04
Apr

Die neue DSGVO – Das müssen Sie jetzt wissen!

Am 25. Mai 2018 ist es soweit: Die neue Datenschutz-Grundverordnung der europäischen Union, kurz DSGVO, tritt in Kraft. Doch viele Unternehmen fühlen sich mit der Änderung überfordert und wissen nicht genau, was diese Umstellung beinhaltet und wo konkreter Handlungsbedarf besteht. Und vorallem: Was passiert im Falle einer Abmahnung?

Fragen und Antworten rund um das Thema DSGVO 2018 finden Sie kompakt zusammengefasst in diesem Artikel.

Haftungsausschluss: Die Informationen in diesem Artikel sind sorgfältig recherchiert worden. Trotzdem übernehmen wir keinerlei Haftung für die Richtigkeit, Vollständigkeit und Aktualität der aufbereiteten Informationen. Diese stellen Handlungsempfehlungen dar, ersetzen jedoch keine Rechtsberatung. Um sicher zu stellen, dass für Ihr Unternehmen alles korrekt bedacht und umgesetzt wurde, konsultieren Sie einen Rechtsanwalt oder einen Datenschutzbeauftragten.

Was ist die DSGVO?

Die europäische Datenschutz-Grundverordnung (DSGVO) bestimmt ab dem 25. Mai 2018 die einheitliche Verarbeitung aller personenbezogenen Daten innerhalb der Unternehmen. Ziel ist es, persönliche Daten (vom Mitarbeiter bis hin zum Endkunden) verstärkt zu schützen.

Die neue Verordnung stellt folgende, verpflichtende Richtlinien auf:

  • Eingesetzte und verwendete Systeme/Dienste müssen auf Integrität, Vertraulich- und Belastbarkeit geprüft werden.
  • Bei einem physischen oder technischen Ausfall müssen sämtliche Daten und Zugänge zeitnah wiederherstellbar sein.
  • Personendaten müssen verschlüsselt und anonymisiert werden.
  • Ausgeführte Maßnahmen müssen jederzeit nachweisbar sein – auch im Bereich der Auftragsdatenverarbeitung.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;” Art. 32 DSGVO

Verbraucher, deren Daten Sie erhalten, müssen ab dem Stichtag stets eindeutig, verständlich und nachvollziehbar mitgeteilt bekommen, zu welchem Zweck ihre Daten verarbeitet werden. Zudem muss zukünftig das eindeutige Einverständnis der Verbraucher zur weiteren Datenverarbeitung eingeholt werden. Mit dieser Zustimmung erhält der Verbraucher unter anderem das Recht, jederzeit abfragen zu können, ob und wie seine personenbezogenen Daten verwendet wurden und auf Wunsch diese Daten auch löschen zu lassen. Das Unternehmen erhält 4 Wochen Zeit, die Daten transparent aufzubereiten und der Person zur Verfügung zu stellen – dies ist auch auf elektronischem Weg möglich.

Eine Datenpanne (Data Breach Notification) bedeutet, dass der Datenschutz nicht aufrecht gehalten werden konnte und personenbezogene Daten verloren gingen. Dies kann schnell durch einen Hackerangriff, einem verloren mobilen Endgerät oder einem abhanden gekommenen USB-Stick geschehen. In diesem Fall muss die Panne innerhalb 72 Stunden bei der zuständigen Behörde gemeldet werden, sonst droht ein Verstoß der DSGVO.

Bisherige Datenschutzregelungen, wie das bestehende Bundesdatenschutzgesetz (BDSG), werden mit in Kraft treten der DSGVO ungültig und verfallen.

Doch keine Panik – Deutschlands hat bereits in der Vergangenheit im Vergleich zu anderen EU-Ländern strengere Datenschutzrichtlinien aufgestellt, daher sind die jetzt nötigen Änderungen überschau- und umsetzbar.

Wer ist betroffen?

Betroffen sind alle Unternehmen innerhalb der EU die personenbezogene Daten abfragen und verarbeiten. Dazu gehören auch Unternehmen, die nicht zur EU gehören, aber Ihre Waren und Dienstleistung EU-Verbrauchern anbieten.

Was sind personenbezogene Daten?

Zu den zu schützenden personenbezogenen Daten gehören alle Informationen, die eine natürliche Person definieren und identifizieren, wie beispielsweise:

  • Name
  • Geburtsdatum und Alter
  • Adressdaten (z. B. Wohnort)
  • Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
  • Standortinformationen
  • IP-Adresse
  • Kennnummern (z. B. Sozialversicherung, Ausweisnummern)

Diese Daten sammeln Sie automatisch, sobald ein Kunde Ihre Website besucht, ein Kontaktformular ausfüllt, an einem Gewinnspiel teilnimmt oder Einkäufe über Ihren Online-Shop tätigt.

Was passiert bei einer Abmahnung?

Bei Verstößen gegen die Datenschutzverordnungen fielen bisher “nur” Sanktionen in Höhe von
300.000 € an. Auch dieses Strafmaß wurde massiv verschärft. Wird nun gegen die DSGVO verstoßen, können nun bis zu 20 Mio. Euro Strafe fällig werden, bei Konzernen sogar rund 4 % des weltweiten Umsatzes.

Wann werden Daten verarbeitet?

Bei folgenden Aktivitäten innerhalb Ihrer Website werden beispielsweise personenbezogene Daten übermittelt und/oder gespeichert:

  • Aufruf der Unternehmenswebsite: Übertragung der IP-Adresse durch Analysetools wie
    Google Analytics, Matomo (ehem. Piwik), eTracker etc.
  • Jegliche Art von Formularen: Rückruf-, Kontakt-, Anmelde-, Bestellformular.
  • Kommentarfunktion: z. B. unter Blogbeiträgen, Produktbewertungen.
  • Verwendung von Werbenetzwerken: z.B. Google AdSense, Amazon- oder
    Paypal-Partnerprogramme.
  • Anmeldebereiche: z.B. Kundenkonto innerhalb Online-Shops.
  • Social-Media-Plugins: Facebook, Twitter, Pinterest etc.
  • Unverschlüsselte E-Mail-Adressen innerhalb der Website.

Was ist jetzt zu tun?

Als Website-Betreiber sind Sie rechtlich verantwortlich für die Rechtskonformität Ihres Internetauftritts. Im Folgenden einige Punkte, die Sie im Rahmen der neuen DSGVO ab dem 25.05.2018 beachten müssen (ohne Anspruch auf Vollständigkeit):

  • Anonymisierung der IP-Adresse bei Verwendung von Analysetools wie Google Analytics.
  • Überarbeitung der Datenschutzerklärung in Bezug auf die durch PlugIns gesammelten personenbezogenen Daten wie z. B. Newsletter-Tolls (MailChimp, MailPoet, ..), Shop-Systemen (WooCommerce, wpShopGermany, …), Tracking (Google Analytics, Matomo, …) und weitere AddOns.
  • Hinzufügen einer Checkbox bei jeder Art von verwendeten Kontaktformularen, so dass der Weiterverarbeitung der Kundendaten eindeutig aktiv zugestimmt werden muss.
  • Verschlüsselung Ihrer Website mit SSL-Zertifikat (https) für eine sichere Übertragung von personenbezogenen Daten.
  • Prüfung der Plugins, die personenbezogene Daten an nicht EU-Länder übertragen (IP-Adressen), zum Beispiel JetPack, Akismet (Antispam), Google Analytics etc. Anpassung der Datenschutzerklärung, bei Bedarf Umstellung auf rechtssichere Alternativen mit Servern innerhalb der EU.
  • Verschlüsselung der E-Mail-Adressen und -Kommunikation.
  • Dokumentation Ihrer Datenverarbeitung (Verzeichnis führen).
  • Integration einer Cookie-Bar.
  • Anpassung der Datenschutzrichtlinien bei eingebundenen YouTube Videos.

Zudem sollten Sie die folgenden Arbeiten in regelmäßigen Abständen durchführen oder durchführen lassen:

  • System Aktualisierungen: halten Sie Ihr System (Theme, System + Plugins) auf dem aktuellen Stand, so dass Sie vor Hackerangriffen bestmöglich geschützt sind.
  • Aktualisierung des Servers: fragen Sie hier bitte Ihren Provider an.
  • Datensicherung/Backups: wichtig, um verloren gegangene Daten zeitnah wiederherstellen zu können.

Benötigen Sie Hilfe bei der Umsetzung der DSGVO?

Wir helfen Ihnen bei verschiedenen Maßnahmen auf Ihrer Website oder in Ihrem Online-Shop.

Autorin: Chiara Zimmermann

Chiara Zimmermann ist Projektmanagerin bei der agentur coalo. Dort ist die Kauffrau für Marketing-Kommunikation für die Betreuung verschiedener Kundenprojekte im Bereich On- und Offline-Marketing zuständig. Ihr Schwerpunkt liegt in den Bereichen WordPress und WooCommerce. Neben Ihrer Begeisterung im technischen Web-Bereich, bloggt Sie nebenzu über die aktuellsten Bücher und versorgt ihr Umfeld mit allem rund um das Thema Füchse.