Jetzt informieren! DSGVO Übergangsfrist endet am 25. Mai

Nach einer zweijährigen Übergangsphase tritt am 25. Mai 2018 die europaweit gültige Datenschutzgrundverordnung (kurz DSVGO) in Kraft. Sie ersetzt die bislang geltende EU-Datenschutzrichtlinie aus dem Jahr 1995. Die DSGVO soll sicherstellen, dass personenbezogene Daten bei der automatischen Verarbeitung, z. B. im Internet, bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird.

So sind Sie als Betreiber einer Webseite zukünftig gesetzlich dazu verpflichtet, bestimmte datenschutzrechtliche Bestimmungen einzuhalten, darunter u. a. die folgenden Maßnahmen:

Individuell ausgestalteter Datenschutzhinweis auf Ihrer Webseite

Hinweis auf die Speicherung personenbezogener Daten auf Ihrer Webseite („Cookies“)

Hinweis auf die Nutzung von Dritt-Anbietern wie Google, Facebook oder Twitter

Als Ihr zuverlässiger IT-Dienstleister möchten wir Ihnen bei der Vorbereitung auf die DSGVO helfen. Auch wenn es Sie auf den ersten Blick vielleicht nicht zu betreffen scheint, empfehlen wir Ihnen dringend, sich eingehend damit zu befassen. Denn wo immer personenbezogene Daten erhoben oder verarbeitet werden, müssen diese nun strenger geschützt sein – sonst drohen erhebliche Geldstrafen.

Was versteht man unter personenbezogenen Daten?

Darunter versteht man alles, was einer einzelnen Person zuzuordnen ist. Dazu gehören natürlich Dinge, wie der Name und die Email-Adresse, könnte allerdings unter Umständen auch eine IP-Adresse beim Aufruf einer Website sein. Ganz eindeutig ist das leider nicht und im Streitfall könnte man beide Auffassungen vertreten.

Die komplette Definition lt. Art. 4 Nr. 1 DSGVO lautet:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Folgende Themenbereiche enthält die DSGVO:

Rechtliche & administrative Voraussetzungen

Darunter fallen verschiedene Vorgaben und Anforderungen zum Führen eines Datenverarbeitungsverzeichnisses sowie u.a. die Voraussetzungen für gültige Einwilligungserklärungen von Kunden.

IT-Sicherheit

In diesem Bereich geht es um den Einsatz von technischen und organisatorischen Maßnahmen zur Vermeidung von Verlust, Beschädigung oder irrtümlicher Offenlegung personenbezogener Daten.

Datenprozesse

Hier sind alle Pflichten für Unternehmen beschrieben, alle bestehenden Prozesse von Datenerfassung bis Auskunftspflicht detailliert zu überprüfen und eventuell an die neuen Gegebenheiten anzupassen.

Zusammenarbeit mit Behörden

Die Zusammenarbeit zwischen den Behörden einzelner Ländern wird in der DSGVO neu organisiert. Dieser Bereich hat für Unternehmen keine unmittelbaren Auswirkungen.

Worauf müssen Sie nun achten?

Um Ihnen den Einstieg in die Thematik zu erleichtern, haben wir Ihnen eine kostenlose 10-Punkte-Liste mit den wichtigsten Anfangsschritten zusammengestellt. Diese bietet ein grobe Linie zur Vorbereitung Ihres Unternehmens.

Download der QiTEC DSGVO Checkliste

Da die Anforderungen und Maßnahmen jedoch für jedes Unternehmen anders ausfallen, die Umsetzung sehr einfach sein oder sehr komplexe Prozesse erfordern kann, empfehlen wir Ihnen, eine Rechtsberatung in Anspruch zu nehmen. Fachanwältin für Informationstechnologierecht Dina Richter gewährt einen Einblick in die neue Datenschutzgrundverordnung.

Als Ihr technischer Dienstleister bietet die QiTEC hier verschiedene Möglichkeiten der Unterstützung – von der E-Mail Archivierung, der Aktualisierung der Datenschutzerklärung auf Ihrer Website, über die Erstellung des Verfahrensverzeichnisses nach EU-DSGVO bis hin zur Überprüfung der Konformität nach IT-Grundschutz bzw. ISO 27001 auf der Basis von IT-Grundschutz. Außerdem bieten wir Ihnen die Möglichkeit, im Rahmen eines DSGVO Audits die Unterstützung durch einen unserer IT-Experten in Anspruch zu nehmen.

Rufen Sie uns unter +49 (0) 341 355 955 950 an oder schreiben Sie eine Email an info(at)qitec.de

Weitere Informationen zum DSGVO

Nachfolgend erhalten Sie ausführlichere Informationen zur neuen Datenschutzgrundverordnung (DSGVO).

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission verabschiedete Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen.
Die Ziele sind:

  1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Sicherstellung, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.

Die neue EU-DSGVO erweitert den Geltungsbereich des EU-Datenschutzrechts auf alle Unternehmen auch außerhalb der EU, sobald diese Daten von EU-Bürgern verarbeiten.

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt nach Art. 2 Abs. 1 für beide gleichermaßen. Hintergrund dafür ist, dass die Datenschutz-Grundverordnung dem Schutz natürlicher Personen statt juristischer Personen gilt. Da jedoch die Versendung von Werbemitteln an B2B-Adressen in den meisten Fällen direkt an Funktionsträger der juristischen Personen, sprich personenbezogen erfolgt, findet die neue EU-Datenschutz-Grundverordnung auch hier Anwendung, sofern konkrete Personen wie Mitarbeiter angesprochen werden.

Die wesentlichen Veränderungen im Überblick:

  1. Eindeutige Definition von personenbezogenen Daten: Sämtliche Daten, die der Identifizierung einer Person dient
  2. Mehr Rechte für natürliche Personen
    1. Ausdrückliche Zustimmung erforderlich
    2. Recht auf Vergessen
    3. Auskunftsrecht
  3. Höhere Bußgelder bei Verstößen
  4. Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert
  5. Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass alle wirksamen Maßnahmen ergriffen werden
  6. Mitteilungspflicht bei Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen darüber informieren
  7. Konkretere Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist
  8. Datenschutz nach Entwurf
    1. Übermittlung der Daten an betroffene Personen, Kontrolle Ihrer Daten
    2. Strengere technische und organisatorische Maßnahmen

Vorgaben zur Website

Schon heute besteht die Verpflichtung, Besucher der eigenen Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren. Die EU DSGVO weitet die Pflichten des Seitenbetreibers aus.

Datenschutzerklärung

Die Notwendigkeit einer Datenschutzerklärung bleibt bestehen, um Seitenbesucher angemessen belehren zu können. Als typische Bereiche, die hiervon betroffen sind, gelten Social Media, Web-Analyse und der Einsatz von Werbemitteln.

Grund hierfür ist unter anderem die Tatsache, dass die Rechtsprechung der vergangenen Jahre viele spezifische Urteile mit sich gebracht hat. Für deren Ursachen kann die EU DSGVO nicht immer eine Grundlage schaffen. Problem ist vor allem der technische Fortschritt, dem der Gesetzgeber nacheilt.

Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Je nachdem ob und wie personenbezogene Daten erhoben werden. Somit muss nun auch auf den Einsatz externer Dienste, wie zum Beispiel Facebook und Google, hingewiesen werden, sofern diese durch den Aufruf der Website personenbezogene Daten erheben.

Wo muss der Datenschutzhinweis stehen?

Die Möglichkeit den Datenschutzhinweis über einen Link zu erreichen sollte schon über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu sehen ist – gegeben sein. Dies ist sicherlich nicht explizit so in der Verordnung verankert, kann aber sicherlich bei einer Prüfung positiv ausgelegt werden.

Brauche ich einen Cookie-Hinweis?

Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden ist ein Hinweis unbedingt erforderlich.

Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3, Drupal) nutzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu „identifizieren“. Von daher ist der pauschale Einsatz eines Cookie-Banner angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.

Darf ich Social Media Elemente auf der Webseite verwenden?

Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Feed, Like Buttons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben werden.

Auf die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z.B. Like Button, Share Button, Custom Audiences etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss hier auf die Widerrufmöglichkeiten hingewiesen werden.

Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig. Dies sollte vor der Verwendung mit dem Datenschutzbeauftragten geklärt werden.

Datenschutzerklärung anpassen und Opt-Out einrichten

Möchten Sie Webtracking verwenden, müssen Sie zudem die Datenschutzerklärung Ihrer Seite anpassen und Ihre Seitenbesucher über die Erstellung der Profile informieren. Weiterhin steht es den Nutzern zu, über Umfang und Zweck der Erhebung ihrer Daten aufgeklärt zu werden.

Zudem muss die Möglichkeit bestehen, dem Webtracking zu widersprechen. Die gängigen Tracking-Anbieter haben hierzu ein sogenanntes Opt-Out entwickelt. In der Regel handelt es sich um ein Script, welche Sie auf Ihrer Seite einfügen können. Anschließend müssen Sie einen entsprechenden Link in Ihrer Datenschutzerklärung einfügen. Mit einem Klick auf diesem schaltet sich das Webtracking der Website für den jeweiligen Nutzer ab.

Was ist bei Google Analytics zu beachten?

Grundsätzlich muss auf den Einsatz von Google Analytics und die Erfassung der persönlichen Daten im Datenschutzhinweis hingewiesen werden. Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden.

Natürlich muss auch weiterhin dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion). Zudem sollte erst eine statistische Erfassung durch Google erfolgen, nachdem der Vertrag zur Auftragsdatenverarbeitung mit dem Dienstanbieter abgeschlossen wurde.

Kontaktformulare

Seit dem 1. Januar 2016 gilt die Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben.

Da sich die Umstellung auf SSL auf jeden Fall lohnt (auch bzgl. des Google-Rankings), sollte man das unbedingt umsetzen (lassen).

Das Formular muss außerdem eine Checkbox zur Zustimmung Ihrer Datenschutzbestimmungen enthalten. Erst bei Zustimmung (abhaken) darf das Formular versendet werden.

Unter dem Kontaktformular muss lt. Urteil des OLG Köln vom 11. März 2016 eine Angabe zur Verwendung der Daten vorhanden sein – die Datenschutzerklärung muss über die Verwendung von Daten, die über das Kontaktformular eingegeben wurden und daneben über das Widerrufsrecht aufklären.

Da auch eine E-Mail-Adresse zu den personenbezogenen Daten gehört, unterliegt sie dem Datenschutz. Das bedeutet auch, dass nach dem Datenschutz die E-Mail-Adresse vor einer Weitergabe ohne bestimmte rechtliche Grundlagen geschützt ist. Auch eine E-Mail-Weiterleitung unterliegt dem Datenschutz sowie eine E-Mail-Archivierung.

E-Mail-Archivierung

Zu beachten sind dabei: 

  • Technische und organisatorische Sicherheitsmaßnahmen (TOM), wie beispielsweise die Verschlüsselung von Daten.
  • Dokumentationsanforderungen beim Einsatz von IT-Systemen (Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzung etc.)
  • Rechenschaftspflichten hinsichtlich der Einhaltung und Dokumentation der getroffenen Maßnahmen
  • Strenge Anforderungen an die Gestaltung von Einwilligung und die Zweckbindung bei der Verarbeitung personenbezogener Daten
  • Informationspflichten und Betroffenenrechte (z.B. Auskunft, Recht auf Vergessenwerden)

Wesentliche Voraussetzungen zur Erfüllung der Compliance-Anforderungen

Ordnung und Transparenz beim Umgang mit Daten, hier besonders personenbezogene Daten, sind wesentliche Voraussetzungen, um die Anforderungen der DSGVO zu erfüllen. Dieses beginnt mit der Erhebung, geht über die Speicherung, den Zugriff und die Verarbeitung bis hin zur Löschung der Daten. Aufgrund der Komplexität der DSGVO können Einzelmaßnahmen keine DSGVO-Konformität garantieren – eine Gesamtstrategie mit einem Maßnahmenmix ist hier erforderlich.

Allerdings bildet beispielsweise die E-Mail-Archivierung einen wichtigen Mosaikstein in dem großen Gesamtbild des Umgangs mit Daten und Informationen in einer Organisation. So erleichtert eine professionelle Archivierung des elektronischen Schriftverkehrs die Data Governance in einem Unternehmen oder macht sie gar erst möglich. Ohne den Einsatz einer geeigneten Software zur E-Mail-Archivierung verfügen viele Unternehmen über wenig Kontrolle in Bezug auf E-Mails.

Häufig ist unklar, wo die E-Mails abgelegt sind oder ob überhaupt alle E-Mails verfügbar sind. Wird allerdings eine geeignete Software genutzt, decken Unternehmen unterschiedliche Bereiche ab, die in einer Datenschutzstrategie berücksichtig werden sollten.

E-Mail-Archivierung als wichtiger Schritt zur Umsetzung der DSGVO

Die Einhaltung der datenschutzrechtlichen Regelungen der DSGVO ist eine unternehmensweite Aufgabenstellung und erfordert neben einem technischen Maßnahmenpaket auch organisatorische und prozessuale Regelungen. Insofern ist der Einsatz einer Software für die E-Mail-Archivierung im Hinblick auf die Data Compliance im Bereich E-Mail-Management sinnvoll.

Einige Anforderungen der DSGVO ergeben sich bereits durch die regulatorischen Anforderungen, wie beispielsweise den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). Zwischen der DSGVO und den GoBD gibt es einen hohen Deckungsgrad in Bezug auf die Schutzziele der IT-Sicherheit.

Deshalb sollten IT-Manager auf der Suche nach einer geeigneten E-Mail-Archivierungslösung darauf achten, dass die Software GoBD konform ist und nach IDW PS 880 zertifiziert. Denn dann ist sichergestellt, dass die Vollständigkeit der E-Mails gewährleistet ist und eben jene Funktionen vorhanden sind, die bei der Data Compliance und somit der Erfüllung der DSGVO unterstützen.

Wie genau wirkt sich die DSGVO auf das E-Mail-Marketing aus?

Für das E-Mail-Marketing greifen DSGVO und zukünftig die ePrivacy Richtlinie. Die EU Richtlinie wird dabei in nationales Recht umgesetzt bzw. bestätigt: §7 UGW Unzumutbare Belästigungen:

Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

Es macht datenschutzrechtlich keinen Unterschied, ob Sie E-Mail Kontaktlisten bei einem Drittanbieter speichern oder ob Sie diese auf Ihren eigenen Server speichern, zum Versand aber einen Drittanbeter nutzen. Sie müssen eine neue und ausdrückliche Erlaubnis einfordern, um weiterhin Ihre E-Mail-Marketing Kampagnen an Ihre alten Kontakte zu senden. Haben Sie jedoch eine Aufzeichnung von der Zustimmung Ihrer Kontakte, die es Ihnen erlaubt E-Mails an diese Einzelperson zu senden, dann ist eine erneute Einwilligung nicht erforderlich.

  • Keine Versand von systematischen werblichen E-Mails jeglicher Art ohne Einwilligung. Gilt auch bei Kaltakquise
  • Soft Opt-in: Vorausgefüllte Ankreuzkästchen, bei dem der Nutzer den gesetzten Haken bei Desinteresse entfernen muss
  • Keine Verwendung von gekauften oder getauschten E-Mail Listen

  • Die Zustimmungserklärung ist prominent und von den Allgemeinen Geschäftsbedingungen getrennt
  • Aktive Bitte sich in den Newsletter anzumelden
  • Keine Verwendung von voreingestellten Kästchen oder andere Arten von Einverständniserklärungen
  • Eindeutige und leicht verständliche Formulierungen
  • Angabe über den Grund der Datensammlung sowie dessen geplante Nutzung
  • Vorhandensein von granularen Optionen für die Zustimmung zu unabhängigen Verarbeitungsvorgängen
  • Nennung der Parteien wo die Daten gespeichert werden (eigenes Unternehmen sowie ggf. Drittparteien)
  • Kommunikation, dass die Einwilligung jederzeit widerrufen werden kann
  • Sicherstellung, dass beim Widerruf der Nutzer keine Nachteile erwartet
  • Sicherstellung, dass die Einwilligung keine Voraussetzung für eine Dienstleistung ist
  • Bei Online-Dienste für Kinder: Maßnahmen zur Altersverifizierung und Zustimmung der Eltern