Die neue Datenschutz-Grundverordnung (DSGVO)

Ab dem 25. Mai 2018 tritt die europaweit verbindliche DSGVO in Kraft und bringt für Onlinehändler und Website-Betreiber einige Änderungen mit sich. Wer sich nicht daran hält, muss mit Sanktionen rechnen. Deshalb sollte vorher unbedingt alles gründlich durchgecheckt werden. Anhand unserer kurzen Checkliste, können die wichtigsten Punkte abgehandelt werden.

Tipp: Weitere Hilfestellungen sind beispielsweise unter eRecht24 zu finden. Hier kann ein Online-Tutorial mit nützlichen Tipps angeschaut werden oder (kostenpflichtige) Hilfe von Experten bei der Umsetzung der DSGVO eingeholt werden. Für mittelständische Unternehmen ist die Zusammenarbeit mit einem Datenschutzbeauftragten empfehlenswert. Wer sich umfassend informieren möchte, kann im Gesetzestext zur DSGVO nachlesen.

1.Sind die Verzeichnisse von Verarbeitungstätigkeiten erstellt und griffbereit?

Unternehmen sind laut der neuen DSGVO in der Pflicht eigenständig nachzuweisen, dass die Datenschutzgesetze einhalten werden. Dazu gehört ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten, welches folgende Punkte beinhaltet:

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen und der personenbezogenen Daten
  • Kategorien der Datenempfänger
  • Angaben zu Übermittlungen in ein Drittland
  • Löschfristen der verschiedenen Datenkategorien
  • Technischen und organisatorische Maßnahmen

Tipp: Für den Umgang mit kundenbezogenen Daten sollte eine Prozessbeschreibung erstellt werden. Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten  ist unter activeMind.AG zu finden.

2. Newsletter und E-Mail Marketing nach der DSGVO

Unternehmen dürfen Kunden nicht zum Einverständnis zwingen, indem dieses an eine Vertragsabwicklung oder ähnliches gekoppelt ist. Das Häkchen zur Newsletter-Einwilligung darf kein Pflichtfeld mehr sein. Folgende Punkte sollten beim E-Mail Marketing und Newsletter beachtet werden:

  • Ist ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister (E-Mail Marketing Software, Tracking Software, etc.) geschlossen?
  • Entspricht der Dienstleister den gesetzlichen Anforderungen und kann dies ggf. nachweisen?
  • Kann der Nachweis der Einwilligung zum Newsletter von allen Empfängern erbracht werden (E-Mail Adresse, Datum, Uhrzeit)?
  • Wurden die Newsletter-Empfänger auf die aktuelle Datenschutzerklärung aufmerksam gemacht?
  • Wird vermerkt, an welche Unternehmen die personenbezogenen Daten weitergegeben werden?
  • Können Sie nachweisen, woher ihre Kontaktdaten stammen?

3. Liegt eine Datenschutz-Folgenabschätzung vor?

Mit Inkrafttreten der DSGVO müssen Unternehmen eine Datenschutz-Folgenabschätzung im Vorfeld vornehmen, wenn in der Datenverarbeitung ein Risiko für die Rechte und Freiheiten Dritter besteht. Dies ist der Fall, wenn zwei der folgenden Indizien erfüllt sind:

  • Das Unternehmen verwendet automatisierte Entscheidungen
  • Es gibt eine umfangreiche Datenverarbeitung
  • Scoring und Profiling kommen zum Einsatz
  • Es gibt eine systematische Überwachung der Kunden
  • Ein Unternehmen führt Datenbestände zusammen und gleicht sie ab
  • Es werden Daten besonders schutzbedürftiger Personen verarbeitet
  • Neue Technologien kommen zum Einsatz
  • Es gibt eine Datenübermittlung an Drittstaaten

Tipp: Die Vorgehensweise der internen Risikoabschätzung funktioniert im Prinzip analog zur Risikoanalyse im Projektmanagement.

4. Datenschutzerklärung überarbeiten

Die Datenschutzerklärung wird mit der neuen DSGVO detaillierter und die Informationspflichten werden detaillierter. Die bestehenden Erklärungen sollten am besten neu aufgesetzt werden und folgende Inhalte enthalten:

  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage für die Datenverarbeitung
  • Bestehende berechtigte Interessen für die Datenverarbeitung (mit separater Widerspruchsbelehrung)
  • Angaben zur Übermittlung von Daten in Drittländer und Garantien für ein angemessenes Datenschutzniveau
  • Information über die Rechte betroffener Dritter auf Datenübertragbarkeit und auf Beschwerde bei Aufsichtsbehörden
  • Bei automatisierten Entscheidungsfindungen die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung
  • Löschfristen und gegebenenfalls die Kriterien für deren Festlegung
  • Die Datenquelle, wenn Daten nicht beim Betroffenen erhoben werden (etwa aus einer öffentlichen Quelle)

Tipp: Die Deutsche Gesellschaft für Datenschutz bietet die Möglichkeit, kostenfrei Datenschutzerklärung eine individuelle Datenschutzerklärung zu generieren.

5. Das Tracking überprüfen

Tracking-Werkzeuge wie Google Analytics und Enconda sind erlaubt, allerdings unter strengen Voraussetzungen. Beim Einsatz von Google Analytics beispielsweise muss folgendes beachtet werden:

  • Es muss wie bisher ein Vertrag mit Google zur Auftragsdatenverarbeitung geschlossen werden
  • Die Nutzer müssen über die Widerspruchsmöglichkeit informiert werden
  • Die Erweiterung „anonymized-IP“ muss eingesetzt werden
  • Die Nutzer müssen in der Datenschutzerklärung über den Einsatz von Tracking-Werkzeugen informiert werden

Tipp: Eine kostenlose Vorlage für die Erstellung eines Auftragsdatenverarbeitungsvertrags ist bei der activeMind.AG, eine Anleitung zur IP Anonymisierung bei Google Analytics zu finden.

6. Nutzerrechte kommunizieren

Nutzer erhalten mit der neuen DSGVO neue Rechte. Darauf müssen Unternehmen vorbereitet und in der Lage sein, die entsprechenden Daten bereitstellen zu können. Dazu zählen:

  • Auskunftsrecht
  • Berechtigungs- und Löschungsrecht
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen
  • Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen mit Grundlage in automatisierten Datenprozessen

7. Steht der Reaktionsplan bei Datenpannen?

Im Falle einer Datenpanne ist diese unverzüglich an die zuständige Landesdatenschutzbehörde zu melden, möglichst innerhalb von 72 Stunden. Notwendig bei einer Meldung ist:

  • Eine Beschreibung der Art der Verletzung sowie eine ungefähre Zahl der betroffenen Personen, Datensätze bzw. Kategorien
  • Der Name und die Kontaktdaten des Datenschutzbeauftragten
  • Eine Beschreibung der zu erwarteten Folgen
  • Eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Datenpanne

8. Sind alle Dienstleisterverträge erneuert?

Ein Vertrag mit dem Dienstleister zur Auftragsdatenverarbeitung war bereits nach bisherigem Recht erforderlich, zukünftig reicht ein in elektronisch Form geschlossener Vertrag aus.

9. Weiterführende Informationen

Anhand unserer Checkliste sind die wichtigsten Punkte der neuen DSGVO abgehandelt. Wer sich einen umfassenderen Überblick zum Thema Datenschutz verschaffen will, kann bei der Deutschen Gesellschaft für Datenschutz  im Datenschutz-Handbuch nachlesen.

 

Online Handel im digitalen Wandel – Amazon Flex startet in Berlin

In den USA setzt der E-Commerce Riese Amazon bereits seit 2015 Privatleute für Lieferdienste ein. Nun soll das Konzept auch auf Deutschland ausgeweitet werden. Berlin soll dabei den Anfang machen, andere Standorte sind bereits in Planung. Was genau bedeutet die Auslagerung von Logistikdienstleistungen an private Personen?

Uber als Vorbild für smarte Geschäftsmodelle

Das Konzept von Amazon Flex ist dabei an die Idee des amerikanischen Dienstleistungsunternehmens Uber angelehnt: dabei werden über eine App Fahrgäste an Privatleute mit Auto vermittelt, die private Taxifahrten anbieten.

Amazon Flex funktioniert ähnlich. Die privaten Boten bekommen per App Zustellaufträge zugeteilt und können sich dann frei für vierstündige Dienstschichten an 6 Tagen in der Woche eintragen. Wer sich als Fahrer bewirbt, muss über einen gültigen Führerschein, ein eigenes Auto sowie ein Android-Smartphone verfügen. Außerdem wird ein Background-Check durchgeführt, sodass Amazon den Bewerber als tauglich oder eben nicht einstufen kann.

Das Versprechen von Amazon: die Fahrer erhalten bei rechtzeitiger Auslieferung der Pakete einen Stundenlohn von bis zu 16 Euro und können sich ihre Arbeitszeiten flexibel einteilen.

Personalmangel bei Kurierfahrern durch Flex-Fahrer lösen?

Nicht nur zur Weihnachtszeit herrscht Personalmangel bei Logistikdienstleistern. Der Druck, dass Pakete rechtzeitig ausgeliefert werden müssen, steigt im Zeitalter der Digitalisierung stetig. Kunden sind mobil vernetzt, bestellen zu jeder Zeit an jedem Ort bei Online Händlern und erwarten eine schnelle und reibungslose Lieferung. Daher wirkt das Konzept von Amazon zunächst als Win-Win Situation: der E-Commerce Riese kann auf externes Personal zugreifen und spart Kosten für Fahrzeuge und Sprit ein. Privatleute haben einen lukrativen Nebenverdienst.

Das neue Geschäftsmodell in der Kritik

Trotzdem ist diese neue Art des Beschäftigungsverhältnisses prekär. Im Unterschied zu festangestellten Mitarbeitern, verdienen Flex-Fahrer nur, wenn die Auftragslage stimmt und zusätzliche Arbeit für sie anfällt. Zudem fallen für die selbstständigen Boten Kosten für Sprit, Kfz-Versicherung und Reparaturen an.  Die Fragen, wovon der Stundenlohn abhängt und ob Sozialleistungen enthalten sind, beantwortet Amazon auf der offiziellen Flex-Website bisher nicht.

Auch der Bundesverband für Paket und Express Logistik (BIEK) steht Amazon Flex kritisch gegenüber und bemängelt, dass das Vorgehen kontraproduktiv für das Berufsbild des Zustellers sei. Oberstes Ziel sollte sein, dass die Sendungen kundenfreundlich und serviceorientiert transportiert werden. Aus ökologischer Sicht geht das Zukunftsmodell von Amazon auch nicht auf – wurde in den vergangenen Jahren in umweltfreundliche Flotten investiert, so kann jetzt jeder mit seinem Privatfahrzeug aktiv werden.

Zeit Online befasst sich ebenfalls kritisch mit dem neuen Amazon Konzept. Der Artikel Flex und fertig wirft die Frage auf, ob Amazon Flex hierzulande nun Mitarbeiter in Mini-Unternehmen verwandeln will, die auf eigene Rechnung, aber auch auf eigenes Risiko arbeiten.

Und das Fazit?

Lässt sich bereits jetzt ein Fazit zur innovativen Auslagerung von Logistikdienstleistungen an Privatleute ziehen? Schafft der Online Handel durch das flexible Mitarbeitermodell einen Mehrwert, indem Bestellungen noch schneller ausgeliefert werden? Können Privatleute wirklich von dieser Art des Nebenverdienstes profitieren? Und was hat das für Konsequenzen für professionelle Kurierdienste und Logistikanbieter? Wir bleiben interessiert, was die Vielfalt der neuen Geschäftsmodelle angeht, aber skeptisch im Hinblick auf die weiteren Entwicklungen unserer sozialen Marktwirtschaft.