Persönlicher Produktfinder

Hotline

Chat

Online Produktfinder

Och nö! Echt jetzt? Die DSGVO – und was ich dazu unbedingt wissen muss!

02.02.2018 13:57 Uhr PSI
Och nö! Echt jetzt? Die DSGVO – und was ich dazu unbedingt wissen muss! | Och nö! Echt jetzt? Die DSGVO – und was ich dazu unbedingt wissen muss!

Och nö! Echt jetzt? Die DSGVO – und was ich dazu unbedingt wissen muss!

25. Mai 2018. Diesen Tag sollten Sie in Ihrem Kalender schon mal dick umranden. Mit Rot. Oder Ihren digitalen Begleitern ans Reminderherz legen. Denn dann beginnt eine neue Ära. Für Ihren Umgang mit den Daten Ihrer Kunden. Nicht einfach abwinken! Könnte anderenfalls ziemlich teuer werden. Was Sie jetzt wissen müssen.

EU DSGVO – Europäische Datenschutzgrundverordnung? Was um alles in der Welt ist das nun schon wieder? Und bitte nix Negatives, hab eh schon genug um die Ohren! So oder ähnlich mögen viele von Ihnen aufseufzen. Aber hilft ja nicht. Unwissenheit schützt vor Strafe nicht, schon gar nicht die gewollte Ignoranz. Deshalb sollte jetzt noch schnell reagieren, wer nicht im Mai kalt erwischt werden möchte.

Denn das Gros der europäischen Unternehmen hat noch keinen oder nur wenig blassen Schimmer, was schon bald in allen 28 EU-Staaten Verbindliches zum Datenschutz geleistet werden muss. Transparent und jederzeit belegbar.

Was wir hier nicht leisten können: Ihnen eine detaillierten Leitfaden an die Hand zu geben. Dazu ist das Thema zu komplex. Allerdings finden Sie am Ende dieses Beitrages weiterführende Links.

Sensibilisieren für das, was Sie an Datenfitness zu leisten haben

Was wir hier leisten wollen: Sie zu sensibilisieren für das, was Sie an Datenfitness zu leisten haben, einige grundlegende Fragen zu beantworten und Ihnen ein Gefühl dafür zu vermitteln, ob Sie das Thema gemeinsam mit Ihrem Team und Ihrem Datenschutzbeauftragten stemmen können oder auf externe Spezialisten zurückgreifen müssen.

Wohlgemerkt: am 25. Mai 2018 müssen Sie fit sein, nicht erst mit dem Thema DSGVO starten! Das Datenschutzrecht ist spätestens jetzt Chefsache! Nicht zuletzt ist Datenschutz auch ein wichtiger Bestandteil der Corporate Governance und Compliance und damit ein signifikanter Baustein der unternehmerischen Nachhaltigkeit.

Aber Achtung! Arbeitsaufwand und Nachfrage nach Datenschutzexperten steigen. Die Folge: Auf dem Arbeitsmarkt sind Experten schon Mangelware. In jedem Fall sollten Sie Ihr Datenmanagement nicht ohne Expertenrat und -Kontrolle auf DSGVO-taugliches Niveau heben.

Der DSGVO-„Fahrplan“

Bevor wir uns einigen wichtigen Fragen zur DSGVO widmen, hier Ihr DSGVO-„Fahrplan“ mit 10 Stationen:

  • Alle Mitarbeiter müssen für das Thema DSGVO sensibilisiert werden.
  •  Ihre eigene Datenschutzerklärung muss an die DSGVO angeglichen werden.
  •  Der Status Ihrer Datenbank(en) sowie die Dokumentation der aufbereiteten Daten muss auf die Kompatibilität mit        dem DSGVO hin abgeglichen werden.
  •  Die via Double-Opt-In eingeholte Zustimmung jeder in der Datenbank gespeicherten Person muss transparent        dokumentiert und jederzeit auf Verlangen verfügbar sein.
  • Die so genannten 5 Rechte aller gespeicherten Personen müssen gewährleistet sein.
  • Die Nutzung von Datenschutz-affiner Technik und adäquaten Voreinstellungen muss gewährleistet sein.
  • Zu gewährleisten ist ferner, dass Datenschutzverletzungen rasch erkannt und gegebenenfalls kommuniziert werden.
  • Die Benennung eines internen oder Beauftragung eines externen Datenschutzbeauftragten.
  • Alle Verträge mit Dienstleistern wie Agenturen und insbesondere auch Cloud-Dienstleistern müssen auf DSGVO-Kompatibilität hin überprüft werden.
  • Vorbereitung auf die E-Privacy-Verordnung (ePrivacy-VO) als Bestandteil der DSGVO. Diese wird kommen. Unklar ist aktuell nur, wann.

Was ist die DSGVO?

Die bereits am 24. Mai 2016 in Kraft getretene Europäische Datenschutzgrundverordnung (DSGVO; englisch General Data Protection Regulation: GDPR) wird mit dem Stichtag des 25. Mai 2018 geltendes Recht für alle Mitgliedstaaten der EU sein. Damit gilt in allen Ländern der EU ein einheitlicher Datenschutz-Standard und somit auch eine entsprechende Rechtssicherheit.

Bis dahin gelten in den EU-Ländern noch differierende nationale Datenschutzgesetze. In Deutschland das so genannte BDSG (Bundesdatenschutzgesetz). Wer sich bisher konsequent am BDSG ausgerichtet hat, wird vom DSGVO nicht überrollt werden. Allerdings werden einige Grundsätze des BDSG überschrieben und das BDSG demzufolge neu gefasst werden.

Prinzipiell werden der personenbezogene Datenschutz verschärft und Verstöße rigoros geahndet. Das zwingt alle Unternehmen zu einer gründlichen Auseinandersetzung mit ihrem bisher praktizierten Datenschutz bis hin zu einer Neuorientierung.

Was sind die Ziele der DSGVO?

Mit dem DSGVO sollen die EU-Bürger ihr Recht auf informationelle Selbstbestimmung und damit die Hoheit über ihre Daten zurück erhalten. Sie sollen im Sinne der Grundrechte und Grundfreiheiten, zu denen auch das Recht auf den Schutz personenbezogener Daten zählt, bei der Erhebung, Speicherung und Verarbeitung ihrer persönlichen Daten geschützt werden.

Welche 5 Rechte sind jeder Person zu gewährleisten?

Konkret sind es 5 Rechte, die jedem Bürger jederzeit gewährleistet werden müssen: Recht auf Unterrichtung, Recht auf Zugang, Recht auf Berichtigung, Recht auf Löschung und Recht auf Datenportabilität.

Welche Unternehmen sind von der DSGVO betroffen?

Ausnahmslos alle innerhalb der EU. Der Geltungsbereich des DSGVO wird darüber hinaus auch auf alle Unternehmen außerhalb der EU erweitert, wenn diese Daten von EU-Bürgern verarbeiten (Amazon, Apple, Facebook, Google, Microsoft etc.).

Wird zwischen B2C und B2B unterschieden?

Nein!

Welche Unternehmensbereiche sind betroffen?

Im digitalen Zeitalter werden Daten in allen Bereichen generiert. Damit lauern überall potentielle „Datenfallen“, die sorgsam identifiziert und nach dem DSVGO ausgerichtet bzw. vermieden werden müssen.

Angefangen von der eigenen Personalabteilung führt der Weg über Vertrieb und Marketing zu Onlineshops, der eigenen Website, zu den Unternehmensrepräsentanzen in den Social Networks etc. Überall dort, wo Kundenkommunikation und Interaktion generiert wird, fallen Daten an.

Besonders kritisch gesehen werden Tracking Tools wie beispielsweise Google Analytics und der Einsatz von Cookies, deren - restriktive - Handhabung in der noch ausstehenden E-Privacy-Verordnung (ePrivacy-VO, siehe dazu auch weiter unten „Was ist die E-Privacy-Verordnung?“) geregelt werden wird.

Aber auch Gewinnspiele und die Lead-Generierung beispielsweise durch den Download kostenloser Informationen (Information gegen persönliche E-Mail-Adresse) müssen auf den Prüfstand.

Ganz wichtig: Das gesamte Datenmanagement muss an einem einheitlichen Standard ausgerichtet werden, der DSGVO-konform ist.

Dabei ist es übrigens nicht allein ausreichend, die DSGVO-Datenschutzgrundsätze im eigenen Datenschutzmanagement zu implementieren. Einer eingehenden Prüfung müssen auch alle Verträge mit Dienstleistern wie etwa Agenturen und insbesondere auch Cloud-Dienstleistern unterzogen werden.

Gilt das auch für meine Kunden-Bestandsdaten?

Ja!

Was ist mit meiner bestehenden Datenbank für Newsletter und Werbemails?

Newsletter und Werbemails sind gerade auch in der Werbeartikelbranche wichtige Informationstools. Aber auch hier gilt kein automatischer Bestandsschutz für bereits aufgebaute Kundendatenbänke.

Deren Inhalte, sprich personenbezogene gespeicherte Informationen sowie deren Verarbeitung müssen dem DSGVO entsprechen. Wer seine Datenbänke in Deutschland bisher auf dem Boden des BDSG aufgebaut hat, ist auf der sicheren Seite.

D.h. der Nachweis der Legitimation (Einverständniserklärung des Kunden, die Sie legitimiert, dem Kunden E-Mails zu senden) muss jederzeit dokumentiert und verfügbar sein.

Liegt kein dokumentiertes Einverständnis vor, ist ein neues und ausdrückliches Einverständnis via Double-Opt-In (weitere Informationen zum Double-Opt-In siehe auch weiter unten „Was ist ein Double-Opt-In?“) einzuholen. Anderenfalls ist der Datensatz zu löschen.

Ganz wichtig: Es gilt das Prinzip der Datensparsamkeit. Für keine Person mehr speichern, als unbedingt erforderlich!

Auch neu: Die Rechenschaftspflicht

Die DSGVO verlangt auch eine Rechenschaftspflicht. Derzufolge müssen Datenschutzbeauftragte bei Aufforderung die Umsetzung und Einhaltung aller Datenschutzprinzipien gegenüber der Aufsichtsbehörde dokumentieren können.

Welche Strafen drohen bei Datenschutzverstößen?

Die Bußgelder wurden gegenüber den zuvor national praktizierten Strafen drastisch erhöht. Bis zu 20 Millionen Euro sind drin. Große Unternehmen und Konzerne riskieren bis zu vier Prozent vom weltweiten Umsatz des Vorjahres.

Was ist die E-Privacy-Verordnung (ePrivacy-VO)?

Die ePrivacy-VO knüpft an die DSGVO ergänzend an und reguliert spezifizierte Bereiche. Betroffen sind die so genannten Over-The-Top-Kommunikationsdienste (OTT-Dienste): Inhalte, Dienste oder Anwendungen, die Anbieter Usern via Internet zur Verfügung stellen. Durch deren Nutzung entstehen Daten.

Darunter fallen Websites, Onlineshops, Messengerdienste, VoIP-Telefonie, aber auch die Kommunikation unter Maschinen (M2M-Kommunikation) und unter Gegenständen (Internet of Things, IoT).

Im Visier der Brüsseler Datenschützer sind ganz besonders die Cookies- und Tracking-Technologien, mit deren Hilfe jedem User möglichst gezielte Werbung im Internet ausgespielt werden kann.

Das für deutsche Website-Betreiber wichtige Telemediengesetzes (TMG) wird durch die DSGVO partiell überschrieben. Im Rahmen der ePrivacy-VO werden noch weitere maßgebliche Änderungen zu erwarten sein.

Gegen die geplanten Regulierungen laufen die Wirtschaftsverbände verständlicherweise Sturm. Ihr Argument: Umsatzrückgänge von 30 Prozent und mehr stehen im Raum, wenn die Kommissionspläne umgesetzt werden.

Ursprünglich sollte die ePrivacy-VO gemeinsam mit der DSGVO am 25. Mai 2018 in Kraft treten. Dieser Termin ist aber nicht mehr haltbar. Aktuell sollen sich die laufenden Beratungen im EU-Rat noch bis etwa Mitte Mai 2018 hinziehen.

Was ist ein Double-Opt-In?

Das so genannte Double Opt-In ist eine zweifache, explizite Bestätigung des Abonnenten für getätigte Newsletter-Abonnements und alle weiteren Dienste, für die seine E-Mail-Adresse notwendig ist.

Der Einsatz des Double-Opt-In-Verfahrens ist im Sinne des DSGVO rechtssicher zum Aufbau und zur Pflege einer Kundendatenbank.

Weiterführende Hinweise

Privacy-Regulation.eu (Alle EU-Sprachen)

Datenschutz-Grundverordnung.eu (Englisch & Deutsch)

DSGVO-gesetz.de (Deutsch)

Bitkom.org (Deutsch)

E-Recht24.de (Deutsch)

t3n.de (Deutsch)

zur News-Übersicht