Seit Mai 2018 gilt in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Ziel der DSGVO ist, ein möglich einheitliches Datenschutzrecht innerhalb der EU zu gewährleisten und den Schutz personenbezogener Daten aller EU-Bürger zu stärken. Wer sich nicht auf die Veränderungen durch die europäische Datenschutzgrundverordnung einstellt, dem drohen Geldbußen.
Noch immer herrscht aufgrund des umfassenden Regelwerks der DSGVO große Unsicherheit, was die Verordnung genau bedeutet und was getan werden muss. Diese Verunsicherung spürt man bei Start Ups, Bloggern und kleinen Unternehmen genauso wie bei großen DAX Konzernen. Es gibt DSGVO-Infoveranstaltungen, Diskussionsgruppen und Online Schulungen, die regen Zuspruch finden. Das Ergebnis ist überall das gleiche: Das Thema ist wichtig und muss umgesetzt werden! Vielfach wissen die Verantwortlichen hinterher trotzdem nicht, was sie konkret tun müssen oder wo sie starten sollen, denn es kursieren auch jede Menge DSGVO-Mythen im Netz.
Dem wollen wir abhelfen, indem wir zunächst einen umfassenden, eher theoretischen Überblick über die Rechte der Betroffenen und die Pflichten der Unternehmen geben. In einem zweiten Schritt haben wir eine praktische Checkliste für Unternehmen und Blogs zusammengestellt. Sie zeigt, an welche Vorgaben sich Blogger und Unternehmen hinsichtlich Ihres Online-Auftritts und der Verwendung der dort ankommenden, personenbezogenen Daten halten müssen.
Für wen gilt die DSGVO?
Die DSGVO betrifft alle Unternehmen, die mit Daten von EU Bürgern zu tun haben. Große Unternehmen genauso wie kleine Unternehmen, Startups oder Blogger. Auch außereuropäische Unternehmen müssen die neue Datenschutzbestimmung befolgen, wenn es um Daten von EU-Bürgern geht. Ausgenommen sind Privatpersonen, die Daten für persönliche oder familiäre Zwecke verwenden.
Was fordert die DSGVO von Unternehmen und Bloggern?
Betroffene Personen, deren personenbezogene Daten verarbeitet werden, bekommen durch die DSGVO mehr Rechte und Kontrollmöglichkeiten über ihre Daten. Personenbezogene Daten sind Angaben, die sich einer natürlichen Person zuordnen lassen und diese dadurch identifizierbar machen. Dazu gehören z.B. Name, Geburtsdatum, Telefonnummer, eMail oder Kontodaten. Informationen, die die Herkunft einer Person, deren Religion, Gesundheit, Weltanschauung, Sexualität, etc. betreffen sind besonders zu schützen.
Bei der DSGVO gilt stärker als zuvor, dass Personen ihre ausdrückliche Zustimmung dazu geben müssen, dass ihre Daten gespeichert und verwendet werden dürfen. Genau diese Zustimmung muss ein Blogger und Unternehmen zweifelsfrei und nachhaltig nachweisen können. Außerdem dürfen Blogger und Unternehmen nur Daten erheben, die a) für den Zweck der Verarbeitung notwendig sind und b) ausschließlich zweckgebunden verwendet werden.
Betroffene Personen haben ein Informationsrecht
Personen haben laut DSGVO Art. 13-15 das Recht auf Auskunft über die zu ihnen gespeicherten personenbezogenen Daten. Aus diesem Auskunftsrecht ergibt sich für Blogger oder Unternehmer die Informationspflicht gegenüber den betroffenen Personen. Unternehmen müssen die Betroffenen also genau darüber informieren, welche Daten wie verarbeitet werden und zu welchem Zweck. Diese Informationen sollte man immer in leicht zugänglicher Form auf der Webseite im Rahmen einer Datenschutzerklärung bereithalten. Die Datenschutzerklärung sollte schriftlich in präziser, transparenter sowie einfacher Sprache geschrieben sein. Für die Beantwortung von spezifischen Anfragen von Betroffenen haben Unternehmen maximal einen Monat Zeit.
Mögliche Fragen von Betroffenen, auf die ihr eine Antwort haben solltet, sind:
- woher stammen die Daten und an wen werden sie übermittelt?
- zu welchen Zwecken werden die Daten verarbeitet?
- wie lange werden sie gespeichert?
- wird daraus ein Profiling erstellt?
- …
Betroffene Personen haben ein Recht auf Löschung und Berichtigung
Die DSGVO räumt Betroffenen in den Artikeln 16-20 per Gesetz das Recht auf Löschung ihrer personenbezogenen Daten ein. Das muss umsetzbar sein. Außerdem bedeutet es für die verantwortlichen Unternehmen, dass alle Empfänger „denen personenbezogene Daten offen gelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung“ (Art. 19 Satz 1 DSGVO) über die Löschungsanforderung informiert werden müssen.
Das Recht auf Löschung bzw. auf „Vergessen werden“ gilt, wenn
- der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
- Speicherung der Daten nicht mehr notwendig ist
- Daten unrechtmäßig verarbeitet wurden
- Rechtspflicht zum Löschen nach EU- oder nationalem Recht
Unternehmen und Blogger sollten diese Lösch-Szenarien simulieren, um für den Ernstfall gerüstet zu sein:
- Fragt euch regelmäßig, ob ihr die gesammelten, personenbezogenen Daten noch braucht oder ihr sie löschen könnt
- Falls ihr personenbezogene Daten (z.B. IP Adressen) an Partner wie google analytics oder andere Online-Dienste weitergebt, stellt sicher, dass diese die Daten rechtmäßig verarbeiten und sich an EU Recht halten. Dies geschieht über Verträge, die ihr von den jeweiligen Partnern anfordern könnt. Ihr solltet diese unterschreiben, an den Partner einsenden und das vom Partner unterschriebene Vertragsdokument gut ablegen. Falls solche Verträge nicht möglich sind, hinterfragt kritisch, ob ihr weiter mit diesem Onlinedienst / Anbieter zusammenarbeiten wollt oder es alternative Lösungen gibt.
Zusätzlich haben Betroffene ein Recht auf Berichtigung & Vervollständigung sowie auf eingeschränkte Verarbeitung der Daten. Folglich müssen Unternehmen technisch und organisatorisch in der Lage sein, umgehend und zuverlässig auf den Korrekturwunsch zu reagieren.
Unternehmen / Blogger müssen auf korrekte Datenverwendung und Datensicherheit achten
Unternehmer müssen sicherstellen, dass personenbezogene Daten
- nicht ohne Kenntnisnahme der Betroffenen an Dritte weitergegeben werden
- in einer sicheren Umgebung gespeichert werden.
Konkret bedeutet das, dass Unternehmer und Blogger personenbezogene Daten nur nutzen dürfen, wenn hierfür eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen vorliegt. Diese Einwilligung muss nachgewiesen werden.
Praxisbeispiel 1: Newsletter
Der Betroffene abonniert den Newsletter des Unternehmens. Das allein ist zukünftig nicht ausreichend, um eine Einwilligung zu belegen. Ein sogenannter „Double-Opt-In“ (nach dem Wunsch den Newsletter zu beziehen, bekommt der User eine Mail mit “Bestätigungszwang”, dass er die Newsletter-Bedingungen zur Kenntnis genommen hat) ist ein guter Nachweis, dass man die Person auf die Nutzung der Daten und den Zweck der Nutzung hingewiesen hat.
Praxisbeispiel 2: Kundenanfrage
Ein Kunde fragt per eMail nach den Kosten für ein Fotoshooting. Möchtet der Fotograf dem Kunden daraufhin das gewünschte Angebot zurücksenden, müsst er die Daten des Kunden verwenden, also dessen eMail-Adresse und Namen. Ggf. sind weitere Daten notwendig, um ein individualisiertes Angebot abzugeben. Die Daten dafür dürfen gespeichert (in einer Excel, einer Datenbank oder einem anderen Content Management System), nicht aber ohne Einwilligung des Kunden an andere Personen (z.B. andere Fotografen die freie Kapazitäten haben) weitergegeben werden. Wichtig ist, dass der Kunde weiß, zu welchem Zweck diese Speicherung geschieht und wie lange die Daten aufbewahrt werden. Alle Informationen zu den Daten muss sich der Kunde im Impressum bzw. der Datenschutzerklärung des Unternehmens ziehen können.
Allgemein müssen Nutzer über die Verwendung ihrer Daten genau informiert werden. Die Weitergabe an Onlinedienste (z.B. das Datenauswertungstool google analytics) muss dokumentiert werden. Dies kann über die Datenschutzerklärung auf der Webseite passieren.
Speichermedien und Daten-Sicherungsmethoden müssen dem aktuellen Stand der Technik entsprechen. Unternehmen müssen die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen bei Datenpannen sowie deren Eintrittswahrscheinlichkeit abschätzen und angemessene Maßnahmen ergreifen. Bei sensiblen Daten ist es grundsätzlich sinnvoll, diese zu pseudonymisieren und/oder zu verschlüsseln
Unternehmen/Blogger müssen ein Verzeichnis über die Verarbeitungstätigkeiten anlegen
Das Verarbeitungs-Verzeichnis oder Verfahrensverzeichnis ist ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Für die meisten Blogger und Unternehmen wird es zukünftig verpflichtend sein. Das Verfahrensverzeichnis soll einen Überblick ermöglichen, welche Datenflüsse es im Unternehmen gibt und was im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun ist bzw. welche Daten betroffen sind.
Wir empfehlen Bloggern und kleine Unternehmen eine Exceltabelle mit mehreren Spalten, in denen aufgeführt wird:
- welchen Zweck die Datenverarbeitung hat
- welche Daten davon betroffen sind
- um welche Art von Daten es sich handelt
- wer mögliche Empfänger sind
- ob Drittstaaten involviert sind
- welche Löschfristen und Löschmöglichkeiten es gibt
- welche technischen und organisatorischen Maßnahmen zum Datenschutz eingeleitet wurden.
Die Datenschutzbeauftragten für Datenschutz und Informationsfreiheit aus mehreren Bundesländern stellen ein Beispiel für ein Verfahrensverzeichnis in Form einer Word-Datei im Netz zur Verfügung.
Gut zu wissen: In Absatz 5 räumt der Art. 30 DSGVO kleinen und mittleren Unternehmen Ausnahmen bei der Dokumentationspflicht ein. Allerdings nur, wenn sie die Daten „NICHT nur gelegentlich verarbeiten“. Das ist bei den wenigsten Unternehmen und Bloggern der Fall. Insofern sind fast alle Unternehmen und Selbstständige verpflichtet, ein Verfahrensverzeichnis zu führen.
Unternehmen/Blogger müssen eine Datenschutzfolgen-Abschätzung abgeben
Eine Datenschutzfolgen-Abschätzung ist ein Element der DSGVO. Diese Datenschutzfolgen-Abschätzung ist eine dreistufige Risikobewertung, die schriftlich im Unternehmen zu dokumentieren ist. Begonnen wird mit einer allgemeinen systematischen Risikobewertung. Falls Risiken bestehen, müssen in einem zweiten Schritt Sicherheitsvorkehrungen geplant werden, um den Schutz der Daten zu gewährleisten. Besteht das Risiko weiterhin, muss im dritten Schritt eine Meldung bei der Aufsichtsbehörde stattfinden. Diese Behörde prüft (häufig unter Einbindung des Verantwortlichen Datenschutzbeauftragten), welche Maßnahmen zu ergreifen sind, um die personenbezogenen Daten besser zu schützen.
Unternehmen/Blogger müssen Datenpannen melden
Falls Datenpannen im Zusammenhang mit personenbezogenen Daten auftreten, muss der Verantwortliche diesen Verstoß der Datenschutz-Aufsichtsbehörde melden. Dies ist schon lange deutsches Recht. Mit der DSGVO kam hinzu, dass die Datenpannen innerhalb von 72 Stunden mitgeteilt werden müssen und die Strafen für Verstöße weit höher sind als bisher. Praxisbeispiele für Datenpannen sind der “Verlust eines Firmenrechners” oder ein “Hackerangriff”.
Unternehmen müssen prüfen, ob sie einen Datenschutzbeauftragten brauchen
In manchen Fällen muss ein individueller Datenschutzbeauftragter ernannt werden. Dies ist der Fall, wenn die personenbezogene Datenverarbeitung regelmäßig, systematisch und umfangreich durchgeführt wird. Weiterhin benötigen Unternehmen einen Datenschutzbeauftragten, wenn besonders sensible Daten verarbeitet werden und ein Team von mehr als 10 Personen sich regelmäßig um die Datenverarbeitung kümmert. Da das bei wenigen Blogs zutrifft, können Blogbetreiber entspannen. Kleinere Unternehmen sollten die Anforderungen für die Bestellung eines Datenschutzbeauftragten im Hinterkopf behalten und regelmäßig prüfen, ob die Größe / Art des Unternehmens einen Datenschutzbeauftragten nötig macht.
Datenschutzbeauftragter kann ein interner oder externer Mitarbeiter sein. Er muss über das nötige Fachwissen zum Datenschutz verfügen (es gibt hier diverse Zertifizierungsmaßnahmen) und in der Lage sein, das Unternehmen in Sachen Datenschutz kompetent zu beraten. Wichtige Einschränkung: es dürfen weder Gegschäftsführer noch der IT-Chef zum Datenschutzbeauftragten ernannt werden, um Interessenskonflikte zu vermeiden.
Größere Unternehmen mit Auftragsdatenverarbeitern
Einige Unternehmen verarbeiten nicht selbst die personenbezogenen Daten von Kunden, sondern beauftragen damit ein anderes Unternehmen. Dies ist zulässig, allerdings gemäß Art. 28 DSGVO nur, wenn der Auftragsdatenverarbeiter hinreichend garantiert,
- dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden,
- dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und
- den Schutz der Rechte der betroffenen Person gewährleistet.
Konkret heißt das, dass Unternehmen mit ihren Auftragsverarbeitern neue Vereinbarungen bzw. Verträge schließen müssen, die die Ausführung der Auftragsdatenverarbeitung betreffen und die die Einhaltung der DSGVO garantieren.
Beauftragt der Auftragsdatenverarbeiter seinerseits Dritte, muss er dafür die Genehmigung der verantwortlichen Unternehmen einholen.
Wie können Unternehmen/Blogger die DSGVO umsetzen?
Unternehmen und Blogger sollten die beschriebenen Datenschutz-Maßnahmen umsetzen. Es ist ratsam, sich intensiv mit dem Thema auseinander zu setzen oder einen externen Experten zu beauftragen.
Ihr solltet folgende 8 Schritte umsetzen – ggf. mit externer Hilfe:
- Festlegen, wer sich um das Thema „Anforderungen und Umsetzung der DSGVO“ kümmert
- Datenschutzerklärung und dessen Verfügbarkeit prüfen, ggf. anpassen und online stellen
- Webseite inkl. Content-Management System auf DSGVO-Konformität prüfen und ggf. anpassen. In dem Rahmen auch die Vertragslage des Unternehmens mit Dritten überprüfen, bei denen es um personenbezogene Daten geht
- Verarbeitungsverzeichnis erstellen: Strukturen und Abläufe checken, die im Rahmen des Datenschutzes relevant sein können
- Vorbereitung, wie man mit Informationsanfragen von betroffenen Personen umgeht
- Vorbereitung, wie man mit Daten-Lösch- und Änderungsanfragen von betroffenen Personen umgeht
- Schriftliche Datenschutzfolgenabschätzung
- Und ganz wichtig: ausreichend Zeit für das Thema DSGVO nehmen!
Wenn ihr die oben genannten 8 Schritte konsequent umsetzt, schafft ihr die Grundlage für ein datenschutzkonformes Handeln und verringert das Risiko, gegen die DSGVO zu verstoßen.
Da die Webseite für viele Unternehmen und Blogger die Visitenkarte nach außen ist, sollte ihr im Rahmen der DSGVO ein besonderes Augenmerk auf den Online-Auftritt legen. Welche Schritte und Maßnahmen es bei der Webseite hinsichtlich Datenschutzverordnung zu beachten gibt, zeigt unsere Checkliste DVGSO für Webseiten.
Wichtiges zum Schluss
Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.