Das Thema EU-DSGVO ist bei fast allen Unternehmen sehr aktuell und viele Online-Plattformen haben bereits ihre Kunden über dieses Thema informiert. Alle Unternehmen, die Dienstleistungen (auch kostenlos) anbieten und sich an natürliche Personen eines EU-Landes richten bzw. deren Daten verarbeiten, was bei Online-Geschäften praktisch immer der Fall ist, sind von der neuen EU Datenschutz-Grundverordnung betroffen und müssen diese ab dem 25. Mai 2018 einhalten.

Im folgenden Artikel haben wir deshalb die wichtigsten Fakten zusammengetragen und versuchen zu erläutern, wie sie zu verstehen und praktisch umzusetzen sind.

Wir weisen ausdrücklich darauf hin, dass wir keine Juristen sind und deshalb keine Garantien für unsere Aussagen und Angaben geben können.

Um was geht es bei der DSGVO (English: General Data Protection Regulation, kurz GDPR)?

Bei der DSGVO geht es einfach gesagt darum, Daten von natürlichen Personen in der EU zu schützen. Dieses Gesetz tritt am 25. Mai 2018 in Kraft und betrifft, wie bereits erwähnt, auch Schweizer Unternehmen, sobald sie Daten von natürlichen Personen in der EU verarbeiten. Juristisch ist unter “Verarbeiten” vereinfacht gesagt: “in Berührung kommen” oder “sie zu kennen”, also z.B. das Verhalten von Nutzern zu analysieren. In der Praxis bedeutet das: Selbst wenn nur eine kleine Marketing-Webseite aus einem Land in der EU zugänglich ist, werden durch Logs personenbezogene Daten, wie z.B. die IP-Adresse, verarbeitet.

Was muss unternommen werden?

• Einwilligung zur Verarbeitung
  Zur Bearbeitung von Daten muss eine Einwilligung eingeholt werden. Zum Beispiel durch das Akzeptieren der Datenschutzerklärung. Ebenso muss ausführlich informiert werden, was mit den Daten, die erhoben werden, passiert und wie und wo diese verarbeitet werden. Zudem muss die Einwilligung jederzeit widerrufen werden können.
• Technische und organisatorische Maßnahmen
  Es müssen technische und organisatorische Maßnahmen ergriffen werden, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen: z.B. Computer und Server möglichst sicher halten (Sicherheits-Updates), Webverbindungen verschlüsseln (HTTPS), etc. Ebenso muss mit technischen Voreinstellungen gewährleistet werden, dass standardmäßig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind.
• Ernennung eines Datenschutz-Vertreters in der EU
  Wenn das Unternehmen nicht in der EU niedergelassenen ist, muss ein Datenschutz-Vertreter in einem EU-Land benennt werden. Es gibt dafür diverse Online-Angebote, die genutzt werden können.Diese Pflicht entfällt, wenn die Datenverarbeitung:
  1. nur gelegentlich erfolgt.
  2. keine besonderen Datenkategorien betreffen (wie z.B. Gesundheitsdaten).
  3. nahezu kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

• Führen eines Datenverarbeitungsverzeichnisses
  Hier muss aufgeführt werden, wie und welche Daten verarbeitet werden. Dazu muss auch dokumentiert werden, welche externen Dienstleister (z.B. AlltoBill oder andere Clouddienste) dazu verwendet werden. In der Regel muss mit all diesen einen Auftragsverarbeitungsvertrag (AV) abgeschlossen werden.
• Melden von Verstößen
  Bei einem Verstoß gegen das DSGVO müssen schnellstmöglich die betroffenen Personen und die zuständigen Aufsichtsbehörden benachrichtigt werden. Ein Anfang dazu ist z.B. abzuklären, wer konkret benachrichtigt werden muss und wie das möglichst schnell geschehen soll.
• Durchführung einer Datenschutz-Folgenabschätzung
  Werden Daten verarbeitet, die ein hohes Risiko mit sich bringen oder bei denen Rechte und Freiheiten verletzt werden könnten (also z.B. Gesundheitsdaten, Daten zur sexuellen oder religiösen Ausrichtung, etc.), muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Folgen bei Verstößen

Bei einem Verstoß gegen die DSGVO sind Bußgelder in Höhe von 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres möglich. Es empfiehlt sich also, das Thema DSGVO nicht zu ignorieren und sich möglichst gut darauf vorzubereiten.

Schlussfolgerung

Wir haben uns bereits intensiv mit dem Thema DSGVO befasst und tun dies weiter, um ab dem 25. Mai 2018 DSGVO konform zu sein. Bei den zahlreichen Bestimmungen der DSGVO ist jedoch unklar, wie genau diese umzusetzen sind. Eine 100 prozentige und absolute Konformität ab dem 25. Mai 2018 wird also wahrscheinlich für kein Unternehmen möglich sein.