In der Vergangenheit haben sich viele Webseitenbetreiber wenig um den Datenschutz gekümmert, ein Datenschutzhinweis aus einem der vielen Datenschutzhinweis-Generatoren war häufig schon alles. Mit der Datenschutz-Grundverordnung (DSGVO) ändert sich vor allen Dingen eines: die Höhe der Bußgelder. Bis zu 20 Millionen Euro und die Maßgabe, dass die Geldbußen „abschreckend“ sein sollen, haben viele Datenverarbeiter aufgeschreckt.

Wer jetzt denkt, ich habe ja nur eine normale Webseite, das betrifft mich alles nicht, irrt in den meisten Fällen gewaltig. Schon ein Kontaktformular oder die Verwendung eines Statistiktools wie z. B. Google Analytics führt fast immer dazu, dass man sich an alle Vorgaben der DSGVO halten muss. Webhosting ist grundsätzlich eine Auftragsdatenverarbeitung. Haben Sie schon einen Auftragsdatenverarbeitungsvertrag mit Ihrem Webhoster?

Die wichtigsten/gravierendsten Änderungen im Datenschutzrecht hier in der kurzen Übersicht:

Accountability/Rechenschaftspflicht

Die Rechenschaftspflicht erfordert eine gute Dokumentation der Prozesse für die Verarbeitung personenbezogener Daten. In den meisten Fällen lassen sich diese Vorgaben nur mit einem Datenschutz-Handbuch oder einem komplexen Datenschutzmanagement-System erfüllen. Auch Webseitenbetreiber müssen Beschreibungen ihrer Prozesse haben, z. B. eine Beschreibung was mit Daten passiert, die in ein Kontaktformular eingetragen wurden.

Auftragsdatenverarbeitung

Mit Dienstleistern und verantwortlichen Auftraggebern sind grundsätzlich neue Auftragsdatenverarbeitungsverträge (ADV) notwendig. Der Auftragsverarbeiter ist jetzt auch immer mitverantwortlich für die Einhaltung der Vorgaben der DSGVO. Falls Sie noch keinen ADV mit Ihrem Webhoster haben, sollten Sie das dringend ändern.

Betroffenenrechte

Die Informationspflichten gegenüber Betroffenen werden umfangreicher. Außerdem haben Betroffene künftig das Recht, ihre Daten mitzunehmen. Diese Datenportabilität wird aufgrund fehlender Rahmenbedingungen sicherlich noch sehr interessant werden.

Datenpannen

Datenpannen müssen an die Aufsichtsbehörde gemeldet werden. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Datenpanne erfolgen. Um diese kurze Frist einhalten zu können, sollte schon vorher ein geeigneter Meldungsprozess etabliert sein. Unter Umständen müssen auch die Betroffenen informiert werden.

Datenschutz-Folgenabschätzung (DSFA)

Das alte Werkzeug der Vorabkontrolle wird in der DSGVO durch die Datenschutz-Folgenabschätzung (DSFA) ersetzt. Risikoreiche Prozesse müssen vor Implementierung überprüft werden. Hier ist zukünftig nicht mehr der Datenschutzbeauftragte, sondern das verarbeitende Unternehmen verantwortlich.

Datenschutzerklärung

Die neuen Informationspflichten bedingen auch eine Notwendigkeit, die Datenschutzerklärung an die DSGVO anzupassen. Neben den erforderlichen Änderungen sollten die Datenschutzerklärungen auch präzise und in klarer und einfacher Sprache verfasst sein. Alle Datenschutzerklärungen auf Webseiten, die auf den alten rechtlichen Regelungen basieren, müssen überarbeitet werden.

Datenübermittlung an Drittstaaten

Neben dem Vorliegen eines oder mehrerer Zulässigkeitstatbestände des Art. 6 DSGVO, muss ermittelt werden, ob in dem Drittstaat oder bei dem geplanten Empfänger ein angemessenes Datenschutzniveau vorliegt. Ein ausreichendes Datenschutzniveau kann beispielsweise durch EU-Standarddatenschutzklauseln vereinbart werden. Auch die USA sind ein Drittland mit nicht ausreichendem Datenschutzniveau. Falls Sie Dienste aus Drittländern nutzen (z. B. die meisten Tools von Google, Facebook, Twitter), sollten Sie dringend auf ein entsprechend vereinbartes Datenschutzniveau achten.

Technische Umsetzung

Seit Veröffentlichung der Datenschutz-Grundverordnung geistern die beiden Buzzwords „Privacy by design“ und „Privacy by default“ durch die Datenschutzszene. Letztendlich bedeuten sie nur, dass Prozesse und Software datenschutzfreundlich gestaltet werden müssen und die Voreinstellungen ebenfalls datenschutzfreundlich sind. Überlegen Sie doch einmal selbst, ob Sie alle Angaben in Ihrem Kontaktformular, bei der Registrierung in Ihrem Forum oder während der Bestellabwicklung in Ihrem Onlineshop wirklich brauchen.

Verzeichnis von Verarbeitungstätigkeiten

Eine Renaissance erfährt das Verzeichnis von Verarbeitungstätigkeiten, das jetzt sowohl der Verantwortliche als auch der Auftragsverarbeiter führen muss. Haben Sie beispielsweise einen Onlineshop und Dienstleister für die Zahlungsabwicklung, aber kein Verzeichnis von Verarbeitungstätigkeiten? Dann sollten Sie dringend handeln.

Falls Sie Fragen zum Thema Datenschutz haben, können Sie mich gerne kontaktieren.