Welche Änderungen im Datenschutz sind mit der DSGVO in Kraft getreten?
Geändert hat sich mit der DSGVO eigentlich gar nicht so viel. Denn Deutschland hatte schon immer ein hohes Datenschutzniveau. So sind die Grundsätze, die bisher im deutschen Datenschutzrecht bereits galten, im Wesentlichen auch in der DSGVO enthalten.
Verschiedene To-Do´s kommen hinzu, die Sie umsetzen müssen:
1. Erstellen Sie ein Verfahrensverzeichnis
Beschäftigen Sie mehr als 250 Mitarbeiter und verarbeiten besondere Datenkategorien? Dann müssen Sie Verarbeitungsverzeichnis erstellen.
Hier müssen Sie folgende Angaben machen:
- Angaben des Verantwortlichen
- Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern
- Übermittlung von personenbezogenen Daten an ein Drittland
- Löschfristen
- Beschreibung der technischen und organisatorischen Maßnahmen
- Angaben des Auftragsverarbeiters
- Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
- Kategorien von Verarbeitungen
- Übermittlungen von personenbezogenen Daten an ein Drittland
2. Schließen Sie Auftragsverarbeitungen
Arbeiten Sie mit externen Dienstleistern zusammen? Haben Sie zum Beispiel eine Druckerei, die Produkte für Sie bedruckt; eine Ticket-System, über das Sie Ihren Kundenservice abwickeln; eine externe Firma, die Rechnungstellung und Buchhaltung für Sie übernimmt? Dann übermitteln Sie diesen Firmen in den allermeisten Fällen auch Kundendaten. Und hier müsste es jetzt klingeln: „Brauche ich da nicht eine Einwilligung?“ Ja, das ist richtig. Praktisch lässt sich das aber kaum umsetzen. Aus diesem Grund gibt es die „Auftragsverarbeitung“, die früher auch „Auftragsdatenverarbeitung“ hieß.
Was ist eine Auftragsverarbeitung?
Eine Auftragsverarbeitung – kurz: AV – ist ein Vertrag zwischen Ihnen und Ihrem Dienstleister. Hierin wird genau festgehalten, wie die Firma als Ihr „verlängerter Arm“ nach Ihren Weisungen personenbezogene Daten Ihrer Kunden verarbeitet. Wichtig dabei: Sie bleiben weiterhin für den Datenschutz Ihrer Kundendaten verantwortlich, der Dienstleister ist lediglich Ihr „verlängerter Arm“.
Unterschied zur früheren „Funktionsübertragung“: Hier war der externe Dienstleister nicht weisungsgebunden, sondern er hatte die vollständige Entscheidung über das Wie der Daten, die er dann eigenverantwortlich ausgeführt hat. Immer dann, wenn der Dritte nicht nur personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitete oder er diesen nur unterstützte, sollte eine Funktionsübertragung vorliegen. Diese Unterscheidung wurde aber mit der DSGVO aufgegeben.
Beispiel für eine Funktionsübertragung: Sie beauftragen ein Inkassounternehmen, Ihre Forderungen einzutreiben
Neu mit Einführung der DSGVO:
An den eigentlichen Inhalten einer Auftragsverarbeitung hat sich mit der DSGVO nicht viel geändert. Allerdings ist es nunmehr ausdrücklich Pflicht für Sie, einen AV-Vertrag abzuschließen, wenn Sie
- Google Analytics verwenden
- Newsletter und Marketing über die Tools externer Anbieter abwickeln
- Externe Buchhalter beschäftigen
- Ihr Rechenzentrum outsourcen
- Fernwartungssysteme einsetzen
3. Beauftragen Sie einen Datenschutzbeauftragten
Ein Datenschutzbeauftragter prüft, ob Sie die Datenschutzbestimmungen einhalten. Diese Aufgabe kann sowohl ein interner als auch ein externer Datenschutzbeauftragter übernehmen.
4. Seien Sie auskunftsfähig
Sie müssen Ihre Kunden und auch die Datenschutzbehörde jederzeit darüber informieren, wie bei Ihnen Daten verarbeitet werden.
5. Aktualisieren Sie Ihre Datenschutzerklärung
Erstellen Sie eine neue Datenschutzerklärung mit dem kostenlosen Datenschutz Generator – kostenlos, anonym und in nur 3 Minuten.
Sie sind eRecht24 Premium Nutzer? Dann erstellen Sie sich jetzt eine aktuelle Datenschutzerklärung oder aktualisieren Sie ganz einfach Ihre bestehende Datenschutzerklärung mit 2 Klicks. Rufen Sie dazu den Projekt Manager auf und klicken Sie rechts auf den Button „Änderungen abschließen“.
Unser kostenloser Datenschutz Generator hat Sie überzeugt und Sie möchten sich künftig keine Gedanken mehr machen, ob Ihre Webseite wirklich datenschutzrechtlich auf dem aktuellen Stand ist? Dann werden Sie jetzt eRecht24 Premium Nutzer.
6. Beachten Sie das Kopplungsverbot
Was ist das Kopplungsverbot?
Es ist für Diensteanbieter eine günstige Methode, an Daten kommen und diese für Werbezwecke einzusetzen: Ihre Nutzer lesen auf Ihrer Seite einen Artikel, und an der spannendsten und entscheidenden Stelle bricht er ab. Es folgt ein Button: „Wenn Sie weiterlesen wollen, senden wir Ihnen gern unser ausführliches Whitepaper zu. Tragen Sie dazu nur Ihre E-Mail-Adresse ein. Damit willigen Sie ein, dass wir Ihnen unseren regelmäßigen Newsletter und für Sie passende Angebote zuschicken dürfen.“
Nach der Rechtlage vor der DSGVO war ein solches Vorgehen kein Problem. Denn der Nutzer erteilte ja ausdrücklich und freiwillig seine Einwilligung. Mit der DSGVO kam aber das sogenannte Kopplungsverbot. Streng genommen besagt dieses: Die Einwilligung des Nutzers darf nicht daran gekoppelt werden, dass er zum Beispiel ein Whitepaper herunterladen muss. Die DSGVO selbst wählt jedoch keinen so klaren Wortlaut, weshalb lange unklar war, ob das Kopplungsverbot wirklich so streng und absolut zu verstehen ist.
Insbesondere ein neues Urteil des OLG Frankfurt brachte diese strenge Ansicht nun ins Wanken. Hiernach ist es erlaubt, wenn Unternehmen die Teilnahme an einem Gewinnspiel davon abhängig machen, dass die Teilnehmer Werbung erhalten.
Deshalb raten wir Ihnen: Gehen Sie auf Nummer Sicher und befolgen Sie unsere Checkliste:
Checkliste: So halten Sie sich auf jeden Fall an das Kopplungsverbot
- Stellen Sie deutlich heraus, dass der Nutzer freiwillig entscheiden kann, ob er seine Daten preisgibt.
- Machen Sie deutlich, wem genau die Daten erteilt werden. Sobald von Partnerunternehmen die Rede ist, die nicht weiter benannt werden, reicht das nicht aus.
- Verwenden Sie Double Opt in. Bedeutet: Hat sich der Nutzer eingetragen, senden Sie ihm zunächst eine Bitte um Bestätigung seiner Anmeldung per Mail zu. Möchten Sie den Nutzer anrufen, sollte er die Telefonnummer gesondert bestätigen, zum Beispiel per SMS oder WhatsApp.
- Speichern Sie die Nachweise. Sie müssen später noch in der Lage sein, nachzuweisen, dass der Nutzer im Rahmen des Double Opt in Verfahrens eingewilligt hat.
- Nehmen Sie den Vorgang auch in Ihre Datenschutzerklärung auf. Achtung: Es reicht nicht aus, den gesamten Prozess nur in der Datenschutzerklärung zu beschreiben. Hier ist zwingend eine echte Einwilligung erforderlich.
7. Nutzen Sie SSL-Verschlüsselung bei Kontaktformularen
Geben Nutzer auf Ihrer Homepage ihre personenbezogenen Daten ein, zum Beispiel wenn sie ein Kontaktformular ausfüllen, gilt: Sie müssen die Daten jederzeit schützen. Technisch können Sie das mithilfe einer SSL-Verschlüsselung umsetzen. Weiter gilt das für:
- Bestellseiten
- Newsletterbestellseiten
- Downloadbereich
- Anmeldeseiten
- Seiten mit Zahlungsprozessen
Dies können Sie mithilfe von eRecht24-Premium umsetzen.
8. Denken Sie an die Einwilligungscheckbox bei Kontaktformularen
Wenn Sie Kontaktformulare verwenden, mit denen Sie zum Beispiel die Mail-Adresse Ihrer Nutzer abfragen, integrieren Sie eine Einwilligungscheckbox.
9. Datenschutz offline: Das gilt für Mitarbeiterdaten
Auch wenn Sie Mitarbeiter haben, müssen Sie beim Datenschutz bestimmte Pflichten einhalten. So dürfen Sie nur solche Daten Ihrer Mitarbeiter erheben, die erforderlich sind, zum Beispiel für das Bewerbungsverfahren, den Einstellungs- oder auch den Beendigungsprozess des Arbeitsverhältnisses. Im Zweifel können Sie von Ihren Mitarbeitern freiwillige Einwilligungen einholen.