DSGVO Deadline verpasst? Meine Handlungsempfehlung

Author Nils Koppelmann
01. Jun. 2018
timer 5 Min.

Die Deadline 25. Mai 2018 (eigentlich 24. Mai 2018 23:59 Uhr) ist verstrichen. Weiterhin – so zumindest mein aktueller Eindruck - sind bei weitem noch nicht alle Unternehmen "DSGVO-konform".

In meinen Augen ist das auch nicht schlimm. Wieso? 10 Millionen Strafe drohen oder bis zu 4 Prozent (%) des weltweiten Konzernvorjahresumsatzes. Ja, auf Papier. Im folgenden teile ich meine - persönliche, aber durch fachlichen Rat gestützte Meinung.

Viele Unternehmen, aber auch Privatpersonen, fürchten den finanziellen Ruin durch die Nichteinhaltung der DSGVO. Der finanzielle Ruin oder ähnlich katastrophale Ausmaße sind mitnichten die Intention der Gesetzgeber. Vielmehr ist das Recht über die eigenen Daten, also die einer (privaten) natürlichen Person von Bedeutung. Indes sollen gerade Unternehmen (natürlich auch Organisationen anderer Struktur), die bislang die Verantwortung über die Verarbeitung der Ihnen übermittelten bzw. der von Ihnen gesammelten Daten von sich gewiesen haben, in genau jene Verantwortung genommen werden.

Diese Verantwortung umfasst, wie bereits in meinem Artikel DSGVO - Was ist zu tun? verschiedene Aspekte. Zusammenfassend möchte ich hier erneut die meines Erachtens wichtigsten nennen und somit auch eine kurze Themen-Checkliste zur Datenschutzgrundverordnung bereitstellen.

Wer ist betroffen?

Grundsätzlich: Jeder. (Konform) Handeln muss allerdings nur, wer online oder offline personenbezogene Daten von europäischen Nutzern (im speziellen Bürger) verarbeitet und/oder sammelt. Hierbei spielt es vorerst keine Rolle, ob sich die Person zum Zeitpunkt der Erfassung innerhalb oder außerhalb der EU befindet.

Tipp: Gehen Sie immer sorgsam mit den Daten Ihrer Kunden und Nutzer um, egal ob in der EU oder anderen Jurisdiktionen. Man wird es Ihnen danken!

Man kann Daten in verschiedene Kategorien einteilen. Da eine komplette Katalogauflistung im Rahmen dieses Artikels nicht zweckgemäß ist, werde ich hier lediglich ein paar wenige nennen.

Welche Daten muss ich schützen?

Auch hier gilt grundsätzlich: alle. Mit der Zeit hat sich die Definition von persönlichen oder personenbezogenen Daten weiterentwickelt und doch ist nicht immer ganz klar, was nun personenbezogen ist oder nicht. Prinzipiell ist anzunehmen, dass jede Information, die direkt oder indirekt mit einer natürlichen Person in Verbindung gebracht werden kann, personenbezogen und somit schützenswert ist.

Hierunter fallen unter anderem:

  • Namen
  • Adressen
  • E-Mail Adressen und auch
  • Cookies
  • Geo Daten (Standortdaten)
  • IP-Adressen

Was muss beim "Datensammeln" beachten?

Grundsätzlich gilt: Sie sind in der Nachweispflicht.

Folgende Aspekte sollten Sie beachten, bevor Sie Daten verarbeiten.

3 Aspekte der DSGVO – es gibt mehr

Zustimmung

Haben Sie nachweislich die Zustimmung (speziell in Hinsicht auf DSGVO) Ihrer Nutzer oder Kunden, dass Sie die Daten (oder auch nur eine spezielle Auswahl an Daten) verarbeiten dürfen? Falls nicht, sollten Sie sich diese Zustimmung einholen, und die Kunden über die bisher über sie gespeicherten Daten informieren.

Auf Anfrage sind Sie auch weiterhin verpflichtet dem Auskunfsrecht des Verbrauchers innerhalb von 7 Tagen - spätestens aber 30 Tagen - nachzukommen.

Dokumentieren Sie diese Prozesse in jedem Fall, damit Sie später im Falle einer (behördlichen) Prüfung nachweisen können, dass Sie Ihrer Pflicht gerecht wurden.

Beispiel: Double Opt-In bei der Eintragung in Ihren E-Mail Newsletter. Auch hier sollten Sie sich speziell den Umfang der gewünschten Newsletter Inhalte bestätigen lassen. Dienste wie convertkit.com oder MailChimp halten hier bereits vorgefertigte Lösungen parat.

Sie binden sich mit dieser Zustimmung an genau den genannten Zweck, eine spätere Zweckänderung ist nur durch erneute - dokumentierte - Zustimmung möglich.

Transparenz

Stellen Sie ihren Nutzern gegenüber immer klar, welche Daten sie verarbeiten. Agieren sie transparent. Am besten richten Sie in Ihrer Datenschutzerklärung einen Bereich ein, wo Sie in einfachen und verständlichen Worten erklären, welche Daten Sie verarbeiten. Geben sie bestenfalls auch an, welche Drittanbieter (wie etwa Newsletter Dienstleister Sie mit der Verarbeitung der Daten Ihrer Nutzer beauftragt haben.

Auch wenn Ihre Nutzer einmal der Verwendung ihrer Daten zugestimmt haben, obliegt Ihnen das Recht dieser Nutzung fortwährend zu widersprechen und die Löschung der Daten beantragen. Weiterhin gilt es auch diese Prozesse zu dokumentieren.


Relevanz und Datensparsamkeit

Das Geburtsdatum oder die Adresse sind oftmals (neben vielen weiteren Daten), gerade online, für die Nutzung eines Dienstes, die Auftragserfüllung oder weshalb auch immer Sie Daten verarbeiten gar nicht notwendig. Erfassen Sie persönliche Daten, die Sie gar nicht benötigen, handeln Sie nicht sparsam.

Tipp: Sammeln Sie nur Daten, die angemessen und relevant für den Gebrauch sind. Und nutzen Sie diese Daten auch nur zweckgemäß.

Beispiel: Sie erfassen in Ihrem CRM (einfach: Kundendatenbank) Daten Ihrer Kunden. Sehr gut, Sie kennen Ihre Kunden – vielleicht aber zu gut. Die Daten haben Sie (vermutlich) nur erfasst, um beispielsweise einen Kaufvertrag zu erfüllen. Das Geburtsdatum spielt für Sie im Rahmen der Erfüllung des Kaufvertrages keine Rolle, dennoch erfassen Sie es, da Sie so die Demographie Ihrer Kunden abbilden können. Empfehlung: seien Sie ehrlich zu Ihren Kunden und kommunizieren Sie klar, dass Sie deren Geburtsdatum zu Marktforschungszwecken erfassen, oder erfassen Sie es nicht und verzichten auf diesen Einblick.

Konsequenz

Nochmal: keine Panik, aber geben Sie sich Mühe und rüsten Sie nach – in folgenden Punkten…

  • Dokumentation
    • dokumentieren Sie alle Prozesse im Zusammenhang mit der Verarbeitung personenbezogener Daten – Sie sind in der Nachweispflicht
  • Made In Germany – nicht nur Marketing
    • wählen Sie Partner und Dienstleister, denen Sie vertrauen und welche, die bestenfalls zertifiziert und DSGVO konform sind (soweit prüfbar)
    • schließen Sie Auftragsdatenverarbeitungsverträge
  • Schaffen Sie Strukturen
    • falls nötig, setzen Sie einen Datenschutzbeauftragen ein
    • ermöglichen Sie eine einfache und strukturierte Auskunft für Nutzerdaten, sie erleichtern sich viel sonst zusätzliche Einzelfallarbeit
    • nehmen Sie Ihre Informationspflicht ernst
    • schulen Sie Ihre Personal mit Schulungen zu Datenschutz (DSGVO) und bestenfalls Informationssicherheit

Die Strukturen, die Sie schaffen müssen, variieren natürlich im Einzelfall, aber desto früher Sie sich kümmern, desto weniger Stress haben Sie in Zukunft.

Dieser Artikel ersetzt in keinem Fall eine juristische Beratung und soll nur als grobe Übersicht dienen

Mehr zum Thema Datenschutz

star
Nichts verpassen...

Melden Sie sich jetzt zum Newsletter an und verpassen Sie von nun an keine Neuigkeiten mehr...