Informationen zum Thema Datenschutz und DSGVO

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO).
Wir informieren Sie aktuell über das Thema und helfen Ihnen bei der Umsetzung der neuen Vorgaben und Richtlinien.

Umfangreiche Beratung

Wir informieren Sie ausführlich zum Thema Datenschutz und DSGVO und helfen Ihnen bei der Umsetzung der gesetzlichen Vorgaben.

Vereinbaren Sie jetzt einen Termin:
02191 376 76 95

Datenschutzbeauftragter

Wir bieten in Kooperation mit zertifizierten Datenschutzbeauftragten die Dienste eines externen Datenschutzbeauftragten (DSB) gemäß Art 39 DSGVO und §7 BDSG (neu).

Kontaktzeiten

  • Montag - Freitag 10.00-17.00 Uhr
  • Samstag auf Anfrage
  • Sonntag geschlossen

Was ist die DSGVO?

Die zahlreichen Änderungen, welche die DSGVO seit dem 25. Mai 2018 mit sich bringt, treffen jeden Unternehmer und Webseitenbetreiber. Es gibt in fast allen Bereichen des Datenschutzrechts umfangreiche Neuregelungen. Einige sind relativ einfach umzusetzen, andere sehr komplex.

Wir haben für Sie die wichtigsten Neuerungen zusammengefasst.

DSGVO

Die DSGVO regelt seit dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – europaweit einheitlich. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten seitdem nicht mehr bzw. wurden durch das BDSG (neu) zeitgleich neu gefasst.

Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt.

Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten. So soll sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke (etwa aus den USA) an diese Regeln halten müssen.

Die DSGVO betrifft dabei wirklich JEDES Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung. Vieles ändert sich durch die Neuregelungen.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) gilt für alle Unternehmen, die in der EU ansässig sind.

Außereuropäische Unternehmen müssen sich allerdings seit dem 25. Mai 2018 auch an die neuen Regelungen halten. Dies aber nur, wenn sie

- eine Niederlassung in der EU haben oder
- personenbezogene Daten von EU-Bürgern verarbeiten

Der wichtigste Anknüpfungspunkt bei der Frage nach Anwendung der Datenschutzgrundverordnung ist aber die Verarbeitung personenbezogener Daten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar" ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Diese Möglichkeit der Identifizierung einer Person reicht aus!

Personenbezogene Daten sind z. B.

· Name
· Adresse
· E-Mail-Adresse
· Telefonnummer
· Geburtstag

· Kontodaten
· Kfz-Kennzeichen
· Standortdaten
· IP-Adressen
· Cookies

Welche Strafen und Bußgelder drohen bei Verstößen?

01.

Strafen und Bußgelder

Neu sind vor allem die immens hohen Strafen und Bußgelder, die gemäß DSGVO verhängt werden können. Die maximale Höhe im Rahmen des Bundesdatenschutzgesetzes lag für Bußgelder bislang bei 50.000 Euro bzw. maximal 300.000 Euro für sehr schwere Verstöße. Dieser Rahmen wurde bisher von den Datenschutzbehörden nur sehr selten und bei dauerhaften Verstößen ausgereizt.

Eine Änderung dieser Handhabung ist aber sehr wahrscheinlich. Seit Inkrafttreten der DSGVO stehen Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes im Raum. Mit diesem hohen Bußgeldrahmen hat die DSGVO auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand. So werden "die Großen" nun auch mit spürbaren Mitteln in ihre Schranken verwiesen.

Wichtig in diesem Zusammenhang:
- Nehmen Sie Anfragen oder Beschwerden von Nutzern ernst!
- Nehmen Sie Anfragen oder Beschwerden von Datenschutzbehörden sehr ernst!
- Setzen Sie sich als Ziel: Verstöße und damit Bußgelder nach DSGVO möglichst vermeiden!

02.

One-Stop-Shop und Zuständigkeiten

Die Zuständigkeiten der jeweiligen Behörden sind noch nicht abschließend geklärt. So ist die Frage, ob ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder Datenschutzbeauftragte in anderen Ländern der EU zuständig ist noch offen. Auch muss noch geklärt werden, ob diese Zuständigkeiten ggf. auch wechseln können. Damit dieses Durcheinander vehindert wird, sieht die DSGVO das so genannte "One-Stop-Shop"-Prinzip in Artikel 56 Abs. 1 EU-DSGVO vor.

So soll bei grenzüberschreitendem Datenverkehr dann allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig sein. Fraglich ist hier jedoch noch, wie sich die verschiedenen Zuständigkeiten unterschiedlicher Behörden unter anderem auf die Höhe der Bußgelder auswirken werden.

Es muss abgewartet werden, ob die in der DSGVO geregelten Zuständigkeiten real zu einer datenschutzfreundlicheren und gleichzeitig vereinfachten Umsetzung führen.

03.

Abmahnungen und die DSGVO

Auch nach der DSGVO können Datenschutzverstöße – wie schon in den letzten Jahren von den Gerichten entschieden - abgemahnt werden.

Es drohen also Abmahnungen und Gerichtsverfahren bei Verstößen gegen die DSGVO, denn Datenschutzrecht hat wettbewerbsrechtliche Relevanz!

Wichtig für Unternehmer:
Was ist nun neu?

Durch die Einführung der Datenschutzgrundverordnung hat sich einiges am Datenschutzrecht geändert. Da aber bisher in Deutschland bereits ein recht hohes Datenschutzniveau galt, bleiben die Änderungen in Deutschland überschaubar. Andere EU-Mitgliedstaaten haben hier weitaus mehr zu schaffen.

Wenn Sie sich also bisher um den Datenschutz gekümmert haben, ist dies ein entscheidender Vorteil!

Neue und alte Grundsätze

Viele bislang bekannten Grundsätze des Datenschutzrechts ändern sich nicht:

Verbot mit Erlaubnisvorbehalt

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:
- Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
- Einwilligung der betroffenen Person

Datensparsamkeit

Sie dürfen also nur die und vor allem so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.
So darf bei einem Newsletter z. B. kein Geburtsdatum abgefragt werden, da dies für die Zusendung des Newsletters nicht benötigt wird.

Zweckbindung

Daten dürfen nur zu dem Zweck verarbeitet werden, für den Sie sie erhoben haben. So darf eine abgefragte E-Mail-Adresse z. B. nicht für die Zusendung von Werbung verwendet werden, wenn der Nutzer sie ausschließlich für einen Newsletter hinterlegt hat.

Datenrichtigkeit

Alle Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden.

Neuer Grundsatz
Datensicherheit (Art. 32 DSGVO)

Der jetzt neu explizit in der DSGVO beschriebene Grundsatz der Datensicherheit regelt, dass Datenverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen müssen, um ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten. Dies unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und weiterer Umstände und Risikoanalyse.



Die Schutzbedürftigkeit der personenbezogenen Daten bestimmt das Schutzniveau, das Sie gewährleisten müssen.

Wie Sie dies umsetzen und welche Maßnahmen "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen usw.

Recht auf Vergessenwerden
Recht auf Löschung (Art. 17 DSGVO)

Viele Unternehmen wissen es bereits: Das Recht auf Vergessenwerden ist nicht neu.

Der Europäische Gerichtshof hat hierzu schon vor einiger Zeit entschieden, dass EU-Bürger von Suchmaschinen unter bestimmten Voraussetzungen verlangen können, dass bestimmte Suchergebnisse nicht mehr gezeigt werden.

So ist das Recht auf Vergessenwerden also ein Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, sofern für die Verwendung der Daten keine Berechtigung mehr vorliegt.



Wichtig: Dieses Recht auf Vergessenwerden kann ein Nutzer nun gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet. Hierzu wurde nun erstmalig eine eigenständige Regelung etabliert: Art. 17, DSGVO.

Darin sind auch die konkreten Gründe aufgezählt, wann Sie als Datenverarbeiter dann die Daten löschen müssen. Die wichtigsten Fälle sind:

- Der Zweck für die Datenverarbeitung ist weggefallen
- Der Betroffene hat seine Einwilligung widerrufen
- Die Datenverarbeitung war unrechtmäßig

Recht auf Datenübertragbarkeit
(Datenportabilität - Art. 20 DSGVO)

Ebenfalls neu ist das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Dieses neue Recht gibt Nutzern die Möglichkeit ihre Daten zu einem anderen Anbieter "mitzunehmen". Demnach kann nun ein Nutzer vom Datenverantwortlichen verlangen, dass die personenbezogenen Daten in einem "gängigen Format" an andere Verantwortliche übertragen werden.

Beispiele für die Datenportabilität sind:
- Wechsel zu anderen (sozialen) Netzwerken
- Wechsel zu einer anderen Bank
- Wechsel des Arbeitgebers

Hier kann es aber mitunter kompliziert werden. Für die Umsetzung dieses neuen Rechts sollten Sie sich am besten individuell beraten lassen!

Auch neu:
Die Rechenschaftspflicht (Art. 5, Abs. 2 DSGVO)

Ein weiterer, neuer Punkt der DSGVO sieht die Rechenschaftspflicht vor:

So müssen Datenverantwortliche - auf Aufforderung - die Einhaltung aller Datenschutzprinzipien nachweisen können.

Wenn Sie also ein effektives Datenschutzmanagement einrichten und die Einhaltung der Datenschutzanforderungen dokumentieren, können Sie die datenschutzrechtliche Umsetzung gegenüber der Aufsichtsbehörde nachweisen.

Wichtig:
Drohende Bußgelder sind wesentlich höher als früher!


Eine entsprechende Beratung oder die Bestellung eines Datenschutzbeauftragten kann hier sehr hilfreich sein.

Abo-Service "Rechtssichere Webseite"

Wir stellen Ihre Webseite um!

Als eRecht24 Agentur-Partner unterstützen wir Sie bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum. Dieser Service umfasst unter anderem auch die regelmäßige Kontrolle Ihrer Webseite auf Abmahnfallen oder veraltete rechtliche Belange.

Einwilligung einholen

Für Händler und Unternehmer spielen Einwilligungen der Nutzer eine größere Rolle als man glaubt.
Ein Beispiel wäre die Einwilligung zur Newsletter-Zusendung.

Wie muss diese Einwilligung nun aussehen?
Hier die wichtigsten Anforderungen für Sie zusammengestellt:

01

Form

Besondere Formerfordernisse für Einwilligungen gibt es im Datenschutz nicht. Hier sind mündliche, schriftliche und elektronische Einwilligungen gemäß Datenschutzgrundverordnung erlaubt.

Wichtig: Denken Sie immer an die Dukumentation bei Einwilligungen. Gerade mündliche Einwilligungen können hier schneller zum Problem werden als schriftliche oder elektronische Einwilligungen, die im System vermerkt und gespeichert werden.

02

Opt-In oder Opt-Out

Achten Sie darauf, dass Sie sich die Einwilligung mit einem Opt-In Kästchen geben lassen!

Die Variante Opt-Out ist grundsätzlich nicht ausreichend, da vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

03

Freiwillig

Das Gebot der Freiwilligkeit erhält besondere Wichtigkeit.

Das bedeutet: Sie dürfen eine Vertragserfüllung Ihrerseits nicht davon abhängig machen, dass die betroffene Person eine Einwilligung erteilt, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist.

04

Inhaltliche Anforderungen

Grundsätzlich müssen Einwilligungen immer zweckgebunden eingeholt werden.

Außerdem muss der Verarbeitungszweck dabei aufgeführt werden. Somit sind Generaleinwilligungen also auch weiterhin nicht erlaubt.

05

Nachweisbarkeit

Dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde, müssen Sie nachweisen!

Denken Sie auch hier immer an eine umfassende Dokumentation gemäß DSGVO.

06

Widerruf

Jeder Betroffene hat auch weiterhin ein Widerrufsrecht. Daher muss jederzeit eine erteilte Einwilligung - mit Wirkung für die Zukunft - widerrufen werden können.

Neuerung: Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.

Anschrift

Elisabethstr. 2
42859 Remscheid