Bereit für die neue DSGVO?
Unsere Checkliste mit den wichtigsten Änderungen
Die neue Datenschutz-Grundverordnung (DSGVO)
Ab dem 25. Mai 2018 tritt die europaweit verbindliche DSGVO in Kraft und bringt für Onlinehändler und Website-Betreiber einige Änderungen mit sich. Wer sich nicht daran hält, muss mit Sanktionen rechnen. Deshalb sollte vorher unbedingt alles gründlich durchgecheckt werden. Anhand unserer kurzen Checkliste, können die wichtigsten Punkte abgehandelt werden.
Tipp: Weitere Hilfestellungen sind beispielsweise unter eRecht24 zu finden. Hier kann ein Online-Tutorial mit nützlichen Tipps angeschaut werden oder (kostenpflichtige) Hilfe von Experten bei der Umsetzung der DSGVO eingeholt werden. Für mittelständische Unternehmen ist die Zusammenarbeit mit einem Datenschutzbeauftragten empfehlenswert. Wer sich umfassend informieren möchte, kann im Gesetzestext zur DSGVO nachlesen.
1.Sind die Verzeichnisse von Verarbeitungstätigkeiten erstellt und griffbereit?
Unternehmen sind laut der neuen DSGVO in der Pflicht eigenständig nachzuweisen, dass die Datenschutzgesetze einhalten werden. Dazu gehört ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten, welches folgende Punkte beinhaltet:
- Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
- Zweck der Datenverarbeitung
- Kategorien der betroffenen Personen und der personenbezogenen Daten
- Kategorien der Datenempfänger
- Angaben zu Übermittlungen in ein Drittland
- Löschfristen der verschiedenen Datenkategorien
- Technischen und organisatorische Maßnahmen
Tipp: Für den Umgang mit kundenbezogenen Daten sollte eine Prozessbeschreibung erstellt werden. Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten ist unter activeMind.AG zu finden.
2. Newsletter und E-Mail Marketing nach der DSGVO
Unternehmen dürfen Kunden nicht zum Einverständnis zwingen, indem dieses an eine Vertragsabwicklung oder ähnliches gekoppelt ist. Das Häkchen zur Newsletter-Einwilligung darf kein Pflichtfeld mehr sein. Folgende Punkte sollten beim E-Mail Marketing und Newsletter beachtet werden:
- Ist ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister (E-Mail Marketing Software, Tracking Software, etc.) geschlossen?
- Entspricht der Dienstleister den gesetzlichen Anforderungen und kann dies ggf. nachweisen?
- Kann der Nachweis der Einwilligung zum Newsletter von allen Empfängern erbracht werden (E-Mail Adresse, Datum, Uhrzeit)?
- Wurden die Newsletter-Empfänger auf die aktuelle Datenschutzerklärung aufmerksam gemacht?
- Wird vermerkt, an welche Unternehmen die personenbezogenen Daten weitergegeben werden?
- Können Sie nachweisen, woher ihre Kontaktdaten stammen?
3. Liegt eine Datenschutz-Folgenabschätzung vor?
Mit Inkrafttreten der DSGVO müssen Unternehmen eine Datenschutz-Folgenabschätzung im Vorfeld vornehmen, wenn in der Datenverarbeitung ein Risiko für die Rechte und Freiheiten Dritter besteht. Dies ist der Fall, wenn zwei der folgenden Indizien erfüllt sind:
- Das Unternehmen verwendet automatisierte Entscheidungen
- Es gibt eine umfangreiche Datenverarbeitung
- Scoring und Profiling kommen zum Einsatz
- Es gibt eine systematische Überwachung der Kunden
- Ein Unternehmen führt Datenbestände zusammen und gleicht sie ab
- Es werden Daten besonders schutzbedürftiger Personen verarbeitet
- Neue Technologien kommen zum Einsatz
- Es gibt eine Datenübermittlung an Drittstaaten
Tipp: Die Vorgehensweise der internen Risikoabschätzung funktioniert im Prinzip analog zur Risikoanalyse im Projektmanagement.
4. Datenschutzerklärung überarbeiten
Die Datenschutzerklärung wird mit der neuen DSGVO detaillierter und die Informationspflichten werden detaillierter. Die bestehenden Erklärungen sollten am besten neu aufgesetzt werden und folgende Inhalte enthalten:
- Name und Kontaktdaten des Datenschutzbeauftragten
- Rechtsgrundlage für die Datenverarbeitung
- Bestehende berechtigte Interessen für die Datenverarbeitung (mit separater Widerspruchsbelehrung)
- Angaben zur Übermittlung von Daten in Drittländer und Garantien für ein angemessenes Datenschutzniveau
- Information über die Rechte betroffener Dritter auf Datenübertragbarkeit und auf Beschwerde bei Aufsichtsbehörden
- Bei automatisierten Entscheidungsfindungen die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung
- Löschfristen und gegebenenfalls die Kriterien für deren Festlegung
- Die Datenquelle, wenn Daten nicht beim Betroffenen erhoben werden (etwa aus einer öffentlichen Quelle)
Tipp: Die Deutsche Gesellschaft für Datenschutz bietet die Möglichkeit, kostenfrei Datenschutzerklärung eine individuelle Datenschutzerklärung zu generieren.
5. Das Tracking überprüfen
Tracking-Werkzeuge wie Google Analytics und Enconda sind erlaubt, allerdings unter strengen Voraussetzungen. Beim Einsatz von Google Analytics beispielsweise muss folgendes beachtet werden:
- Es muss wie bisher ein Vertrag mit Google zur Auftragsdatenverarbeitung geschlossen werden
- Die Nutzer müssen über die Widerspruchsmöglichkeit informiert werden
- Die Erweiterung „anonymized-IP“ muss eingesetzt werden
- Die Nutzer müssen in der Datenschutzerklärung über den Einsatz von Tracking-Werkzeugen informiert werden
Tipp: Eine kostenlose Vorlage für die Erstellung eines Auftragsdatenverarbeitungsvertrags ist bei der activeMind.AG, eine Anleitung zur IP Anonymisierung bei Google Analytics zu finden.
6. Nutzerrechte kommunizieren
Nutzer erhalten mit der neuen DSGVO neue Rechte. Darauf müssen Unternehmen vorbereitet und in der Lage sein, die entsprechenden Daten bereitstellen zu können. Dazu zählen:
- Auskunftsrecht
- Berechtigungs- und Löschungsrecht
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen
- Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen mit Grundlage in automatisierten Datenprozessen
7. Steht der Reaktionsplan bei Datenpannen?
Im Falle einer Datenpanne ist diese unverzüglich an die zuständige Landesdatenschutzbehörde zu melden, möglichst innerhalb von 72 Stunden. Notwendig bei einer Meldung ist:
- Eine Beschreibung der Art der Verletzung sowie eine ungefähre Zahl der betroffenen Personen, Datensätze bzw. Kategorien
- Der Name und die Kontaktdaten des Datenschutzbeauftragten
- Eine Beschreibung der zu erwarteten Folgen
- Eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Datenpanne
8. Sind alle Dienstleisterverträge erneuert?
Ein Vertrag mit dem Dienstleister zur Auftragsdatenverarbeitung war bereits nach bisherigem Recht erforderlich, zukünftig reicht ein in elektronisch Form geschlossener Vertrag aus.
9. Weiterführende Informationen
Anhand unserer Checkliste sind die wichtigsten Punkte der neuen DSGVO abgehandelt. Wer sich einen umfassenderen Überblick zum Thema Datenschutz verschaffen will, kann bei der Deutschen Gesellschaft für Datenschutz im Datenschutz-Handbuch nachlesen.
Unsere Checkliste mit den wichtigsten Änderungen
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!