Die DSGVO (DatenSchutz GrundVerOrdnung) kommt am 25. Mai 2018

Wahrscheinlich bist du in den letzten Wochen oder Monaten das eine oder andere Mal an den Begriff DSGVO geraten. Wenn du eine Firma betreibst, die Dienstleistungen (auch kostenlose) anbietet, welche sich an natürliche Personen eines EU Landes richten (was bei Online Geschäften praktisch immer der Fall ist) resp. deren Daten du verarbeitest, dann tust du gut daran, die DSGVO nicht zu ignorieren.

Im folgenden Artikel haben wir deshalb die wichtigsten Fakten zusammengetragen und versuchen zu erläutern, wie sie zu verstehen und praktisch umzusetzen sind.

Wir weisen ausdrücklich darauf hin, dass wir keine Juristen sind und deshalb keine Garantien für unsere Aussagen und Angaben geben können. Wir empfehlen deshalb unbedingt mit einem spezialisierten Juristen abzuklären, wie die DSGVO dich, resp. deine Firma,  betrifft und welche Massnahmen du wie umsetzen musst.

Um was geht es bei der DSGVO (english: General Data Protection Regulation, kurz GDPR)?

Bei der DSGVO geht es einfach gesagt darum, Daten von natürlichen Personen in der EU zu schützen. Dieses Gesetz tritt am 25. Mai 2018 in Kraft und betrifft, wie bereits erwähnt, auch Schweizer Unternehmen, sobald sie Daten von natürlichen Personen in der EU verarbeiten. Juristisch ist unter “Verarbeiten” vereinfacht gesagt: “in Berührung kommen” oder “sie zu kennen”, also z.B. das Verhalten von Nutzern deiner Website zu analysieren. In der Praxis bedeutet das: Wenn du eine Webseite betreibst, auf der du Dienstleistungen anbietest, welche auch in der EU genutzt werden können resp. die Webseite aus der EU erreichbar ist, dann gehe davon aus, dass du unter das DSGVO fällst.

Was musst du, resp. deine Firma unternehmen?

  1. Einwilligung zur Verarbeitung
    Zur Bearbeitung von Daten musst du eine freiwillige explizite Einwilligung die auf einer bewussten Handlung basiert einholen. Bei einem Online-Formular darf also z.B. die Checkbox zur Einwilligung der Datenerarbeitung (wie z.B. Newsletter-Anmeldung) nicht bereits angekreuzt sein wenn das Formular aufgerufen wird! Ebenso muss ausführlich informiert werden, was mit den Daten, die du erhebst, passiert und wie und wo diese verarbeitet werden und du musst die Einwilligung nachweisen können (also speichern, wann genau das Häkchen zur Einwilligung durch den Nutzer gesetzt wurde resp. das Formular mit dem gesetzten Häkchen abgesendet wurde). Zudem muss die Einwilligung jederzeit widerrufen werden können.
  2. Technische und organisatorische Massnahmen
    Es müssen technische und organisatorische Massnahmen ergriffen werden, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen; also z.B. Computer und Server möglichst sicher zu halten (Sicherheits-Updates), Webverbindungen zu verschlüsseln (HTTPS), etc. Ebenso musst du mit technischen Voreinstellungen gewährleisten, dass standardmässig nur Daten diejenigen erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind. Konkret: Wenn du ein Anmeldeformular für einen Newsletter hast und dazu noch obligatorisch nach dem Geburtsdatum fragst, dann ist das problematisch: Für den Empfang eines Newsletters ist nämlich in den seltensten Fällen ein Geburtsdatum nötig.
  3. Ernennung eines Datenschutz-Vertreters in der EU
    Du musst einen Datenschutz-Vertreter in einem Land in der EU haben, der z.B. Anfragen zum Datenschutz entgegen nimmt. Wenn du kein Büro in der EU hast, gibt es dafür Angebote, die du nutzen kannst (siehe “Nützliche Links”, unten in diesem Artikel).

    Allerdings entfällt diese Pflicht, wenn die Datenverarbeitung:

    1. nur gelegentlich erfolgt
    2. keine besonderen Datenkategorien betreffen (wie z.B. Gesundheitsdaten)
    3. nahezu kein Risiko mit sich bringen wird (einfach gesagt: Je weniger Daten du verarbeitest, desto geringer ist das Risiko)
  4. Führen eines Datenverarbeitungsverzeichnisses
    Tönt komplizierter als es eigentlich ist, kann aber viel Zeit in Anspruch nehmen: Hier muss aufgeführt werden, wie Daten verarbeitet werden. Dazu gehört auch aufzuführen, welche externen Dienstleister (z.B. smallinvoice oder andere Clouddienste) du dazu verwendest.In der Regel musst du mit all diesen einen Auftragsverarbeitungsvertrag (AV) abschliessen.
  5. Melden von Verstössen
    Du musst, resp. deine Firma muss über schnelle Mechanismen verfügen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden. Ein Anfang dazu ist z.B. abzuklären, wer konkret benachrichtig werden muss und wie das genau möglichst schnell geschehen soll.
  6. Durchführung einer Datenschutz-Folgenabschätzung
    Werden Daten verarbeitet, die ein hohes Risiko mit sich bringen, dass Rechte und Freiheiten verletzt werden könnten (also z.B. Gesundheitsdaten, Daten zur sexuellen oder religiösen  Ausrichtung, etc.) müssen einer Folgenabschätzung unterzogen werden. Für detaillierte Informationen zu diesem Thema, siehe unter “Nützliche Links” weiter unten.

Folgen bei Verstössen

Auf der einen Seite sind bei Verstössen Bussgelder bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahrs möglich, auf der anderen Seite kostenpflichtige Abmahnungen (es gibt darauf spezialisierte Anwählte, die ganz gut davon leben). Es empfiehlt sich also, das Thema DSGVO nicht zu ignorieren und sich möglichst gut darauf vorzubereiten!

Unser Fazit

Wir haben uns bereits intensiv mit der Thematik befasst (und tun dies weiter) um ab 25. Mai 2018 DSGVO konform zu sein. Bei zahlreichen Bestimmungen ist jedoch unklar, wie genau diese Umzusetzen sind oder ob ein Unternehmen davon betroffen ist. Hierfür werden (wie auch in anderen Rechtsbereichen) Urteile nötig sein, die Klarheit bringen. Eine 100% und absolute Konformität am 25. Mai 2018 wird also wahrscheinlich für kein Unternehmen möglich sein.

Nützliche Links zum Thema

Kostenlos eine DSGVO konforme Datenschutzerklärung auf DE und EN generieren:
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Google Analytics Datenschutz konform verwenden:
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Brauchen wir eine Datenschutz-Folgeabschätung (resp., was hat es damit auf sich):
https://it-service.network/blog/2018/01/03/datenschutz-folgenabschaetzung-risikobewertung/

Benötigen wir einen Datenschutz-Beauftragten?
https://www.e-recht24.de/artikel/datenschutz/10744-datenschutzbeauftragter-dsgvo.html

Benötigen wir einen Datenschutz-Vertreter (und wie bekommen wir einen) ?
https://www.datenschutzpartner.ch/

Konkrete Massnahmen und Vorgehensweisen für Firmen im Onlinebereich findest du sehr brauchbar und toll aufbereitet hier:
Erster Schritt: https://www.lichtweb.ch/google-tag-manager-dsgvo/
… und dann einfach den weiteren Schritten folgen!