WDiH – DATENSCHUTZBERATUNG FÜR DEN HANDEL

Praxisorientierte Datenschutzberatung und Stellung von externen Datenschutzbeauftragten für Ihr Unternehmen

Was ist die DSGVO?

Stichtag zur vollen Wirkungsentfaltung der DSGVO ist der 25. Mai 2018. Es gibt für die Umsetzung notwendiger Maßnahmen keine weiterreichende Schon- oder Übergangsfrist. Seit dem 25. Mai drohen Unternehmen, die gegen die DSGVO verstoßen, Strafen in Höhe von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes. Zusätzlich drohen Unternehmen kostenintensive Abmahnungen. Betroffen von der DSGVO sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Hierzu genügt mitunter schon der E-Mailverkehr in Ihrem Postfach, wodurch jedes Unternehmen betroffen ist. Denn unter der Verarbeitung personenbezogener Daten ist die Erhebung, Speicherung, Offenlegung oder auch das Löschen eben jener zu verstehen.

Dabei ist es egal, ob es sich um Daten von Kunden oder Mitarbeitern handelt. Personenbezogen sind Daten immer dann, wenn sie sich auf eine identifizierbare Person beziehen. Wobei es unerheblich ist, ob die Identifizierung nur theoretisch möglich oder praktisch vorhanden ist.

Eine Verarbeitung personenbezogener Daten ist ab dem Stichtag nur noch erlaubt, wenn es eine gesetzliche Legalisierung oder eine wirksame Einwilligung für diese gibt. Gesetzlich erlaubt ist die Verarbeitung im Rahmen der Beantwortung von Anfragen und zum Zweck der Vertragsabwicklung, Erfüllung anderer gesetzlichen Verpflichtungen (z. B. Steuerrecht) oder bei berechtigtem Interesse. Zur Wirksamkeit einer Einwilligung ist zu beachten, dass es notwendig ist, dass die Einwilligung freiwillig, also mit einer Wahlmöglichkeit und informiert erfolgt. Ferner existieren ein Kopplungsverbot und das Unternehmen muss die Einwilligung nachweisen. Dies kann bei einem Online-Formular beispielsweise durch Protokollierung der Einwilligung samt Timestamp, Einwilligungstext und (verkürzter) IP-Adresse erfolgen.

Egal ob es eine gesetzliche Grundlage oder Einwilligung zur Erhebung der Daten gab, die DSGVO regelt auch die Löschung und Zweckbindung dieser Daten samt Dokumentationspflichten. Unternehmen sind verpflichtet, Verfahren in denen personenbezogene Daten verarbeitet werden, in einem Verarbeitungsverzeichnis zu dokumentieren und auf Verlangen entsprechenden Behörden bei einer Prüfung vorzulegen. Außerdem haben Betroffene das Recht auf ein vergessen werden und Löschung der Daten. Ein „Hamstern“ der Daten und Zweckentfremden der Datennutzung ist untersagt.

Die DSGVO regelt aber auch weitere Rechte der Betroffenen. So haben eben jene das Recht auf Auskunft. Entsprechende Anfragen müssen umgehend und vollständig beantwortet werden. Ferner können Betroffene die Löschung oder Korrektur der Daten verlangen.

Zusammenfassend kann man die Datenschutzprinzipien nunmehr wie folgt darstellen:

Rechtmäßigkeit – Man darf personenbezogene Daten nur dann verarbeiten, wenn es rechtlich zulässig ist.
Transparenz – Es muss eine Nachvollziehbarkeit in der Verarbeitung personenbezogener Daten gewährleistet sein, was zum Beispiel eine vollständige und verständliche Datenschutzerklärung notwendig macht.
Verbot der Verarbeitung mit Erlaubnisvorbehalt – Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn sie wurde durch das Gesetz erlaubt.
Zweckbindung – Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden. Eine Zweckänderung ist nur dann zulässig, wenn sie mit dem ursprünglichen Erhebungszweck vereinbar ist.
Datenminimierung – Eine Datenerhebung auf Vorrat ist verboten. Die Erhebung von personenbezogenen Daten muss sich auf das Maß beschränken, dass für den Verarbeitungszweck notwendig ist.
Integrität & Vertraulichkeit – Die Daten müssen vor unbefugter Verarbeitung, Löschung, Veränderung oder Zerstörung durch geeignete und zeitgemäße technische und organisatorischen Maßnahmen geschützt werden.
Privacy by Design – Datenschutzmaßnahmen müssen bereits bei der Konzeption von Produkten und Verfahren nach aktuellem Stand der
Technik einbezogen werden.
Privacy by Default – Voreinstellungen in Geräten / Softwareprodukten sollen standardmäßig die höchste Datenschutzstufe haben.

Betrifft Sie die DSGVO überhaupt?

Jedes Unternehmen ist betroffen. Folgende Beispiele zeigen Ihnen beispielhafte Bereiche:

Mitarbeiterdaten / Lohnabrechnung
Die Daten Ihrer Mitarbeiter, wie Name, Anschrift und Geburtsdatum sind personenbezogene Daten im Sinne der DSGVO.

E-Mail-Account
Schreiben Sie regelmäßig E-Mails? Sind in ihnen beispielsweise Name und Anschrift Ihrer Kunden, zum Beispiel zu einer Reservierung, enthalten

Website mit Kontaktformular, Besucheranalysen oder Onlineshop
Nutzen Sie ein Kontaktformular oder Shop, in dem Sie Daten von Ihren Besuchern erheben, so ist in der Regel eine Datenschutzerklärung notwendig. Ebenso hat die Übertragung der Daten Ihrer Website (abhör-) sicher nach aktuellem Stand der Technik verschlüsselt zu erfolgen (SSL-Zertifikat). Auch eine kleine Website, ohne die Erfassung von Daten mittels Formular, sammelt in der Regel Daten von den Besuchern, die gegebenenfalls eine Identifizierung ermöglichen (zum Beispiel durch die IP-Adresse). Dies kann durch Serverstatistiken oder Analysetools wie Google Analytics passieren, ohne dass Sie dies bisher bewusst wahrgenommen haben

Newsletter per E-Mail, WhatsApp & Co.
Für Newsletter gilt das Prinzip von einem Double-Opt-In, dass heißt, der Benutzer muss die Eintragung in die Liste der Empfänger ein zweites Mal per Mail oder Link-Klick bestätigten. Auch hier ist eine informierte und verständliche Einwilligungserklärung und Verarbeitungsverzeichnis notwendig

Kassensystem
Sie haben ein Kleidungsgeschäft in der Innenstadt und Fragen Ihre Kunden nach ihrem Namen und Anschrift, damit Sie ihnen einen Kundenaccount für Rabatte, vereinfachte Reklamationen und ggf. Mailings anlegen können? Auch hierbei handelt es sich um eine Verarbeitung von personenbezogenen Daten, welche u.a. eine dokumentierte und informierte Einwilligung und das Verarbeitungsverzeichnis notwendig macht

Kundenverwaltung / Rechnungssoftware
Nutzen Sie eine Software, in der Sie Kundendaten erfassen, Angebote und Rechnungen erstellen, oder die Kommunikation dokumentieren? Werden diese Daten verschlüsselt, oder der Zugang dazu? Haben Sie ein Verarbeitungsverzeichnis?

Jetzt Beratungstermin vereinbaren