WDiH – DATENSCHUTZBERATUNG FÜR DEN HANDEL

Praxisorientierte Datenschutzberatung und Stellung von externen Datenschutzbeauftragten für Ihr Unternehmen

Die 9 wichtigsten Tipps & Tricks zur Umsetzung der EU-DSGVO

Der Gesetzgeber sieht vor, dass jeder Betrieb angemessene Maßnahmen zum Schutz von personenbezogenen Daten vornimmt. Technische Maßnahmen erstrecken sich über sichere Türschlösser, Videoüberwachung, Virenschutz, Firewall und Back Ups bis hin zur Sensibilisierung der Mitarbeiter, Verpflichtung der Mitarbeiter auf das Datengeheimnis oder die Regelung der Nutzung des betrieblichen Internetzugangs und Emailkontos. Sprechen Sie hier mit Ihrem IT-Dienstleister darüber.

Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist ebenfalls eine datenschutzrechtliche Pflicht. Hier werden alle Verfahren anhand eines standardisierten Vordrucks dokumentiert (und in diesem Zusammenhang auch geprüft). Es ist dabei unerheblich, ob personenbezogene Daten elektronisch oder auf Papier verarbeitet werden. Ein Muster für eine Verfahrensdokumentation ist als Anlage angefügt.

Mit allen Dienstleistern, die in irgendeiner Form personenbezogene Daten in Ihrem Auftrag verarbeiten, müssen Sie eine vertragliche Regelung mit dem Namen Auftragsverarbeitung einsetzen. Nicht immer erscheint es offensichtlich, welche Dienstleister hier relevant sind. Beispiele sind etwa Steuerberater, Wirtschaftsprüfer, IT Service und Support, Software Support, Aktenvernichter, Newslettersystemanbieter, Webhoster, Websiteanalyseanbieter u.a. Gehen Sie auf Ihre Dienstleister zu, fragen Sie Ihre Dienstleister nach diesen Verträgen. Ein Mustervertrag ist angefügt.

Diese organisatorische Maßnahme gehört zum absoluten Pflichtprogramm im Datenschutz. Verpflichten Sie Ihre Mitarbeiter auf das Datengeheimnis und Verschwiegenheit. Verwenden Sie dafür am besten unsere angefügte Vorlage.

Aus datenschutzrechtlicher Sicht ist die einfachste Variante, die Email- und Internetnutzung zu privaten Zwecken offiziell zu untersagen. Ist die Privatnutzung erlaubt, gilt der Arbeitgeber als Telekommunikationsanbieter und hat damit weitaus strengere Auflagen, was Datenschutz und Löschfristen angeht. Sie können die Email- und/oder Internet-Nutzung auch eingeschränkt erlauben, wenn Ihre Mitarbeiter schriftlich auf die Rechte aus Telekommunikationsgesetz und dem Datenschutzrecht verzichten. Dies muss aber für jeden Mitarbeiter schriftlich dokumentiert werden.

Trick: Da beinahe jeder Mitarbeiter mittlerweile ein eigenes Smartphone besitzt und dieses zum privaten Surfen und Mailen verwenden kann, tut ein Verbot der Privatnutzung des betrieblichen Emailkontos und Internetanschlusses auch nicht weh. Verbieten Sie die Privatnutzung und erklären Sie, warum dies notwendig ist. Sprechen Sie uns gerne an, wenn Sie Hilfe bei der Ausarbeitung benötigen.

6.1 Datenschutzerklärung
Achten Sie auf eine aktuelle und umfassende Datenschutzerklärung auf Ihrer Website. Ein allgemein gültiges Muster gibt es nicht. Wir verweisen auf den Konfigurator von e-Recht24 unter dem Sie sich eine Datenschutzerklärung erstellen können. Der Link dazu www.datenschutz.org oder https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

6.2 Verschlüsselung der Website mit SSL Zertifikat
Verschlüsseln Sie die Datenübertragung zu und von Ihrer Website mit einem SSL Zertifikat. Fast jeder Hostinganbieter stellt für einen kleinen Betrag SSL Zertifikate zur Verfügung. Zudem werden Internetseiten die verschlüsselt sind, besser von Google gerankt, als solche ohne Verschlüsselung.

6.3 Newsletter ausschließlich per Double Opt In Verfahren
Achten Sie darauf, dass Sie von jedem Newsletterabonnenten ein dokumentiertes Double Opt In vorweisen können. Beim Double Opt In Verfahren willigt der Nutzer zunächst in die Datenschutzerklärung und Hinweise zum Widerruf ein, das dafür vorgesehene Kontrollkästchen (beziehungsweise Checkbox) darf nicht standardmäßig vorausgewählt sein. Eine aktive Handlung des Nutzers, nämlich das Bestätigen der Checkbox, ist obligatorisch. Das wäre das erste Opt In.

A. Das erste Opt In kann etwa so aussehen: ☐ Ja, ich möchte den Newsletter regelmäßig per E-Mail erhalten. Die Datenschutzhinweise* sowie Hinweise zum Widerruf habe ich zur Kenntnis genommen und stimme diesen zu. (*hier wird auf die ausführliche Datenschutzerklärung verlinkt) Kompakt: Hinweise zum Datenschutz Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters der Firma xxx verwendet. Dieser enthält Informationen zu Produkten, saisonalen Aktionen oder Neuerscheinungen. Ihre E-Mail-Adresse wird niemals für Werbezwecke an Dritte weitergegeben und nur im Rahmen des Newsletter-Versands genutzt. Hinweise zur Widerrufbarkeit Sie können diese Einwilligung jederzeit widerrufen, indem Sie sich aus der Liste austragen. Hinweise zur Abmeldung sind in jedem Newsletter enthalten. Alternativ können Sie eine E-Mail mit dem Betreff „Newsletter abmelden“ an xxxx@xxxxxxxx.de schicken.

B. Das zweite Opt In: Für das zweite Opt In, die Bestätigung seiner Emailadresse, erhält der Nutzer eine Email mit Bestätigungslink geschickt. Nur wenn er diesen anklickt, kann er zukünftig als Abonnent verwendet werden.
Datensparsamkeit beachten Achten Sie auch auf das Prinzip der Datensparsamkeit, das bedeutet in diesem Fall, dass nur die für den Newsletterversand notwendigen Daten erhoben werden. Wirklich notwendig ist beim Newsletter nur die Emailadresse. Andere Angaben (Name, Vorname, Geburtsdatum, Adresse) können jedoch auf freiwilliger Basis angegeben werden.
– Nur die Emailadresse sollte also ein Pflichtfeld bei der Newsletteranmeldung sein
– Andere Angaben können auf freiwilliger Basis erhoben werden

6.4 Kontaktformular nur verschlüsselt übertragen Achten Sie darauf, dass die Übermittlung von Kontaktformularen auf verschlüsseltem Weg passiert. Dies lässt sich ebenfalls mittels SSL Zertifikat umsetzen, Ihr Webhoster kann Ihnen hier weiterhelfen.

6.5 Auf die Verwendung von Cookies hinweisen Weisen Sie Websitebesucher auf die Verwendung von Cookies hin, auch wenn die Rechtslage zur Pflicht hier noch nicht ganz klar ist. Im Zweifelsfall fahren Sie mit einem Cookie Hinweis sicher, und mittlerweile verwendet quasi jede Website Cookies.

6.6 Auftragsverarbeitungsvertrag mit Websiteanalyse Anbieter Wenn Sie beispielsweise Google Analytics oder etracker einsetzen, müssen Sie mit diesen Anbietern einen Auftragsverarbeitungsvertrag abschließen.

Die DSGVO sieht vor, dass personenbezogene Daten nicht unbegrenzt lange gespeichert werden dürfen. In der Regel können Sie sich entweder an gesetzlichen Aufbewahrungsfristen oder der Gültigkeit von Einwilligungen zur Datenverarbeitung orientieren.

Faustregel:

  • Daten müssen gelöscht werden, wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind.
  • Daten müssen gelöscht (oder einschränkt) werden, wenn eine Einwilligung widerrufen wird.

Das Ganze sollten Sie für verschiedene Datenarten (Kundendaten, Kundenkarteninhaber, Mitarbeiterdaten, Newsletterabonnenten, Lieferanten, Systemloggingdaten, etc.) dokumentieren und dazu zur Löschungsprüfung (ein bis zwei Mal im Jahr) festlegen.

Setzen Sie die Informationspflichten gemäß den Artikeln 12, 13, 14 und 21 um. Beispielsweise durch Aushang im Ladengeschäft. Sie können auch Ihre Datenschutzerklärung auf der Homepage um die „Offline“ Datenverarbeitungsprozesse ergänzen und auf diese verweisen.

Das muss rein:

  • Verantwortliche Stelle
  • Datenschutzbeauftragter (falls Verpflichtung zur Benennung gegeben)
  • Art der verarbeiteten Daten
  • Verarbeitungszwecke
  • Rechtsgrundlagen
  • Empfänger bzw. Kategorien von Empfängern der Daten
  • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht
  • Beschwerderecht
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Während die Datenschutzgrundverordnung auf einem risikobasierten Ansatz die Verpflichtung zur Bestellung eines Datenschutzbeauftragten festlegt, ist der deutsche Gesetzgeber im Bundesdatenschutzgesetz – neu bei der Verpflichtung zur Bestimmung eines Datenschutzbeauftragten von der Anzahl der mit der Verarbeitung beschäftigten Personen ausgegangen (§ 38 BDSG).
Danach ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ob hierbei eine ständige Beschäftigung dann vorliegt, wenn es die Kernaufgabe des Mitarbeiters ist oder auch gelegentliche über den bloßen Einzelfall hinausgehende Tätigkeiten so ausreichend sind, ist noch nicht hinreichend geklärt.
So dürfte ein Einzelhändler, der 30 Mitarbeiter/-innen beschäftigt, von denen 5 ständig in der Personalverwaltung und Buchhaltung arbeiten und 25 auf der Fläche Verkaufstätigkeiten nachgehen, der Bestellpflicht eines Datenschutzbeauftragten nicht unterliegen, selbst wenn die 25 Mitarbeiter/-innen auf der Fläche regelmäßig Kundendaten zur Übernahme in eine Kundendatenkartei sowie zur Umsetzung eines Kundenbindungssystems in Form einer Kundenkarte erheben.

Die wichtigsten Muster und Vorlagen finden Sie in unserem Download-Bereich.