Zur Anwendbarkeit der EU-DSGVO ab 25. Mai 2018

Übersicht

1. Worum geht es?
2. Was gilt es zu beachten?
3. Welche allgemeinen Maßnahmen und Vorkehrungen müssen getroffen werden?
4. Welche Maßnahmen und Vorkehrungen müssen seitens der SRT GmbH und seinen Partnern sowie Kunden getroffen werden?
5. Quellen und weiterführende Links

Worum geht es?

Die Datenschutzgrundverordnung der Europäischen Union, kurz EU-DSGVO, ist ab dem 25. Mai 2018 für alle Unternehmen und Organisationen innerhalb der EU, sowie von externen Unternehmen, die innerhalb der EU Handel betreiben, anzuwenden. Die Verordnung dient der Vereinheitlichung des Datenschutzes aller EU-Bürger und wird die nationalen Datenschutzgesetze der Mitgliedsländer ersetzen. In Deutschland war das bisher die sogenannte Datenschutzrichtlinie (DRL) des Bundesdaten­schutz­gesetzes (BDSG). In revidierter Form wird dieses Gesetz auch nach dem 25. Mai weiter existieren.

Die DSGVO gilt für alle privaten und öffentlichen Organisationen, die personenbezogene Daten verarbeiten. Das umschließt u.a. sowohl Betreiber von Online-Shops, als auch Webhoster und Anbieter Cloud-basierter Anwendungen. Bei Verstößen drohen Strafen in Millionenhöhe: bis zu 4% des jährlichen Gesamtumsatzes eines Unternehmens oder ein Pauschalbetrag von 20 Millionen Euro, je nachdem, welcher Betrag höher ausfällt. Um dies zu vermeiden, sollten die folgenden Punkte beachtet und rechtzeitig umgesetzt werden.

Bitte beachten Sie vorab diesen wichtigen Hinweis: Die DSGVO besteht aus elf Kapiteln und enthält 99 Artikel, von denen im Folgenden nur auf die für das E-Commerce relevantesten eingegangen werden soll. Dieser Newsletter erhebt somit keinen Anspruch auf Vollständigkeit und Richtigkeit der präsentierten Informationen. Der Newsletter wurde mit größter Sorgfalt unter Hinzunahme verschiedener, abschließend genannter Quellen erstellt und versteht sich als Hilfeleistung zur Verdeutlichung des Themas. Er sollte in jedem Fall durch das Konsultieren eines Rechtsexperten ergänzt werden.

Was gilt es zu beachten?

Den folgenden ausgewählten 24 Artikeln sollten Sie besondere Beachtung schenken. Im Anschluss an die Auflistung erfolgt eine Zusammenfassung der wichtigsten Maßnahmen und Vorkehrungen, die Sie vor der offiziellen Anwendbarkeit der DSGVO am 25. Mai 2018 treffen müssen.

Ausführliche Erläuterungen zu jedem einzelnen Artikel (oftmals selbsterklärend) würden den Umfang dieses Newsletters überstrapazieren. Über den am Ende des Newsletters angegebenen Link gelangen Sie zu den genauen Beschreibungen aller Artikel.

Artikel 5 beschreibt die „Grundsätze für die Verarbeitung personenbezogener Daten“.

Artikel 6 beschreibt die „Rechtmäßigkeit der Verarbeitung“.

Artikel 7 beschreibt die „Bedingungen für die Einwilligung“.

Artikel 8 beschreibt die „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“.

Artikel 9 beschreibt die „Verarbeitung besonderer Kategorien personenbezogener Daten“.

Artikel 12 beschreibt „Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betreffenden Person“.

Artikel 13 beschreibt die „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“.

Artikel 14 beschreibt die „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“.

Artikel 15 beschreibt das „Auskunftsrecht der betroffenen Person“.

Artikel 16 beschreibt das „Recht auf Berichtigung“.

Artikel 17 beschreibt das „Recht auf Löschung“ („Recht auf Vergessenwerden“).

Artikel 18 beschreibt das „Recht auf Einschränkung der Verarbeitung“.

Artikel 19 beschreibt die „Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung“.

Artikel 20 beschreibt das „Recht auf Datenübertragbarkeit“.

Artikel 21 beschreibt das „Widerspruchsrecht“.

Artikel 22 beschreibt „Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“.

Artikel 25 beschreibt den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. In Ergänzung dazu beschreibt Artikel 32 die „Sicherheit der Verarbeitung“.

Artikel 28 beschreibt die Pflichten und Arbeitsweise des „Auftragsverarbeiters“. Hierzu zählen eine Reihe weiterer Artikel, die im Einzelnen an dieser Stelle nicht aufgeführt werden.

Artikel 33 beschreibt die „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“.

Artikel 34 beschreibt die „Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“.

Artikel 37 beschreibt die „Benennung eines Datenschutzbeauftragten“. Dessen Stellung und Aufgaben werden jeweils in den Artikeln 38 und 39 beschrieben.

Aus den obigen Punkten lassen sich einige generelle Maßnahmen und Vorkehrungen ableiten, die im Folgenden beschrieben werden sollen.

Welche allgemeinen Maßnahmen und Vorkehrungen müssen getroffen werden?

Trotz der Ähnlichkeit mit bisherigen Datenschutzregelungen, sollten Unternehmen ihre Compliance-Maßnahmen überprüfen und potentielle Abweichungen oder gar die Nicht-Beachtung einzelner Punkte antizipieren und rechtzeitig überarbeiten.

Insbesondere die Rechte von Personen, deren Daten verarbeitet werden, sind durch die neue Verordnung erweitert worden. So dürfte das sogenannte „Recht auf Vergessenwerden“ (Artikel 17) für viele Unternehmen neu sein. Hierunter fallen sowohl das Löschen veralteter Daten sowie Daten oder Informationen, die, nach Ansicht der betroffenen Person, zu Unrecht erhoben wurden.

Wichtig ist auch, dass Unternehmen nicht nur ihre eigenen Datenschutzrichtlinien überprüfen und gegebenenfalls anpassen, sondern auch die Sicherheitsstandards sämtlicher Partner und Dienst­leister prüfen, die personenbezogene Daten bearbeiten. Das gilt auch für Unternehmen und Dienst­leister, die sich im EU-Ausland befinden (Marktortprinzip).

Aus dem erhöhten Compliance- und IT-Risikoansatz ergibt sich die Notwendigkeit, ein formelles Datenschutz-Managementsystem aufzubauen (u.U. im Rahmen eines eigens hierfür entwickelten Datenschutzprojektes), welches sich u.a. um folgende Punkte kümmert:

• Entwicklung eines Datenschutzkonzepts und Formulierung/Anpassung der unternehmenseigenen Datenschutzvereinbarung
• Implementierung einer Datenschutz-Risikoabschätzung
• Einrichtung eines internen Audits (z.B. nach dem PDCA-Zyklus)
• Wahrung der Kommunikation im Unternehmen
• Ausführliche Dokumentation

Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 implementiert hat, muss lediglich noch den Anwendungsbereich erweitern und die neuen Regelungen ergänzen.

Je nach Größe, Detailgrad der Daten und dem Geschäftsfeld, in dem ein Unternehmen tätig ist, gilt die Pflicht, einen Datenschutzbeauftragten (DSB) zu ernennen. Dieser kann entweder ein Mitarbeiter oder eine Mitarbeiterin aus dem eigenen Unternehmen sein, oder auch extern „bestellt“ werden.

Generell gilt zukünftig der sogenannte „Stand der Technik“ bei der Auswahl von Sicherheits­maß­nahmen, die getroffen werden müssen. Hierzu zählen z.B. Abwehrmechanismen gegen DDos-Attacken, Antiviren- und Antimalware-Software, oder Identifizierungs- und Authenti­fi­zier­ungs­mecha­nis­men. Dies setzt auch eine ständige Überprüfung der Aktualität der Sicherheitsstandards der eigenen Software voraus. Nicht mehr aktuell sind beispielsweise „Next-Generation Firewalls“.

Um ein Datenschutzzertifikat, welches die Einhaltung des Datenschutzes durch das jeweilige Unternehmen garantiert, ausgestellt zu bekommen, müssen die eigenen Sicherheitsstandards in Bezug auf obige Punkte überprüft werden.

Welche Maßnahmen und Vorkehrungen müssen seitens der SRT GmbH und seinen Partnern sowie Kunden getroffen werden?

Als E-Commerce Dienstleister, Web-Hoster und Cloud-Anbieter gelten für die SRT GmbH vor allem die im Folgenden aufgelisteten Punkte. Konkrete Hinweise, die in der Datenschutzerklärung erwähnt werden müssen, sind weiter unten aufgeführt.

• Überarbeitung der Verträge zur Auftragsverarbeitung (siehe Artikel 28)
• Überprüfung der Rechtsgrundlagen zur Verarbeitung
• Umsetzung der Betroffenenrechte („Informationspflicht“) (siehe Artikel 13, 14, 15;)
• Überprüfung der Datenschutzeinstellungen (Privacy by Default)
• Umsetzung der verschärften Meldepflichten (siehe Artikel 19, 33, 34)
• Überprüfung der technischen und organisatorischen Maßnahmen

Für Cloud-Anbieter gibt es zusätzlich die Möglichkeit, sich eine Zertifizierung nach dem „Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP)“ ausstellen zu lassen. Damit sichern sich nicht nur der Cloud-Anbieter selbst sondern auch seine Cloud-Nutzer ab.

Im Hinblick auf die konkrete Umsetzung der verschiedenen im Vorfeld genannten Punkte sollten folgende Hinweise in der Datenschutzerklärung ergänzt werden:

• Recht auf Einschränkung der Verarbeitung
• Widerspruchsrecht (getrennt bzw. hervorgehoben von anderen Informationen)
• Beschwerderecht bei einer Aufsichtsbehörde (aber ohne Nennung dieser)
• Recht auf Datenübertragbarkeit
• Nennung der Kontaktdaten eines ggf. vorhandenen Datenschutzbeauftragten (wenigstens E-Mail-Adresse)
• Nutzung von Servern im Nicht-EU-Ausland und existierende Privacy-Shield-Abkommen
• Wie lange werden welche Daten warum gespeichert
• Bestehen einer automatisierten Entscheidungsfindung (z.B. Bonitätsprüfung)
• Erfassen allgemeiner Daten wie Logfiles und deren etwaige Speicherung
• Registrierungsmöglichkeiten, Kommentarfunktionen, das Abonnieren von Newslettern
• Verwendung von Cookies
• Nutzung von Social-Sharing-Funktionen
• Einsatz von Analyse- oder Trackingdiensten
• Auskunftsrecht über die Datenverarbeitung
• Recht auf Berichtigung
• Recht auf Datenlöschung und auf Vergessenwerden (beinhaltet auch die Löschung von Daten durch Dritte!)
• Recht auf Datenübertragbarkeit

Quellen und weiterführende Links

Links:

Portal zu Gesetzestexten der Europäischen Union, Link führt direkt auf die Seite der EU-DSGVO
http://eur-lex.europa.eu/eli/reg/2016/679/oj

Online-Tool zur Erstellung einer DSGVO-konformen Datenschutzerklärung
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Quellen:

https://www.datastax.com/resources/whitepapers/eu-gdpr-a-pocket-guide-a-clear-concise-primer-on-the-eu-gdpr-German?utm_campaign=GDPR_DACH_connectcom&utm_medium=cpc&utm_source=Google&utm_content=gdpr&gclid=EAIaIQobChMInuHW6rvI2gIVij8bCh02gAmhEAAYASAAEgKwpPD_BwE

https://www.mein-datenschutzbeauftragter.de/bestellung-datenschutzbeauftragten/

https://www.computerwoche.de/a/eu-dsgvo-unternehmen-muessen-sich-jetzt-vorbereiten,3330971,2

https://www.spezialisten-blog.de/dsgvo/

https://www.cloudcomputing-insider.de/die-eu-dsgvo-als-herausforderung-fuer-cloud-data-management-a-665075/