Machen Sie den Datenschutz DSGVO zu Ihrem Vorteil

Datenschutz betrifft “Jeden” – aber vor allem jedes Unternehmen!

Hierbei handelt es sich um recherchierte Informationen und unsere persönliche Meinung!

Hinweis: 

Dies ist keine Rechtsberatung!
Konsultieren Sie zu diesem Zweck bitte unbedingt einen Rechtsbeistand!

 

Was Sie als Unternehmer über die EU-DSGVO wissen sollten

Vor zwei Jahren – am 24. Mai 2016 trat die neue EU-Datenschutz-Grundverordnung in Kraft.
ABER am 25. Mai 2018 muss diese auch umgesetzt worden sein!

Bis dahin läuft eine lange Umsetzungs- und Umstellungsphase.

Noch bleibt Unternehmen genügend Zeit, um sämtliche internen Prozesse sowie Abläufe anzupassen. Die Mitarbeiter zu schulen (ggf. einen Datenschutzbeauftrage zu stellen) und die Arbeitsweise an Vorgaben der DSGVO anzupassen. Um alle Anforderungen rechtzeitig zu erfüllen.

Erkennen Sie die Wichtigkeit der Sache als solche!
Wer es nicht schafft, riskiert sehr hohe Strafen sowie Bußgelder.

Bußgelder bis zu 4% vom internationalen Gesamtumsatz des Unternehmens sind möglich.

Beim Datenschutz geht es um den Schutz personenbezogener Daten.
Wie dies angewendet werden soll, ist in den 99 Artikeln der EU-DSGVO definiert.

Die Datenschutz-Grundverordnung wird das aktuelle Bundesdatenschutzgesetz wie auch das Telemediengesetz (TMG) ablösen. Betroffen sind nach Art. 2 Abs. 1 DSGVO alle Unternehmen, die personenbezogene Daten ganz oder teilweise automatisch verarbeiten. Aber auch (!) bei nicht automatisierter Verarbeitung personenbezogener Daten, die in einem Computersystem gespeichert werden.

Wann immer Personen bezogene Daten erhoben werden, muss dies auf Basis der gesetzlichen Vorgaben der DSGVO erfolgen.

Die wenigen Ausnahmen, die in Art. 2 Abs. 2 DSGVO geregelt sind, treffen auf die Wenigsten zu.

 

Worum geht es beim Datenschutz?

Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen.

 

Was sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man alle Informationen, die sich auf identifizierte oder identifizierbare persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person beziehen. Das sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer

 

Welche Auskunftspflichten gibt es?

Grundsätzliches:

Betroffene Personen haben ein Recht auf Auskunft gegenüber Unternehmen über die von ihnen verarbeiteten personenbezogenen Daten.
Die Kunden können Auskunft darüber verlangen, welche personenbezogenen Daten von ihnen gespeichert und verwendet werden.
Das können z. B. sein:

  • Sie sind verpflichtet, einer begründeten behördlichen Anfrage nach zu kommen
  • dabei über den Zweck der Datenverarbeitung und Erhebung Auskunft zu erteilen
  • die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer zu nennen
  • über die Herkunft der Daten Auskunft zu geben

 

 

Darüber hinaus müssen Sie u.U. informieren:

  • ggf. die Empfänger, denen die personenbezogenen Daten offen gelegt worden sind oder noch offen gelegt werden sollen.
  • dass die Daten zum Zwecke der Ausübung z. B.  des Kaufvorgangs an Dritte, wie z.B. Logistiker übermittelt wurde.
  • und genau zu welchen Zwecken und in welchem Umfang übermittelt wurde oder wird.
  • dass es ein Recht auf Berichtigung, Löschung oder Einschränkung der Datenverarbeitung im gesetzlichen Rahmen gibt.
  • dass der Betroffene das Recht eines Widerspruchs gegen die Datenverarbeitung hat.

 

Einem Auskunftsersuchen nachkommen – oder nicht!?

Grundsätzlich – JA!

Aber eines der Probleme denen man sich stellen muss … “ist der Antragsteller auch die berechtigte Person?”
Hierbei wird es bereits etwas komplizierter.

Dafür bietet YES-System sehr viele Funktionen, um zu erkennen was zu einer berechtigen Person gehört.

Orientiert man sich an einer Kundennummer, welche z.B. zu einem Gast-Kauf Konto gehört.
Würde man nur die Daten des einen Kaufs ermitteln.
Obwohl es u. U. noch weitere Käufe zur selben Mail als registrierten Kunden gab.

Wenn Sie nach dem Namen und der Anschrift suchen, werden Sie u. U. diverse Kundenkonten finden.
Die Suche nach der E-Mailadresse wird in den meisten Fällen das beste Resultat liefern.
Aber auch hier zu prüfen ob zum Antragsteller Aufträge – Kundenkonten mit unterschiedlichen E-Mailadressen existieren

Es stellt sich die Frage wie es aussieht, wenn die Daten des Kunden Teil von Daten eines anderen Kunden sind (z. B. die Versandadresse).
Müssen / dürfen Sie überhaupt darüber Auskunft geben, wer bei Ihnen Waren gekauft und an den Antragsteller verschicken ließ?

Bei einem Auskunftsersuchen sollten Sie in jedem Fall einen Rechtsbeistand hinzu ziehen!

Seien Sie für Ihre Kunden transparent!

  • Bieten Sie Ihren Kunden verständliche Hinweistexte, wie, wo, wann und vor allem auch warum Daten erhoben werden.
  • Stellen Sie klar, welche Rechte und Pflichten damit verbunden sind – für den Kunden als auch für Sie als Unternehmen.
  • Schildern Sie, welche Vorteile sich daraus für Ihren Kunden ergeben. So dass er die Notwendigkeit versteht.
  • Erstellen Sie einen Hinweistext, wie der Kunde vorgehen muss, um eine Datenauskunft von Ihnen zu erhalten.
  • Erklären Sie, wie der Kunde selbst seine Daten einsehen kann. Etwa im Kundenkonto in Ihrem Webshop.
  • Erklären Sie, warum bestimmte Daten aufgrund beispielsweise handelsrechtlicher oder steuerlicher Vorgaben nicht – bzw. wann – gelöscht werden dürfen.


Zeigen Sie Ihren Kunden, dass Sie ein seriöses Unternehmen sind, dem die Daten seiner Kunden wichtig und heilig sind.

Grundsätzliches:

  • “Alle” Webseiten (Blog, Shop) müssen um eine passende Datenschutzerklärung ergänzt werden.
  • Bei allen Seiten wo Daten erfasst werden:
    – Webshop
    – Blog durch Kontaktformular oder Kommentare
    Muss ein SSL Zertifikat vorhanden und korrekt eingebunden sein!
  • Cookie Hinweis
    Beim Aufruf einer Seite die Cookies setzt / nutzt, muss darauf bei  Aufruf der Seite hingewiesen werden
  • Bei Webshops ist der GAST-Kauf pflicht geworden – muss angeboten werden!
  • An jeder Stelle (Anmeldung, Kontakt, Kommentar, Newsletter) wo Daten erfasst werden, muss darauf hingewiesen werden, dass die Daten gespeichert werden (Bsp.: “Ihre Daten werden in unserer Kundendatenbank aufgenommen.”)
  • Bei der Newsletter Anmeldung muss ein Hinweis stehen, das man sich jederzeit wieder abmelden kann (Bsp.: “Abmeldung jederzeit möglich.”)
  • In Kontaktformularen darf nur noch die E-Mail Adresse ein Pflichtfeld sein.

 

Hier eine kurze Checkliste EU DSGVO:

1. Legen Sie Verfahrensverzeichnisse an Legen Sie ein sog. Verfahrensverzeichnisse/Verzeichnis der Verfahrenstätigkeiten an. Dies sind Verzeichnisse, in denen alle Verarbeitungen personenbezogener Daten beschrieben sind – auch welche Mitarbeiter personenbezogene Daten bearbeiten.

2. Prüfen Sie, ob Sie einen Datenschutz-Beauftragten benötigen Dies ist Pflicht, sobald in Ihrem Unternehmen mehr als 10 Mitarbeiter ständig mit personenbezogenen Daten umgehen müssen. Sie können einen internen oder einen externen Datenschutz-Beauftragten stellen. Wichtig und neu ist: Wenn Sie einen Datenschutz-Beauftragten bestellt haben, müssen Sie ihn der Aufsichtsbehörde melden. Dies wird in Zukunft bequem online möglich sein.

3. Schulen Sie Ihr Team / Ihre Mitarbeiter in der neuen EU DSGVO und lassen Sie sich dieses unterschriftlich bestätigen. Legen Sie unterschriebene Teilnehmerlisten Ihrer Mitarbeiter an Seminaren und Vorträgen zum Thema EU DSGVO an.

4. Anstellungen / Arbeitsverträge. Fertigen Sie einen Datenschutz-Anhang zusätzlich zu Ihren normalen Anstellungsverträgen für Mitarbeiter und Praktikanten an. Hier definieren Sie die Thematik „Verarbeitung“ und „personenbezogene Daten“ nach DSGVO. Weisen Sie auf die Konsequenzen etwaiger Datenschutz-Verstöße hin. Lassen Sie sich dieses Dokument unterschreiben.

5. Planen Sie den Notfall Legen Sie sich einen Reaktionsplan für Datenschutz-Verletzungen an. Datenschutz Verletzungen müssen nämlich binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Zum Beispiel wenn Sie Opfer eines Hacker-Angriffs wurden oder Praktikanten eine große Anzahl personenbezogener Daten an eine falsche Empfängerliste gesendet haben.

6. Prüfen Sie, wo und wann Sie Daten erheben Die Verarbeitung personenbezogener Daten ist dann erlaubt, wenn eine Einwilligung der betroffenen Person vorliegt, ein berechtigtes Interesse an der Datenverarbeitung vorliegt und schutzwürdige Interessen des Betroffenen dem nicht entgegenstehen oder sie erforderlich ist, z.B. bei der Erfüllung eines Vertrags.

7. Machen Sie den Newsletter-Versand rechtssicher Verwenden Sie bei der Einwilligung zum Newsletter-Versand das sogenannte Double Opt-In-Verfahren. Achten Sie darauf, dass die E-Mail zur Bestätigung der Einwilligung keine Werbung enthält. Fragen Sie nur nach der E-Mail-Adresse als Pflichtfeld. Alle anderen personenbezogenen Angaben müssen freiwillig sein (Datenminimierung).

8. Akzeptieren Sie Widersprüche. Jede betroffene Person hat das Recht auf Widerspruch gegen die Verarbeitung seiner Daten. Die betroffene Person ist spätestens bei der ersten Kontaktaufnahme auf Ihr Widerspruchsrecht hinzuweisen.

9. Freiwilligkeit der Einwilligung Die Einwilligung zu der Verarbeitung personenbezogener Daten muss freiwillig sein. Ist für die Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung die Einwilligung nicht erforderlich, darf diese Einwilligung von der Erfüllung des Vertrags nicht abhängig gemacht werden (sog. Kopplungs-Verbot).

10. Legen Sie auf Ihrer Homepage eine extra Seite für Ihre Datenschutz-Erklärung an. Am besten als Link in der Fußzeile (im Footer). So kann die Datenschutz-Erklärung von jeder Seite aus angeklickt werden. Verstecken Sie die Datenschutz-Hinweise nicht in Ihren AGBs. Das Fehlen einer Datenschutz-Erklärung stellt einen Wettbewerbsverstoß dar.

 

Diese Checklist ist unvollständig, da es auch immer auf die individuelle Situation ankommt.

Betrachten Sie diese Informationen als Anreiz, sich mit dem Thema aktiv zu beschäftigen!

Dies ist keine Rechtsberatung!
Konsultieren Sie zu diesem Zweck bitte unbedingt einen Rechtsbeistand!

Wir bieten unseren Kunden alle Möglichkeiten, den kommenden Auskunftsersuchen nachkommen zu können.

Nur was Sie wie, wem, wann an Daten aushändigen müssen, regelt der Gesetzgeber.

Nehmen Sie es nicht auf die leichte Schulter.
Denn im Zweifel haften Sie!


 

   Handelskammer Hamburg

Hier auch eine Interessent Informationen der Handelskammer Hamburg

DSGVO: Tipps für Unternehmer