opt-In“ (nach dem Wunsch den Newsletter zu beziehen, bekommt der User eine Mail mit “Bestätigungszwang”, dass er die Newsletter-Bedingungen zur Kenntnis genommen hat) ist ein guter Nachweis, dass man die Person auf die Nutzung der Daten und den Zweck der Nutzung hingewiesen hat.

Praxisbeispiel 2: Kundenanfrage

Ein Kunde fragt per eMail nach den Kosten für ein Fotoshooting. Möchtet der Fotograf dem Kunden daraufhin das gewünschte Angebot zurücksenden, müsst er die Daten des Kunden verwenden, also dessen eMail-Adresse und Namen. Ggf. sind weitere Daten notwendig, um ein individualisiertes Angebot abzugeben. Die Daten dafür dürfen gespeichert (in einer Excel, einer Datenbank oder einem anderen Content Management System), nicht aber ohne Einwilligung des Kunden an andere Personen (z.B. andere Fotografen die freie Kapazitäten haben) weitergegeben werden. Wichtig ist, dass der Kunde weiß, zu welchem Zweck diese Speicherung geschieht und wie lange die Daten aufbewahrt werden. Alle Informationen zu den Daten muss sich der Kunde im Impressum bzw. der Datenschutzerklärung des Unternehmens ziehen können.

Allgemein müssen Nutzer über die Verwendung ihrer Daten viel genauer informiert werden. Auch die Weitergabe an Onlinedienste (z.B. das Datenauswertungstool google analytics) muss dokumentiert werden. Dies kann über die Datenschutzerklärung auf der Webseite passieren.

Speichermedien und Daten-Sicherungsmethoden müssen dem aktuellen Stand der Technik entsprechen. Unternehmen müssen die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen bei Datenpannen sowie deren Eintrittswahrscheinlichkeit abschätzen und angemessene Maßnahmen ergreifen. Bei sensiblen Daten ist es grundsätzlich sinnvoll, diese zu pseudonymisieren und/oder zu verschlüsseln

Unternehmen/Blogger müssen ein Verzeichnis über die Verarbeitungstätigkeiten anlegen

Das Verarbeitungs-Verzeichnis oder Verfahrensverzeichnis ist ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Für die meisten Blogger und Unternehmen wird es zukünftig verpflichtend sein. Das Verfahrensverzeichnis soll einen Überblick ermöglichen, welche Datenflüsse es im Unternehmen gibt und was im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun ist bzw. welche Daten betroffen sind. Über die genauen Anforderungen an das Verfahrensverzeichnis herrscht an vielen Stellen Unklarheit.

Verzeichnis Verarbeitungstätigkeiten Beispiel - Wichtigste Punkte der DSGVO für Start Ups, Blogger & UnternehmenAus unserer Sicht bietet sich für Blogger und kleine Unternehmen eine Exceltabelle mit mehreren Spalten an, in denen aufgeführt wird:

  • welchen Zweck die Datenverarbeitung hat
  • welche Daten davon betroffen sind
  • um welche Art von Daten es sich handelt
  • wer mögliche Empfänger sind
  • ob Drittstaaten involviert sind
  • welche Löschfristen und Löschmöglichkeiten es gibt
  • welche technischen und organisatorischen Maßnahmen zum Datenschutz eingeleitet wurden.

Die Datenschutzbeauftragten für Datenschutz und Informationsfreiheit aus  mehreren Bundesländern stellen ein Beispiel für ein Verfahrensverzeichnis in Form einer Word-Datei im Netz zur Verfügung.

Gut zu wissen: In Absatz 5 räumt der Art. 30 DSGVO kleinen und mittleren Unternehmen Ausnahmen bei der Dokumentationspflicht ein. Allerdings nur, wenn sie die Daten „NICHT nur gelegentlich verarbeiten“. Das ist bei den wenigsten Unternehmen und Bloggern der Fall. Insofern sind fast alle Unternehmen und Selbstständige verpflichtet, ein Verfahrensverzeichnis zu führen.

Unternehmen/Blogger müssen eine Datenschutzfolgen-Abschätzung abgeben

Eine Datenschutzfolgen-Abschätzung ist ein neues Element der DSGVO, die es in dieser Form in Deutschland bisher nicht gab. Diese Datenschutzfolgen-Abschätzung ist eine dreistufige Risikobewertung, die schriftlich im Unternehmen zu dokumentieren ist. Begonnen wird mit einer allgemeinen systematischen Risikobewertung. Falls Risiken bestehen, müssen in einem zweiten Schritt Sicherheitsvorkehrungen geplant werden, um den Schutz der Daten zu gewährleisten. Besteht das Risiko weiterhin, muss im dritten Schritt eine Meldung bei der Aufsichtsbehörde stattfinden. Diese Behörde prüft (häufig unter Einbindung des Verantwortlichen Datenschutzbeauftragten), welche Maßnahmen zu ergreifen sind, um die personenbezogenen Daten besser zu schützen.

Datenschutzfolgenabschätzung - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Unternehmen/Blogger müssen Datenpannen melden

Falls Datenpannen im Zusammenhang mit personenbezogenen Daten auftreten, muss der Verantwortliche diesen Verstoß der Datenschutz-Aufsichtsbehörde melden. Dies ist auch aktuelles deutsches Recht und sollte Unternehmern und Bloggern bekannt sein. Neu ist, dass die Datenpannen innerhalb von 72 Stunden mitgeteilt werden müssen und die Strafen für Verstöße weit höher sind als bisher. Praxisbeispiele für Datenpannen sind der Verlust eines Firmenrechners oder ein Hackerangriff.

Unternehmen müssen prüfen, ob sie einen Datenschutzbeauftragten brauchen

In manchen Fällen muss ein individueller Datenschutzbeauftragter ernannt werden. Dies ist der Fall, wenn die personenbezogene Datenverarbeitung regelmäßig, systematisch und umfangreich durchgeführt wird. Weiterhin benötigen Unternehmen einen Datenschutzbeauftragten, wenn besonders sensible Daten verarbeitet werden und ein Team von mehr als 10 Personen sich regelmäßig um die Datenverarbeitung kümmert. Da das bei wenigen Blogs zutrifft, können Blogbetreiber entspannen. Kleinere Unternehmen sollten die Anforderungen für die Bestellung eines Datenschutzbeauftragten im Hinterkopf behalten und regelmäßig prüfen, ob die Größe / Art des Unternehmens einen Datenschutzbeauftragten nötig macht.

Datenschutzbeauftragter kann ein interner oder externer Mitarbeiter sein. Er muss über das nötige Fachwissen zum Datenschutz verfügen (es gibt hier diverse Zertifizierungsmaßnahmen) und in der Lage sein, das Unternehmen in Sachen Datenschutz kompetent zu beraten. Wichtige Einschränkung: es dürfen weder Gegschäftsführer noch der IT-Chef zum Datenschutzbeauftragten ernannt werden, um Interessenskonflikte zu vermeiden.

Vorraussetzungen Datenschutzbeauftragter - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Größere Unternehmen mit Auftragsdatenverarbeitern

Einige Unternehmen verarbeiten nicht selbst die personenbezogenen Daten von Kunden, sondern beauftragen damit ein anderes Unternehmen. Dies ist auch weiterhin zulässig, allerdings gemäß Art. 28 DSGVO nur, wenn der Auftragsdatenverarbeiter hinreichend garantiert,

  • dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden,
  • dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und
  • den Schutz der Rechte der betroffenen Person gewährleistet.

Konkret heißt das, dass Unternehmen mit ihren Auftragsverarbeitern neue Vereinbarungen bzw. Verträge schließen müssen, die die Ausführung der Auftragsdatenverarbeitung betreffen und die die Einhaltung der DSGVO garantieren.

Beauftragt der Auftragsdatenverarbeiter seinerseits Dritte, muss er dafür die Genehmigung der verantwortlichen Unternehmen einholen.

Wie können sich Unternehmen/Blogger auf die DSGVO vorbereiten?

Unternehmen und Blogger, die sich bislang keine großen Gedanken über Datenschutz und eine entsprechende Datenschutz-Infrastruktur gemacht haben, sollten entsprechende Datenschutz-Maßnahmen bis zum 25.5.2018 umsetzen. Es ist ratsam, sich intensiv mit dem Thema auseinander zu setzen oder einen externen Experten zu beauftragen.

8 Schritte zur DSGVO für Blogger - Wichtigste Punkte der DSGVO für Start Ups, Blogger & Unternehmen

Ihr bzw. ein Experte sollten folgende 8 Schritte für euch umsetzen:

  1. Festlegen, wer sich um das Thema „Anforderungen und Umsetzung der DSGVO“ kümmert
  2. Datenschutzerklärung und dessen Verfügbarkeit prüfen, ggf. anpassen und online stellen
  3. Webseite inkl. Content-Management System auf DSGVO-Konformität prüfen und ggf. anpassen. In dem Rahmen auch die Vertragslage des Unternehmens mit Dritten überprüfen, bei denen es um personenbezogene Daten geht
  4. Verarbeitungsverzeichnis erstellen: Strukturen und Abläufe checken, die im Rahmen des Datenschutzes relevant sein können
  5. Vorbereitung, wie man mit Informationsanfragen von betroffenen Personen umgeht
  6. Vorbereitung, wie man mit Daten-Lösch- und Änderungsanfragen von betroffenen Personen umgeht
  7. Schriftliche Datenschutzfolgenabschätzung
  8. Und ganz wichtig: ausreichend Zeit für das Thema DSGVO nehmen!

Wenn ihr die oben genannten 8 Schritte konsequent umsetzt, schafft ihr die Grundlage für ein datenschutzkonformes Handeln und verringert das Risiko, gegen die DSGVO zu verstoßen. Dies ist wichtig, da viele Experten mit Inkrafttreten der Verordnung den Start einer Abmahnwelle befürchten.

Da die Webseite für viele Unternehmen und Blogger die Visitenkarte nach außen ist, sollte ihr im Rahmen der DSGVO ein besonderes Augenmerk auf den Online-Auftritt legen. Welche Schritte und Maßnahmen es bei der Webseite hinsichtlich Datenschutzverordnung zu beachten gibt, zeigt unsere Checkliste DVGSO für Webseiten.

Wichtiges zum Schluss

Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.