Die Datenschutz-Grundverordnung (DSGVO), Englisch: General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Die neue DSGVO stellt kein absolutes Neuland dar. Vielmehr griff sie in weiten Teilen die Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG) auf.

Neu ist aber, dass nun das Unternehmen die Nachweispflicht der Einhaltung einer rechtskonformen Datenverarbeitung trifft, getreu dem alten Sprichwort: „Wer schreibt, der bleibt!“.

Datenerhebung und -verarbeitung ist dabei grundsätzlich nur unter zwei Voraussetzungen zulässig: Der Betroffene willigt ausdrücklich in die Verarbeitung seiner Daten ein oder es gibt hierfür eine gesetzliche Ermächtigung. Da die Einwilligung von den Betroffenen zweckgebunden gegeben wird, ist eine Aufklärung über den Zweck der Datenerhebung erforderlich. Ein Widerruf der Datenverwendung muss jederzeit möglich sein.

Glaubten manche Unternehmen vielleicht bislang, dass die Daten ihrer Kunden, die sie in Adressverzeichnissen und Datenbanken halten, ihnen gehören, so macht die Datenschutz-Grundverordnung deutlich, dass dem nicht so ist. Wer Kundendaten hat oder hält oder in großem Stile verarbeitet, verfügt über diese Daten nur leihweise. Und diese Form der „Ausleihe“ kann vom Inhaber jederzeit zurückgefordert werden.

Datenschutz betrifft dabei nicht nur Kundendaten. Auch Mitarbeiterdaten und Daten der Ansprechpartner bei Dienstleistern müssen geschützt sein.

Das genaue Vorgehen bei der Umsetzung der DSGVO-Vorschriften wird zum umfassenden Projekt, da alle Fachbereiche eines Betriebs betroffen sind. Der wichtigste erste Schritt ist die Erstellung des Verarbeitungsverzeichnisses. Darin werden alle Datenverarbeitungen dokumentiert. Anhand dieses Verzeichnisses können im Anschluss alle weiteren Anforderungen der DSGVO gesteuert und umgesetzt werden. Sofern im Unternehmen ein gut geführtes Verfahrensverzeichnis besteht, kann dieses als Basis für das neue Verarbeitungsverzeichnis dienen.

Darüber hinaus muss ein entsprechendes unternehmensweites Bewusstsein über Bedeutung und Anforderung geschaffen werden. Beispielsweise kann ein möglicherweise Datenschutzbeauftragter, der bei mehr als neun ständig mit elektronischer Datenverarbeitung betrauten Mitarbeitern notwendig wird, seine Aufgabe nicht ohne die umfassende Unterstützung der Geschäftsleitung umsetzen.

Unternehmer sollten alle ihre Anstrengungen unbedingt dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutzerklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können.

Der nächste Schlüsselfaktor für die Einhaltung der DSGVO ist die Anpassung der IT-Systeme. So sollten die Auskunftsfunktionen in die IT-Systeme integriert werden - damit bei der Offenlegung oder Löschung der Aufwand in Grenzen gehalten wird. Betriebe können auf verfügbare Software setzen, welche die Vorgänge automatisiert und so bei der Einhaltung der Verordnung unterstützt.

Da fast jeder Betriebsinhaber auch Betreiber einer eigenen Website ist, liegt hierin weiterer Handlungsbedarf.

Eine Datenschutzerklärung mussten Internetseiten zwar schon bisher enthalten, durch die DSGVO sind jedoch neue weitreichendere Informationspflichten dazugekommen: Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden.

Personenbezogene Daten werden beispielsweise vom Facebook-Like-Button weitergegeben. Auch wer das Google Captcha nutzt, um zu verhindern, dass Roboter Kommentare auf der Seite hinterlassen, oder Akismet nutzt, ein beliebtes Plug-in, das Spam-Kommentare herausfiltert, gibt personenbezogene Daten weiter - zum Teil an einen amerikanischen Server. Das ist vielen Webseitenbetreibern nicht bewusst.

Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Nutzer laut DSGVO haben und genauso wie das Impressum von jeder Unterseite der Website mit nur einem Klick abrufbar sein.

Der Webhoster (Provider) stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netwerkanbindung. Ist mit solchen Dienstleistungen nur der Internet-Zugangsdienst ohne die Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webhoster allerdings auch Aufgaben, bei denen sie personenbezogene Daten verarbeiten, wie beispielsweise die E-Mail-Verwaltung oder die E-Mail-Archivierung, dann liegt eine Auftragsverarbeitung vor und so muss der Laborinhaber einen Vertrag zur Auftragsverarbeitung schließen.

Auch wer Newsletter-Dienste wie MailChimp, CleverReach und Newsletter2Go verwendet, muss mit dem entsprechenden Dienstleistungspartner einen Vertrag zur Auftragsverarbeitung schließen.

Außerdem empfiehlt es sich das Anmeldeformular zu überarbeiten. Dort muss stehen, welchem Zweck der Newsletter dient und welche Informationen Abonnenten erhalten, wenn sie sich dafür anmelden.

Als Pflichtfeld darf lediglich die E-Mail-Adresse abgefragt werden. Nutzer müssen zudem deutlich darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können. Setzen Sie also auch auf der Seite mit dem Anmeldeformular einen Link auf das Abmeldeformular.

Damit nicht jemand gegen seinen Willen als Abonnent eingetragen wird und Sie als Newsletterbetreiber die Einwilligung rechtssicher nachweisen können, gilt es das so genannte Double-Opt-in-Verfahren zu nutzen. Das heißt, bevor Sie eine E-Mail-Adresse für den Newsletterversand aktivieren, muss der Nutzer über einen personalisierten Bestätigungslink (sogenannte Check-Mail) nochmals bestätigen, dass er tatsächlich Inhaber dieses Postfachs ist.

Eine letzte große DSGVO-Herausforderung liegt in der Einschätzung des Datenschutzverständnisses der jeweiligen Geschäftspartner. In der Zusammenarbeit mit einigen Partnern sind sicherlich Sensibilität und Geduld gefragt. Außerdem war über einen langen Zeitraum nicht bei allen Details klar, wie man diese lösen kann.

Man muss sich vor Augen halten, dass die DSGVO in Ihrer finalen Ausgestaltung auch die Aufsichtsbehörden vor so manches Fragezeichen stellte. Daher ist es oft lohnenswert, eigene Lösungen zu entwickeln und diese mit der Aufsichtsbehörde oder über Verbände abzustimmen. Es gibt mit der DSGVO die Möglichkeit, für Branchen oder Verarbeitungen Standardvertragsklauseln oder Zertifizierungen zu etablieren.

Im Kern hat der Gesetzgeber mit der DSGVO das Ziel verfolgt, dass Datenschutz ernst genommen wird. Dies dürfte gelungen sein, bei leider jedoch zu hohem bürokratischem Zusatzaufwand, der insbesondere Inhaber kleinerer Unternehmen und ehrenamtliche Vereinsvorstände hart trifft.

Vorheriger Beitrag Nächster Beitrag

Ihr Ansprechpartner

christian.mankel

Christian Mankel