sichgbar-im-netz - Datenschutz - DSGVO - 10 Quellen

Die 10 besten Informationsquellen zur neuen Datenschutz-Grundverordnung

In dieser Liste finden Sie eine Zusammenstellung von verschiedenen hilfreichen Blog-Beiträgen und Informationsquellen zur neuen Datenschutz-Grundverordnung.

Das neue Gesetz ist sehr komplex und umfangreich. Gleichzeitig sind davon mehrere Millionen Unternehmen (und weitere Institutionen) betroffen. Viele Verantwortliche haben bisher nur wenig Erfahrung mit Datenschutzthemen sammeln können. Dementsprechend ist die Verunsicherung auf allen Ebenen groß. Die Autoren der folgenden Beiträge haben versucht die Informationen einfach und auch für Laien nachvollziehbar darzustellen. Wir haben hier eine Auswahl nützlicher Artikel zusammen gestellt.

Kennen Sie noch weitere gute Quellen? Gerne ergänzen wir die Liste entsprechend. Senden Sie uns Ihre Vorschläge an info@sichtbar-im-netz.de 

 

Datenschutz-Grundverordnung (DSGVO) – Was ist jetzt zu tun?

im Blog von Michaela Steidl (WordPress Bistro)

In dieser Artikelserie stellt Michaela Steidl alle wichtigen Aspekte der DSGVO dar und gibt eine Vielzahl von Umsetzungbeispielen.

Hier geht es zum Artikel…

 

DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt

im Blog von Ernesto Ruge

In diesem Vergleich zeigt der Programmier-Experte Ernesto Ruge die Unterschiede zwischen den aktuell geltenden Datenschutz-Gesetzen und der neuen DSGVO auf. Vieles was zunächst neuartig scheint, ist auch jetzt bereits von Unternehmen zu erfüllen. Grundlegende Änderungen sind nur in wenigen Punkten zu erkennen. Ein guter Artikel, um eine realistische Sicht einzunehmen.

Hier geht es zum Artikel…

 

DSGVO: Chance statt Schreckgespenst

im Blog von Monika Birkner

Veränderung als Chance – so geht Monika Birkner (Coach für Solopreneure) an das Thema heran. Zunächst einmal Informationen sammeln, sortieren und bewerten und dann Schritt für Schritt in die Umsetzung gehen ist Ihre bewährte Devise. Sehen Sie sich auch unten im Beitrag weitere gute Links zu anderen Quellen an.

Hier geht es zum Artikel…

 

Wie wirkt sich die DSGVO auf Unternehmen aus?

im Blog bei sdworx

In diesem Beitrag werden die grundlegenden Fragen und Definitionen zur neuen Datenschutz-Grundverordnung geklärt.

Hier geht es zum Artikel…

 

5 Gründe, warum Sie die DSGVO gut meistern werden!

im Blog von Regina Stoiber, Datenschutz-Expertin

Ein Beitrag für alle die an der Grenze zur Panik stehen, wenn Sie auf den 25.Mai schauen. In fünf einfachen Punkten erklärt die Datenschutz-Experten Regina Stoiber, wie Sie die DSGVO meistern können. Angefangen vom Verarbeitungsverzeichnis, über die Auftragsverarbeitung, bis zum Online-Auftritt ist alles dabei.

Hier geht es zum Artikel…

 

Die DSGVO und dein Online Business

im Blog von Andreas Stocker

Was muss ich in Hinsicht auf meine Partner, Dienstleister und Kunden in Hinsicht auf die DSGVO beachten? Dies ist einer der Hauptinhalte des sehr umfangreichen und detaillierten Beitrags auf andreasstocker.at. Er geht hier sowohl auf E-Mail und Cloud Dienste, wie auch Virtuelle Assistenten, aber auch auf grundlegende Regelungen und Pflichten ein. Schauen Sie sich zunächst das Inhaltsverzeichnis an, um einen Überblick zu gewinnen.

Hier geht es zum Artikel…

 

Haftung für Links, Embedding und Sharing – Urheberrecht und Datenschutz

von Rechtsanwalt Thomas Schwenke

Verlinken und eingebettete Inhalte bekommen mit der neuen Datenschutz-Verordnung wieder große Bedeutung. Viele Plattformen von großen Anbietern nutzen nämlich die Gelegenheit, um für sich Nutzungsdaten zu „ziehen“. Worauf Sie in den Zusammenhang aufpassen müssen, zeigt Ihnen dieser Beitrag.

Hier geht es zum Artikel…

 

Übersicht und Checkliste zur neuen Datenschutzgrundverordnung (DSGVO)

von der Kanzlei resmedia

In dieser kompakten Checkliste finden die alle wichtigen Punkte welche Sie als Unternehmer in Bezug auf die DSGVO kennen sollten.

Hier geht es zur Checkliste…

 

8-Schritte-Plan, wie Sie die neue Datenschutz-Novelle als Website-Betreiber umsetzen

im Blog von DomainFactory

Das Team vom Webhoster DomainFactory zeigt in übersichtlichen Schritten, wie Sie die DSGVO für Ihre Webseite umsetzen können.

Hier geht es zum Artikel… 

 

Der DSGVO-Albtraum-Brief: Ein Kunde will an seine Daten

auf LinkedIn.com

In diesem fiktiven Beispiel zeigt Roman Abashin wie eine Nachfrage eines Kunden nach seinen gespeicherten Daten nach dem 25.5. aussehen könnte. Sehr unterhaltsam zu lesen.

Hier geht es zum Beitrag…

Die neue Datenschutzgrundverordnung – fünf wichtige Fakten für Unternehmer

Für Unternehmer und Selbstständige hat die Datenschutzgrundverordnung (DSGVO) der Europäischen Union größte Bedeutung. Bei Nichtbeachtung der Bestimmungen der DSGVO drohen ab 25. Mai 2018 Bußgelder in Millionenhöhe.

Wir informieren Unternehmens-Verantwortliche hier über die wichtigsten Fakten zum neuen Datenschutzrecht. Die Informationen sind nach besten Wissen zusammengestellt, wir übernehmen aber keine Haftung für die Richtigkeit.

1. Wen betrifft die neue Datenschutzgrundverordnung?

Die DSGVO betrifft gemäß Artikel 2 alle Unternehmen,

• die personenbezogene Daten ganz oder teilweise automatisiert verarbeiten oder

• die zwar keine automatisierte Datenverarbeitung durchführen, personenbezogene Daten jedoch in einem Dateisystem speichern.

Die DSGVO enthält Regelungen zum Schutz personenbezogener Daten natürlicher Personen. Die Verordnung gilt in den einzelnen EU-Mitgliedsstaaten als unmittelbares Recht.

Einige DSGVO-Öffnungsklauseln ermöglichen den einzelnen EU-Mitgliedsstaaten eine individuelle Datenschutz-Ausgestaltung auf nationaler Ebene. Der deutsche Gesetzgeber verabschiedete in diesem Zusammenhang ein neues Bundesdatenschutzgesetz (BDSG neu), mit dem er die in der DSGVO enthaltenen Öffnungsklauseln nutzte. Das „BDSG (neu)“ tritt zeitgleich mit der DSGVO in Kraft.

2. Auswirkungen der DSGVO auf Online-Marketing Kampagnen

Im Datenschutzrecht gilt der Grundsatz: Personenbezogene Daten dürfen nicht verarbeitet werden – es sei denn, es liegt ein gesetzlicher Ausnahme-Tatbestand vor. (Zu den personenbezogenen Daten gehören alle Informationen, mit denen Personen identifiziert werden können – dazu gehören nicht nur Namen, Adressen und Telefonnummern, sondern auch alle Daten, die eine personifizierte Werbung ermöglichen oder einen individuellen Bezug zu einer Personengruppe erlauben.)

Im Direktmarketing wird in aller Regel ein individueller Personenbezug hergestellt. Zu den verwendeten personenbezogenen Daten gehören beispielsweise die auf Cookies gespeicherten Daten sowie IP-Adressen. Derartige Daten bezwecken zumindest die Identifikation von Zielpersonen für Werbemaßnahmen. Anonymisierte, aggregierte Daten zum Beispiel aller Besucher einer Webseite fallen hingegen nicht unter den Begriff der personenbezogenen Daten. Ein völlig anonymisiertes Online-Marketing ist aufgrund der regelmäßig erfolgenden Erhebung von IP-Adressen allerdings kaum möglich.

Eine Verarbeitung personenbezogener Daten ist ausnahmsweise zulässig, wenn

• berechtigte Interessen vorliegen (Artikel 6 Absatz 1 Buchstabe f DSGVO, beispielsweise bei beabsichtigtem Online-Marketing), falls entgegenstehende Interessen oder Rechte der von der Nutzung ihrer Daten betroffenen Personen nicht überwiegen oder

• eine Einwilligung einer betroffenen Person vorliegt (Artikel 6 Absatz 1 Buchstabe a DSGVO).

Datennutzung bei „berechtigtem Interesse“

Zu den berechtigten Interessen von Personen, die von einer Speicherung oder Verarbeitung personenbezogener Daten betroffen sind, zählt insbesondere ein wirksamer Schutz der Privatsphäre. Mündige Bürger und Verbraucher sollen wissen, welche Stellen über welche personenbezogenen Information zu welchem Zweck verfügen. Zudem sorgt eine geschützte Privatsphäre für die Vermeidung von Fremdeinfluss auf den gesellschaftlichen Meinungswettbewerb.

Ob die berechtigten Interessen der datenverarbeitenden Unternehmen oder aber die aus der Privatsphäre abgeleiteten Rechte betroffener Personen überwiegen, entscheidet sich in einer individuellen Interessenabwägung. Danach werden insbesondere folgende Kriterien zur Beurteilung der Zulässigkeit einer Marketing-Maßnahme herangezogen:

• Erwartbarkeit einer Online-Marketing-Maßnahme: Übliche und typische Marketing-Maßnahmen sind eher erlaubt als ungewöhnliche und überraschende Aktionen beispielsweise in den Social Media.

• Transparenz: Eine eingehende Information von Nutzern schafft Verständlichkeit und sorgt für Entscheidungsfreiheit betroffener Personen.

• Das Double-Opt-in-Verfahren gewährleistet den geforderten Nachweis einer Nutzer-Einwilligung.

• Die Möglichkeit zum Opt-Out belässt dauerhaft eine Entscheidungsmöglichkeit über eine weitere Teilnahme an Online-Marketing-Maßnahmen beim Nutzer.

• Pseudonymbildung: Für die Zulässigkeit einer Marketing Maßnahme spricht, wenn keine individuellen Personendaten verwendet werden (wie zum Beispiel Name, E-Mail-Adresse oder IP-Adresse).

• Intensität der Nutzer-Beeinträchtigung: Je weniger detailliert die verwendeten Nutzer-Profile, desto geringer die mögliche Beeinträchtigung betroffener Personen.

• Garantien zur Datensicherheit: Spezielle vertragliche Verpflichtungen des Nutzers personenbezogener Daten (z. B. auf bestimmte Zwecke begrenzte Datenverwendung,

• Eine zeitliche Befristung der Datennutzung und die Verpflichtung zur Datenlöschung auf Verlangen betroffener Personen sprechen eher für die Zulässigkeit von Marketing Aktionen.

• Minderjährigen-Schutz. Da Minderjährige die Rechtsfolgen einer Teilnahme an Marketing-Maßnahmen schlechter einschätzen können, genießen sie einen besonderen Schutz. Eine Social Media Webseite, zu deren Zielgruppen Minderjährige gehören, muss daher besonders hohe Anforderungen an den Datenschutz erfüllen.

Folglich kann keine generelle Aussage darüber getroffen werden, welche Marketing Tools zulässig sind und welche gegen das Datenschutzrecht verstoßen. Denn Marketing-Tools sind häufig mit individuellen Optionen ausgestattet, die sich unterschiedlich auf Suchergebnis auswirken. Eine rechtlich sichere Einschätzung ist daher nur durch eine sorgfältige Interessenabwägung im Einzelfall möglich.

Datennutzung nach Einwilligung der betroffenen Personen

Eine Verwendung personenbezogenen Daten kommt auch aufgrund einer Einwilligung der betroffenen Personen in Betracht (Artikel 7 DSGVO).

Eine Einwilligung erfordert eine freiwillige, ausdrückliche Erklärung der von der Verarbeitung oder Speicherung ihrer Daten Betroffenen, die hinreichend erläutert und protokolliert ist. Minderjährige dürfen erst ab Vollendung des 16. Lebensjahres eine Einwilligung erteilen (Artikel 8 DSGVO). Jeder Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen.

Aufgrund der an eine Einwilligung gestellten hohen Voraussetzungen sollten Unternehmer stets zunächst das Vorliegen des gesetzlichen Erlaubnis-Tatbestandes eines berechtigten Interesses prüfen.

Kopplungsverbot

Das neue Datenschutzrecht sieht ein sogenanntes „Kopplungsverbot“ vor, nach dem es unzulässig ist, einen Vertragsabschluss von der Abgabe einer Einwilligung durch betroffene Personen abhängig zu machen (Artikel 7 Absatz 4 DSGVO). Beispiel: Die Zustimmung von einer Datennutzung für Werbezwecke darf nicht zur Bedingung für den Abschluss eines Onlinekaufs gemacht werden.

3. Auswirkungen auf die Kommunikation mit Ihren Kunden

Unternehmen müssen bei ihren Marketing-Maßnahmen die in den Artikeln 12 bis 22 DSGVO aufgeführten Rechte betroffener Personen beachten und dementsprechend die Kommunikation mit ihren Kunden gestalten:

• Recht auf Transparenz bei Kunden-Information und Kunden-Kommunikation

• Pflicht des Verantwortlichen zur Information Betroffener über die Erhebung personenbezogener Daten

• Pflicht zur Information Betroffener, wenn bestimmte Daten nicht bei der betroffenen Person erhoben wurden

• Auskunftsrecht über die Verarbeitung von personenbezogenen Daten sowie unter anderem über Verarbeitungszwecke, Daten-Kategorien und Datenempfänger

• Recht auf Berichtigung oder Vervollständigung unrichtiger personenbezogener Informationen

• Recht auf Löschung („Recht auf Vergessenwerden“), falls Daten zum Beispiel nicht mehr benötigt werden, die Einwilligung zur Datennutzung widerrufen wurde oder eine unrechtmäßige Verarbeitung erfolgte

• Recht auf „eingeschränkte“ Datenverarbeitung: Die Datenverarbeitung darf in diesem Fall grundsätzlich nur mit Einwilligung des Betroffenen erfolgen – unter anderem, wenn die Richtigkeit personenbezogener Daten bestritten und deshalb aktuell überprüft wird.

• Recht auf Mitteilung der Berichtigung oder Löschung von personenbezogenen Daten, deren Nutzung dem Betroffenen zu einem früheren Zeitpunkt bereits mitgeteilt wurde

• Recht auf Übertragung personenbezogener Daten auf einen anderen Verantwortlichen

• jederzeitiges Recht auf Widerspruch gegen eine Verarbeitung personenbezogener Daten

• Recht auf eine nicht ausschließlich auf automatisierter Verarbeitung basierende Entscheidung des Verantwortlichen

4. Auswirkungen auf Ihre interne Unternehmensprozesse

Die Umsetzung der Anforderungen der DSGVO erfordert die Entwicklung einer in sich schlüssigen, abgeschlossenen, vollständigen, lückenlosen Umsetzungsstrategie.

• Hierzu sollte zunächst eine vollständige Bestandsaufnahme zum Datenfluss innerhalb eines Unternehmens durchgeführt werden.

• Strenge unternehmensinterne Richtlinien müssen die Einhaltung der Datenschutzstrategien eines Unternehmens sicherstellen.

• Firmen mit mindestens zehn Beschäftigten müssen einen Datenschutzbeauftragten bestellen (Artikel 37 DSGVO).

• Alle Arbeitsprozesse und IT-Anwendungen sind so zu konzipieren und zu integrieren, dass sie den Datenschutz-Anforderungen vollständig und bestmöglich entsprechen (Privacy by Design).

• Jeder „Verantwortliche“ ist verpflichtet, für seinen Zuständigkeitsbereich ein Verzeichnis sämtlicher Verarbeitungstätigkeiten zu führen. Artikel 30 Absatz 1 DSGVO enthält eine detaillierte Übersicht der Angaben, die dieses Verzeichnis zu enthalten hat.

• Wenn eine beabsichtigte Verarbeitung personenbezogener Daten (beispielsweise beim Einsatz neuartiger Technologien) voraussichtlich mit einem hohen Datenschutz-Risiko verbunden ist, dann muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen (Artikel 35 DSGVO). Vor Beginn der Bearbeitung konsultiert der Verantwortliche die Aufsichtsbehörde, falls die Datenschutz-Folgenabschätzung ein hohes Risiko bestätigt und keine Maßnahmen zur Risikoeindämmung getroffen werden (Artikel 36 DSGVO).

5. Datenschutz bei Einsatz von Dienstleistern (Auftragsdatenverarbeitung)

Der für die Verarbeitung oder Speicherung personenbezogenen Daten „Verantwortliche“ kann einen Auftragsverarbeiter mit der Verarbeitung beauftragen (Artikel 28 DSGVO) nutzen. Der Verantwortliche darf nur solche Auftragsverarbeiter einsetzen, die hinreichend Garantien dafür bieten, dass eine Verarbeitung entsprechend den Vorschriften des DSGVO sowie der Schutz der Rechte betroffener Personen gewährleistet ist. Hierzu ist ein „Vertrag zur Auftragsdatenverarbeitung“ mit jedem Dienstleister individuell zu schließen.

Dies gilt im besonderen auch für Dienstleister, welche sich außerhalb der EU befinden. Für Auftragsdatenverarbeiter mit Sitz in den USA (beispielsweise viele E-Mail Marketing Anbieter) wurde dort das sogenannte „Privacy Shield“ eingeführt. Es regelt ähnliche Themen wie die DSGVO in der EU. Alle Unternehmen, welche dem Privacy Shield beigetreten sind, finden Sie in dieser Liste. Bei der Auswahl eines Anbieters sollten Sie deswegen genau prüfen, wie der Anbieter den Datenschutz handhabt. Wir haben Ihnen hier ein Factsheet zusammengestellt, welches wichtige Punkte für einer Reihe von beliebten Dienstleistern auflistet. Prüfen Sie anhand dieses Factsheets, ob Ihr Anbieter die Anforderungen bereits erfüllt.

 

Wichtige Fristen und Regelungen zur Datenschutzgrundverordnung

Bei einer Verletzung des nach DSGVO vorgesehenen Datenschutzes hat der Verantwortliche diese Verletzung an die Aufsichtsbehörde zu melden – und zwar unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung (Artikel 33 DSGVO). Auftragsverwalter melden eine Datenschutz-Verletzung an den Verantwortlichen. Die Verantwortlichen sind zur Dokumentation von Datenschutz-Verletzungen verpflichtet (einschließlich von damit zusammenhängenden Sachverhalten, Auswirkungen und Abhilfemaßnahmen).

Ein Schadenersatzanspruch steht betroffenen Personen gegen den Verantwortlichen oder dessen Auftragsverarbeiter dann zu, wenn den Betroffenen aufgrund eines Verstoßes gegen die DSGVO ein (materieller oder auch immaterieller) Schaden entstanden ist (Artikel 82 DSGVO).

Die Aufsichtsbehörden stellen durch Verhängung von Geldbußen sicher, dass jeder einzelne Verstoß gegen die Rechtsverordnung „wirksam, verhältnismäßig und abschreckend“ geahndet wird. Eine Geldbuße kann bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes eines Unternehmens betragen – die Aufsichtsbehörde ist verpflichtet, den jeweils höheren Bußgeld-Betrag zu wählen. Bei Verletzung bestimmter DSGVO-Normen sind Geldbußen bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des Jahresumsatzes möglich (Artikel 83 DSGVO).

 

Fazit

Als Verantwortlicher im Unternehmen sollten Sie sich umgehend eine Überblick verschaffen, welchen Stand Ihre Datenverarbeitung und Ihre Prozesse derzeit in Bezug auf den Datenschutz und die anstehenden Verschärfungen haben. Daraus muss ein Aktionsplan zu Umsetzung nötiger Änderungen und ein Zeitplan zur Umsetzung erarbeitet werden. Wichtiger Teil des Erfolges ist auch die Kommunikation im Team, da die korrekte Einhaltung der Datenschutz-Prozesse von allen mitgetragen werden muss.

Wie Sie Unterstützung bei den Herausforderungen der Datenschutzgrundverordnung durch das sichtbar-im-netz Team erhalten können, erfahren Sie hier.