Bestimmt hast du inzwischen auch von der neuen DSGVO gehört – dem Schwert, das über allen schwebt. Zur Zeit ist die DSGVO in aller Munde und auch wir möchten dich umfassend zu dem Thema informieren. Deshalb sprechen wir heute über die Grundlagen. In diesem Artikel erfährst du alles, was du wissen musst, um unseren Praxisbeitrag zum Thema DSGVO verstehen zu können.
Nächste Woche haben wir dann die Expertin Sabrina Keese-Haufs von „Lawlikes“ im Podcast zu Gast! In einer neDie uen Folge Entrepreneurs Evolution wird sie mit uns über das Thema DSGVO sprechen und die dringendsten Fragen beantworten. Auch für den heutigen Artikel hat sie uns bereits mit Rat zur Seite gestanden, damit du alle Informationen erhältst, die für dich wichtig sind! Da das sehr viele Informationen sind und alles noch sehr theoretisch ist, haben wir für dich nächste Woche eine tolle Infografik – ein Blueprint zu deinem Online Business, der dir genau zeigt, an welchen Stellen die DSGVO relevant ist!
Warum das Thema jetzt so wichtig ist? Weil es langsam ernst wird: Bis zum 25. Mai 2018 müssen die neuen Anforderungen umgesetzt sein, sonst kann es richtig teuer werden. Aber was beinhaltet die DSGVO überhaupt, gilt sie auch für dich und was musst du tun, um den neuen Ansprüchen zu genügen?
In diesem Artikel lernst du folgendes:
- Was bedeutet „DSGVO“ und betrifft es dich?
- Was sind „personenbezogene Daten“?
- Was gilt eigentlich alles als Datenverarbeitung?
- Ab wann gilt die DSGVO?
- Was sich für Online Unternehmer ändert
- Grundsätze der Datensicherheit
- Das kommt neu mit der DSGVO
- Wie du wirksame Einwilligungen einholst
- Musst du deine Datenschutzerklärung anpassen?
- Die neuen Regeln zur Auftragsverarbeitung
- Wie setze ich das alles am Besten um?
Was bedeutet „DSGVO“ und betrifft es dich?
Fangen wir mit dem Begriff an: DSGVO bedeutet DatenSchutzGrundVerOrdnung. Hierbei handelt es sich um eine Verordnung der Europäischen Union, um die Regeln zur Verarbeitung personenbezogener Daten zu vereinheitlichen.
Bisher wurde das Datenschutzrecht durch die Richtlinie 95/46/EG geregelt (von 1995), die von den einzelnen EU-Mitgliedstaaten selbstständig in nationales Recht umgewandelt wurde. Im Gegensatz dazu gilt die neue Verordnung unmittelbar in den Mitgliedstaaten. Zwar gibt es verschiedene Öffnungsklauseln, über die die Verordnung national angepasst werden kann, in der Regel ist es den Mitgliedstaaten aber nicht erlaubt, den durch die DSGVO festgelegten Datenschutz abzuschwächen oder zu verstärken.
Wichtig: Diese neue Verordnung gilt nicht nur für öffentliche Stellen oder große Unternehmen. Jedes Unternehmen, das im Internet aktiv ist, ist von der DSGVO betroffen. Das gilt auch für Unternehmen, die außerhalb der EU sitzen, aber mit Daten von Kunden aus der EU arbeiten.
Das bedeutet: Auch wenn du deinen Hauptsitz in Bali hast -> wenn du in die EU verkaufst, Newsletter-Abonnenten aus der EU hast oder ähnliches, bist du von der DSGVO betroffen.
Auch von der Größenordnung her wird es keine Ausnahmen geben. Auch wenn du dein Unternehmen als Einzelperson betreibst: Sobald du persönliche Daten verarbeitest, unterliegst du den Anforderungen der DSGVO.
Was sind „personenbezogene Daten“?
Personenbezogene Daten sind – wie der Name schon vermuten lässt – Daten, die auf die Identität einer bestimmten Person hinweisen. Hierbei handelt es sich nicht nur um Telefonnummer, Name, Anschrift und E-Mail Adresse. Auch ein Nickname im Internet, unter dem die Person bekannt ist, kann bereits dazugehören, wenn die Person darüber eindeutig identifiziert werden kann. Weitere Daten sind Geburtstag, das KfZ-Kennzeichen, die Kontodaten, aber auch Standortdaten, Cookies und die IP-Adressen.
Was gilt eigentlich alles als Datenverarbeitung?
Zur Datenverarbeitung gehört alles, was du dir im Zusammenhang mit Daten vorstellen kannst. Um nur eine Auswahl zu nennen:
- Erheben
- Speichern
- Verändern
- Verwenden
- Übermitteln
- Löschen
- Vernichten
- etc.
Ab wann gilt die DSGVO?
In Kraft getreten ist die DSGVO schon am 25.05.2016. Angewandt werden muss sie ab dem 25.05.2018. Dann ist der Umsetzungszeitraum zu Ende.
Aufpassen: Das bedeutet nicht, dass du ab dem 25. Mai diesen Jahres mit der Umsetzung anfangen musst! Es bedeutet, dass du an diesem Datum alle Anforderungen umgesetzt haben musst!
Was sich für Online Unternehmer ändert
Was aber ändert sich denn nun genau für Online Unternehmer? Die gute Nachricht: Wenn du dich bereits an die deutschen Datenschutzstandards nach dem Telemediengesetz (TMG) und Bundesdatenschutzgesetz (BDSG) hältst, halten sich die Anpassungen in Grenzen. In Deutschland haben wir bereits einen hohen Standard im Datenschutz. Trotzdem muss auch unser BDSG angepasst werden, da viele der bisherigen Vorschriften nicht mehr gelten.
Du als Online Unternehmer solltest dir die folgenden Fragen beantworten können und die Antworten dokumentiert haben:
- Wie sehen meine Datenverarbeitungsprozesse aus?
- Wie und wo speichere ich die Daten meiner Kunden?
- Habe ich für meine Marketingtätigkeiten wirksame Einwilligungen eingeholt?
- Wenn jemand eine Einwilligung widerruft – z.B. beim Newsletter – werden dessen Daten dann automatisch gelöscht?
- Wer ist für mich ein Auftragsverarbeiter?
- Habe ich mit jedem meiner Auftragsverarbeiter einen Vertrag?
- Welche Analysetools setze ich auf meiner Webseite ein?
- Habe ich alle Punkte (Plugins, Tracking Tools, Kontaktformulare, Newsletter etc.) in meiner Datenschutzerklärung berücksichtigt, sowie verständlich, richtig und ausführlich erklärt?
Grundsätze der Datensicherheit
Bevor wir näher auf die genannten Bereiche eingehen, sehen wir uns die Grundsätze der Datensicherheit genauer an. Auch bisher gab es bestimmte Vorschriften, die weiterhin gelten und lediglich erweitert, neu geschrieben oder unverändert übernommen wurden.
Verbot mit Vorbehalt einer Erlaubnis
Grundsätzlich ist es verboten, personenbezogene Daten zu verarbeiten. Dieses Verbot wird ausgesetzt, wenn du eine Erlaubnis hast. Die Erlaubnis kannst du auf unterschiedlichen Wegen erhalten, z.B.:
- durch ein Gesetz (z.B. die DSGVO, BDSG, TMG)
- durch die Einwilligung der betroffenen Person
Ein Beispiel für die Einwilligung der betroffenen Person ist z.B. der Double Opt-In bei einem Newsletter. Später werden wir uns genauer damit beschäftigen, wie du Einwilligungen korrekt einholst.
Datenminimierung
Bei der Erhebung der Daten ist Sparsamkeit angesagt. Das bedeutet, du darfst nur Daten abfragen und verwenden, die du zur Ausführung auch wirklich benötigst. Alles was darüber hinausgeht, unterliegt dem Verbot zur Datenverarbeitung.
Zweckbindung und Zweckänderung
Du darfst die erhobenen Daten grundsätzlich nur in dem Kontext verwenden, für den du sie erhoben hast. Außerdem muss der Verbraucher genau darüber aufgeklärt werden, wofür du die Daten verwendest. Unter bestimmten Umständen ist jedoch eine Zweckänderung möglich, z.B. wenn die betroffene Person dazu eingewilligt hat. In jedem Fall müssen die betroffenen Personen darüber ausführlich aufgeklärt sein.
Datensicherheit
Bei der Datensicherheit gibt es einen neuen Grundsatz, der mit der DSGVO kommt (Artikel 32):
Der Datenverarbeiter (also du) muss gewährleisten, dass die personenbezogenen Daten entsprechend geschützt sind. Das Niveau des Schutzes orientiert sich dabei an der Schutzbedürftigkeit der personenbezogenen Daten, dem Stand der Technik, den Implementierungskosten und weiteren Umständen. Gibst du die Daten zur Verarbeitung weiter (z.B. wenn du einen externen Dienst für deinen Newsletter nutzt), bist du dafür verantwortlich, dass die Sicherheit auch über diesen Dienstleister gewährleistet ist. Mehr dazu im Abschnitt Auftragsdatenverarbeitung.
Das kommt neu mit der DSGVO
Neben den Grundsätzen gibt es auch einige Neuerungen, die in der DSGVO teils erstmalig festgehalten werden. Einige Anforderungen kennst du vielleicht schon, mit der DSGVO werden sie aber verbindlich und müssen von allen betroffenen Unternehmen umgesetzt werden.
Das Recht auf Vergessen werden
Das Recht auf Vergessen werden hast du vielleicht schon mal im Zusammenhang mit Google gehört. Jede in der EU ansässige Person hat das Recht, die Suchmaschine anzuschreiben und zu fordern, dass bestimmte Suchergebnisse (unter bestimmten Voraussetzungen) aus dem Google Register gelöscht werden.
Weniger bekannt ist die Tatsache, dass in der EU ansässige Personen dieses Recht gegenüber allen Unternehmen haben, die personenbezogene Daten verarbeiten.
In der DSGVO gibt es dafür nun zum ersten Mal eine eigenständige Regelung (Artikel 17). Dort sind auch die Gründe aufgelistet, unter denen das Recht auf vergessen werden greift. Die wichtigsten drei Gründe:
- Der Grund der Datenverarbeitung existiert nicht mehr
- Die Person hat ihre Einwilligung widerrufen
- Die Datenverarbeitung war unrechtmäßig
Auch du bist verpflichtet, die persönlichen Daten deiner Kunden zu löschen, sofern einer der Gründe zutrifft.
Das Recht auf Datenübertragbarkeit
Datenverarbeiter sind jetzt dazu verpflichtet, die gespeicherten personenbezogenen Daten auf Verlangen in einem gängigen Format auszuhändigen, bzw. an einen anderen Verantwortlichen weiterzugeben. Dies kann zum Beispiel wichtig werden, wenn die betreffende Person zu einem anderen Anbieter umziehen, die Bank oder den Arbeitgeber wechseln möchte.
Die Rechenschaftspflicht
Nach Artikel 5 der DSGVO sind Datenverantwortliche verpflichtet, nach Aufforderung die Einhaltung aller Datenschutzprinzipien nachzuweisen. Ansonsten drohen hohe Bußgelder von bis zu 20 Millionen Euro!
Achte also darauf, die Einhaltung der Datenschutzanforderungen zu dokumentieren, damit du sie auf Anfrage nachweisen kannst. Das machst du am Besten über das sogenannte „Verzeichnis über Verarbeitungstätigkeiten“, dessen Führung ohnehin jetzt verpflichtend wird. Das Verzeichnis bietet sich als DAS zentrale Instrument für deinen Datenschutz an!
Wie du wirksame Einwilligungen einholst
Oben haben wir die Einwilligungen bereits angesprochen (Double Opt-In für Newsletter). Jetzt sehen wir uns genauer an, wie diese Einwilligungen aussehen müssen. Folgende Grundregeln müssen beachtet werden:
- Form
- Opt-In statt Opt-Out
- Die Einwilligung muss freiwillig erfolgen
- Zweckgebunden
- Nachweisbarkeit / Protokollierung
- Möglichkeit zum Widerruf
Form
Erlaubt sind sowohl mündliche, als auch schriftliche oder elektronische Einwilligungen. Da du aber auch dazu verpflichtet bist, die Einhaltung der Anforderungen ggf. nachzuweisen, solltest du auf mündliche Einwilligungen verzichten. Geh auf Nummer sicher und hole schriftliche oder elektronische Einwilligungen ein, die du ablegen und ggf. vorweisen kannst. Zudem darf der Einwilligungstext nicht in einem Fließtext untergehen und er sollte auch nicht „versteckt“ in Verträge oder AGB eingebunden werden.
Opt-In statt Opt-Out
Wenn du in einem Shop etwas bestellst, hast du sicherlich schon einmal gesehen, dass das Kästchen für „Ja, ich möchte den Newsletter erhalten“ bereits per default angehakt war. Willst du den Newsletter nicht haben, musst du den Haken aktiv entfernen. Das nennt sich Opt-Out und ist nach der DSGVO verboten. Der Grund ist einfach: Übersieht der Kunde das Feld, wird er ohne rechtskräftige Einwilligung und ohne sein Wissen eingetragen.
Deshalb muss der Weg des Opt-In gewählt werden – der Kunde muss den Haken aktiv setzen und den Newsletter ganz bewusst abonnieren.
Die Einwilligung muss freiwillig erfolgen
Dieser Absatz gilt besonders, wenn du bisher Freebies genutzt hast, um deine Newsletter-Liste zu füllen. Das ist ab dem 25. März 2018 nämlich vorbei. Die DSGVO schreibt vor, dass die Einwilligung zur Datenerhebung (wie sie bei der Eintragung in den Newsletter erfolgt) nicht mehr erzwungen werden darf. Das bedeutet, du musst dein Freebie auch ohne die Eintragung der E-Mail Adresse zur Verfügung stellen. Die Eintragung in deinen Newsletter kann zusätzlich und freiwillig erfolgen, darf aber keine Bedingung sein, um das kostenlose Produkt zu erhalten.
Dieses Thema zeigt, wie spannend und kontrovers die derzeitige Diskussion um die DSGVO ist! Denn es gibt durchaus offizielle Stimmen – auch von Aufsichtsbehörden – die vorschlagen, dass man das Freebie gegen ein (geringes) Entgelt oder alternativ gegen die E-Mail-Adresse (als „Bezahlung“) rechtskonform anbieten darf.
Zweckgebunden
Die Einwilligung muss immer zweckgebunden sein. Wenn der Kunde sich also in deinen Newsletter einträgt, um über dein neues eBook zu Thema X informiert zu werden, darfst du ihn nicht in den Funnel für deinen Online Kongress zum Thema Y eintragen. Der Abonnent muss genau aufgeklärt werden, für welchen Zweck er seine Daten hergibt. Brauchst du seine Daten für einen anderen Zweck, musst du die Einwilligung erneut einholen und auch bei der zweiten Abfrage genau angeben, wofür du die Daten erhebst. Eine Generaleinwilligung ist nicht rechtskräftig. Zu verschiedenen Verarbeitungsvorgängen brauchst du also unterschiedliche Einwilligungen.
Nachweisbarkeit
Wie bei der Form schon erwähnt, musst du nachweisen können, dass du die Einwilligung eingeholt hast. Deswegen rate ich noch einmal von mündlichen Einwilligungen ab. Im Zweifelsfall kannst du es nicht beweisen und da du in der Pflicht stehst, sichere dich lieber mit der schriftlichen Form (postialisch oder elektronisch) ab. Die meisten Newsletter-Tools bieten die Möglichkeit, den Einwilligungstext zusammen mit dem jeweiligen Namen oder der E-Mail-Adresse, sowie dem Eingabezeitpunkt (timestamp) gespeichert werden.
Möglichkeit zum Widerruf
Die betroffene Person hat jederzeit das Recht, ihre Einwilligung zu Widerrufen. Deine Aufgabe ist es, ihr diesen Widerruf so einfach wie möglich zu machen. Gehen wir nochmal auf das Beispiel des Newsletters ein: Achte hier darauf, in jeder E-Mail einen leicht auffindbaren und funktionierenden Unsubscribe-Link anzubieten.
Was ist mit alten Einwilligungen?
Wenn du alte Einwilligungen von Kunden hast, die den bisherigen Anforderungen des BDSG (Bundesdatenschutzgesetz) und TMG (Telemediengesetz) entsprechen, gelten sie auch weiterhin. Du musst also nicht alle Einwilligungen neu einholen. Im Klartext, wenn du die „alten“ Einwilligungen nachweisen kannst – super. Falls du bislang ohne Double Opt-In gearbeitet hast, schreib deine Liste einfach an und hole das nach.
Ausnahme: Einwilligungen von Minderjährigen (unter 16 Jahre) sind nur wirksam, wenn die Eltern einverstanden sind.
Musst du deine Datenschutzerklärungen anpassen?
Kurz gesagt: Ja!
Bislang war es nicht erforderlich, so detailliert auf die einzelnen Punkte einzugehen. Die DSGVO hat klare Anforderungen an die Aufklärung und Belehrung betroffener Personen. Das bedeutet, dass du deine Datenschutzerklärung in jedem Fall überprüfen solltest.
Jeder, der deine Datenschutzerklärung liest, muss verstehen, an welcher Stelle, von wem, warum und welche Daten erhoben werden, was genau damit passiert und welche Rechte er hat. Das alles muss in einer leicht verständlichen Sprache verfasst werden (also keine Juristensprache). Hinzu kommt, dass du bei bestimmten Tracking-Tools den Nutzer darauf aufmerksam machen musst, dass er dem Tracking widersprechen kann. Dafür musst du eine Opt-Out Möglichkeit vorhalten.
Zusammengefasst geht es hier um:
- Präzision
- Transparenz
- Verständlichkeit
- leichte Zugänglichkeit (also nicht versteckt auf der Seite – am besten ein eigener Tab im Header oder Footer deiner Seite)
Die neuen Regeln zur Auftragsverarbeitung
Auch für die „alte“ Auftragsdatenverarbeitung – jetzt Auftragsverarbeitung (Data-Processing-Agreement), kurz AV – gelten nun einheitliche Anforderungen innerhalb der EU. Die AV wird für dich interessant, wenn du zum Beispiel Newsletter-Tools, einen Webhoster, Cloud-Dienste, Freelancer oder andere Software-as-a-Service Leistungen nutzt. Vermutlich trifft dies für die meisten aus dem Online Business zu. Durch den Vertrag zwischen dir und dem Auftragsverarbeiter wird die Datenweitergabe der Kundendaten quasi legitimiert.
Neu ist, dass falls der Auftragsverarbeiter selbst Subunternehmer einsetzt, dieses in dem AV-Vertrag erwähnt sein und du dem zustimmen musst. Es ergibt sich dann eine Kette: Zwischen dir und dem AV-Vertrag zum Auftragsverarbeiter, sowie vom Auftragsverarbeiter wiederum per AV-Vertrag zu seinem Auftragsverarbeiter.
Besondere Voraussetzungen müssen erfüllt werden, wenn der Auftragsverarbeiter seinen Sitz in einem Drittland hat, wie z.B. MailChimp. Dann muss neben dem AV-Vertrag auch noch eine der folgenden Voraussetzungen vorliegen:
- Das Datenschutzniveau in dem Land muss angemessen sein. Das sind derzeit:
- Andorra
- Argentinien
- Kanada (eingeschränkt)
- Schweiz
- Färöer-Inseln
- Guernsey
- Israel (eingeschränkt)
- Isle of Man
- Jersey
- Neuseeland
- Uruguay
- USA, für alle dort ansässigen Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind (MailChimp ist es 😉 )
- Liegt kein angemessenes Datenschutzniveau vor, gibt es bestimmte Regularien, denen sich die Unternehmen selbst unterwerfen können und Standardklauseln. Das muss dann im Einzelfall geprüft werden.
Wenn du Auftragsverarbeiter bist, aber auch, wenn du selbst z.B. als Virtueller Assistent (VA) oder Social Media Manager tätig bist, ist dieses Thema wichtig. Denn dann bist du der Auftragsverarbeiter und musst deinen Kunden einen AV-Vertrag zur Verfügung stellen. Denn nach der DSGVO haftet nicht nur der „Verantwortliche“ (also der VA-Kunde), sondern auch der Auftragsverarbeiter selbst. Du kannst den Vertrag übrigens auch elektronisch zur Verfügung stellen – eine Schriftform ist nicht vorgeschrieben.
AV bedeutet, dass die personenbezogenen Daten durch einen Dritten, den Auftragnehmer, verarbeitet werden. Im Falle des Newsletters also z.B. MailChimp. Du musst also mit MailChimp einen Vertrag zur Auftragsverarbeitung abschließen. Dasselbe gilt auch, wenn du ein externes Kundencenter, Cloud Computing, Marketing-Agenturen, ein externes Rechenzentrum etc. nutzt.
Wie setze ich das alles am Besten um?
Für die Umsetzung hast du mehrere Möglichkeiten. Zum einen kannst du im Internet nach passenden Whitepapers, Artikeln und Beiträgen zu dem Thema suchen. Oder du suchst dir die entsprechende Fachliteratur zusammen und filterst die für dich relevanten Inhalte heraus.
Eine andere Möglichkeit ist es, dich an einen Anwalt oder Datenschützer zu wenden, der dir hilft, all deine Prozesse datenschutzkonform zu überarbeiten.
Oder du hörst nächste Woche in unseren Entrepreneurs Evolution Podcast rein! Wir haben die Expertin Sabrina Keese-Haufs zu Gast, die Antworten zu den wichtigsten Fragen rund um die DSGVO hat! Außerdem haben wir eine praxisorientierte Infografik für dich, mit der du bei der Umstellung auf DSGVO garantiert nichts übersiehst!
Abonniere jetzt unseren Newsletter!
In unserem Newsletter informieren wir dich einmal wöchentlich zu Themen und Angeboten rund um elopage und die elopage Academy. Wir nutzen deine Angaben nur, um mit dir zu diesem Thema in Kontakt zu treten. Du erhältst keinen Spam. Weitere Informationen kannst du unserer Datenschutzerklärung entnehmen.
Alice ist Bloggerin, Autorin, Gründerin der Autoren-Community AuthorWing und ausgewiesener Film- und Serienfreak.
Ihre Steckenpferde sind das Bloggen und Kommunikation über die sozialen Medien – Twitter ist dabei ihr absoluter Favorit, dicht gefolgt von Facebook und Instagram.