Wichtig für alle Unternehmen mit Internetpräsenz: Die neue Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Grundverordnung (DSGVO)

Das Thema Datenschutz wird immer wichtiger: Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Die Europäische Union will damit die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen EU-weit vereinheitlichen.
Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden, andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Diese Verordnung ersetzt die aus dem Jahr 1995 stammenden Richtlinien zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wie etwa beim Versand von Bestellungen oder Kontaktaufnahme mit Händlern und Dienstleistern.

Die Datenschutzerklärung ist eine der wichtigsten Punkte, die man auf einer Webseite zu beachten hat.
Hierzu gibt es schon seit einigen Jahren Änderungen und Neuerungen im Datenschutzrecht.

Ab Ende Mai 2018 gibt es neue Regeln, die alle Unternehmen zu beachten haben.

Worum geht es dabei?

Im Datenschutzrecht geht es um personenbezogene Daten von privaten Nutzern, wozu auch Käufer und Kunden gehören, die über das Internet ihre Waren kaufen oder ihre Dienstleistungen in Anspruch nehmen.
Zu den personenbezogenen Daten gehören u. A.:

  • Name und Anschrift
  • E-Mail-Adresse
  • IP-Adresse des Nutzers (das ist die digitale Adresse, die jeder Benutzer mit einem Internetanschluss automatisch von seinem Internetprovider zugewiesen bekommt)
  • Kontodaten
  • Geburtsdatum
  • Historie des Verhaltens von Nutzern hinsichtlich Surfen, Klicks und Käufen im Internet

Immer dann wenn solche Daten nicht vollständig anonym, sondern einer bestimmten Person zugeordnet werden können, bewegt man sich im Bereich des Datenschutzrechts.

Wichtige Punkte der neuen Datenschutzgrundverordnung

  1. Betrifft jedes Unternehmen das im Internet präsent ist.
  2. Umgang von Unternehmen mit personenbezogenen Daten (EU-weit).
  3. Soll das Datenschutzrecht in das digitale Zeitalter führen.
  4. Größtenteils werden damit aber bisherige Datenschutzregelungen verworfen.

Was gibt es Wichtiges für Sie zu beachten?

Unternehmen müssen zukünftig die allgemeinen Grundsätze der Datenverarbeitung nachweisen können. Darum gibt es einige Neuerungen, die sich durchaus auf die Funktionalität der Internetpräsenz von Unternehmen auswirken werden.
Jetzt besteht eine Dokumentationspflicht, was mit welchen personenbezogenen Daten wie und wo passiert.
Kommt es doch zu einem Hackerangriff auf die Daten und das Unternehmen kann eben diese Dokumentation nicht vorweisen, kann das ganz schön teuer werden.

Was genau kommt auf Unternehmen zu und welche Maßnahmen müssen getroffen werden?

Im Netzwerk der Firma eines Unternehmens, müssen Kundendaten eindeutig identifiziert werden können.
Außerdem, und das ist eine der wichtigsten Änderungen, dürfen Daten nur noch dann gespeichert werden, wenn sie mit einem besonderen Schutzmechanismus verschlüsselt sind.
Würden nun die Daten eines Unternehmens gehackt werden, muss jeder einzelne Nutzer über diese Attacke informiert werden. 
Zusätzlich muss der Datenschutzbeauftragte des Landes (Data Security Officer) innerhalb 72 Stunden über den Angriff, informiert werden, woraufhin eine Ermittlung erfolgt.
Wenn in einem solchen Falle die dann geforderte Dokumentation nicht lückenlos vorgelegt werden kann oder aus dem Fall hervorgeht, dass Verschlüsselung und Key-Management nicht lückenlos vorliegen, kann das für ein Unternehmen teuer werden.

Auch wenn es zu keinem Hacker-Angriff oder Ähnlichem kommt, ist die Dokumentation essentiell. Das heißt: jeder hat das Recht über seine Daten von Unternehmen Auskunft zu verlangen, über Art und Umfang der Speicherung seiner Daten.
Um dieser Anforderung eines Kunden nachzukommen, hat ein Unternehmen dann gerade mal einen Monat Zeit! Wird dem nicht nachgekommen, kann der Kunde einen Fall eröffnen lassen, worauf das Unternehmen dann auditiert wird.

Zudem können Kunden jederzeit einen Antrag auf Löschung ihrer Daten stellen. Die Legitimität des Antrags muss jedoch zunächst geprüft werden. Allerdings dürfen die angeforderten Daten des Kunden während des Prüfungsprozesses nicht verarbeitet werden.

Das jeder Kunde seine Daten anfragt, spielt sich wahrscheinlich eher im unteren Prozentbereich ab, es aber zu ignorieren wäre falsch und könnte zu Komplikationen führen.

Das heißt im Klartext: die neue Datenschutzgrundverordnung ist etwas, dass Unternehmen jetzt zum Handeln auffordert.

Welche Punkte sind im Hinblick auf die Datenschutzgrundverordnung (DSGVO) ganz besonders wichtig?

Sobald ein Unternehmen personenbezogene Daten bekommt und speichert, ist es dazu verpflichtet dies zu dokumentieren. 
Wichtigstes Detail für die DSGVO ist das sogenannte Verarbeitungsverzeichnis. Was ist das?
Ein Unternehmen ist verpflichtet, in diesem Verzeichnis ganz detailliert schriftlich festzuhalten, wo überall Daten erhoben werden und was mit diesen Daten geschieht. 

In diesem Verarbeitungsverzeichnis müssen dokumentiert werden:

  1. Erster Besuch auf der Webseite
  2. Bestellung des Newsletters
  3. Nachrichten über das Kontaktformular einer Webseite
  4. Kauf eines Online-Produkts
  5. Übernahme von Kundendaten in ein externes CRM-Tool (Customer-Relationship-Management)
  6. Übernahme von Kundendaten in ein externes Rechnungsprogramm

Stichwort: Zweckgebundenheit

Zweckgebundenheit bedeutet, dass keine Speicherung von Daten zulässig ist, die ein Unternehmen nicht mehr für einen zuvor benannten Zweck benötigt. Entsprechend dieser Anforderung verpflichten sich Unternehmen nun dazu, Löschprozesse zu implementieren, um Aufbewahrungsfristen zu entsprechen.

Was ist zu beachten wenn man für sein Unternehmen Facebook verwendet?

Hier muss geprüft werden, ob alle rechtlichen Vorschriften für die Nutzung einer Facebook-Seite erfüllt sind. Im Besonderen betrifft das das Impressum, was rechtssicher eingebunden werden muss.

Wer mit seinem Unternehmen über Facebook verkauft, brauchst neben den Allgemeinen Geschäftsbedingungen (AGB) auch eine Datenschutzerklärung. Das gilt ebenfalls beim Einsatz eines Messenger-Bots. In diesen Fällen kannst man mit der Zwei-Klick-Lösung auf die Datenschutzerklärung der Unternehmens-Webseite verlinken.

Bitte kontaktieren Sie mich, wenn Sie Informationen benötigen, für die Umsetzung dieser neuen Anforderungen auf Ihren Internetpräsenzen:

Selim Oezkan <ich@selimoezkan.com>

 

Achtung: Dieser Beitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Berater und Internet-Dienstleister habe ich mich zwar intensiv mit geltendem Datenschutzrecht und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.


Kostenloses Infoblatt EU-DSGVO

Hier können Sie sich meine ausführliches Infoblatt zur EU-DSGVO kostenlos downloaden (PDF, 15 Seiten).

  • English
  • Deutsch


© 2018 by Selim Oezkan
www.selimoezkan.com