In der letzten Zeit geht es bei uns überwiegend darum, welche Neuerungen im Datenschutz auf uns zukommen. Mit in Kraft treten der DSGVO müssen einige Dinge beachtet werden.

 

Heute soll es um die Einwilligung der Nutzer gehen.
Diese spielt für viele Unternehmen eine wichtigere Rolle, als meist angenommen wird.

Möchten Sie beispielsweise regelmäßige Infomails oder Newsletter versenden, so bedarf es hier der Einwilligung des Nutzers. Die Einwilligung unterliegt hier aber keinen besonderen Erfordernissen bzgl. der Form. Egal ob die Einwilligung schriftlich oder elektronisch abgegeben worden ist. Selbst eine mündliche Einwilligung ist laut Datenschutzgrundverordnung erlaubt.

 

 

Wichtig ist nur, dass eine einwandfreie Dokumentation erfolgt. Das ist natürlich bei schriftlichen oder elektronischen Einwilligungen einfacher, als bei einer mündlichen.

Wir raten deshalb dazu, die Einwilligung des Nutzers lieber in Schriftform (elektronisch oder handschriftlich) im System zu vermerken und abzuspeichern.

Reicht denn ein Opt-In-Kästchen aus?

Hier gibt es nur eine klare Antwort – Nein! Grundsätzlich reicht das Opt-In bzw. Opt-Out-Kästchen nicht aus. Erst recht nicht, wenn es vorangekreuzt ist.

Lösung wäre hier, sowohl das Opt-In-Kästchen anzubieten, als auch eine nachfolgende Mail, welche der Nutzer noch einmal bestätigen muss, um Newsletter von Ihnen erhalten zu können (Double-opt-in).

Hier wären wir auch schon beim nächsten wichtigen Punkt.

 

 

Einwilligungen müssen durch den Nutzer immer freiwillig abgegeben werden.

Das heißt, es dürfen keine Abhängigkeiten beispielsweise zwischen Vertragserfüllung und der Einwilligung des Nutzers bestehen. Das geht nur solange die Einwilligung für die Vertragserfüllung erforderlich ist.

Einwilligungen müssen so gestaltet werden, dass sie zum einen nur für einen bestimmten Zweck gelten und der jeweilige Zweck in der Einwilligung aufgeführt ist.

Will man beispielsweise einen Newsletter versenden, so muss die Einwilligung diesen Zweck enthalten und gilt auch nur für die Versendung dieses Newsletters.

Einwilligungen von den Nutzern einholen, welche für alles gelten, ist nach wie vor verboten.

Außerdem müssen Sie einwandfrei nachweisen können, dass Ihnen eine Einwilligung erteilt worden ist. Hier müssen Sie also an eine umfassende Dokumentation denken.

Der Nutzer kann im Übrigen die Einwilligung jederzeit widerrufen.
Hier muss es zukünftig genauso einfach gemacht werden die Einwilligung zu widerrufen, wie sie zu erteilen.

Wer jetzt sorge davor hat, alle Einwilligungen der Kunden erneut einholen zu müssen, den können wir beruhigen.
Alle bisher von Kunden erteilten Einwilligungen haben auch unter der DSGVO weiter bestand.

Voraussetzung ist, dass alle Anforderungen unserer bisherigen Datenschutzrichtlinien (wie TMG und BDSG) eingehalten worden sind.
Ist die Einwilligung bereits bei der Erteilung unwirksam, ist sie auch mit der DSGVO weiter unwirksam.

Wichtig ist auch hier der Nachweis der Einwilligung. Die Dokumentation ist also unerlässlich und der Nachweis der Einwilligung des Newsletterempfängers mit Hilfe von double-opt-in dient für Sie als Beweiszweck, sollte es zu Abmahnungen kommen.

 

 

Beachten Sie bitte auch, dass die DSGVO ein einheitliches Mindestalter für die Erteilung einer Einwilligung festgehalten hat.

In Artikel 8 wird festgehalten, dass Minderjährige (unter 16 Jahren) nur mit Zustimmung der Eltern eine wirksame Einwilligung abgeben können.

Grundsätzlich ist immer ein schutzwürdiges Interesse anzunehmen, wenn die betroffene Person von ihrem Widerspruchsrecht aus Art 21 DSGVO Gebrauch gemacht hat. Hierdurch hat sie eindeutig zu erkennen gegeben, dass eine (weitere) Nutzung ihrer personenbezogenen Daten für Zwecke der (Direkt)Werbung nicht mehr erfolgen soll.

Ab Mai 2018 wird durch die DSGVO zwar einiges geändert, glücklicherweise galt aber bereits vorher ein sehr hohes Niveau in Sachen Datenschutz hier bei uns in Deutschland.


Nimmt also der Datenschutz bei Ihnen bisher einen (hohen) Stellenwert ein, so verschaffen Sie sich hier einen kleinen Vorteil.
Grundsätzlich kann man davon ausgehen, dass die Änderungen hierzulande nicht so viele sein werden, wie in anderen EU-Staaten.

Sind Ihnen die Grundsätze im Datenschutz bekannt, so haben Sie es hier etwas leichter. –  An vielen dieser Grundsätze ändert sich nichts.

 

 

So bleibt beispielsweise der Grundsatz des Verbots mit Erlaubnisvorbehalt weiterhin bestehen.
Soll heißen, dass die Erhebung, Nutzung und Verarbeitung persönlicher Daten verboten ist, außer Sie holen sich die Erlaubnis ein.
Die Erlaubnis kann durch die Einwilligung der betroffenen Person oder aber durch gesetzliche Regelungen (BDSG, DSGVO) entstehen.

Sie dürfen aber nur solche Daten und so viele Daten verarbeiten und erheben, wie auch wirklich benötigt werden („Datensparsamkeit“).

Die erhobenen Daten dürfen nur zu dem Zweck verarbeitet werden, für welche Sie auch tatsächlich erhoben sind und die Daten müssen sowohl vom Inhalt her als auch von der Sachlichkeit immer aktuell und richtig gehalten werden.

Hier gibt es aber auch neue Grundsätze wie z.B. in Artikel 32 DSGVO festgehalten.

In Artikel 32 DSGVO wird festgelegt, dass diejenigen, welche die Daten verarbeiten, ein Schutzniveau gewährleisten müssen, welches sich an der Schutzbedürftigkeit der jeweiligen persönlichen Daten orientiert.

Artikel 32 DSGVO
„Sicherheit der Verarbeitung“

Im letzten Jahr haben wir uns mit dem „Recht auf Vergessenwerden“ beschäftigt – dieses Thema ist also nicht neu.

Hierzu wurde entschieden, dass unter bestimmten Voraussetzungen von Bürgern der EU verlangt werden kann, dass Suchmaschinen bestimmte Suchergebnisse nicht mehr zeigen.
Kurz heißt das, dass das Recht auf Vergessenwerden den Anspruch auf die Löschung oder Sperre persönlicher Daten, wenn keine Berechtigung für die Verwendung vorliegt, beschreibt.
Wichtig zu wissen ist, dass man dieses Recht nicht nur gegen Suchmaschinen nutzen kann. Jedes Unternehmen, welches die persönlichen Daten erhebt und verarbeitet ist hier mit eingeschlossen.

Artikel 17 DSGVO
„Recht auf Löschung“

Sieht man sich die DSGVO genauer an, so fällt auf, dass vieles aus unseren bisherigen Gesetzen zum Datenschutz sich nicht groß geändert hat.
Neu hinzugekommen ist aber das Recht auf Datenübertragbarkeit.

Durch diesen Artikel entsteht die Möglichkeit, persönliche Daten zu einem anderen Unternehmen (Anbieter) zu übernehmen. Sie können als Nutzer also von den für Ihre Daten verantwortlichen Personen verlangen, Ihre persönlichen Daten an den neuen Verantwortlichen weiterzugeben.
Das macht einige Dinge, wie den Wechsel der Bank, Telefonanbieter, Arbeitgeberwechsel etc. für Sie als Nutzer etwas einfacher.
Wichtig ist hier aber zu wissen, dass es bei der Umsetzung einige Hürden zumeistern gibt. Hierzu sollte man sich individuellen Rat einholen.

Ebenfalls neu ist die Pflicht der Rechenschaft.

Art. 5 DSGVO
Grundsätze für die Verarbeitung personenbezogener Daten

Absatz II: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Ein wichtiger Punkt, denn hier bedarf es einer einwandfreien Dokumentation über die Einhaltung der Richtlinien zum Datenschutz.
Sie sollten wissen, dass man hier zukünftig wesentlich höhere Bußgelder als bisher verhängen kann.

 

 

Außerdem müssen Sie sich – gerade wenn es beispielsweise um die Zusendung von Newsletter geht – vorher die Einwilligung Ihres Kunden
einholen. Oft schiebt man dieses Thema bei Seite – Aber es ist wichtiger denn je.

Über die Form und weitere Anforderungen zur Einwilligung informieren wir noch einmal gesondert.
Soviel sei aber gesagt – ein reines Opt-In- Kästchen reicht nicht aus.

Die DSGVO soll die Richtlinien zum Datenschutz aller EU-Mitgliedsstaaten vereinheitlichen.

DSGVO

Geregelt wird die Verarbeitung persönlicher (personenbezogener) Daten durch öffentliche Stellen sowie private Unternehmen.

Es soll sichergestellt werden, dass diese Daten sowohl innerhalb der EU, als auch innerhalb des EU-Binnenmarktes einem gewissen Schutz unterliegen

Zu den personenbezogenen Daten zählen laut DSGVO u.a. Daten wie z. B.  E-Mail-Adressen, Angaben zur Person wie Name, Wohnort, IP-Adressen, Kontodaten, Standortdaten, KFZ-Kennzeichen, Geburtstag, Cookies.

Hier findet keine Unterscheidung zwischen privaten, öffentlichen oder arbeitsbezogenen persönlichen Daten einer Person statt. Im Vordergrund steht der Schutz der Person selbst.

Sicherheit

Ziel ist also, das Datenschutzrecht zu vereinheitlichen, so dass auch Unternehmer künftig Vertrauen in ein einheitliches Datenschutzrecht haben können. (Es müssen also nicht mehr Kenntnisse über alle Datenschutzgesetze der jeweiligen EU-Länder vorhanden sein)

Wichtig zu wissen ist auch, dass die neue Datenschutzverordnung auch außerhalb der EU gilt, allerdings nur wenn Unternehmen eine Niederlassung in der EU haben, oder personenbezogene Daten von EU-Bürgern verarbeiten.

Die DSGVO betrifft alle Unternehmen, welche aktiv im Internet unterwegs sind. Es wird sich zukünftig einiges durch die neue Verordnung ändern.

 

Datenschutz

 

Wir werden uns weiterhin mit diesem Thema beschäftigen und einige Änderungen etwas näher erläutern.

 

Auch, wenn das neue Jahr noch jung ist, ist es dennoch höchste Zeit gesetzliche Neuerungen für sich einzuordnen und innerhalb des Unternehmens umzusetzen.

Gerade zum Thema „Datenschutz“ kommt eine Menge auf uns zu.

Datenschutz

Ab Mai 2018 tritt die DSGVO in Kraft. Bis zu diesem Zeitpunkt gilt das Bundesdatenschutzgesetz. Das DSGVO löst dieses dann ab dem 25.05.2018 ab.

Die DSGVO (Datenschutz Grundverordnung) soll die Gesetze aller EU-Mitgliedsstaaten, welche dem Schutz der Privatsphäre und Datensicherheit dienen, zusammenschließen.
So sollen alle Datenschutzgesetze der verschiedenen EU-Staaten vereinheitlicht und miteinander harmonisiert werden.

Insgesamt wird das Gesetz 99 Artikel umfassen.

Das Bundesdatenschutzgesetz wird also in seiner jetzigen Form ab dem 25. Mai 2018 nicht mehr gültig sein.

ABER es findet keine vollständige Ablösung des Bundesdatenschutzgesetzes durch das DSVGO statt, so wie es die vorherrschende Meinung ist.

Das Bundesdatenschutzgesetz, so wie wir es derzeit kennen, erhält eine Überarbeitung.

Somit wird man ab Mai 2018 also 2 Gesetze zum Datenschutz beachten müssen.

Datenschutzgrundverordnung

Die Privatsphäre ist ein hohes Gut, welches Schutzbedürftig ist – so ist es wichtig und richtig gesetzliche Regelungen zu schaffen. Dennoch kann man davon ausgehen, dass es ab Mai schwieriger wird, den Datenschutz richtig auszuführen.

Aus diesem Grunde werden wir in den kommenden Wochen eine Reihe zu Neuerungen im Datenschutz für Sie veröffentlichen, damit Sie vollständig informiert werden und somit gut vorbereitet sind.