Datenschutz-Grundverordnung

Das gehört zum Endspurt beim Einhalten der DS-GVO

NEUER KOMMENTAR
Beitrag teilen

Wer die Umstellung auf die DS-GVO nicht komplett bis zum 25. Mai schafft, sollte zumindest die wichtigsten Punkte umsetzen und sich so weniger angreifbar für Abmahner machen. Der Anwalt hilft dabei.

Schriftzug DSGVO auf ComputerchipLangsam wird es eng. Wer noch nicht begonnen hat, die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) umzusetzen, die nächste Woche nach einer zweijährigen Übergangsphase verbindlich zu erfüllen sind, dürfte dies bis zum 25. Mai kaum ganz schaffen. Und das sind offenbar ziemlich viele – vor allem kleine – Betriebe. Laut einer Umfrage von DATEV und „handwerk magazin“ hat jedes dritte Unternehmen mit bis zu 50 Beschäftigten noch nichts von der DS-GVO gehört. Gesundheitshandwerker, die mit sehr persönlichen Informationen zur Gesundheit der Kunden arbeiten, zeigten sich besonders uninformiert. „Da tickt eine Bombe“, warnte DATEV-Strategie-Berater Stefan Wunram in einem Interview mit der „Deutschen Handwerks Zeitung“. Und das Marktforschungsinstitut Forsa erklärte Mitte April, erst 22 Prozent aller Mittelständler seien auf die Vorschriften vorbereitet. Weitere 22 Prozent sagten, sie wollten noch Vorkehrungen treffen. „Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter“, so Peter Graß vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Ohne Vorkehrungen drohten den Betrieben hohe Schäden, „etwa infolge von Cyberangriffen oder aufgrund staatlicher Bußgelder“. Die können künftig bis zu vier Prozent des Jahresumsatzes betragen.

Grafik mit Uebersicht zur Bekanntheit derDSGVO in verschiedenen Gewerben

Datenschutzerklärung und Datenschutzbeauftragter wichtig

Komplett DS-GVO-konform wird bis zum 25. Mai kein Unternehmen sein, das sich noch nicht mit dem Thema beschäftigt hat. Den Kopf in den Sand zu stecken, ist aber keine Option – die Datenschutz-Grundverordnung verschwindet ja nicht. Im Gegenteil. Nicht nur die Aufsichtsbehörden dürften ab Ende kommender Woche konsequent Verstöße gegen die DS-GVO ahnden, sobald etwa ein Datenleck bekannt wird. Auch professionelle Abmahner dürften den 25. Mai als Startschuss dafür verstehen, auf einen laxen Umgang mit den DS-GVO-Vorgaben mit kostenpflichtigen Abmahnungen zu reagieren. Auslöser könnten fehlende Datenschutzerklärungen laut DS-GVO sein, die unter anderem – falls ein Datenschutzbeauftragter benannt werden muss – dessen Kontaktdaten enthalten müssen, oder die Aufklärung über das Beschwerderecht bei einer Aufsichtsbehörde für den Datenschutz oder die Aufklärung über den Zweck der Datenerhebung. EU-Justizkommissarin Věra Jourová nimmt die wachsende Angst vor Abmahnwellen gegen kleine und mittlere Betriebe ernst. „Wir versuchen, die Panik zu verringern“, sagte sie beim 8. European Data Protection Day in Berlin.

Grafik zum Informationsdefizit bei der DSGVO im Mittelstand

Jetzt noch schnell die Webseite überarbeiten

Um in der verbleibenden Zeit die größten Angriffsflächen zu verkleinern, sollten bisherige DS-GVO-Ignorierer jetzt zusammen mit ihrem Rechtsanwalt eine klar strukturierte Checkliste mit den Hauptrisiken aufstellen und an ihrer Beseitigung arbeiten. Wo ist der Umgang des Unternehmens mit Daten und so ein möglicher Verstoß gegen Vorgaben der DS-GVO besonders sichtbar? Das dürfte vor allem Kundenkontakte betreffen, und dabei besonders die über die eigene Webseite – hier können als Interessenten getarnte Abmahner am ehesten Ansätze für Abmahnschreiben finden. Wichtig ist also DS-GVO-Konformität vor allem

Auf die sichtbarsten Änderungen konzentrieren

Das heißt natürlich nicht, andere Aspekte und Auswirkungen der DS-GVO zu ignorieren. Im Gegenteil: Interne Abläufe und Dokumentationen sind ebenso den Vorgaben der DS-GVO anzupassen wie etwa auch Betriebsvereinbarungen. Der Umgang mit persönlichen Daten von Mitarbeitern und Lieferanten oder Dienstleistern unterliegt natürlich künftig auch den neuen Regelungen, und die Mitarbeiter müssen entsprechend geschult werden. Selbst bei der Videoüberwachung der privaten Firmengebäude oder -gelände sind Neuerungen zu beachten. Nur – wer jetzt schon knapp dran ist, sollte in Absprache mit dem Rechtsanwalt erst da aktiv werden, wo es besonders dringend oder ein Verstoß gegen die DS-GVO besonders folgenreich ist. Danach können schnellstmöglich die anderen Themen abgearbeitet werden.

Formulare und Informationen auf der Webseite

Zu jedem Vertrag gehören naturgemäß persönliche Daten – sonst wäre der Kunde ja nicht zu identifizieren. Ein Unternehmer darf deshalb zur Anbahnung beziehungsweise zur Erfüllung des Vertragsverhältnisses den Namen, die Anschrift und die Telefonnummer oder bei Online-Abwicklung die E-Mail-Adresse ohne weitere Einwilligung erfassen. Weitere Informationen etwa zu Kontodaten, zum Geburtsdatum – beispielsweise für Glückwünsche – oder zu Kaufinteressen als Basis für maßgeschneiderte Mailings sind nicht erforderlich für die Erfüllung des Vertrags, in ihre Erfassung muss der Kunde also gesondert einwilligen.

Wichtig ist künftig, auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinzuweisen, am besten getrennt nach obligatorischen und freiwilligen Daten. Wer eine elektronische Einwilligung einholt, darf keine voreingestellte Einwilligung in Form eines Häkchens verwenden, sondern der Kunde muss selbst aktiv einwilligen. Außerdem ist der Kunde darüber zu informieren, zu welchem Zweck die Daten verarbeiten werden sollen. Jede bereits bestehende Einwilligung sollte darauf geprüft werden, ob sie den neuen Anforderungen des Datenschutzes entspricht. Fehlt der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks, muss die Einwilligung neu eingeholt werden. Alle Einwilligungen sind zu dokumentieren.

Liste mit Pflichtangabe akribisch abarbeiten

Änderungen gibt es auch bei den Informationspflichten. Künftig sind anzugeben:

  • der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • die Kontaktdaten des Datenschutzbeauftragten, falls erforderlich, also in der Regel bei Unternehmen, in denen mehr als zehn Beschäftigte mit der Verarbeitung personenbezogener Daten befasst sind
  • die Zwecke der Datenverarbeitung sowie Rechtsgrundlage
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen
  • gegebenenfalls Empfänger oder Kategorien von Empfängern
  • die Absicht der Übermittlung in ein Drittland / internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission
  • die Dauer der Datenspeicherung
  • das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit
  • das Recht auf Widerruf einer Einwilligung
  • das Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde
  • die Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22)
  • Nutzern einer Internetseite muss laut Datenschutz-Grundverordnung außerdem bekannt geben werden, ob und welche Cookies sie verwendet und ob sie die Nutzer der Seiten trackt.

Einsatz von Dienstleistern zur Auftragsdatenverarbeitung

Aus der Frage, wie welche Kundendaten verarbeitet werden, ergibt sich zudem das nächste Handlungsfeld, das es in Absprache mit dem Rechtsanwalt zu beackern gibt: Die Auftragsverarbeitung. Auf Kundendaten haben nämlich oft mehr externe Dienstleister einen Zugriff, als vielen Unternehmern klar ist. Und weil mit der Zahl der Zugriffsmöglichkeiten auch das Risiko einer Panne steigt, müssen alle Vorgaben der DS-GVO gut dokumentiert eingehalten werden. Nur so kann der Unternehmer im Ernstfall seinen (finanziellen) Schaden weitmöglichst begrenzen. Dreh- und Angelpunkt ist dabei eine Vereinbarung über die Auftragsverarbeitung. In deren Rahmen muss der Auftraggeber unter anderem prüfen, ob der Dienstleister seinen Sitz in einem Drittland wie etwa den USA hat und die Weitergabe der Daten über EU-Standardvertragsklauseln oder über Privacy Shield abgesichert ist.

Viele Dienstleister haben Zugriff auf Kundendaten

Das Thema Auftragsverarbeitung betrifft natürlich viele Tätigkeiten rund ums Geld. Hier lassen die meisten Unternehmen mehrere externe Dienstleister mit Daten von Kunden hantieren, etwa einen Bezahldienst für Onlineüberweisungen und ein Inkassounternehmen zum Eintreiben offener Forderungen. Mit all diesen Partnern müssen entsprechende Dienstverträge gemäß den Vorgaben der DS-GVO abgeschlossen werden. Darüber darf der Firmenchef aber nicht vergessen, dass auch zahlreiche andere externe Dienstleister einen Zugriff auf Kundendaten haben könnten. Dazu zählt nicht nur der Betreiber des Cloudservers, wo die Webseite des Unternehmens gehostet ist. Potenziell zugreifen könnte unter anderem auch der Systemadministrator des IT-Dienstleisters, der den Auftritt technisch betreut – oder sogar der Programmierer der Designagentur, die die Homepage gestaltet. Deshalb müssen auch mit all diesen Partnern entsprechende Dienstverträge gemäß den Vorgaben der DS-GVO abgeschlossen werden.

Auch an Telemediengesetz und Streitschlichtung denken

Außerdem ist für die Webseite mit Blick auf das Telemediengesetz natürlich daran zu denken, das Impressum zu aktualisieren. Dort müssen sich folgende Angaben finden: Name, Anschrift, Rechtsform, E-Mail-Adresse und Umsatzsteuer-Identifikationsnummer. Können Online-Verträge abgeschlossen werden, besteht Informationspflicht nach Art. 14 der sogenannten ODR-Verordnung. Beschäftigt der Betrieb mehr als zehn Mitarbeitern, muss zusätzlich angegeben werden, inwieweit er bereit oder verpflichtet ist, an einem Verfahren vor einer Verbraucherschlichtungsstelle gemäß Verbraucherstreitbeilegungsgesetz teilzunehmen, gegebenenfalls mit einem entsprechenden Link. Und natürlich darf der Hinweis auf den Datenschutzbeauftragten nicht fehlen. Werden hier Fehler gemacht oder Pflichtangaben vergessen, finden Profi-Abmahner schnell einen Ansatzpunkt für ihre Attacke. Das können Unternehmer allerdings im intensiven Dialog mit ihrem Rechtsanwalt durchaus auch kurzfristig verhindern – denn wenn klar ist, was auf die Webseite gehört, sollten die entsprechenden Veränderungen zumindest für die Homepage sogar noch bis nächsten Freitag zu schaffen sein.

  • Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen? Dann lassen Sie sich von uns informieren, wenn es Neues gibt!