28.05.2018

EU-Datenschutzgrundverordnung (DSGVO) – Abmahnabzocke vermeiden

Von Bodo Piening

Am letzten Freitag, dem 25.05.2018, ist nun die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Obwohl dieses Datum seit gut 2 Jahren bekannt ist, haben viele Unternehmen den damit verbundenen Aufwand unterschätzt und nicht alle vorgeschriebenen Themen vollständig umgesetzt. Bevor wir zur Beantwortung der Frage kommen, was dies bedeutet und was ggf. auch noch kurzfristig getan werden kann, listet die nachfolgende Aufstellung zunächst einmal die Themen in Form einer Checkliste auf, die gem. DSGVO umzusetzen sind:

  • Ein aktuelles Verzeichnis der Verarbeitung der personenbezogenen Daten ist erstellt.
  • Ein Datenschutzbeauftragter ist bestellt (soweit erforderlich).
  • Alle Datentransfers im Unternehmen sind ermittelt und dokumentiert (Weiterleitung und Zugriffgewährung von Daten).
  • Mit allen Dienstleistern, die Zugriff auf die Daten haben, ist ein Vertrag zur Auftragsdatenverarbeitung geschlossen.
  • Ein Verfahren zur Erkennung, Meldung und Lösung von Datenschutzverletzungen ist installiert und dokumentiert.
  • Notwendige Datenschutz-Folgenabschätzung sind erstellt.
  • Die Rechte der Nutzer (Auskunft, Löschung, Datenübertragbarkeit etc.) können bedient werden.
  • Die Datenschutzerklärung und Einwilligungserklärungen in Online-Formularen sind aktualisiert.
  • Alle Empfänger von Newslettern sind über die neuen Pflichten des Art. 13 DSGVO informiert und sofern notwendig (s. nächster Punkt)
  • ist eine diesbezügliche Einwilligung eingeholt.
  • Eine neue Verpflichtungserklärung ist von allen beschäftigten und freien Mitarbeitern unterzeichnet.
  • Ein Schulungskonzept für die Mitarbeiter zur DSGVO ist erstellt und
  • ein Datenschutz-Management-System ist installiert.

Sofern alle der o. a. Themen vollständig umgesetzt wurden, gehören Sie zu den »Glücklichen«, die sich keine Sorgen bezüglich der DSGVO machen müssen.

Was aber, wenn dies nicht der Fall ist?
Zunächst einmal steht nicht zu befürchten, dass die Aufsichtsbehörden ab dieser Woche in den »Startlöchern« stehen und nur darauf warten, betroffene Unternehmen mit Bußgeldern zu belegen. Eine viel größere und reale Gefahr geht von der »Abmahnindustrie« aus, d.h. findige Anwälte, die eine fehlende oder lückenhafte Umsetzung mit entsprechenden Abmahngebühren belegen. Um dies zu vermeiden, sollten Sie den Fokus bei den noch umzusetzenden Themen zunächst auf die Maßnahmen legen, die in der Darstellung und Kommunikation nach außen gerichtet sind. Dies betrifft in erster Linie die Website sowie den Versand von Newslettern.

Welche kurzfristigen Maßnahmen können Sie ergreifen?

  1. Aktualisierung der Datenschutzerklärung
Eine gute Vorlage zur DSGVO-konformen Formulierung finden Sie z. B. bei der Uni Münster
  2. Verzichten, d. h. entfernen Sie (vorübergehend) alle Cookies, Plugins und Webtracking-Tools.
Da diese z. B. die IP-Adresse des Nutzers übermitteln, die nach DSGVO ebenfalls zu den personenbezogenen Daten zählen, müssten Sie ansonsten hierfür eine Einwilligung einholen, in Ihrer Datenschutzerklärung ein berechtigtes Interesse gültig machen und/oder die Möglichkeit des Verzichts bzw. der Nichtnutzung schaffen.
  3. Stellen Sie sicher, dass alle Eingabeformulare verschlüsselt sowie mit einer gültigen Einwilligungserklärung und einem Link auf die Datenschutzerklärung versehen sind.
  4. Senden Sie allen Newsletter-Empfängern eine Information zur zukünftigen Verwendung ihrer Daten zu (§ 13 DSGVO) und holen Sie eine Einverständniserklärung für den zukünftigen Newsletterversand ein. Die Einholung benötigen Sie jedoch nicht, sofern Sie die zurückliegende Einwilligung des Nutzers noch nachweisen können oder Sie eine Geschäftsbeziehung mit dem Empfänger unterhalten.

Haben Sie Fragen, Anregungen oder Kritik, kontaktieren Sie uns. Wir befähigen und unterstützen Sie bei der effizienten und wirtschaftlichen Umsetzung Ihrer Anforderungen.

zurück