Datenschutz-Grundverordnung (DSGVO): Zusammenfassung und Checkliste

Die letzten Wochen und Tage waren für viele Online-Händler mit sehr viel Stress verbunden und nun ist es so weit, die DSGVO ist in Kraft. Bereits in den letzten Wochen haben wir Sie wöchentlich darüber informiert, welche Schritte Sie als Online-Händler im Detail gehen müssen, damit Ihre Seite den Anforderungen der neuen DSGVO entspricht. Um noch einmal überprüfen zu können, ob Sie alles erledigt haben, finden Sie hier eine Zusammenfassung der wichtigsten Punkte sowie eine kurze Checkliste. Hoffentlich können Sie hinter alle Punkte einen großen Haken setzen:

Technische und organisatorische Maßnahmen

Ihr tatsächlicher Aufwand bei der Anpassung der technischen und organisatorischen Maßnahmen ist abhängig von Ihrem derzeitigen TOM-Datenschutz-Niveau. Ist Ihr Unternehmen hierbei bereits gut aufgestellt, dürften die Anpassungen an die TOMs nach DSGVO nur geringfügig größer und damit überschaubar sein. Klar ist jedoch, dass technische Maßnahmen und damit das Thema IT-Sicherheit durch die DSGVO an Bedeutung gewinnen. Oder detaillierte Informationen erhalten Sie in den nächsten Wochen in unserem Blog.

Datenschutzbeauftragter im Unternehmen

Prüfen Sie, ob Sie mindestens zehn  Mitarbeiter ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigen.. Ist dies der Fall, benötigen Sie einen Datenschutzbeauftragten, den Sie sorgfältig auswählen sollten. Bei weniger als zehn Mitarbeitern, die mit Verarbeitungsprozessen betraut sind,  brauchen Sie in der Regel keinen Datenschutzbeauftragten. Hier geht’s zum vollständigen Artikel.

Datenübermittlung ins Ausland

Überprüfen Sie, ob Sie  personenbezogene Daten Ihrer Kunden  ins Ausland übermitteln, etwadurch aktive Übersendung, im Rahmen eines Verarbeitungsauftrages oder indem Sie einen Zugang oder Einblick darin gewähren. Sollte dies der Fall sein, stellen Sie fest, ob Sie die Daten ins EU- oder ins Nicht-EU-Ausland auslagern und ermitteln Sie damit welcher Schutzstandard im anderen Land gilt. Falls Sie ins Nicht-EU-Ausland Daten übermitteln und für das jeweilige Land kein Angemessenheitsbeschluss vorhanden ist,  müssen gemäß DSGVO geeignete Garantien für die Datenübermittlung vorliegen. Hier geht’s zum vollständigen Artikel.

Cookies

Cookies (z.B. für Webanalyse-Tools) dürfen  nach der DSGVO nur gesetzt werden, wenn eine Rechtsgrundlage dies vorsieht. Wird das Setzen von Cookies auf Ihr berechtigtes Interesse gestützt, ist eine Einzelfallabwägung  vorzunehmen. Online-Händler sollten sich daher mit der Frage beschäftigen, ob eine Rechtfertigung der von ihnen gesetzten Cookies auf Grundlage Ihres berechtigten Interesses erfolgen kann oder ob eine Einwilligung des Kunden notwendig ist. Hier geht’s zum vollständigen Artikel.

Newsletterversand

Newsletter dürfen nur unter bestimmten Voraussetzungen versendet werden, z.B. wenn eine Einwilligung vorliegt. Hier hat sich für Online-Händler durch die DSGVO wenig verändert. Lediglich die Datenschutzerklärung muss angepasst werden, im Übrigen gibt es keine großen Neuerungen. Soweit Sie Zugaben bewerben, wie Preisnachlässe, Gewinnspiele oder ähnliches, achten Sie darauf, dass die Bedingungen hierfür verlinkt sind. Hier geht’s zum vollständigen Artikel.

Bonitätsprüfung

Wie bisher ist eine Bonitätsprüfung grundsätzlich nur mit der vorherigen Einwilligung des Kunden möglich. Diese ist entbehrlich, wenn der Händler ein berechtigtes Interesse an einer Bonitätsabfrage besitzt. Geht der Online-Händler in Vorleistung (Kauf auf Rechnung), kann grundsätzlich von einem überwiegend berechtigten Interesse gegenüber dem Kunden ausgegangen werden. Die Bonitätsprüfung darf nicht ausschließlich auf einer maschinellen Entscheidung beruhen. Ausnahmen bestehen, wenn die Einwilligung des Kunden vorliegt oder die Bonitätsprüfung für die Durchführung des Vertrages erforderlich ist. Wie bei jeder Datenverarbeitung von personenbezogenen Daten sind die datenschutzrechtlichen Grundsätze der DSGVO zu beachten. Hier geht’s zum vollständigen Artikel.

Checkliste-DSGVO

Verfahrensverzeichnis

Zur Erfüllung der Rechenschaftspflicht müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten erstellen, das Sie auf Verlangen der Datenschutzbehörde jederzeit vorlegen müssen. Haben Sie kein solches Verzeichnis, wird vermutet, dass Sie nicht alle Datenschutzvorschriften einhalten, was Bußgelder nach sich ziehen kann. Hier geht’s zum vollständigen Artikel.

Datenschutzerklärung  

Wegen zahlreicher zusätzlicher Informationspflichten müssen Sie zwingend Ihre Datenschutzerklärung aktualisieren. Fehlen neue Informationen, sind  nicht nur Bußgelder von Behörden, sondern  auch Abmahnungen zu befürchten. Hier geht’s zum vollständigen Artikel.

Verträge zur Auftragsverarbeitung

Gemäß Art. 28 Abs. 1 DSGVO darf sich der Verantwortliche nur solcher Auftragsverarbeiter bedienen, die in organisatorischer und technischer Hinsicht hinreichend garantieren können, dass die Datenverarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Hier geht’s zum vollständigen Artikel.

Einwilligungstexte

In einigen Fällen ist die Rechtsgrundlage für die Datenverarbeitung eine Einwilligung des Betroffenen. Dies ist nicht neu und nach einem Beschluss des Düsseldorfer Kreises genügen korrekte Alt-Einwilligungen auch den Vorgaben der DSGVO. Zu beachten sind künftig die Spezialthemen Minderjährige und Kopplungsverbot. Da erfahrungsgemäß aber auch nach derzeitigem Recht nicht alle Einwilligungstexte korrekt formuliert sind, ist die DSGVO ein guter Anlass, noch einmal alle Einwilligungsprozesse im Online-Shop zu überprüfen. Hier geht’s zum vollständigen Artikel.

Prozesse zur Wahrung der Betroffenenrechte

Jeder User hat verschiedene Betroffenenrechte, u. a. auf

-       Auskunft, Art. 15 DSGVO

-       Berichtigung, Art. 16 DSGVO

-       Löschung = „Vergessenwerden“, Art. 17 DSGVO

-       Einschränkung (früher „Sperrung“), Art. 18 DSGVO

-       Datenübertragbarkeit, Art. 20 DSGVO

-       Widerspruchsrecht (z. B. bei Tracking), Art. 21 DSGVO

Über diese Rechte ist einerseits in der Datenschutzerklärung zu informieren, andererseits muss natürlich auch sichergestellt sein, dass die Rechte überhaupt ausgeübt werden können. D.h. es muss einen internen Prozess geben, der regelt, wer dem auskunftssuchenden User innerhalb von spätestens einem Monat Auskunft erteilt, Daten berichtigt, löscht, sperrt, herausgibt oder einen Widerspruch umsetzt. Hier geht’s zum vollständigen Artikel.

Reaktionsplan für Datenpannen

Durch interne Sensibilisierung und Prozesse sollten Sie Datenschutzpannen von vornherein vermeiden. Sollte es aber dennoch mal zu einem solchen Vorfall kommen, sollten bestimmte Regeln beachtet werden. „Datenschutzpanne“ kann heißen, dass eine besonders große Menge von Daten oder besonders sensible Daten verloren gegangen sind, z. B. weil Server angegriffen wurden. Aber auch andere, weniger schwere Fälle können von Behörden als solche eingestuft werden, z. B. wenn von Ihnen angebotene Dienste oder eingesetzte Tools in Bezug auf die Verarbeitung von Daten fehlerhaft agiert haben.  Hierüber informieren wir Sie detaillierter in den nächsten Wochen.

Datenschutz-Folgenabschätzung

In bestimmten Fällen ist eine sogenannte Datenschutz-Folgenabschätzung durchzuführen. Dabei geht es um Themen, die „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben. Das Gesetz nennt exemplarisch

- automatisierte Entscheidungen einschließlich Profiling

- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten

- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

In Online-Shops kann vor allem die zweite Kategorie relevant sein, etwa bei

- Apotheken, Medizinprodukte-Shops (Gesundheitsdaten)

- Erotik-Shops (Daten über das Sexualleben).

Weitere Fälle wären beispielsweise der Einsatz von Monitoringsystemen zur Überwachung von Mitarbeitern (einschließlich der Nutzung des Internets) oder die Videoüberwachung in einem Einkaufszentrum. Weitere Infos dazu folgen in den nächsten Wochen.

Unser Tipp: Weitere Gesetzesentwicklungen im Auge behalten

Zuletzt sollten Sie auch die sich derzeit noch im Gesetzgebungsprozess befindliche sog. E-Privacy-Verordnung nicht aus den Augen verlieren. Diese wird die DSGVO im Bereich der elektronischen Kommunikation ergänzen bzw. präzisieren und weiteren Anpassungsbedarf für die betrieblichen Prozesse mit sich bringen. Wir halten Sie hierzu natürlich auf dem Laufenden.

24.05.18

Admin

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies