Abmahnungsfrei durch die DSGVO: 5 Praxistipps

Digitalisierung des Mittelstandes

Abmahnungsfrei durch die DSGVO: 5 Praxistipps für KMU

Seit dem 25. Mai gilt sie nun endgültig: die Datenschutz-Grundverordnung (DSGVO), die je-der, der personenbezogene Daten verarbeitet, umsetzen muss. Das neue Regelwerk hat bei vielen für Verunsicherung gesorgt. Datenschutzverstöße dürfen nun auch abgemahnt werden und es kann zu teuren Gerichtsverfahren kommen. Hinzu kommen Routineprüfungen und stichprobenartige Kontrollen der zuständigen Aufsichtsbehörde. Um diese Risiken zu vermeiden, ist es jetzt Zeit dafür zu sorgen, dass die neuen Datenschutzregeln im Unternehmen richtig umgesetzt sind.

Praxis-Tipp 1: Einwilligungen einholen

Seit die DSGVO gilt, ist es nicht nur wichtig, die Einwilligung der Nutzer zur Datenverarbeitung einzuholen, sondern diese auch zu dokumentieren. Eine Generaleinwilligung ist unzulässig. Für jeden Verarbeitungsvorgang (z.B. Newsletterversand, Bestellprozess) ist eine gesonderte Einwilligung einzuholen und der Verarbeitungszweck ist dabei zu nennen. Die Einwilligung muss freiwillig erfolgen. Der Widerruf muss nun genauso einfach wie die Erteilung der Einwilligung sein. Auf der Website genügt die Abfrage der Einwilligung per Opt-in-Kästchen. Vorangekreuzte Kästchen (Opt-out) begründen keine wirksame Einwilligung. Bei Einwilligungen von Minderjährigen ist darauf zu achten, dass die Zustimmung des gesetzlichen Vertreters vorliegt, sonst sind diese nicht gültig.

Praxis-Tipp 2: Datenschutzerklärung anpassen

Jedes Unternehmen, das personenbezogene Daten verarbeitet und eine Webseite hat, muss eine Datenschutzerklärung bereitstellen. Die rechtlichen Anforderungen haben sich aufgrund der DSGVO verschärft. In der Datenschutzerklärung muss auch darüber informiert werden, wer Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung der (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten. Unternehmer sind angehalten, ihre Datenschutzerklärung den neuen Klauseln anzupassen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

Praxis-Tipp 3: Auskunft erteilen

Seit 25. Mai 2018 kann ein Kunde, ein Newsletter-Empfänger oder auch ein ehemaliger Mitarbeiter jederzeit an das Unternehmen herantreten und Auskunft über die ihn gespeicherten Daten oder eine Kopie seiner Daten verlangen. Die Auskunft muss unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in Ausnahmefällen kann diese um weitere zwei Monate verlängert werden. Allerdings muss die Verzögerung begründet werden und der Auskunftsersuchende muss über die Verzögerung und die Begründung dafür innerhalb eines Monats nach Antragsstellung informiert werden. Die Auskunftsersuchende kann zum Beispiel erfragen, zu welchem Zweck die Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt.

Quotation mark

Wenn das Verarbeitungsverzeichnis fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen.

Praxis-Tipp 4: Verzeichnis der Verarbeitungstätigkeiten anlegen

Alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, müssen in einem Verarbeitungsverzeichnis dokumentiert werden. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Unternehmen bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Praxis-Tipp 5: Auf Datensparsamkeit und Aktualität achten

Grundsätzlich gilt der Grundsatz der Datensparsamkeit. Nach der neuen DSGVO dürfen nur noch Daten gespeichert werden, die auch wirklich benötigt werden und nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Für den Versand eines Newsletters wird beispielsweise lediglich die E-Mail Adresse des Empfängers benötigt. Wichtig ist auch, dass die gespeicherten Daten inhaltlich und sachlich richtig und aktuell sind. Das bedeutet auch, dass die Daten gelöscht werden müssen, sobald sie nicht mehr benötigt werden. Denn jeder hat das Recht auf die Löschung oder Sperrung seiner gespeicherten Daten zu bestehen, unter anderem dann, wenn keine Berechtigung mehr für die Verarbeitung oder Nutzung dieser Daten vorliegt, er seine Einwilligung widerrufen hat oder die Verarbeitung der Daten unrechtmäßig war. Eine Aufzählung der Löschungsgründe befindet sich in Art. 17 DSGVO.

Fazit

Vor allem für diejenigen, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, besteht jetzt Handlungsbedarf. Sie sollten sich auch nach dem 25. Mai 2018 noch mit den Änderungen durch die DSGVO vertraut machen und Ihre Webseite auf die Anforderungen der DSGVO vorbereiten. Die hohen potenziellen Strafen für eine Nichteinhaltung der neuen Datenschutzregeln machen den Versuch, irgendwie unbemerkt unter dem Radar durchzufliegen, zu einem riskanten Unterfangen.

Markus Kluge

Markus Kluge

Der gelernte Physiker Markus Kluge ist schon seit 2001 in der automatisierten Rechtsberatung tätig und somit sowohl Exot als auch Veteran in der Branche. Seit 2017 hilft sein Unternehmen Protected Compliance insbesondere kleinen Unternehmen aller Branchen bei der Umsetzung der DSGVO. Bewusst setzt man dabei auf bekannte und erprobte Werkzeuge, die Unternehmen Schritt für Schritt durch einen Prozess führt, der möglichst nicht durch die Anforderungen des Gesetzes definiert wird, sondern sich an reale Gegebenheiten der täglichen Arbeit orientiert.

 Zurück zur Übersicht