Die DSGVO (Datenschutz-Grundverordnung) wird in vielen Teilen das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wird aus diesem Grund derzeit angepasst.

Die neue DSGVO

• regelt den Umgang von Unternehmen mit personenbezogenen Daten
• gilt EU-weit
• soll das Datenschutzrecht in das Zeitalter der Digitalisierung führen
• wirft heute gültige Datenschutzregelungen zu großen Teilen “über den Haufen”
• betrifft jedes Unternehmen, aber auch Vereine und Institutionen, die im Internet tätig sind und/oder personenbezogene Daten nutzt

Wenn Sie detaillierte Informationen wünschen, finden Sie diese auf: www.bundesregierung.de

Ab 25. Mai 2018 tritt die neue EU-weite Datenschutzgrundverordnung in Kraft. Sie sollten bis dahin vor allem Ihre Webseite angepasst haben.

Die DSGVO gilt für

• alle Unternehmen, Vereine, Behörden und Verbände, die in der EU ansässig sind und auch
• für alle außereuropäischen Unternehmen, die eine Niederlassung in der EU haben oder personenbezogenen Daten von EU-Bürgern verarbeiten.

Wie ein Impressum aussehen muss, hängt von der jeweiligen Geschäftsform Ihres Unternehmens ab. Grundsätzlich kann man jedoch sagen, dass Sie immer ein Impressum absetzen müssen. Dieses muss von jeder Seite Ihres Webauftritts schnell erreichbar sein.

Wir beraten Sie gerne beim Erstellen von Impressum, Datenschutz und Disclaimer. Sprechen Sie uns an.

Ja, Sie benötigen als Unternehmen immer eine eigenständige Seite zum Thema Datenschutz. Die Datenschutzerklärung darf nicht in andere Seiten wie z. B. dem Impressum oder den AGBs integriert werden und muss von jeder Seite Ihres Internetauftritts aus mit einem Klick erreichbar sein. Am einfachsten lösen Sie das durch einen Link am Fuß jeder Inhaltsseite. Erstellen Sie eine Seite mit dem Namen „Datenschutz“ und füllen Sie diese mit den für Ihr Unternehmen relevanten Datenschutz-Themen. Wichtig hierbei: Wählen Sie für Ihre Datenschutzerklärung eine einfache und verständliche Sprache.

Wir beraten Sie gerne beim Erstellen von Impressum, Datenschutz und Disclaimer. Sprechen Sie uns an.

Der Datenschutz sieht von Webseite zu Webseite verschieden aus. Das hängt von den genutzten Funktionen, eingesetzten Techniken und eingesetzten Drittanbieter-Tools ab.

Diese Themen kann eine Datenschutz-Seite enthalten:

• allgemeine Datenschutzerklärung
• Cookies
• Server-Log-Dateien
• Kontaktformular
• Newsletterversand
• Google Analytics
• Google Analytics Auftragsdatenverarbeitung
• Google Analytics IP-Anonymisierung
• Demografische Merkmale bei Google Analytics
• etracker
• Matomo (ehemals Piwik)
• WordPress Stats
• eRecht24 Safe Sharing Tool
• Facebook
• Facebook-Pixel
• Twitter
• Google+
• Instagram
• LinkedIn
• Pinterest
• Google Web Fonts
• SoundCloud
• Google Maps
• Xing
• Tumblr
• YouTube
• Google Adsense
• Google Analytics Remarketing
• Google AdWords und Google Conversion-Tracking
• Amazon Partnerprogramm
• Nutzerregistrierung
• Kommentarfunktion
• Kommentarfunktion mit Angabe der E-Mail-Adresse
• Kommentarfunktion mit Speicherung der IP-Adresse
• Kommentarfunktion mit Abonnieren von Kommentaren
• SSL-Verschlüsselung der Webseite
• Datenschutzerklärung zum Verarbeiten von Kunden- und Vertragsdaten
• Datenübermittlung – Online-Shops & Händler (mit Warenversand)
• Datenübermittlung – Dienstleister, die online Verträge schließen (ohne Warenversand)
• verschlüsselter Zahlungsverkehr
• Hinweis zu Auskunft, Löschung, Sperrung von Daten
• Widerspruch gegen Werbe-E-Mails

Wir beraten Sie gerne beim Erstellen von Impressum, Datenschutz und Disclaimer. Sprechen Sie uns an.

Wenn Sie Inhalte Ihrer Webseite in anderen Sprachen anbieten, müssen Sie auch die Datenschutzerklärung in den entsprechenden Sprachen vorhalten.

Eine Verschlüsselung wird Pflicht, wenn Sie per Kontaktformular (jeglicher Art) Anfragen erhalten. Dann müssen die Angaben aus dem Anfrageformular inklusive der vom Benutzer dort angegebenen Kontaktdaten verschlüsselt übertragen werden.

Wir empfehlen jedoch grundsätzlich eine Verschlüsselung der Webseite. Einige Browser strafen Webseiten ohne Verschlüsselung ab, indem sie einen Hinweis bringen, dass die Webseite „nicht sicher“ ist. Ein seriöses Unternehmen sollte die Einblendung solcher Hinweise natürlich vermeiden.

Auch bietet eine SSL-Verschlüsselung einen Vorteil im Ranking der Suchmaschinen. Laut einer Studie von SEO-Fachleuten ist ein SSL-Zertifikat mit fünf Prozent an der Sichtbarkeit der Seiten beteiligt. Nähere Informationen zur Studie finden Sie hier: www.seo-kueche.de/blog/warum-jede-webseite-ein-ssl-zertifikat-benoetigt/

Zu den personenbezogenen Daten zählen:

• Name
• Anschrift
• Telefonnummer
• Geburtsdatum
• E-Mail-Adresse
• Kontodaten
• Kfz-Kennzeichen
• Einkommen
• Ausbildung
• Standortdaten
• IP-Adresse
• Kauf-, Surf- und Klick-Historie
• etc.

Immer dann, wenn personenbezogene Daten nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können, bewegen Sie sich im Bereich des Datenschutzrechts.

Hier ein kurzer Zeitrahmen:

• Mai 2016
  DSGVO tritt in Kraft, ist aber noch nicht anwendbar; Mitgliedsländer der EU können nationale Regelungen anpassen.
• Januar 2017
  Vorstellung der neuen E-Privacy-Verordnung
• 2017
  Ausarbeitung und Umsetzung von Vorschlägen für Anpassung in den EU-Mitgliedsstaaten;
  in Deutschland: Anpassung des Bundesdatenschutzgesetzes.
• Mai 2018
  Die DSGVO und die E-Privacy-Verordnung gelten direkt in allen EU-Mitgliedsstaaten

Bei Verstößen sind Sie haftbar und es drohen Bußgelder und Strafen: es soll also weh tun. Die bisher vorgesehenen Bußgelder bei Datenschutzverstößen waren – für große Unternehmen – nicht der Rede wert. Das ändert sich jetzt.

Bußgelder nach Artikel 83 und 84 der DSGVO:
„Geldbuße bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes“

Wichtig: Bei Verstößen von Tochterunternehmen kann die Unternehmensgruppe bzw. der Konzern haften. Bei der Bemessung kann der Umsatz der Unternehmensgruppe bzw. des Konzern als Grundlage dienen.

Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.

Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings voraussichtlich erst 2019.

Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:

• A(D)V Vertrag mit Google abgeschlossen
• IP Anonymisierung aktiviert
• Opt-out Möglichkeiten für Desktop und Mobil

Achten Sie darauf, dass Sie ab dem 25. Mai 2018 einen DSGVO-konformen AV-Vertrag mit Google abschließen.

Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten weiter.

Ausnahmen:
• Koppelungsverbot* bei alten Einwilligungen nicht beachtet
• Einwilligungen durch Minderjährige

Für Preisauschreiben oder neue Newsletter-Aktionen wird eine Einwilligung benötigt, wenn keine gesetzliche Erlaubnis zum Speichern / Übertragen von Daten vorhanden ist.

Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.

*Kopplungsverbot: Verbot, eine Vertragsleistung (ohne dass es erforderlich ist) von einer Einwilligung in die Datenverarbeitung abhängig zu machen bspw. die Teilnahme an einem Gewinnspiel.

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind  müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte

Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.

Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutzbeauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben.