Fit für die DSGVO am 25.05.2018?
Kaum ein Thema schlägt derzeit höhere Wellen, als der Datenschutz. Grund: Die Europäische Datenschutzgrundverordnung (DSGVO) tritt – zwei Jahre nach ihrem Beschluss – am 25.05.2018 endgültig in Kraft. Das ist nicht mehr lange hin, und zahlreiche Kunden haben uns schon, reichlich verunsichert, darauf angesprochen, was zu tun ist.
Da die DSGVO nahezu alle Unternehmen betrifft, veröffentlichen wir diesen Handlungsleitfaden, als Übersicht über die zu ergreifenden Maßnahmen. Achtung: Wir dürfen keine Rechtsberatung durchführen, daher verstehen sich unsere Hinweise als allgemeine Information. Unser Ziel ist es, diesen komplexen Stoff für Sie kompakt zusammen zu fassen. Wenn Sie sich in der Tiefe damit beschäftigen wollen, finden Sie die gesamte Verordnung hier.
Im Zweifel wenden Sie sich bitte an einen/Ihren Datenschutzbeauftragten oder einen Anwalt für Datenschutzrecht.
Was passiert, wenn Sie die DSGVO ignorieren?
Das kann für Ihr Unternehmen gefährlich werden. Denn zum Einen ist mit einer regelrechten Abmahnwelle durch Anwälte und sog. „Abmahnvereine“ zu rechnen. Zum Anderen stellen die Aufsichtsbehörden, hier bei uns in Baden-Württemberg der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, derzeit massiv Personal ein, um künftig konsequente Kontrollen in den Unternehmen durchführen zu können.
Bei Verletzung der DSGVO stehen Strafzahlungen von bis zu 20 Millionen Euro, beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens, im Raum.
Die DSGVO ist Chefsache!
Eines Vorweg: Es handelt sich weder um ein reines IT-Thema, noch um ein reines Organisationsthema, noch um ein reines Thema für die Rechtsabteilung, noch um ein Thema, welches man ganz bequem an seinen Webdesigner delegieren kann.
Was müssen Sie konkret tun?
1. Datenschutzbeauftragten benennen und der Aufsichtsbehörde melden
Eine Verpflichtung hierzu besteht für alle Unternehmen, in denen regelmäßig 10 Personen oder mehr mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Als Datenschutzbeauftragter kann ein interner (speziell ausgebildeter) Mitarbeiter oder ein externer Dienstleister fungieren.
2. Verträge über Auftragsdatenverarbeitung (AV-Vertrag) erstellen und abschließenWenn Sie Dienstleister oder Lieferanten mit der Verarbeitung personenbezogener Daten beauftragen, benötigen Sie mit jedem Einzelnen einen AV-Vertrag. Beispiele hierfür sind:
- das Lohnbüro, welches Ihre Gehaltsabrechnungen extern erstellt
- Cloud-Dienste, auf deren Servern Kunden- und Bestelldaten liegen
- externe Newsletterdienste, zu denen Sie Adressdaten übertragen
- Ihr Webhoster
- Ihr Marketingberater / Ihre Werbeagentur / Ihre Druckerei, wenn Adressdaten, z. B. für ein
Direktmailing übergeben werden
- Ihre SEO-Berater, wenn er auf Ihre Google Analytics-Statistik zugreift
- ...
3. „Einwilligungserklärung“ erstellen und einholen
Für die datenschutzkonforme Speicherung und Nutzung personenbezogener Daten benötigen Sie eine Einwilligungserklärung des jeweiligen Kontaktes.
Ausnahmen:
- Sie nutzen diese Daten zur Erfüllung eines Vertrages (laufende Kundenbeziehung)
- Sie nutzen diese Daten vorvertraglich (Potenzieller Kunde bittet Sie um Angebot)
- es geht um lebensnotwendige Interessen
- es geht um die Wahrung berechtigter Interessen
Letzteres darf durchaus als „Gummi-Paragraph“ bezeichnet werden.
4. „Verzeichnis von Verarbeitungstätigkeiten“ (VV) anlegen
Im Verzeichnis von Verarbeitungstätigkeiten müssen alle Prozesse im Unternehmen dokumentiert werden, bei denen personenbezogene Daten verarbeitet werden. Dies ist auch, bei Veränderungen, laufend anzupassen.
5. „Technische und organisatorische Maßnahmen zum Datenschutz“ (TOM)
In der Dokumentation „Technische und organisatorische Maßnahmen zum Datenschutz“ halten Sie fest, wie Sie die Daten, die Ihnen durch Kunden oder Dienstleister übermittelt wurden, schützen, sichern und ggfls. wieder herstellen können (Datensicherungssystem). Diese Maßnahmen können Sie entlang dem zuvor erstellten Verzeichnis von Verarbeitungstätigkeiten (VV) beschreiben.
6. Arbeitsverträge / Verpflichtung zum Datenschutz
Sollten die bestehenden Arbeitsverträge mit Ihren Mitarbeitern noch keine explizite Verpflichtung zum Datenschutz enthalten, müssen Sie hierzu einen Anhang erstellen und diesen von Ihrem Mitarbeiter unterschreiben lassen.
7. Website / Homepage / Online-Shop
7.1 Impressum
Das Impressum muss der aktuellen Rechtssprechung entsprechen und sowohl von der Startseite als auch von allen Unterseiten aus direkt erreichbar sein. Zudem müssen die Themen Streitbeilegung und Streitschlichtung im Impressum erwähnt sein. Idealerweise ist aus dem Impressum auch direkt die Datenschutzerklärung erreichbar (verlinkt).
7.2 Datenschutzerklärung
Die Datenschutzerklärung muss neben einer ganzen Reihe von allgemein gehaltenen Informationspflichten auch eine individuelle Ausgestaltung aufweisen und sollte daher speziell auf Ihre Website, bzw. Ihren Online-Shop zugeschnitten sein. Alle auf der eigenen Webseite integrierten Dienste, z. B. das Tracking durch Google Analytics müssen in der Datenschutzerklärung beschrieben werden.
Wenn Sie einen Datenschutzbeauftragten eingebunden haben, so muss dieser inkl. seiner Kontaktdaten (Name, E-Mail-Adresse) in der Datenschutzerklärung der Unternehmenswebseite genannt werden.
Zur Erstellung der Datenschutzerklärung sollten Sie sich auf jeden Fall externe Hilfe durch einen Datenschutzbeauftragten oder einen Anwalt für Datenschutzrecht hinzuholen.
7.3 Cookie-Richtlinie
Sie müssen sich bei den Besuchern Ihres Onlineangebots das Einverständnis einholen, dass diese einer Speicherung von Informationen (Cookies) zustimmen. Dieser Cookie-Hinweis muss beim ersten Aufruf der Seite angezeigt werden und durch einen Klick bestätigt werden. Am besten, Sie bringen hier zusätzlich noch den Hinweis (Link) zu Ihrer Datenschutzerklärung an.
7.4 Google Analytics / Tracking-Dienste
Der sog. Düsseldorfer Kreis, die Bundesdatenschutzkonferenz, hat am 25. April in einer „Positionsbestimmung“ die DSGVO so ausgelegt, das Besucher Ihrer Online-Inhalte zuerst aktiv einwilligen müssten (Opt-in), bevor Google Analytics, bzw. ähnliche Tracking-Tools, überhaupt Daten dieser Sitzung erfassen und speichern können. Dies wird wohl niemand machen und das ist technisch so auch noch nicht zu lösen.
Aus heutiger Sicht müssen wir Ihnen dringend nahe legen, Google Analytics – bis auf Weiteres – von Ihrer Seite zu entfernen.
7.5 Kontaktformulare
Kontaktformulare müssen, im Sinne der von der DSGVO vorgegebenen „Datensparsamkeit“, so überarbeitet werden, dass so wenig persönliche Daten wie möglich erhoben werden. Am besten nur „Name“, „Telefon“ und „E-Mail“. Ebenfalls ist zwingend ein Hinweis auf die Einwilligungserklärung einzuarbeiten.
7.6 SSL-Verschlüsselung
Haben Sie auf Ihrer Website oder in Ihrem Online-Shop Kontaktformulare mit denen personenbezogene Daten übertragen werden? Oder sie bieten die Möglichkeit zum Einloggen in einen geschützten Bereich? Warenkorb etc., Zahlfunktionen? Dann ist ab dem 25.05.18 SSL Pflicht. SSL steht für “Secure Sockets Layer“. Es handelt sich dabei um ein Protokoll, welches sicherstellt, dass die Daten zwischen Browser und besuchter Website (https://) verschlüsselt übertragen werden.
7.7 Fremddienste / Plugins
Nutzen Sie auf Ihrer Homepage Fremddienste (Plugins, die externe Inhalte importieren), z. B. einen Youtube-Player, Google-Maps, Social Media-Slider, Buttons etc. – dann sind diese Elemente dringend zu überprüfen/zu überarbeiten. Hintergrund: Haben Sie z. B. ein Youtube-Video auf Ihrer Homepage eingebunden, dann werden bereits in dem Moment, wo ein Besucher diese Seite aufruft, Daten an Youtube übertragen – auch wenn der Besucher das Video gar nicht anklickt.
Sie sehen, es gibt ganz viele Handlungsfelder, und wir hoffen, dass wir Ihnen diese in kompakter und einigermaßen verständlicher Form übermitteln konnten.
Wir können Sie gerne tatkräftig bei der Umsetzung des Schritts 7 unterstützen (mit Ausnahme der Pos. 7.2*). Gerne senden wir Ihnen hierzu vorab eine Abschätzung unseres Aufwand zu.