Monat: Mai 2018

DSGVO

Es geht um die Datenschutz Grundverordnung. Es ist kompliziert und doch einfach.

Die Angst ist aber ab jetzt ständig dabei. Zweifelhafte Anwälte werden es mit Abmahnungen versuchen um so einfach und schnell Geld zu verdienen.

Für diejenigen die es interessiert ist hier der Link

 https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung 

Es ist ein typisches Monstrum aus Brüssel das schwer zu verstehen ist, darum hier die Kurzfassung

Vor Abmahn Anwälten habe ich inzwischen Respekt und deswegen muß ich erst herausfinden was auf mich zukommt

 

Datenschutz-Grundverordnung (DSGVO) Zusammenfassung und Checkliste

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU (DSGVO) in Kraft. Rund fünf Jahre arbeiteten EU-Gremien an dieser europaweit gültigen Datenschutzreform. Aktuell gilt noch die Datenschutzrichtlinie aus dem Jahr 1995 (Datenschutzrichtlinie 95/46/EG), doch die technologischen Veränderungen der vergangenen Jahrzehnte machen eine Überarbeitung der Datenschutzgesetze unumgänglich – schließlich steckte das Internet 1995 noch in den Kinderschuhen. Heute muss sich der EU-weite Datenschutz mit Big Data, Industrie 4.0, Robotik und künstlicher Intelligenz auseinandersetzen – eine Neuerung der Bestimmungen ist also dringend notwendig. Und im Mai 2018 ist es nun soweit.

Die Datenschutz-Grundverordnung dient vor allem einem Ziel: Sie soll den Umgang mit Daten europaweit einheitlich regeln. Für Unternehmen ergeben sich daraus also zwei Fragen: Welche Neuregelungen gibt es? Und was müssen Unternehmen und Webseitenbetreiber beachten? Denn sobald die Verordnung am 25. Mai in Kraft tritt, ändert sich auch einiges für den Onlinehandel und den Arbeitnehmerdatenschutz in Unternehmen. Haben Sie also bisher noch nichts in die Wege geleitet, um sich auf die europäische Datenschutz-Grundverordnung einzustellen, so wird es höchste Zeit. Wir bieten im Folgenden eine Zusammenfassung der neuen Gesetzeslage und fassen in einer DSGVO-Checkliste zusammen, welche Maßnahmen Sie schon jetzt einleiten sollten.

Dringlichkeit: Keine Richtlinie, sondern eine Verordnung

Gesetze nehmen auf europäischer Ebene für gewöhnlich einen langen Weg – selbst noch, nachdem sie bereits offiziell in Kraft getreten sind. Denn wird eine neue EU-Richtlinie nach langen Debatten im Parlament in Brüssel beschlossen, so werden den 28 Mitgliedsstaaten oft großzügige Übergangsfristen eingeräumt, um das Gesetz in die nationale Rechtsprechung zu übernehmen. Bis der Umsetzungsdruck auch bei einzelnen Unternehmen ankommt, kann viel Zeit verstreichen.

Doch neben Richtlinien gibt es noch eine zweite Art von EU-Gesetzen: Verordnungen. Sie bieten nahezu keine inhaltlichen und zeitlichen Spielräume. Sie sind sofort und für alle Staaten einheitlich rechtlich bindend – dies schließt die Geschäftspraxis eines jeden KMU unmittelbar mit ein. So ist es auch im Falle der DSGVO: Sie ist keine Richtlinie, sondern eine Verordnung.

Im Mai 2016 trat die Datenschutz-Grundverordnung der EU mit einer Übergangsfrist von zwei Jahren in Kraft – und am 25. Mai 2018 ist es nun soweit: Ab diesem Datum gilt sie in allen EU-Staaten als offizielles Datenschutzgesetz, das der nationalen Gesetzgebung übergeordnet ist. Das bedeutet: keine weiteren Übergangsfristen. Wenn die Verordnung zum 25. Mai 2018 wirksam wird, müssen alle Unternehmen und alle öffentlichen Stellen, die mit personenbezogenen Daten arbeiten, umgehend die Neubestimmungen der EU zum Datenschutz umsetzen.

Diese Dringlichkeit der DSGVO ist offenbar nicht allen Unternehmen bekannt: So ergab eine repräsentative Umfrage des Digitalverband Bitcom von mehr als 500 Unternehmen, dass sich jedes dritte Unternehmen noch nicht mit der Datenschutz-Grundverordnung beschäftigt hat. Nur eine Minderheit von 19 Prozent geht davon aus, die Maßnahmen fristgerecht umsetzen zu können. Nun drohen deutschen Unternehmen Bußgelder in Millionenhöhe.

Diese Zahlen überraschen angesichts der hohen Bußgelder, die im Falle von Verstößen drohen: Bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Umsatzes des vorangegangenen Geschäftsjahrs können von Unternehmen als Strafmaßnahme erhoben werden. Insbesondere deutsche Behörden nehmen das Thema Datenschutz sehr ernst. Zudem ist die Abmahnung von Verstößen in Deutschland ein lukratives Geschäft.

 Zitat

„Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“

– Susanne Dehmel, Bitcom (Quelle: www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html)

Ergänzungen: Öffnungsklauseln und das BDSG-neu

EU-Verordnungen haben Vorrang vor nationalen Gesetzen und gehen bei Widersprüchen vor. Allerdings enthält die Datenschutz-Grundverordnung einige Öffnungsklauseln, die es Staaten ermöglichen, bestimmte Datenschutzregeln abzuschwächen oder zu verstärken. Und so tritt am 25. Mai 2018 ein weiteres, nationales Datengesetz in Kraft: Das neue Bundesdatenschutzgesetz (BDSG-neu) nutzt den Spielraum, den die DSGVO bieten, und schafft flankierende nationale Regeln für den Datenschutz.

Für Unternehmen bedeutet dies: Es gibt keine weiteren Veränderungen der Neuregelungen. Wer in den letzten Jahren die Gesetzesentwürfe verfolgte, verlor vermutlich den Überblick über die Details der debattierten Gesetzesänderungen. Nun ist Schluss damit: Der Text der Datenschutz-Grundverordnung der EU steht fest und auch die Öffnungsklauseln sind durch das ebenfalls 2018 kommende BDSG-neu bereits festgeschrieben.

 Tipp

Die europäische Datenschutz-Grundverordnung finden Sie online unter datenschutz-grundverordnung.eu. Auf derselben Seite ist auch das BDSG-neu einsehbar.

Ziele: Europäische Vereinheitlichung des Datenschutzes

Oberstes Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung des europäischen Datenschutzes. War auf EU-Ebene zuvor die Datenschutzrichtlinie von 1995 in Kraft, die in jedem EU-Staat unterschiedlich umgesetzt wurde, birgt die neue Verordnung weniger Spielraum für nationale Alleingänge.

Ein zweiter Kernbereich, den die Datenschutz-Grundverordnung adressiert, bezieht sich auf die gravierenden technologischen Veränderungen der zurückliegenden 25 Jahre – und die noch kommenden technischen Entwicklungen. Denn viele Herausforderungen des Datenschutzes liegen noch vor uns. Ein Beispiel: Die Erfassung biometrischer Daten von Mitarbeitern ist für bestimmte Arbeiten mit intelligenten Maschinen zwingend erforderlich. Geht ein Unternehmen sensibel mit solchen Daten um, so stellt dies an sich noch kein Problem dar. Doch sind diese Informationen erstmal beim Arbeitsgeber, besteht auch die Verlockung, sie für andere Zwecke zu verwenden – beispielsweise zur Leistungskontrolle. Auch auf Entwicklungen dieser Art soll die neue europäische Datenschutz-Grundverordnung reagieren.

Inhalte: Bewährte Prinzipien ausbauen

Eine Zusammenfassung der Datenschutz-Grundverordnung muss als erstes auf die Veränderungen eingehen, die mit personenbezogenen Daten zusammenhängen. Denn in diesem Bereich finden die größten Veränderungen durch die europäische Datenschutz-Grundverordnung statt: Wenngleich auch nicht in dem Maße, wie ursprünglich geplant, wird der Schutz der Daten von Privatpersonen mit der DSGVO erkennbar gestärkt. Eine ganze Reihe von Paragrafen soll das Sammeln von personenbezogenen Daten nachvollziehbar und sachgemäßer regulieren.

Beispielsweise wird die Rechenschaftspflicht von Unternehmen (Accountability) ausgeweitet: Künftig bestehen umfangreichere Dokumentations- und Nachweispflichten darüber, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet. In diesem Sinne bedeutet die Datenschutz-Grundverordnung vor allem Fleißarbeit bei der Dokumentation. Unternehmen, die bereits Wert auf Datenschutz legen und ein Verzeichnis der Datenverarbeitungsverfahren geführt haben, haben es bei der Umsetzung der Verordnung deutlich leichter.

Insgesamt jedoch enthält die DSGVO nirgends eine grundlegende Neuausrichtung des Datenschutzes – vielmehr bleiben die bereits bekannten Datenschutzprinzipien gültig und werden von der Datenschutz-Grundverordnung fortgeführt. Sie sind die Grundlage für die Neuregelungen, werden allerdings deutlicher ausformuliert und ausgebaut. Die wichtigsten dieser Prinzipien lauten:

  1. Verbot mit Erlaubnisvorbehalt: Dieses Prinzip meint: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist erlaubt. Dies war schon bisher so und ist nicht unumstritten. Schließlich sind nicht alle Daten gleich wichtig. Das Verbotsprinzip gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug.
  2. Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür müssen zu Beginn der Erhebung die Zwecke ausformuliert und die zukünftige Verwendung der Daten muss dokumentiert werden. Ein Beispiel aus der Arbeitswelt: Daten, die ein Unternehmen für die Erfüllung eines Vertrages erhoben hat und zu Recht speichert, dürfen nicht für Werbezwecke verwendet werden. Dies ist ein anderer Zweck, der gesondert rechtfertigungsbedürftig ist. Nachträgliche Zweckänderungen sind nur unter bestimmten Umständen zulässig.
  3. Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenig Daten wie möglich erheben. Es gilt: So wenig wie möglich, soviel wie nötig. Es darf nicht mehr gesammelt werden, als für die Ausführung des Erhebungszwecks notwendig ist. Damit untersagt dieses Prinzip die „blinde“ Datenerhebung auf Vorrat.
  4. Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits erhalten Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte: Wie bisher müssen Unternehmen auf Anfrage mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.
  5. Vertraulichkeit: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu. Dennoch sind diese Maßnahmen in der Datenschutz-Grundverordnung nicht präzise ausformuliert und bieten Auslegungsspielraum. Im Falle eines Datendiebstals kommt es darauf an, ob die technischen und organisatorischen Schutzmaßnahmen dem Risiko und der Art der gespeicherten Daten angemessen waren.

Betroffene: Unternehmen und Datenschutzbeauftragte

Zunächst einmal ist die DSGVO eine gute Nachricht für jeden Verbraucher und Betroffenen von Datenverarbeitung. Denn ihnen gilt der ausgebaute Schutz in der DSGVO. Darüber hinaus betreffen die Regelungen der DSGVO aber auch die Rechte von Arbeitnehmern. In diesem Bereich hat der deutsche Gesetzgeber von einer Öffnungsklausel Gebrauch gemacht und weitere Regelungen zum Beschäftigtendatenschutz im BDSG-neu getroffen.

Diese Regeln sind für alle Unternehmen relevant, die Mitarbeiter beschäftigen. Insofern sind zahlreiche Firmen doppelt betroffen: Hinsichtlich des Datenschutzes ihrer Angestellten (Beschäftigungsdatenschutz) und in Bezug auf Kunden, Lieferanten und Webseitenbesucher.

Eine besondere Relevanz hat die DSGVO natürlich für die Berufsgruppe der Datenschutzbeauftragten. Ihre Zahl wird durch die DSGVO europaweit beträchtlich wachsen. Denn künftig müssen europaweit alle öffentlichen Stellen und alle Unternehmen, deren Kerntätigkeit sich auf die Handhabung von Personendaten bezieht, einen betrieblichen Datenschutzbeauftragten benennen. Selbst wenn die Kerntätigkeit nicht auf die Datenverarbeitung bezogen ist, muss ein Datenschutzbeauftragter bestellt werden, wenn im Betrieb mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das dürfte für zahlreiche Mittelständler gelten. Spätestens bis Mai 2018 muss bei Unternehmen, die von dieser Regelung betroffen sind, eine Benennung erfolgt sein. Doch auch für andere Unternehmen kann es sinnvoll sein, kurzfristig einen Datenschutzbeauftragten einzustellen, um den Übergangsprozess zur EU-Datenschutz-Grundverordnung im Mai 2018 rechtssicher zu gestalten.

Auch für Datenschutzbeauftragte, die bereits in einem Unternehmen angestellt sind, bedeutet die Datenschutz-Grundverordnung eine große Umstellung. Denn ihre Rolle im Unternehmen ändert sich grundlegend: Sollte der Datenschutzbeauftragte bisher auf die Datenschutz-Konformität hinwirken, so ist er künftig für die Überwachungder Maßnahmen verantwortlich. Damit weitet sich sein Aufgabenfeld aus und auch sein Haftungspotenzial steigt.

Für Datenschutzbeauftragte bedeutet die neue Verordnung also eine Menge Arbeit: Sie müssen sich detailliert in die neue Gesetzeslage einarbeiten. Dennoch hat das neue Gesetz für sie auch positive Seiten: Ihre Expertise wird in nächster Zeit besonders gefragt sein und mit den zunehmenden Aufgaben ist auch eine Aufwertung ihrer Position im Unternehmen verbunden.

Im Folgenden geben wir eine Zusammenfassung der Datenschutz-Grundverordnung, die besonders die Neuerungen für Webseitenbetreiber und Unternehmen berücksichtigt.

 Hinweis

Sind Sie 1&1 Kunde? Hier finden Sie eine Checkliste speziell für 1&1 Kunden mit allen Informationen, worauf Webseitenbetreiber achten müssen, damit Ihre Webseite der neuen Datenschutz-Grundverordnung entspricht.

Auswirkungen I: Unternehmen aufgepasst

Auch, wenn es keine grundlegende Neuausrichtung des Datenschutzes gibt, bringt die europäische Datenschutz-Grundverordnung im Detail viele Veränderungen. Diese müssen Unternehmen unbedingt berücksichtigen und bereits bei der Konzeption von Arbeitsabläufen mit Personenbezug in ihren Workflow integrieren (Prinzip des Privacy by Design). Andernfalls verstoßen sie gegen europäisches Recht. Es folgen die wichtigsten Neuregelungen, die Unternehmen – insbesondere im Bereich des Onlinehandels – beachten müssen.

Allgemeine Datensicherheit in Unternehmen

  • Datenschutz-Folgeabschätzung (DSFA): Unternehmen sind verpflichtet, Risiko-Abschätzungen vorzunehmen. Sie müssen außerdem festhalten, welche Schutzmaßnahmen zur Risikominimierung unternommen werden. Insbesondere wenn ein Unternehmen mit Cloud-Computing arbeitet, ist diese Vorschrift relevant. Denn beim Cloud-Computing wird oft mit größeren Mengen personenbezogener Daten hantiert. Noch stärker dürften Unternehmen betroffen sein, die Gesundheitsdaten speichern, gelten diese doch als besonders sensibel und eine Verbreitung der Daten wiegt für die Betroffenen besonders schwer.
  • Arbeitnehmerdaten: Auf den Prüfstein kommt auch, wie ein Unternehmen die Daten seiner Arbeitnehmer bearbeitet. Die entsprechenden Regelungen in der DSGVO und dem BDSG-neu betreffen also auch die Human Resources, die in die Veränderungen miteinbezogen werden müssen.
  • Datenschutzbeauftragte: Für viele Unternehmen ist ein Datenschutzbeauftragter fortan Pflicht. Dieser überwacht die individuell ausgearbeitete Datenschutzstrategie und die DSGVO/GDPR-Konformität. Das betrifft nicht bloß Unternehmen, die in großem Umfang mit personenbezogenen Daten arbeiten. Jedes Unternehmen, bei dem mehr als 10 Personen regelmäßig mit personenbezogenen Daten zu tun haben, muss künftig einen Datenschutzbeauftragten bestellen.
  • Meldepflichten: Die neuen Vorgaben der DSGVO zum Vorgehen bei Datenpannen sind deutlich strenger als die zuvor geltenden Regelungen. Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden: Im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden.
  • Verantwortlichkeit und Bußgelder: Unternehmen können künftig für Verstöße im Umgang mit den von ihnen erhobenen Daten leichter verantwortlich gemacht werden. Das schließt hohe Geldbußen mit ein.

Sicherheit personenbezogener Daten

  • Dokumentationspflicht: Ein Schwerpunkt der Datenschutzgrundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch Accountability genannt. Anders als bisher sind Unternehmen verpflichtet, die Datenschutz-Compliance durch eine hausinterne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechendes Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.
  • Privacy by Design: Das Prinzip Privacy by Design bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
  • Privacy by Default: Diese Vorschrift der Datenschutz-Grundverordnung schreibt vor, dass grundsätzlich die datenschutzfreundlichste Variante technisch voreingestellt sein muss. Das erspart es Verbrauchern, sich durch komplexe technische Einstellungen zu kämpfen, um Beschränkungen der Datenverarbeitung zu erwirken.
  • Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers oder Verbrauchers nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung. Die Anforderungen an eine wirksame Einwilligung sind nach der DSGVO gestiegen. Ein grobes Ungleichgewicht zwischen den Beteiligten kann die Freiwilligkeit ebenso ausschließen, wie die Kopplung der Erteilung an den Vertragsschluss.
  • Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
  • Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen. Das „Recht auf Vergessenwerden“ wird damit gesetzlich festgelegt.

Auswirkungen II: Webseitenbetreiber aufgepasst

Die Datenschutz-Grundverordnung enthält kaum explizite Regeln für den Onlinehandel. Sie formuliert vielmehr allgemeine Grundsätze des Datenschutzes, deren Teilbereiche in weiteren Gesetzen und Verordnungen geregelt werden. Dennoch bringen die abstrakten Normen der DSGV auch für den Onlinehandel einige Neuerungen. Mehr dazu erfahren Sie in den beiden folgenden Abschnitten.

Das bleibt (vorerst!) gleich

Das Wichtigste vorweg: Neben den bereits genannten Regelungen für Unternehmen bedeutet die DSGVO für den Onlinehandel zunächst vergleichsweise wenige Änderungen. Die für Webseitenbetreiber zentralen Themen –Cookies, User-Tracking, Spam- und Direktmarketing – werden voraussichtlich erst 2019 neu reguliert. Aber der Reihe nach:

Derzeit gelten für Webseitenbetreiber die allgemeinen Grundsätze aus der Datenschutzrichtlinie 95/46/EG sowie das nationale Telemediengesetz (TMG). Letztgenanntes regelt die besondere Gesetzeslage für Telemedien, speziell das Internet. Ab Mai 2018 wird nun die DSGVO Vorrang vor dem nationalen TMG erhalten. Das bedeutet: Die Artikel 11 ff. des TMG (die sich auf Datenschutz beziehen) werden von den allgemeinen Normen des DSGVO beeinflusst. Was das in der Praxis bedeuten soll, ist unter Juristen umstritten. Jedenfalls werden die allgemeinen Grundsätze auch für Webseiten, Big Data und Social Media gelten. Auch der Einsatz von Cookies, Tracking-Tools und Targetingmaßnahmen muss künftig nach der DSGVO richten.

Allerdings ist die Datenschutz-Grundverordnung gewissermaßen eine Übergangslösung: Denn ursprünglich sollte gemeinsam mit der Datenschutz-Grundverordnung und dem BDSG-neu noch eine weitere Neuregelung des Datenschutzes in Kraft treten: die E-Privacy-Verordnung der EU. Am 23.Oktober 2017 vom EU-Parlament beschlossen, ist dieser Zeitplan nun allerdings kaum noch einzuhalten. Es ist nämlich nicht zu erwarten, dass der Europäische Rat die Verordnung einfach so durchwinken wird: Der Entwurf sieht ein strenges Einwilligungserfordernis für Cookies vor. Würde dieser Entwurf Gesetz, hätte dies gravierende Auswirkungen auf Tracking, Targeting und personalisierte Werbung. Welche Änderungen hier im weiteren Gesetzgebungsprozess tatsächlich kommen werden, ist noch offen. Daher ist es derzeit zu früh, sich konkrete Gedanken über die E-Privacy-Verordnung zu machen – vor 2019 wird diese Verordnung wohl nicht wirksam. Dennoch sollten Webseitenbetreiber und Onlinehändler die E-Privacy-Verordnung unbedingt im Blick behalten. Denn im Gegensatz zur Datenschutz-Grundverordnung, die datenschutzrechtliche Grundsätze regelt, wird sich die E-Privacy-Verordnung auf einen sehr speziellen Bereich beziehen: den Schutz der Privatsphäre im digitalen Alltagsleben. Hier warten also weitere Neuregelungen auf Webseitenbetreiber.

Das verändert sich

Doch was ändert sich dann im Mai 2018 mit der Datenschutz-Grundverordnung der EU? Die wichtigsten Veränderungen für Webseitenbetreiber sind folgende:

  1. Die umfassende Dokumentationspflicht der Datenschutz-Grundverordnung
  2. Die komplexeren Erlaubnistatbestände
  3. Die Grundsätze von Privacy by Design und Privacy by Default
  4. Erweiterte Auskunftsrechte und das Recht auf Löschung
  5. Das Recht auf Datenübertragbarkeit
  6. Deutlich umfangreichere Informationspflichten (z. B. für die Datenschutzerklärung einer Website)
  7. Das Kopplungsverbot bei Einwilligungen
  8. Sehr hohe Bußgelder

Einige Punkte haben wir in den vorherigen Abschnitten bereits erläutert. Die beiden Themen: Datenschutzerklärung und Koppelungsverbot werden im Folgenden dargestellt. Denn sie betreffen hauptsächlich Webseitenbetreiber.

 Fakt

Datenschutz-Einwilligung und Datenschutzerklärung sind strikt zu unterscheiden. Die Einwilligung des Nutzers – erforderlich für jede Datenverarbeitung, die nicht durch eine Rechtsnorm erlaubt ist – meint die aktive Bestätigung eines Nutzers, dass er mit den Datenschutzbedingungen eines Unternehmens einverstanden ist. Die Datenschutzerklärung ist jener Text, in dem ein Unternehmen seinen Kunden seine Maßnahmen zum Datenschutz darlegt. Sie ist auf jeder Webseite Pflicht.

Die wichtigste Neuerung der DSGVO für Webseitenbetreiber stellen die Vorgaben zu den Datenschutzbestimmungen dar. Bereits laut TMG muss jede Webseite eine Datenschutzerklärung enthalten. Doch während das TMG lediglich vorschreibt, dass Datenschutzerklärungen über Art, Umfang und Zwecke der Erhebung unterreichten sollen, enthält Art. 13 Abs. 2 der DSGVO einen ausführlichen Katalog von Informationen, die eine Datenschutzerklärung enthalten muss. Auch die Form die Datenschutzerklärung wird in der DSGVO deutlicher geregelt: Die Erklärung muss in verständlicher Sprache und inhaltlich nachvollziehbar erfolgen. Transparenz wird dabei in der DSGVO groß geschrieben.

 Zitat

„Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ (Hervorhebungen von der Verfasserin)

– Art. 12 Abs. 1 DSGVO über die Anforderungen an Datenschutzbestimmungen (Quelle: www.datenschutz-grundverordnung.eu/grundverordnung/art-12-ds-gvo/)

Im Kopplungsverbot wiederum sehen Experten die größte Restriktion, die sich für die Netzwirtschaft aus der Datenschutz-Grundverordnung ergibt. Nach dem Kopplungsverbot darf ein Webseiten-Betreiber seine potenziellen Kunden künftig nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistung nicht notwendig sind. Ein Beispiel: Fordert man für das Zustandekommen eines Vertrages zugleich die Anmeldung für einen Online-Newsletter, so verstößt man künftig gegen EU-Recht. Oberstes Prinzip der Einwilligung ist die Freiwilligkeit.Vielen gekoppelten Einwilligungen dürfte jedoch die Freiwilligkeit fehlen. Die so eingeholten Einwilligungen sind folglich unwirksam.

 Zitat

„Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ (Hervorhebungen von der Verfasserin)

– Art. 7 Abs. 4 DSGVO über das Koppelungsverbot (Quelle: www.datenschutz-grundverordnung.eu/grundverordnung/art-7-ds-gvo/)

Zuletzt noch einmal der Hinweis: Beachten Sie unbedingt die Änderungen zu Dokumentationspflichten, Erlaubnisgrundlagen, Speicherung, Auskunftsrechten und zum Recht auf Löschung. Im Einzelnen können auch weitere Neuregelungen Webseitenbetreiber und Unternehmen betreffen.

Maßnahmen: DSGVO-Checkliste für Unternehmen und Webseitenbetreiber

Möchte man mit der Umsetzung der neuen europäischen Datenschutz-Grundverordnung beginnen, gilt zunächst: Die erforderlichen Maßnahmen fallen je nach Unternehmen unterschiedlich aus. Dennoch gibt es eine Reihe an Vorkehrungen, die jedes Unternehmen berücksichtigen sollte. Wir haben diese in einer DSGVO-Checkliste für Sie zusammengefasst.

  • Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
  • Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
  • Richten Sie Kommunikationsrouten für Kunden-Anfragen zum Datenschutz ein.
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen.
  • Passen Sie die Datenschutzerklärung auf Ihrer Website an die Neuregelungen an.
  • Beraten Sie sich mit dem Leiter Ihrer Technikabteilung und dem Datenschutzbeauftragten, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen. Unter Umständen müssen weitere Maßnahmen eingeleitet oder bestehende Maßnahmen besser in die IT-Infrastruktur integriert werden.
  • Alle erhobenen personenbezogenen Daten, die gegen das Kopplungsverbot verstoßen, müssen fortan anders eingeholt und als freiwillig ausgegebene Daten erhoben werden.
  • Falls Sie externe Dienstleister damit beauftragt haben, personenbezogene Daten für Ihr Unternehmen zu verwalten, sollten Sie mit ihnen klären, ob die getroffenen Vereinbarungen der Datenschutzreform entsprechen. Passen Sie die Vereinbarungen gegebenenfalls den neuen Vorgaben an.
  • Überprüfen Sie, wie Sie in Ihrem Onlineshop die Einwilligungen Ihrer Kunden einholen und passen Sie die Vorgehensweise an die Regelungen der Datenschutz-Grundverordnung an.
  • Bleiben Sie aufmerksam, was die E-Privacy-Verordnung angeht: Sie wird künftig regeln, wie Onlinehändler mit Analyse- und Trackingtools umgehen.
  • Falls Sie unsicher sind, nutzen Sie entsprechende professionelle Beratung.

Das erste Mal

Heute war für mich das erste Mal. Nein – nicht das was viele Denken. Wir haben nun schon seit 24 Jahren einen Kleingarten. Es gab immer wieder trockene Phasen. Phasen in denen man mit dem Schlauch durch den Garten geht um die Pflanzen zu bewässern.

Bisher ist es mir nicht gelungen alles zu gießen. Den Job hat meine Frau immer gemacht. Bis Heute. Da war mein Glücksmoment gekommen und ich konnte mal helfen.

Es gibt immer das erste Mal. Egal was man macht. Irgendwann ist immer das erste Mal. So gibt es bei mir auch kaum Ängste neue Dinge zu versuchen. Wenn es schief geht, gibt es immer eine Ausrede, geht es gut, dann platzt man vor Stolz  und Freude. Man muss es nur wagen. Nicht anders war es bei mir als ich wieder laufen gelernt habe

Leistung

WOW oder doch Peinlich?

So lange kein Beitrag oder Artikel mehr von mir. Das ist schon beeindruckend oder eben wie gesagt. Peinlich.

Aber warum eigentlich? Es ist eher bemerkenswert, denn die Ruhe zu bewahren, wenn mal etwas anders als geplant verläuft ist meiner Meinung nach auch eine Leistung. Eine Leistung die man sich auch erst  einmal erarbeiten muss. Denn nichts ist schwieriger als einfach Ruhig zu bleiben.

Die letzten Tage standen bei mir ganz im Zeichen  unseres Hochzeitstages, immerhin es war der 35. Jetzt fehlen nur noch fünfzehn zur Goldenen Hochzeit.

Auch wenn dieses Ziel für viele utopisch bis unmöglich erscheint, angesichts der vielen gesundheitlichen Risiken, ich werde es versuchen. Ob es uns gelingt, das kann man Heute nicht sagen. Aber ein Leben ohne Ziele geht nicht. Egal ob dreißig, sechzig oder Neunzig. Ziele sollte jeder haben. Ob sie realisiert werden können ist eine andere Sache.

Belohnt

Ob es sich auszahlt, immer an das Gute zu glauben?

Schwer zu sagen, das sieht jeder anders. Für mich zählt immer nur das positive Denken. Auf jeden Fall ist es ratsam an das Gute zu glauben, denn die Wende kommt schneller als beim „Negativ Denken“.

So ergeht es mir im Augenblick. Gestern noch bin ich im Garten gestürzt, zum Glück war es harmlos. Heute bahnt sich ein positiver Lauf an. Dinge die mir vor kurzen noch Kopfzerbrechen bereitet haben, erledigen sich von selbst, es gelingt mir vieles was noch vor ein paar Tagen unmöglich erschien und morgen beginnt mein Urlaub.

Nun versuche ich dieses gute Gefühl zu konservieren. Das gelingt natürlich nicht immer. Aber mit gebremster Euphorie versuche ich dieses angenehme Gefühl so lange es geht aufrecht zu halten.

Und deswegen gönne ich mir Heute keinen Nachmittag im Garten, sondern einen Eisbecher an der Weser.

Gleichgewicht

Jahrzehnte lang habe ich einen wichtigen Teil meiner Krankheit verdrängt. Dadurch das es im Gehirn so viele Beeinträchtigungen gegeben hat, ergeben sich unweigerlich Gleichgewichts Schwierigkeiten. Früher oder später trifft es jeden.

 

Bei mir war das natürlich anders. Für mich gab es immer wieder neue Gründe warum ich gestürzt bin, gefallen bin oder einen unkontrollierten Ausfallschritt gemacht habe bei dem irgend etwas zu Bruch ging.  Eines war jedoch klar. Weder meine Krankheit noch ich selber waren schuld.  Es war einfach so passiert.

Vor kurzen las ich jedoch in einen Interview von Monica Lierhaus über die Schwierigkeiten die sich ergeben können. Mit einen mal fiel es mir wie Schuppen von den Augen. Meine Gleichgewichtsschwankungen  sind eine Folge des Gehirnblutens bzw. des Aneurishmas.

Es ist schon eine Kunst das über 40 Jahre zu verdrängen. Auf jeden Fall werde ich dem Rechnung tragen und noch mehr aufpassen. So wie die Krücke zu einen Bestandteil meines Lebens geworden ist, so ist das Wissen um mein Handicap fortan ein ganz wichtiger Bestandteil meines Lebens. Denn mir ist auf der einen Seite klar woher die Gleichgewichtsprobleme kommen, und vor allen was für ein Glückspilz ich bin das es erst jetzt mich richtig erwischt hat und ich mich dementsprechend darauf einstellen kann.

Fluch oder Sonnenschein

Wieso „Sonnenschein“ ?

Ganz einfach. Die letzten Tage sind nicht optimal verlaufen. Es ist fast so als ob ein Fluch über meiner Gesundheit liegt. Doch all das Negative versuche ich auszublenden und konzentriere mich lieber auf das angenehme. Und das ist im Augenblick der Sonnenschein. Es ist besser sich auf das Angenehme zu konzentrieren als ständig negative Gedanken zu haben und dann folgerichtig in ein dunkles Loch zu fallen.