Die Datenschutz-Grundverordnung kommt – mit den Schutzpaketen der IT-Recht Kanzlei sind Sie bestens vorbereitet!

Ab dem 25.05.2018 gilt die neue Datenschutz-Grundverordnung und bringt eine Reihe von wichtigen Änderungen mit sich. Die Mandanten der IT-Recht Kanzlei werden bestens auf die Änderungen vorbereitet sein. Wir stellen unseren Mandanten nicht nur eine neue Datenschutzerklärung zur Verfügung, sondern werden sie auch mit vielen hilfreichen Muster wie auch Checklisten versorgen. Sie werden damit die wichtigsten Anforderungen nach der Datenschutz-Grundverordnung einfach und bequem umsetzen können!

I. DSGVO – Hintergrundinformationen

Ab dem 25.05.2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten unmittelbare Geltung beanspruchen. In diesem Zuge wird das bisher geltende Datenschutzrecht weitgehend reformiert.

Durch die Änderungen der DSGVO wird es notwendig werden, dass alle (!) Online-Händler und Website-Betreiber bestimmte Maßnahmen ergreifen müssen, um weiterhin rechtssicher zu handeln. Übrigens: Es wird keine Übergangsfrist geben, die Änderung werden unmittelbar ab dem 25.05.2018 gelten!

II. Was droht bei Verstößen gegen die Datenschutz-Grundverordnung?

Eine wesentliche Änderung durch die DSGVO stellen die möglichen Bußgelder bei Verstößen dar. Lag die bisherige Obergrenze für Strafzahlungen bei 300.000,- Euro, wird diese durch die DSGVO massiv angehoben. Strafen bis 20 Mio. Euro sind nun möglich – oder 4% des weltweiten Jahresumsatzes Ihres Unternehmens.

Ferner muss bei Verstößen gegen die DSGVO mit wettbewerbsrechtlichen Abmahnungen, Abmahnkosten und Unterlassungserklärungen gerechnet werden.

III. Welche Änderungen kommen auf Website-Betreiber/ Online-Händler zu?

Mit Geltung der neuen Datenschutz-Grundverordnung werden Website-Betreiber und Online-Händler mit neuen Vorgaben konfrontiert werden.

Wir geben Ihnen nachstehend einen kurzen Überblick über die anstehenden Änderungen und präsentieren Ihnen zudem die Lösungen der IT-Recht Kanzlei:

1. Dokumentations- und Nachweispflichten

Der datenschutzrechtliche Verantwortliche einer Internetseite muss neue Dokumentations- und Nachweispflichten einhalten, dies sind:

1.1. Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten soll nachweisen, dass der Online-Händler bzw. Website-Betreiber sich entsprechend den Vorgaben der Datenschutz-Grundverordnung verhält. Das Verzeichnis der Verarbeitungstätigkeiten ist den Aufsichtsbehörden auf Antrag vorzulegen. Auch kleine Onlinehändler müssen ein solches Verzeichnis führen.

1.2. Datenschutzfolgenabschätzung

Die Durchführung einer Datenschutzfolgenabschätzung soll bei Verarbeitungen, die wahrscheinlich ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine verbesserte Verträglichkeit mit Blick auf die Maßgaben der Datenschutz-Grundverordnung bewirken.

Ein solches „hohes Risiko“ (was zu einer Datenschutzfolgenabschätzung verpflichtet) soll beispielsweise vorliegen

• beim sog. Profiling (= automatisierte Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen)
• bei der Verarbeitung besonders sensibler Daten (= Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person)
• im Falle einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (für Online-Händler bzw. Website-Betreiber nicht relevant). Maßgebliches Ziel der Datenschutz-Folgenabschätzung ist die systematische Vorabbewertung von Risiken für die Rechte und Freiheiten der Betroffenen, die einzelne Verarbeitungsvorgänge mit sich bringen.

1.3. Dokumentation von Datenpannen

Eine weitere neue Dokumentationspflicht betrifft sog. Datenpannen. Online-Händler und Website-Betreiber werden verpflichtet, sowohl eine eintretende Datenpanne, als auch die Auswirkungen und die nach der Panne ergriffenen Maßnahmen zu dokumentieren.

Der Zweck dieser Dokumentation ist es, der zuständigen Aufsichtsbehörde eine Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben zu ermöglichen.

2. Maßnahmen zur Gewährleistung der Datensicherheit und datenschutzfreundlicher Voreinstellungen

Die Datenschutzgrundverordnung (Art. 25, Art. 32) bleibt zu diesem Punkt äußerst vage, was denn nun Maßnahmen der Datensicherheit und der datenschutzfreundlichen Voreinstellungen genau bedeuten soll.

Das neue deutsche Bundesdatenschutzgesetz (= Ausführungsgesetz zur DSGVO mit Geltung ebenfalls ab dem 25.5.2018) gibt hier wesentlich detailliertere Kriterien vor.

3. Verträge mit Dienstleistern

Wenn Sie mit Dienstleistern zusammenarbeiten, sollten Sie für den Fall des Vorliegens sog. Auftragsdatenverarbeitungsverträge (zukünftig Auftragsverarbeitungsverträge) auf die Dienstleister zugehen und den Abschluss neuer Verträge anstoßen. Ihre Dienstleister sollten Sie mit den notwendigen, auf die DSGVO abgestimmten, Auftragsverarbeitungsverträgen versorgen können.

4. Newsletter-Marketing

Die DSGVO hat nur begrenzte Auswirkungen auf die rechtliche Zulässigkeit von Newsletter-Marketing. Shop-Betreiber, die bislang auf das Double-Opt-In-Verfahren gesetzt und die Einwilligung ausreichend protokolliert haben, werden damit auch ab dem 25. Mai 2018 rechtssicher fahren. Allerdings muss die Datenschutzerklärung entsprechend angepasst werden. Hier ist insbesondere darauf zu achten, dass die Rechtsgrundlage der Datenverarbeitung angegeben wird.

5. Verwendung einer neuen Datenschutzerklärung ab dem 25.05.2018!

Was Online-Händler und Website-Betreiber auf jeden Fall unternehmen müssen ist die Verwendung einer neuen Datenschutzerklärung! Es ist egal, wo Sie verkaufen, es spielt auch keine Rolle, wenn Sie lediglich einen einfachen Blog, eine Online-Community oder eine (Firmen-) Präsentationsseite betreiben, auf allen Online-Seiten besteht die Notwendigkeit der Einbindung einer neuen Datenschutzerklärung, um den neuen rechtlichen Vorgaben der Datenschutz-Grundverordnung ausreichend nachzukommen.

IV. Was muss ich unternehmen, um rechtssicher zu handeln?

Hinsichtlich der Punkte

• Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten
• evtl. Datenschutzfolgenabschätzung und
• Dokumentation von Datenpannen

werden wir unseren Mandanten hilfreiche Muster an die Hand geben.

Der wichtigste Punkt wird allerdings die Verwendung einer rechtssicheren Datenschutzerklärung ab dem 25.05.2018 sein! Hier ist davon auszugehen, dass vor allem potentielle Abmahner kontrollieren werden, ob eine rechtskonforme Datenschutzerklärung nach den Vorgaben der Datenschutz-Grundverordnung verwendet wird.

V. Was wird die Datenschutzerklärung der IT-Recht Kanzlei für Neuerungen enthalten?

Die Datenschutzerklärung der IT-Recht Kanzlei wird alle neuen Vorgaben der Datenschutz-Grundverordnung enthalten! Sie müssen lediglich die Konfiguration einmalig vornehmen und können die fertige Datenschutzerklärung im Anschluss in unterschiedlichen Dateiformaten (als PDF, HTML oder Textdatei) abrufen.

Die IT-Recht wird ihren Mandanten in den nächsten Wochen eine Datenschutzerklärung auf der Grundlage der Datenschutz-Grundverordnung zur Verfügung stellen.

Diese künftige Datenschutzerklärung ist für den Online-Händler bzw. Website-Betreiber von erheblicher Bedeutung und regelt unter anderem Folgendes:

• Definition des Datenverantwortlichen - dieser muss mitgeteilt werden, damit der Seitenbesucher weiß, wer die datenschutzrechtliche Verantwortung trägt;
• Mitteilung des Datenschutzbeauftragten - sofern ein solcher bestellt werden muss (hierzu gibt unsere Handlungsanleitung im Rahmen der Konfiguration umfassend Aufschluss);
• Mitteilung der jeweiligen Rechtsgrundlage, auf welche die jeweilige Datenverarbeitung gestützt wird – insbesondere wird der neue Rechtfertigungsgrund der berechtigten Interessen in die Datenschutzerklärung aufgenommen werden;
• Information über den genauen Zweck der Datenverarbeitung, auch dies ist eine explizite Forderung der Datenschutz-Grundverordnung;
• Belehrung über die Betroffenenrechte, dies sind das Auskunftsrecht, das Recht auf Berichtigung, das Widerrufsrecht für erteilte Einwilligungen, das Widerspruchsrecht gegen die Verarbeitung in besonderen Fällen, das Löschungsrecht, das Recht auf Einschränkung der Verarbeitung, das Recht auf Unterrichtung, das Recht auf Datenübertragbarkeit und das Recht auf Beschwerde bei einer Aufsichtsbehörde;
• im Falle der Datenverarbeitung im Ausland wird aufgeklärt, an wen die personenbezogenen Daten übermittelt werden und auf welcher Rechtsgrundlage dies geschieht;
• im Falle eines sog. Profilings oder einer Art von automatisierter Einzelfallentscheidung wird hierauf gesondert hingewiesen, zudem wird über die involvierte Logik und die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert;
• Belehrung über die Speicherdauer der personenbezogenen Daten bzw. Mitteilung der Kriterien, nach denen sich die Speicherdauer bestimmt;

VI. Was kann die Datenschutzerklärung der IT-Recht Kanzlei alles abbilden?

Die Datenschutzerklärung der IT-Recht Kanzlei gemäß der DSGVO enthält eine Vielzahl von Handlungsoptionen und Drittdienstleister zur Konfiguration. Unter anderem wird die Datenschutzerklärung eine Vielzahl an Datenschutzklauseln aus den folgenden Bereichen beinhalten:

• Direktwerbemaßnahmen (z.B. Newsletter, Briefwerbung, etc.)
• Cookie-Informationen
• Soziale Medien (z.B. Youtube, Social Plugins, etc.)
• Online-Marketing-Tools (z.B. Google AdSense, Conversion Tracking, etc.)
• Webanalysedienste (z.B. Google Analytics, etracker, Matomo, etc.)
• Retargeting-, Remarketing- und Empfehlungswerbung-Dienstleister (z.B. Google-Remarketing, Facebook-Pixel, Criteo, etc.)
• Live-Support-Anfragesysteme (z.B. LiveZilla, Zopim, Livechat, etc.)
• Verwendung von Singel-Sign-On-Verfahren (Facebook Connect)
• Google-Maps
• Affiliate-Partnerprogramme (z.B. Amazon, eBay, etc.)
• und vieles mehr

VII. Kann die Datenschutzerklärung auch per Datenschnittstelle in meine Internetseite/ Online-Shop übertragen werden?

Integrieren Sie die Datenschutzerklärung über unsere Schnittstelle 3.0 einfach per Mausklick in Ihren Online-Shop oder Website. Unsere Automatik sorgt dann bei jeder rechtlichen Änderung für ein zeitnahes Update der Texte, ohne dass Sie tätig werden müssen. Zudem kontrollieren wir Ihre Rechtstexte mehrfach täglich auf Fehlerfreiheit. Egal ob Übertragungsprobleme, beschädigte Seiten oder Serverausfall – falls wir bei den Rechtstexten einen Fehler registrieren, informieren wir Sie umgehend.

Bereits über 40 Shopsysteme werden durch die AGB-Schnittstelle der IT-Recht Kanzlei unterstützt.

VIII. Für welche Art von Internetseiten kann die Datenschutzerklärung verwendet werden?

Die neue Datenschutzerklärung gemäß der DSGVO wird einsetzbar sein für

• Online-Shops (auch eBay, Amazon, DaWanda, Etsy, Hood, eBay-Kleinanzeigen, Facebook, etc.),
• Blogs,
• Online-Communities,
• Homepages und
• (Firmen-)Präsentations-Websites

IX. Gibt es auch Handlungsanleitungen für den Umgang spezieller Online-Tools?

Wir werden neben der Datenschutzerklärung auch noch eine Handlungsanleitung zur Verfügung stellen, damit der leichte und unmittelbare Einsatz der Datenschutzerklärung gewährleistet werden kann.

Die Handlungsanleitung beschäftigt sich unter anderem mit diesen Themen:

• der richtige Umgang mit Newslettern und die sichere Einholung von Einwilligungen
• der rechtskonforme Einsatz von Google-Analytics
• wie bindet man Videos richtig ein
• Verwendung von Bannern und Pop-Ups zur Information über Cookies
• wann und wie können Telefonnummern an Paketdienstleister zu Ankündigungszecken weitergeleitet werden
• unter welchen Voraussetzungen können Kundenfeedback-Anfragen versendet werden
• und vieles mehr!

X. IT-Recht Kanzlei steht für Qualität

Die IT-Recht Kanzlei ist seit 2004 in den Bereichen des E-Commerce sowie des Wettbewerbsrechts tätig und Marktführer unter den Kanzleien im Bereich dauerhafter Händlerbetreuung.

Die Fachanwälte der IT-Recht Kanzlei stellen durch eine dauerhafte Qualitätssicherung die Aktualität und Rechtssicherheit der hier angebotenen Rechtstexte sicher.

Über 50.000 Präsenzen haben wir mit unseren Rechtstexten bereits abgesichert - dies bürgt für die Qualität der Rechtstexte der IT-Recht Kanzlei.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.