Praxis-Tipp 1: Einwilligungen einholen

Seit die DSGVO gilt, ist es nicht nur wichtig, die Einwilligung der Nutzer zur Datenverarbeitung einzuholen, sondern diese auch zu dokumentieren. Eine Generaleinwilligung ist unzulässig. Für jeden Verarbeitungsvorgang (z.B. Newsletterversand, Bestellprozess) ist eine gesonderte Einwilligung einzuholen und der Verarbeitungszweck ist dabei zu nennen. Die Einwilligung muss freiwillig erfolgen. Der Widerruf muss nun genauso einfach wie die Erteilung der Einwilligung sein. Auf der Website genügt die Abfrage der Einwilligung per Opt-in-Kästchen. Vorangekreuzte Kästchen (Opt-out) begründen keine wirksame Einwilligung. Bei Einwilligungen von Minderjährigen ist darauf zu achten, dass die Zustimmung des gesetzlichen Vertreters vorliegt, sonst sind diese nicht gültig.

Praxis-Tipp 2: Datenschutzerklärung anpassen

Jedes Unternehmen, das personenbezogene Daten verarbeitet und eine Webseite hat, muss eine Datenschutzerklärung bereitstellen. Die rechtlichen Anforderungen haben sich aufgrund der DSGVO verschärft. In der Datenschutzerklärung muss auch darüber informiert werden, wer Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung der (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten. Unternehmer sind angehalten, ihre Datenschutzerklärung den neuen Klauseln anzupassen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

Praxis-Tipp 3: Auskunft erteilen

Seit 25. Mai 2018 kann ein Kunde, ein Newsletter-Empfänger oder auch ein ehemaliger Mitarbeiter jederzeit an das Unternehmen herantreten und Auskunft über die ihn gespeicherten Daten oder eine Kopie seiner Daten verlangen. Die Auskunft muss unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in Ausnahmefällen kann diese um weitere zwei Monate verlängert werden. Allerdings muss die Verzögerung begründet werden und der Auskunftsersuchende muss über die Verzögerung und die Begründung dafür innerhalb eines Monats nach Antragsstellung informiert werden. Die Auskunftsersuchende kann zum Beispiel erfragen, zu welchem Zweck die Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt.

Quotation mark

Wenn das Verarbeitungsverzeichnis fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen.

Praxis-Tipp 4: Verzeichnis der Verarbeitungstätigkeiten anlegen

Alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, müssen in einem Verarbeitungsverzeichnis dokumentiert werden. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Unternehmen bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Praxis-Tipp 5: Auf Datensparsamkeit und Aktualität achten

Grundsätzlich gilt der Grundsatz der Datensparsamkeit. Nach der neuen DSGVO dürfen nur noch Daten gespeichert werden, die auch wirklich benötigt werden und nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Für den Versand eines Newsletters wird beispielsweise lediglich die E-Mail Adresse des Empfängers benötigt. Wichtig ist auch, dass die gespeicherten Daten inhaltlich und sachlich richtig und aktuell sind. Das bedeutet auch, dass die Daten gelöscht werden müssen, sobald sie nicht mehr benötigt werden. Denn jeder hat das Recht auf die Löschung oder Sperrung seiner gespeicherten Daten zu bestehen, unter anderem dann, wenn keine Berechtigung mehr für die Verarbeitung oder Nutzung dieser Daten vorliegt, er seine Einwilligung widerrufen hat oder die Verarbeitung der Daten unrechtmäßig war. Eine Aufzählung der Löschungsgründe befindet sich in Art. 17 DSGVO.

Fazit

Vor allem für diejenigen, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, besteht jetzt Handlungsbedarf. Sie sollten sich auch nach dem 25. Mai 2018 noch mit den Änderungen durch die DSGVO vertraut machen und Ihre Webseite auf die Anforderungen der DSGVO vorbereiten. Die hohen potenziellen Strafen für eine Nichteinhaltung der neuen Datenschutzregeln machen den Versuch, irgendwie unbemerkt unter dem Radar durchzufliegen, zu einem riskanten Unterfangen.