Atrego
Auf Twitter teilen zum Facebook-Profil zum Google+ -Profil
Atrego

Neue EU-Datenschutz-Grundverordnung ab 25. Mai 2018

Ab dem 25. Mai 2018 gelten europaweit neue Datenschutz-Regeln. Jedes Unternehmen, welches Daten erfasst und speichert, muss seine Datenverwaltung neu ausrichten und an die Vorschriften anpassen - egal ob es sich um personenbezogene digitale oder analoge Daten handelt. Bei Verstößen gegen die neue Datenschutzgrundverordnung drohen hohe Bußgelder.

Diese 10 Punkte sollten Sie beachten:

Wichtiger Hinweis zu Beginn: Für unsere Kunden mit einer Contentserver24-Flat übernehmen wir automatisch die Anpassung der Formulare und der Datenschutzerklärung im Rahmen der auf der Webseite angebotenen Dienste. Wir kontaktieren Sie zeitnah dazu.
Haben Sie Interesse an einer Contentserver24-Flat? Kontaktieren Sie uns unter
info@atrego.de oder 0345 - 213 898 90.



1. Umsetzung muss nachgewiesen werden

Die Beweislast dreht sich nun um. D.h. Sie müssen jederzeit nachweisen können, dass Sie allen Anforderungen der DSVGO nachkommen.

Das geht nur mit einer guten Dokumentation. Auch dies ist in der DSVGO geregelt:
Sie müssen unter anderem ein „Verzeichnis von Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis) führen, gegebenenfalls eine Datenschutzfolgenabschätzung vornehmen und eine Dokumentation von Datenpannen vornehmen.

Diese Dokumentationen müssen Sie zum 25.05.2018 fertiggestellt haben und den Aufsichtsbehörden auf Nachfrage zur Verfügung stellen können – es reicht nicht mehr aus, diese erst bei einer Anfrage zu erstellen.


2. Nutzerrechte

Vor Allem die Rechte und der Schutz der Nutzer soll durch die DSGVO geregelt und gestärkt werden. Im Folgenden die wichtigsten Rechte, die ein Nutzer ab dem 25.05.2018 gegenüber dem Webseitenbetreiber hat:

Auskunfts- und Information

Nutzer haben das Recht zu erfahren, ob und welche Daten über sie gespeichert wurden. Die Auskunft muss ebenfalls Informationen darüber enthalten, wie lange die Daten gespeichert werden und die Gründe der Speicherdauer.

Berichtigung und Löschung

Nutzer haben das Recht eine –unverzügliche– Berichtigung ihrer Daten zu verlangen. Auch können sie die personenbezogenen Daten vollständig löschen lassen, sobald diese nicht mehr gespeichert werden dürfen und keine Aufbewahrungsfristen eine weitere Speicherung voraussetzen. Dies ist z.B. nach einer Vertragskündigung der Fall.

Datenübertragbarkeit

Nutzer haben das Recht, auf Anfrage einen Export der zu ihnen gespeicherten personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten. Diesen Export können Nutzer verwenden, um ihn von einem anderen Anbieter importieren zu lassen, z.B. um eine Bestellung abzugeben.


3. Einwilligung des Nutzers


Freiwilligkeit

Die Erbringung eines Dienstes darf nicht davon abhängig gemacht werden, dass der Nutzer in eine Datenverarbeitung einwilligt, die für den Dienst nicht erforderlich ist.
Beispiel: Sie machen die Erbringung Ihrer Leistung davon abhängig, dass der Nutzer einwilligt Ihnen Daten über seinen Gesundheitszustand bereitzustellen - obwohl diese Daten für die Erbringung der Leistung gar nicht erforderlich sind. Dies wäre nicht zulässig.

Bestimmtheit

Verschiedene Datenverarbeitungsprozesse erfordern eine getrennte Einwilligung des Nutzers.
Beispiel: Die Einwilligung zur Zusendung eines Newsletters und Durchführg einer Bonitätsprüfung muss unabhängig erfolgen.

Informiertheit

Der Nutzer muss in klarer und verständlicher Form über den Umfang und Zweck Ihrer Datenverarbeitung informiert werden. Auch müssen Sie über das Widerrufsrecht informieren.

Eindeutigkeit

Die Einwilligung zur Datenverarbeitung muss durch eine eindeutig bestätigende Handlung erfolgen - zum Beispiel durch Aktivieren einer Checkbox (Opt-in). Opt-out – also die Checkbox ist bereits angehakt - ist nicht zulässig.

Wichtig: Einwilligungen von Nutzern unter 16 Jahren sind nicht mehr gültig. Hier ist eine Zustimmung der Eltern erforderlich.

In der Praxis

.. bedeutet dass:

  • Formulare auf der Webseite sollten einen klaren Hinweis auf die Art der Datenverarbeitung enthalten
  • Der Nutzer muss die Datenverarbeitung explizit akzeptieren (z.B. durch Aktivierung einer Checkbox)
  • es dürfen nur wirklich nötige Daten erfasst werden
  • Pflichtfelder müssen leicht erkennbar sein
  • die Erfassung einer Kontaktmöglichkeit genügt (also entweder E-Mail oder Telefonnummer)
  • Newsletteranmeldunegn sind nur noch mit Double-Opt-In rechtssicher


4. Datenschutzerklärung

Sie benötigen eine neue, angepasste Datenschutzerklärung für Ihre Webseite.

Grundlegende, auf die Services der Webseite angepasste Anpassungen erhalten Kunden mit Contentserver24-Flat von uns. Wir kontaktieren Sie um eventuell darüber hinaus zum Einsatz kommende Datenverarbeitungen (z.B. Bonitätsprüfung) zu besprechen.
Allen anderen empfehlen wir eine neue angepasste Datenschutzerklärung erstellen zu lassen.


5. Verträge mit Dienstleistern

Beauftragen Sie Dienstleistern mit der Datenverarbeitung (z.B. Hoster, Newsletter-Dienste oder auch Contentserver24), so müssen Sie mit diesen „Auftragsdatenverarbeitungsverträge“ (ADV Verträge) schließen. Hierin wird z.B. festgehalten, dass nur Personen Zugang zu den Nutzerdaten erhalten, die dazu auch berechtigt sind. Diese Mitarbeiter haben i. d. R. eine Vertraulichkeitsvereinbarung unterzeichnet bzw. auch teilweise ein polizeiliches Führungszeugnis vorlgelegt. Weiterhin wird im ADV Vertrag definiert, dass die Datenspeicherung physisch abgesichert ist – also z.B. das Gebäude, in dem die Server zur Datenspeicherung stehen.

6. Folgenabschätzung

Wenn bei Ihrer Datenverarbeitung ein hohes Risiko für die Nutzer besteht, müssen Sie u. U. im Vorfeld eine Datenschutzfolgenabschätzung vornehmen. Hierin prüfen Sie, ob ein hohes Risiko vorliegt und analysieren, welche Folgen ihre Verarbeitung auf die Nutzer hätte.

Je nach Ergebnis Ihrer Analyse müssen Sie dann die Aufsichtsbehörde informieren. Hier wird ihr Vorhaben geprüft. Die Datenschutzbehörde hat die Möglichkeit, dem Vorhaben zu widersprechen und sogar Sanktionen zu verhängen.


7. Datenpannen

Bei einer Datenpanne müssen Sie innerhalb von 72 Stunden die Aufsichtsbehörden darüber informieren. Hierfür ist es wichtig, einen Reaktionsplan bereit zu halten. Aus diesem geht hervor, wer in Ihrem Unternehmen zuständig ist und mit wem diese Person auf Seiten der Aufsichtsbehörden oder sonstigen Dienstleistern mit welchen Informationen in Kontakt treten muss. Dieser Reaktionsplan sollte ebenfalls im Vorfeld erstellt werden – nicht erst im Falle einer Datenpanne.

8. Verarbeitungsverzeichnis

Sie müssen ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis) führen. Dieses ist die Grundlage zur Erfüllung der Nachweispflicht. Der Aufwand für Webseitenbetreiber ist zum einen sehr hoch – zum anderen ist die geforderte Form eines solchen Verarbeitungsverzeichnisses weitestgehend offen.

Hinzu kommt, dass man sich mit jeder einzelnen Datenverarbeitungstätigkeit und mit jedem einzelnen dahinter stehenden Dienstleister auseinander setzen muss – also auch mit Drittanbietern, die man einsetzt (Web-Analyse Tools, Newsletter Versender, Hosting Anbieter).
Das fertige Verarbeitungsverzeichnis müssen Sie auf Anfrage jederzeit der Aufsichtsbehörde aushändigen können - zum Beispiel bei einer Prüfung.


9. Der Datenschutzbeauftragte

Unternehmen sind zur Bestellung eines externen oder betrieblichen Datenschutzbeauftragten verpflichtet, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten – sprich Kunden- und Mitarbeiterdaten -  im Unternehmen beschäftigt sind. Dazu gehört beispielsweise das Annehmen von telefonischen Bestellungen oder der Zugriff auf die Kundendatenbank usw. Als Beschäftigte gelten auch Teilzeitbeschäftigte, freie Mitarbeiter, Leiharbeitnehmer sowie Praktikanten.

Achtung! Ein Datenschutzbeauftragter muss aber auch bei sehr kleinen Betrieben benannt werden, wenn besonders sensible Daten verarbeitet werden, die eine Datenschutz-Folgeabschätzung nötig machen. Dazu gehören Daten von Betroffenen zum Beispiel zur ethischen Herkunft, sexuellen Orientierung, Gesundheitsdaten, genetische und biometrische Daten oder Informationen zur Weltanschauung.

Datenschutzbeauftragter kann grundsätzlich jeder werden, der entprechend beruflich und fachlich qualifiziert ist. Datenschutzkenntnisse können zum Beispiel beim TÜV oder bei der IHK in einer Schulung erworben werden. Der Datenschutzbeauftragte ist für die Unterrichtung und Beratung der Auftragsverarbeiter zuständig, er überwacht die Einhaltung der rechtlichen Vorschriften und ist Ansprechpartner für die Aufsichtsbehörde.


10. Strafzahlungen

Bei Verstößen gegen die neuen Datenschutz-Richtlinien drohen hohe Busgelder. Die Obergrenze von Strafgeldern lag bisher bei 300.000 Euro, jetzt wurde sie auf bis zu 20 Millionen Euro angehoben – oder 4 % des Jahresumsatzes Ihres Unternehmens. Je nachdem, welcher Betrag höher ist.

Contentserver24-Flat:

  • Webseitenüberarbeitung inkl. mobile Geräte
  • freie Auswahl aus allen Energie-Modulen demo.contentserver24.de
  • Domains inkl.
  • Hosting & E-Mail inkl.
  • SSL inkl.
  • erweiterbar mit Facebook, Twitter, App
ENERGIE für Ihre HOMEPAGE!

Viele Grüße aus Halle

Ihr atrego-Team
 
Fiete-Schulze-Str. 10 06116 Halle (Saale)
Tel.: 0345 - 213 898 90 Fax: 0345 - 213 898 99
www.atrego.de info@atrego.de
HRB 9904 - Amtsgericht Stendal USt.-ID: DE268371849
Geschäftsführer: Dipl.Inf.(FH) Christian Winzer
Wenn Sie keinen weiteren Newsletter von uns erhalten möchten,
klicken Sie bitte folgenden Link: Newsletter abbestellen
Unsere Angebote
contentserver24 atregoPay atrego