Du hast sicher schon viel von der neuen EU-Datenschutz-Grundverordnung gehört? Oder noch gar nichts davon mitbekommen und kriegst gleich etwas Schnappatmung? Na dann wird’s aber höchste Zeit, dass du dich schlau machst! Denn die Datenschutz-Grundverordnung tritt per 25. Mai 2018 in der EU in Kraft. Die DSGVO möchte die personenbezogenen Daten von natürlichen Personen besser schützen, sowie diesen mehr Rechte über ihre Daten geben. Ein Interesse an Daten muss klar definiert und begründet sein. Umso heikler erhobene Daten sind, desto höher muss demnach auch das (wirtschaftliche) Interesse an ihnen sein.
Die DSGVO ist nötig, da es bisher keine einheitlichen Richtlinien in den Mitgliedstaaten der EU gab. Es ist viel in den Sozialen Medien davon zu hören, vor allem wird auch viel Panik verbreitet. Ich habe mich in den letzten zwei Wochen in die Thematik eingearbeitet und versuche mit diesem Post etwas Licht ins Dunkel zu bringen. Aber Achtung: Ich übernehme keine Verantwortung für die Vollständigkeit oder Richtigkeit meiner Angaben in diesem Post.Ich bin Texterin und keine Anwältin. Ich gebe hier nur Infos und Tipps nach bestem Wissen und Gewissen wieder. Im konkreten Fällen hol dir Rechtsbeistand oder informiere dich bei einem Anwalt/einer Anwältin oder deinem Rechtschutz.
Die DSGVO legt ab dem 25. Mai 2018 genau fest, wie die personenbezogenen Daten von Bürgern der EU verarbeitet und gesammelt werden dürfen. Diese Verordnung erhält ab morgen Gültigkeit! Vielleicht hast du gerade gedacht: Tja EU! Ich bin ja in der Schweiz, das geht mich eh nichts an – Jain. Unter Umständen geht es dich als Schweizer Webseiten-Betreiber oder Unternehmen mit oder ohne Webseite sehr wohl etwas an.
Wenn du einen der folgenden Punkte mit Ja beantworten kannst, solltest auch du dich dringend der Thematik DSGVO befassen, wenn du es noch nicht getan hast:
- Firmenstandort in der EU. Wenn du als Firma einen Standort in der EU hast, der personenbezogene Daten verarbeitet
- Kunden in der EU. Wenn du Dienstleistungen oder Waren an Personen in der EU anbietest
- Firmeneigener Newsletter an Firmenkunden oder Dritte
- Angebot von kostenlosen Informationen sowie gratis Dienstleistungen oder Waren an Personen aus der EU
- Firmen-Website in Englisch oder einer anderen Sprach, die keine der Landessprachen ist
- Möglichkeit des Kaufs von Waren und Dienstleistungen mit Euro
- Verträge, die vorsehen, dass das Recht eines EU-Staates zur Anwendung kommt
- Auswertung von Webseiten-Besuche wie Google Analytics, Targeting etc.
- Anwendbarkeit von Online-Marketing
- Erteilung von Datenverarbeitungsaufträge an ein EU-Unternehmen
- Datenspeicherung in einer Cloud mit Unternehmenssitz in der EU
- Auswertung von Daten von EU-Unternehmen in der Schweiz
- Zur Verfügungsstellung von Serverspeicherplatz an EU-Unternehmen oder Personen aus der EU
- Verträge mit Unternehme, mit Sitz in der EU*
*Gegebenenfalls hast du auch in diesem Fall die Pflicht, dich an die DSGVO zu halten auch ohne selbst einen Firmensitz in einem EU-Staat zu haben.
Konntest du alle obengenannten Fragen mit nein beantworten? Dann empfehle ich dir trotzdem, deine Webseite zu überprüfen, ob Sie allen in der Schweiz benötigten Anforderungen hinsichtlich Datenschutz gerecht wird. Hier findest du die nötigen Infos über Datenschutz, Impressum und Co. In der Schweiz können wir uns circa Anfang 2019 darauf gefasst mache, dass unser DSG (Datenschutzgesetzt) angepasst wird. Eigentlich sollte dies bereits geschehen sein, aber das DSG ist in Verzug.
Strafen und Konsequenzen
Im Vergleich mit dem aktuellen Schweizer Recht werden die Sanktionsmöglichkeiten mit der DSGVO massiv verschärft. Geldbussen können mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des betroffenen Unternehmens mehr als drastisch ausfallen. Hier ist Vorsorge also wirklich um einiges besser als Nachsorge.
Die Hauptanliegen der DSGVO
Für Personendaten muss neu umfassend, transparent und verständlich ersichtlich sein, wie mit diesen umgegangen wird. Und dies in folgenden Punkten:
- Welche Daten sind betroffen
- Für welchen Zweck werden Sie verwendet (Zweckbindung)
- Ort der Datenspeicherung
- Art des Umgangs mit den Daten
- Information, was mit den Daten passiert, z.B. wenn sich ein Empfänger vom Newsletter abmeldet
Dann ist der Newsletter-Versand ein sehr grosses und wichtiges Thema. Doch dazu komme ich ein anderes Mal.
Was sich mit der DSGVO ändert
- Die Rechenschaftspflicht wird eingeführt. Unternehmen sind ab dem 25. Mai 2018 dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Somit unterliegen Sie einer verstärkten Dokumentations- und Nachweispflicht
- Informationspflicht gegenüber betroffenen Personen. Umfangreichere Datenschutzerklärungen u.a. wo und wie Daten verwendet und gegebenenfalls weitergegeben werden
- Nutzung von Cookies und Werbeinstrumenten. Dies kann zukünftig meist nach Interessenabwägung gerechtfertigt sein. Ein Opt-in Verfahren ist für Cookies jedoch zwingend anzuwenden. Dies kann mit diversen Plug-ins bewerkstelligt werden
- Strengere Anforderungen bei Aufträgen: Z.B. mit Dienstleistern zur Auftragsverarbeitung
- Rechtliche Zusicherung von Daten Portabilität. Sowie Fristen von Antragsbearbeitungen zur Rechts-Ausübung von Betroffener
Was bis am 25. Mai 2018 zu tun ist:
- Abklären, ob es bei dir/deiner Firma aktuelle Prozesse gibt, bei denen personenbezogene Daten verarbeitet werden
- Einen Projektplan erstellen, wenn Punkt 1 der Fall ist
- Bestelle einen Datenschutzbeauftragen (beispielsweise hier) oder kläre dies mit deinem Rechtsberater oder deiner Rechtschutzversicherung
- Aktualisiere oder, wenn du noch keines hast, erstelle ein Verfahrensverzeichnis (VVT)
- Passe deine Datenschutzerklärung (DSE) an
- Überarbeite wenn nötig deine Einwilligungstexte
- Kontrolliere organisatorische und technische Massnahmen (TOMs)
- Aktualisiere die Prozesse zur Wahrung der Betroffenen
- Prüfe deine Verträge zur Auftragsdatenverarbeitung mit deinen Dienstleister, genügen diese nicht den Anforderungen der DSGVO, verhandle sie neu
- Hast du Mitarbeitende, führe eine Schulung für diese durch und dokumentiere die Schulung
- Führe gegebenenfalls eine Datenschutzfolgeabschätzung durch und dokumentiere auch diese
- Führe einen Reaktionsplan für Datenpannen ein
Ein kurzer Abstecher zum Verfahrensverzeichnis (VVT)
Da ab dem 25. Mai 2018 neu die Rechenschaftspflicht gilt, musst du diese erfüllen und ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Kannst du auf Verlangen der Datenschutzbehörde kein solches Verzeichnis vorlegen, wird vermutet, dass du nicht alle Datenschutzvorschriften einhälst, was zu einer Busse führen kann.
Hier einige Beispiele solcher Verfahren:
- Bestellprozess Abc eines Onlineshops (gehostet bei abc)
- Remarketing mit Google AdWords
- Meldung an den Träger der Sozialversicherung
Jedes Verfahren muss gemäss Vorgaben von Art.30-DGS-VO dokumentiert werden.
Zum Thema Datenschutzerklärung (DSE)
Aufgrund der zahlreichen neuen Informationspflichten nach Art. 13 DSG-VO musst du deine Datenschutzerklärung dringend aktualisieren. Sind in der DSE neue Informationen nicht enthalten, sind gegebenenfalls nicht nur Busgelder durch die Behörden, sondern in einzelnen Fällen auch Abmahnungen durch Mitbewerbern zu befürchten.
Diese neuen Informationspflichten sind:
- Namen und Kontaktdaten des Datenschutzbeauftragten. Meist ist dies der Betreiber oder Inhaber einer Webseite
- Beabsichtigte Rechtsgrundlage
- Berechtigtes Interesse des Online-Shops (mit gesonderter Widerspruchsbelehrung)
- Alle Empfänger, auch die Auftragsverarbeiter (dies war bislang anders)
- Garantien und Angabe zur Übermittlung in Drittländer
- Information über (neue) Betroffenenrechte
So und spätestens jetzt schwirrt dir der Kopf. Das ging mir nicht anders. Wenn du auf der komplett richtigen Seite sein willst, informiere dich noch HIER, kläre das Thema DSGVO mit deinem Rechtsbeistand, Rechtsberater oder deiner Rechtschutzversicherung ab – sicher ist sicher. Tangiert dich die DSGVO in keiner Weise empfehle ich dir trotzdem, folgendes aufmerksam zu lesen und nötigenfalls deine Webseite umgehend anzupassen: Datenschutz, Impressum und Co.