Für Online-Händler gilt es sich jetzt vorzubereiten, denn ab dem 25. Mai 2018 muss die neue EU-Datenschutzgrundverordnung (EU-DSGVO) umgesetzt sein. Viele wissen allerdings noch nicht, was auf sie zukommt und mit welchen Änderungen zu rechnen ist. Wir klären auf und stehen Ihnen beratend zur Seite um hohe Sanktionen zu vermeiden.
Was ist die DSGVO?
Die DSGVO regelt das Datenschutzrecht auf EU-Ebene. Hierbei wird festgelegt, wie Unternehmen mit personenbezogenen Daten umgehen müssen.
Durch die neue Datenschutzgrundverordnung soll künftig das Datenschutzrecht in der EU vereinheitlicht werden, um den Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben. Damit gelten in allen EU-Ländern die gleichen Datenschutz-Standards.
Ab wann gilt die DSGVO?
Das EU-Parlament hat die EU-DSGVO am 16. April 2016 beschlossen. Die Regelung ist daher schon am 25. Mai 2016 in Kraft getreten. Da aber eine zweijährige Übergangsfrist bis zur Umsetzung gesetzt wurde, haben viele Unternehmen das Thema erst jetzt auf dem Schirm. Stichtag für die Umsetzung ist der 25. Mai 2018.
Wer ist von der DSGVO betroffen?
Die Datenschutzgrundverordnung gilt für alle Unternehmen, die ihren Sitz in der EU haben. Darüber hinaus sind aber auch Unternehmen außerhalb Europas betroffen, wenn sie über eine Niederlassung in der EU verfügen oder personenbezogene Daten von EU-Bürgern verarbeiten. Darunter fallen zum Beispiel auch viele Cloud-Dienste, die in den USA ansäßig sind.
Was sind die wichtigsten Änderungen der EU-DSGVO?
Grundsätzlich sollen die EU-Bürger durch die neue Regelung mehr Kontrolle über ihre Daten bekommen und nachvollziehen können, was mit ihren Daten passiert.
Die wichtigsten Punkte haben wir in einer Checkliste für Sie zusammengefasst.
1. Datensammlung
Um Daten von Nutzern zu verarbeiten muss eine Einwilligung des Nutzers vorliegen. Ein Beispiel dafür ist das Double-Optin-Verfahren.
Hierbei reicht es nicht aus, dass der Webseitenbesucher sich über das Eintragen seiner E-Mail-Adresse in einem Formular z. B. zu einem Newsletter anmeldet. Der Betreiber der Webseite muss dem Nutzer noch eine E-Mail mit einem Bestätigungslink schicken – erst wenn der Nutzer den Bestätigungslink geklickt hat, liegt ein gültiges Double-Optin vor.
Diese Regelung ist nicht neu, wird aber durch die hohen Sanktionen, die mit der DSGVO in Verbindung stehen, wieder in ein neues Licht gerückt.
Zudem legt die neue EU-DSGVO fest, dass Online-Händler nur noch die nötigsten Daten ihrer Besucher und Kunden sammeln dürfen.
2. Datenspeicherung
Unternehmen müssen für eine sichere Speicherung der Daten garantieren. Handelt es sich um sensible Daten, sollten Daten verschlüsselt gespeichert werden. Unter „sicherer Speicherung“ sind dabei die gängigen Technologien gemeint, die zur Verfügung stehen.
Zudem muss ersichtlich sein für wie lange die Daten gespeichert werden bzw. dürfen Daten nur so lange gespeichert werden, wie es rechtlich verpflichtend ist.
3. Datenweitergabe
Ohne Einwilligung ist es Online-Händlern untersagt personenbezogene Daten an Dritte weiterzugeben. Ist die Weitergabe notwendig um das Angebot des Unternehmens zu gewährleisten, muss darauf ausdrücklich in der Datenschutzerklärung des Unternehmens hingewiesen werden.
Im Rahmen der neuen DSGVO haben Nutzer zudem das Recht ihre Daten von einem Anbieter zum anderen mitzunehmen, zum Beispiel beim Wechsel des Internetanbieters oder der sozialen Plattform.
4. Daten von Minderjährigen
In Artikel 7 der DSGVO wird nun auch das Mindestalter für Einwilligungen geregelt. Dabei gilt, dass Einwilligungen von Minderjährigen unter 16 Jahren nur mit Zustimmung der Eltern gültig sind. In einigen Ländern kann das Mindestalter 13 Jahre betragen, wenn das nationale Recht dies entsprechend vorsieht.
5. Datenlöschung: Recht auf Vergessenwerden
Neu ist das Recht auf Vergessenwerden nicht. Auch heute besteht schon die Möglichkeiten personenbezogene Daten zum Beispiel bei Suchmaschinenbetreibern löschen zu lassen.
Die neue DSGVO enthält allerdings nun zum ersten Mal eine eigene Regelung zum Recht auf Vergessenwerden. In Artikel 17 werden dabei die Gründen genannt, wann Unternehmen personenbezogene Daten löschen müssen.
Zu den wichtigsten gehören:
- Artikel 17 a: Der Zweck für die Datenverarbeitung ist weggefallen
- Artikel 17 b: Die Einwilligung wurde vom Betroffenen widerrufen
- Artikel 17 d: Die Datenverarbeitung war unrechtmäßig
6. Neuregelungen rund um den Datenschutzbeauftragten
Die Regelungen zur Bestellung eines Datenschutzbeautragten haben sich nicht geändert.
Als Neuerung kommen aber folgenden Punkte hinzu
- Der Datenschutzbeauftragte muss der Aufsichtsbehörde gemeldet werden.
- Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht werden.
- Der Name des Datenschutzbeauftragten muss in den Datenschutzerklärungen des Unternehmens aufgeführt werden.
Verstöße gegen die DSGVO
Verstöße gegen die Regelungen der neuen EU-DSGVO können zu Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. maximal 4 Prozent des Jahresumsatzes führen
Lassen Sie sich daher von unseren Experten beraten, um kostspielige Rechtsverstöße zu vermeiden.
Lesen Sie mehr Tipps in den Artikeln „Datenschutz: Bis 20 Mio. Euro Bussgelder drohen“ und „EU-Datenschutz-Grundverordnung: Das müssen Sie beachten“ unserer Expertin Dr. Nathalie Mahmoudi. Beide Beiträgen wurden in der „Network Karriere“ veröffentlicht (Ausgaben: 10.2017 & 03.2018).
Bereiten Sie sich jetzt vor!
Mit der neuen DSGVO tritt auch eine Dokumentationspflicht für die Erhebung von personenbezogenen Daten in Kraft. Bereiten Sie sich daher jetzt vor um die nötigen Prozesse in Ihrem Unternehmen anzustoßen.
- Erstellen Sie eine Auflistung sämtlicher Vorgänge, bei denen personenbezogene Daten erhoben werden
- Prüfen Sie Ihre Datenschutzerklärung: Entspricht Sie den Anforderungen der DSGVO?
- Informieren Sie Ihre Mitarbeiter: Schulungen und Informationsveranstaltungen sollten durchgeführt werden um Ihre Mitarbeiter für das Thema Datenschutz und die Neuerungen zu sensibilisieren
Bei allen Fragen rund um die DSGVO steht Ihnen unsere Kanzlei zur Seite. Kontaktieren Sie uns jetzt für eine kostenlose telefonische Erstberatung unter +49 (0)221 – 272 505 10.