DSGVO alles was man wissen muss

DSGVO
DSGVO-konform: Gemäß einer Studie denken nur 28 Prozent der befragten Unternehmen (in Deutschland 33 Prozent) dass sie die DSGVO-Vorschriften, nach eigener Ansicht, vollständig umsetzen. Weitere 30 Prozent erfüllen sie „weitgehend“. Tatsächlich wissen viele Unternehmen aber gar nicht genau, was alles erfüllt werden muss. Die Zahl der Unternehmen, welche die DSGVO immer noch nicht korrekt einhalten, ist enorm hoch.

Die vielen Fragen zur DSGVO

Vielen Unternehmen ist immer noch klar wie die DSGVO umzusetzen ist, viele haben noch offene Fragen. Dabei ist die DSGVO ein außerordentlich wichtiges Thema. Verstöße können zu hohen Bußgeldern führen und nicht nur die Konkurrenz ist berechtigt einen Verstoß zu melden.

Wir haben daher für Euch dieses FAQ zusammengestellt – Häufig gestellte Frage (Frequently Asked Questions).

DSGVO Was ist das?

Die Datenschutzgrundverordnung der Europäischen Union (DSGVO) umfasst eine Vielzahl von Gesetzen, die am 25. Mai 2018 in Kraft getreten sind. Sie gilt für alle Unternehmen die private / personenbezogene Daten von Einzelpersonen erfassen und handhaben. Die neue Richtlinie gibt EU- und EWR-Bürgern mehr Kontrolle über ihre personenbezogenen Daten und stellt sicher, dass ihre Informationen und Persönlichkeitsrechte europaweit geschützt sind.

Was sind personenbezogene Daten?

Personenbezogene Daten werden im Art. 4 Nr. 1 der DSGVO definiert. Danach sind dies “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen”. §3 Abs. 1 des Bundesdatenschutzgesetzes beschreibt es noch etwas konkreter: “Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)”

Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.

Wie DSGVO umsetzen?

In Bezug auf WordPress empfehlen wir folgende Vorgehensweise:
1. SSL Zertifikat einrichten. SSL ist bei der Nutzung von Formularen (z. B. Kontakt-, Bestell-, Online-Widerrufsformulare sowie Newsletteranmeldungen) gesetzlich vorgeschrieben (§ 13 Abs. 7 TMG).
2. Rechtstexte beschaffen (Impressum und Datenschutzerklärung) und einpflegen – wir empfehlen E-Recht24.de. Wichtig! Impressum und Datenschutzerklärung nicht zu einer Seite zusammenfassen sondern getrennt aufführen.
3. Sofern Cookies vorhanden sind – alle Cookies scannen und einen Opt-In Cookie Banner erstellen. (Bitte Opt-In statt Opt-Out!) – wir empfehlen das Plugin Complianz – GDPR/CCPA Cookie Consent – hier kann man einfach die Cookies der eigenen Seite scannen und mit der Datenbank des Plugins erfassen lassen.
4. Auftragsverarbeitungsverträge abschließen, unzwar mit allen Unternehmen die Zugriff auf die Daten deiner Kunden haben. Üblicherweise sind das Unternehmen wie Google (Google Analytics), Newsletter-Anbieter oder der Hoster. Die entsprechende Regelung findet sich in Art. 28 DSGVO.
5. Schutzmaßnahmen für alle gespeicherten Daten erhöhen. Diesbezüglich gilt es Zugriffsrechte zu überprüfen, Schutz durch Virenscanner (bspw. Wordfence), Löschfristen, Schutz vor Datenverlust usw..
5. Einen betrieblichen Datenschutzbeauftragen bestellen. Hier gilt gem. § 38 Abs. 1 BDSG-Neu eine 10-Personen-Regel. Sind mindestens 10 Personen mit der Datenverarbeitung beschäftigt, muss ein Datenschutzbeauftragter her.
6. Zu guter Letzt für größere Unternehmen: Ein Verarbeitungsverzeichnis erstellen! Die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses ist in Art. 30 DSGVO geregelt und gilt für Unternehmen mit über 250 Mitarbeitern. Aber auch Unternehmen unter 250 Mitarbeitern müssen ein Verarbeitungsverzeichnis erstellen wenn einer der folgenden Punkte zutreffend ist:
> die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
> die Verarbeitung nicht nur gelegentlich erfolgt oder
> eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.

Wie lange dürfen Daten gespeichert werden?

Personenbezogene Daten dürfen grundsätzlich nur für einen bestimmten Verarbeitungszweck gespeichert werden, und nur solange, wie es für den jeweiligen Zweck erforderlich ist (Art. 5 Abs. 1 lit. e) DSGVO).

Welche Daten müssen gelöscht werden?

Alle personenbezogenen Daten müssen dann gelöscht löschen werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Eine Löschpflicht der personenbezogenen Daten besteht auch, wenn die betroffene Person dies verlangt, sie eine zuvor abgegebene Einwilligung widerruft oder Widerspruch gegen die weitere Verarbeitung ihrer Daten einlegt. Die Voraussetzungen, unter denen ein Unternehmen personenbezogene Daten löschen muss, sind in Art. 17 DSGVO geregelt.

Wer kann abmahnen?

Eine DSGVO-Abmahnung kann von einem Gericht oder der Aufsichtsbehörde kommen. Tatsächlich sind aber auch die Konkurrenten von Unternehmen dazu berechtigt. Bei Verstößen darf die Konkurrenz meist eine DSGVO-Abmahnung erstellen und beispielsweise eine Unterlassung fordern. Den Grund für Abmahnungen liefern zwei Gesetze: das gegen den unlauteren Wettbewerb (UWG) und das Unterlassungsklagengesetz (UKlaG). Im Gegensatz zur Abmahnung aus dem Wettbewerbsrecht steht das Recht zur Abmahnung nun auch Verbrauchern zu. Wenn Sie als Verbraucher feststellen, dass sich das Unternehmen nicht an die Datenschutzregeln hält (bspw. gegen das Recht auf Auskunft verstößt), dann können Sie diesen Vorfall bei der Datenschutzbehörde melden. 

Wo DSGVO Verstoß melden?

Als betroffene Person können Sie sich an den Datenschutzbeauftragten des Unternehmens oder an die zuständige Aufsichtsbehörde wenden. Auf den Websites der jeweiligen Aufsichtsbehörden der Bundesländer finden Sie entsprechende Formulare. Bei öffentlichen Stellen ist der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit zu informieren.

Warum wurde DSGVO eingeführt?

Die DSGVO wurde eingeführt, um die Datenverarbeitung von Besuchern und Nutzern zu vereinheitlichen. 3 Hauptgründe für die DSGVO sind:
1. Ein „Recht auf Vergessenwerden“. Wer möchte, dass seine persönlichen Daten gelöscht werden, kann sich dafür direkt an Google, Facebook und Co. wenden. Unternehmen sind grundsätzlich verpflichtet, dem Löschungsbegehren der eigenen Daten nachzukommen.
2. Einwilligung. Im Datenschutzrecht gilt: Nur wer eine rechtliche Grundlage vorweisen kann, darf personenbezogene Daten verarbeiten. Jeder hat das Recht darauf zu entscheiden, wer welche Daten von ihm oder ihr erhalten, nutzen und speichern darf.
3. Information und Transparenz. Lange Zeit war es schwer nachzuvollziehen, wer welche Daten verarbeitet oder zu welchen Zwecken die Daten genutzt werden. Die Transparenz und Informationspflicht der Datenverarbeiter schenken betroffenen Personen wieder mehr Einsicht und Kontrolle über Ihre Daten zurück.

Wann DSGVO wann BDSG?

Grundsätzlich gilt für alle Mitgliedsländer der Europäischen Union die DSGVO. Die BDSG-neu (Bundesdatenschutzgesetz) greift dann, wenn die DSGVO durch sog. Öffnungsklauseln in der Umsetzung des Datenschutzes einen Spielraum gewährt. Was bedeutet das explizit? Das Bundesdatenschutzgesetz-neu betrifft zum einen öffentliche Stellen wie Behörden, zum anderen nicht öffentliche Stellen wie Unternehmen. Meistens greift die BDSG-neu an diesen Stellen:
> bei der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (§§ 5, 38 BDSG-neu)
> beim Arbeitnehmerdatenschutz (§ 26 BDSG-neu)
> bei den Betroffenenrechten (§ 32 ff. BDSG-neu)
> beim Scoring und Bonitätsprüfungen (§ 31 BDSG-neu)

Was passiert beim Verstoß gegen die DSGVO?

Es können Bußgelder in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes erhoben werden. Die Höhe des Bußgeldes hängt von der Härte des Vergehens ab. Die Strafen stehen somit auch im Verhältnis zum Unternehmen. Kleine Unternehmen, Blogger oder andere kleine Webseiten, können mit geringeren Strafen rechnen. Ein paar Fallbeispiel kann man hier sehen:
Bußgelder wegen Verstoß gegen die DSGVO.

Teilen