DSGVO: Der aktuelle Stand zum Datenschutz

Artikel von Burg und Er am 29. August 2018 um 15:39 Uhr im Forum Sicherheit & Datenschutz - Kategorie: Ratgeber & Wissen

Schlagworte:

DSGVO: Der aktuelle Stand zum Datenschutz

29. August 2018     Kategorie: Ratgeber & Wissen
Seit einigen Monaten ist die neue Datenschutzgrundverordnung (DSGVO) wirksam. Sie soll personenbezogene Daten von Verbrauchern schützen. Die befürchteten Abmahnwellen sind bislang ausgeblieben. Trotzdem besteht Handlungsbedarf, wenn Unternehmen die neue Regelung noch nicht umgesetzt haben. In der Praxis geht es dabei nicht nur um ein Stück Text das auf der Webseite eingefügt wird, sondern auch um die Verpflichtungen welche einen bürokratischen und technischen Aufwand entstehen lassen.

datenschutz-eu-DSGVO.jpg

Einführung: Darum geht es bei der DSGVO


Die Datenschutzgrundverordnung, kurz DSGVO, beschreibt Regelungen zum Schutz personenbezogener Daten. Diese gelten einheitlich für die gesamte Europäische Union. Stichtag war der 25. Mai 2018. Seit diesem Zeitpunkt können Unternehmen belangt werden, wenn sie gewisse Pflichten nicht erfüllen:

  • Es ist nur erlaubt, personenbezogene Daten zu verarbeiten, wenn eine ausdrückliche Erlaubnis seitens des Gesetzgebers oder des Betroffenen vorliegt.

  • Unternehmen benötigen einen Datenschutzbeauftragten, der bei einer Prüfung als Ansprechpartner für die Behörden fungiert. Das gilt, wenn zehn oder mehr Mitarbeiter mit der Verarbeitung von personenbezogenen Daten zu tun haben.

  • Meldepflicht: Unternehmen müssen eine Datenschutzverletzung innerhalb eines Zeitraums von 72 Stunden melden.

  • Datenschutz soll standardgemäß schon bei der Entwicklung neuer Produkte oder Vorgänge berücksichtigt werden („Privacy by Design“). Voreinstellungen sollen ebenfalls datenschutzfreundlich gestaltet sein, damit personenbezogene Daten zu jedem Zeitpunkt geschützt sind („Privacy bei Default“).
Welchem Ziel dient diese Regelung?
Sie soll die Rechte von Verbrauchern stärken und die Rechtslage innerhalb der EU vereinheitlichen. Das hat einige Vorteile:

  • Datenübertragbarkeit: Verbraucher können ihre Daten leicht zu anderen Anbietern transferieren.

  • Die Einwilligung zur Datenverarbeitung kann man jederzeit zurückziehen.

  • Unternehmen müssen Daten löschen, wenn es keinen Zweck mehr hat, diese zu besitzen, oder die Einwilligung zur Speicherung widerrufen wird.

  • Zweck, Dauer und Rechte bzgl. der Datenverarbeitung müssen auf Nachfrage preisgegeben werden.
Wer ist von der DSVGO betroffen?

  • Alle Unternehmen mit einem Hauptsitz in der EU

  • Außereuropäische Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten.
Welche Strafen sind zu befürchten?
Kommen Unternehmen ihren datenschutzrechtlichen Pflichten nicht nach, drohen Sanktionen in Form von hohen Geldbußen. Diese können eine Höhe von bis zu 20 Mio. Euro oder vier Prozent des Weltjahresumsatzes erreichen.

Was tun, wenn die DSGVO noch nicht umgesetzt wurde?


Seit Ende Mai 2018 dürfen Unternehmen, die die DSGVO nicht ordnungsgemäß umsetzen, abgemahnt werden. Jeder Betroffene kann eine Beschwerde bei der zuständigen Behörde einreichen. Hinzu kommen Routineprüfungen und Stichprobenkontrollen. Wer Strafen und einen Imageschaden vermeiden möchte, sollte deshalb handeln.

Maßnahmen: Das können Unternehmen tun
Zuerst einmal ist es wichtig, sich ausführliche Informationen zu Rechten und Pflichten zu beschaffen. Hier geht es zu einem E-Book, das die Thematik ausführlich beleuchtet. Des Weiteren sollte man das Personal entsprechend schulen und einen Datenschutzbeauftragten ernennen. Nachdem man den Ist-Zustand ermittelt und die bereits durchgeführten Maßnahmen bewertet hat, kann man bestehende Lücken angehen.

Folgendes sollten Webseiten- und Blogbetreiber tun:

  1. Datenschutzerklärung: Wo werden personenbezogene Daten gespeichert und was passiert damit? Wer ist der Datenschutzbeauftragte? Diese Informationen sollten auf jeden Fall enthalten sein.

  2. Formulare, Einstellungen und Wordpress-Plugins: Sind alle gespeicherten Daten nötig? Falls nein, sollte man sie nicht weiter erheben.

  3. Newsletter: Wenn Kunden aktiv einen Newsletter bestellt haben, besteht kein Handlungsbedarf. Hat man die E-Mail-Adressen von einer anderen Quelle, sollte man zumindest eine Möglichkeit integrieren, den Newsletter abzubestellen. Wichtig: Die Daten im Anschluss tatsächlich löschen.

  4. Verschlüsselung: Werden personenbezogene Daten erhoben, benötigen Webseiten ein SSL-Zertifikat. Diese Verschlüsselung erkennt man am Protokoll-Präfix „https“ und am grünen Schloss-Zeichen neben der URL.

  5. Statistik: Wer das Besucherverhalten auf einer Webseite analysiert, sammelt möglicherweise IP-Adressen in einem Statistik-Programm. Diese sollte man entsprechend kürzen, damit sie nicht mehr auf bestimmte Personen zurückgeführt werden können.

  6. Widerspruch: Webseitenbesucher sollten der Datenerfassung widersprechen können. Das ermöglicht eine Opt-Out-Funktion.
Abmahnwelle doch nicht so dramatisch
Vor Inkrafttreten der Verordnung wurden Warnungen vor strikten flächendeckenden Abmahnungen und hohen Bußgeldern laut. Die Realität sieht allerdings etwas anders aus. Eine große Abmahnwelle fand bisher noch nicht statt. Allerdings gab es einige Betrugsversuche, die auf eine vermeintlich fehlerbehaftete Datenschutzverordnung hingewiesen hatten. Bundesjustizministerin Katarina Barley möchte Problemen mit einem neuen Gesetzesentwurf vorbeugen. Dieser soll bis Anfang September vorliegen und kleine Unternehmen, Vereine sowie Selbstständige bei geringen Verstößen von Bußgeldern verschonen. Ministerpräsident Markus Söder schlägt dagegen vor, die Möglichkeiten bei Datenschutzverstößen einzuschränken. Abmahnungen sollen demnach nur Verbänden vorbehalten sein.

Fazit: Keine Panik
Die DSGVO nimmt Unternehmen in die Pflicht, personenbezogene Daten von Verbrauchern aktiv zu schützen. Beispielsweise dürfen sie nur Daten erheben, die einem bestimmten Zweck dienen. Zudem ist dafür eine ausdrückliche Erlaubnis erforderlich. Eine kostenintensive Abmahnwelle für Unternehmen, die den neuen Standards nicht gerecht werden, blieb bislang aus. Das bedeutet aber nicht, dass kein Handlungsbedarf besteht. Vielmehr sollte man überprüfen, ob man alle Neuerungen durch die Datenschutzgrundverordnung umgesetzt hat, und ggf. Änderungen vornehmen. Wer sich unsicher ist, kann mit einem externen Spezialisten zusammenarbeiten. Dieser hilft bei der Bewertung des Ist-Zustands und zeigt nötige Maßnahmen auf.
 

Kommentare

#2 26. September 2018
das LG Würzburg sieht mittlerweile in #DSGVO Verstößen auch Verstößen nach dem Gesetz gegen unlauteren Wettbewerb. Damit sind diese abhmahnbar und die Kosten lassen sich umlegen. Die Abmahnwelle könnte also noch kommen.