Erfahren Sie mehr über GDPR und Website-Compliance


Was ist GDPR?

Wofür steht GDPR?


Die GDPR (General Data Protection Regulation) ist die bedeutendste Änderung des Datenschutzes seit Jahrzehnten. Die Verordnung verpflichtet die Unternehmen, die personenbezogenen Daten und die Privatsphäre der EU-Bürger zu schützen. Es führt strengere Strafen für Zuwiderhandlungen und Verstöße ein und gibt den Bürgern mehr Mitspracherecht darüber, was Unternehmen mit ihren Daten machen können. Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die GDPR halten.

Warum GDPR?


Das übergeordnete Ziel von GDPR ist es, den Bürgern die Kontrolle über ihre personenbezogenen Daten zurückzugeben und das regulatorische Umfeld für internationale Geschäfte durch die Vereinheitlichung der Datenschutzbestimmungen zu vereinfachen. GDPR ist eine Verordnung und ersetzt eine Richtlinie (die Datenschutzrichtlinie). Mit einer Verordnung trägt GDPR dazu bei, die Datenschutzbestimmungen in der EU zu vereinheitlichen, um die Verwaltung und Inkonsistenzen zwischen den lokalen Gesetzen zu verringern. Bei Richtlinien hat im Gegensatz zu Verordnungen jeder Mitgliedstaat bei der Umsetzung der Datenschutzverordnung Ermessensspielraum und kann daher von Land zu Land unterschiedlich sein.

 

An wen richtet sich GDPR?


Die Verordnung stammt zwar aus der EU, gilt aber auch für Unternehmen außerhalb der EU, die Waren und Dienstleistungen (kostenpflichtig oder kostenlos) anbieten oder das Verhalten von Personen in der EU überwachen.

Nach der früheren Datenschutzrichtlinie unterlag ein Unternehmen nur dann dem Datenschutzgesetz, wenn es sich in einem EU-Land befand oder Geräte in einem EU-Land zur Datenverarbeitung genutzt hat. Die neue Verordnung gilt jedoch auch für jedes Unternehmen, das Waren oder Dienstleistungen für Einzelpersonen in der EU anbietet oder das Verhalten dieser Personen überwacht. Dies ist eine breite Erweiterung der Anforderungen, die viele weitere Unternehmen auf der ganzen Welt betreffen wird.

Welche Strafen gibt es?


Die GDPR-Strafen können je nach Sachverhalt und Umständen maximal 20 Millionen Euro oder 4 Prozent des Jahresumsatzes (je nachdem, was am größten ist) des Unternehmens erreichen.

Darüber hinaus ist es erstmals auch möglich, Sammelklagen zu erheben, was dazu führt, dass sowohl die Regulierungsdurchsetzung als auch private Rechtsstreitigkeiten für dieselbe Überschreitung ausgesetzt sind.

Was sind personenbezogene Daten?


Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Informationen, die zusammengenommen zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.

Personenbezogene Daten, die nicht identifiziert, verschlüsselt oder pseudonymisiert wurden, aber zur Wiedererkennung einer Person verwendet werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich des Gesetzes.

Personenbezogene Daten, die so anonymisiert wurden, dass die Person nicht oder nicht mehr identifizierbar ist, gelten nicht mehr als personenbezogene Daten. Damit Daten wirklich anonymisiert werden können, muss die Anonymisierung unumkehrbar sein.

 

Beispiele für personenbezogene Daten sind Vorname, Nachname, eine E-Mail-Adresse wie [email protected], eine Privatadresse, Ausweisnummer, Cookie-ID, Internet Protocol (IP).

Beispiele für Daten, die keine personenbezogenen Daten sind, sind eine Firmenbuchnummer, eine E-Mail-Adresse wie [email protected] und anonymisierte Daten.

Datenübermittlung außerhalb der EU


Personenbezogene Daten können aus dem Europäischen Wirtschaftsraum (EWR), der alle EU-Länder und Nicht-EU-Länder Island, Liechtenstein und Norwegen umfasst, ohne weiteren Schutz an Drittländer weitergegeben werden, wenn die Europäische Kommission anerkannt hat, dass das Land über einen angemessenen Schutz verfügt. Als Länder mit angemessenem Schutz gelten Andorra, Argentinien, Kanada (Handelsorganisationen), die Färöer Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay und die USA (beschränkt auf Privacy Shield framework), die einen angemessenen Schutz bieten. Mit Japan und Südkorea laufen derzeit Gespräche.

Wer setzt GDPR um?


Die Durchsetzung der GDPR erfolgt durch die Datenschutzbehörden (DPA’s), die fachkundige Beratung in Datenschutzfragen anbieten und Beschwerden über Verstöße gegen die GDPR bearbeiten. In jedem EU-Mitgliedstaat gibt es einen.

Die wichtigste Anlaufstelle für Fragen des Datenschutzes ist das DPA in dem EU-Mitgliedstaat, in dem Ihr Unternehmen/Organisation ansässig ist. Wenn Ihr Unternehmen/Organisation jedoch Daten in verschiedenen EU-Mitgliedstaaten verarbeitet oder Teil einer Gruppe von Unternehmen mit Sitz in verschiedenen EU-Mitgliedstaaten ist, kann diese Hauptanlaufstelle eine DPA in einem anderen EU-Mitgliedstaat sein.

Brauchen wir einen Datenschutzbeauftragten?


Ihr Unternehmen/Organisation muss einen DSB ernennen, sei es ein Controller oder ein Verarbeiter, wenn seine Haupttätigkeiten die Verarbeitung sensibler Daten in großem Umfang oder eine umfassende, regelmäßige und systematische Überwachung von Personen umfassen. In diesem Zusammenhang umfasst die Überwachung des Verhaltens der betroffenen Personen alle Formen der Verfolgung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung.

Der DSB kann ein Mitarbeiter Ihrer Organisation sein oder auf der Grundlage eines Servicekontaktes extern beauftragt werden. Ein DSB kann eine Einzelperson oder eine Organisation sein.

Es ist erwähnenswert, dass die GDPR auf einem risikobasierten Ansatz basiert und Organisationen ermutigt werden, Schutzmaßnahmen zu ergreifen, die dem Risikoniveau ihrer Datenverarbeitungsaktivitäten entsprechen.

Gilt GDPR für kleine und mittlere Unternehmen?


Ja, die Anwendung der Datenschutzverordnung hängt nicht von der Größe Ihres Unternehmens ab, sondern von der Art Ihrer Aktivitäten. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten des Einzelnen darstellen, unabhängig davon, ob sie von einem KMU oder einem Großunternehmen ausgeübt werden, lösen die Anwendung strengerer Vorschriften aus. Einige der Verpflichtungen aus der GDPR gelten jedoch möglicherweise nicht für alle KMU.

So müssen Unternehmen mit weniger als 250 Mitarbeitern keine Aufzeichnungen über ihre Verarbeitungstätigkeiten führen, es sei denn, die Verarbeitung personenbezogener Daten ist eine regelmäßige Tätigkeit, stellt eine Bedrohung für die Rechte und Freiheiten des Einzelnen dar oder betrifft sensible Daten oder das Strafregister.

Ebenso müssen KMU nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und sie die Rechte und Freiheiten des Einzelnen (wie die Überwachung von Personen oder die Verarbeitung sensibler Daten oder des Strafregisters) besonders gefährdet, insbesondere weil sie in großem Umfang erfolgt.

Was sollten wir im Falle eines Datenverstoßes tun?


Eine Datenschutzverletzung liegt vor, wenn die Daten, für die Ihr Unternehmen/Organisation verantwortlich ist, ein Sicherheitsvorfall erleiden, der zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies der Fall ist und es wahrscheinlich ist, dass die Verletzung eine Gefahr für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Organisation die Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden der Verletzung, informieren. Wenn Ihr Unternehmen/Organisation ein Datenverarbeiter ist, muss es jede Datenschutzverletzung dem Datenverantwortlichen melden.

Wie kann ich unser Unternehmen GDPR-konform machen?


Die Allgemeine Datenschutzverordnung (GDPR) basiert auf dem risikobasierten Ansatz. Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, werden ermutigt, Schutzmaßnahmen zu ergreifen, die dem Risiko ihrer Datenverarbeitungstätigkeit entsprechen. Daher sind die Verpflichtungen eines Unternehmens, das viele Daten verarbeitet, belastender als die eines Unternehmens, das eine kleine Datenmenge verarbeitet.

So ist beispielsweise die Wahrscheinlichkeit, einen Datenschutzbeauftragten für ein Unternehmen/Organisation einzustellen, das viele Daten verarbeitet, höher als für ein Unternehmen/Organisation, das eine geringe Datenmenge verarbeitet. Gleichzeitig spielen auch die Art der personenbezogenen Daten und die Auswirkungen der vorgesehenen Verarbeitung eine Rolle. Die Verarbeitung einer kleinen Datenmenge, die aber sensibler Natur ist, wie beispielsweise Gesundheitsdaten, würde strengere Maßnahmen erfordern, um die GDPR einzuhalten.

Wie mache ich eine Website GDPR-konform?


Die Allgemeine Datenschutzverordnung (GDPR) basiert auf dem risikobasierten Ansatz. Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, werden ermutigt, Schutzmaßnahmen zu ergreifen, die dem Risiko ihrer Datenverarbeitungstätigkeit entsprechen. Daher sind die Verpflichtungen eines Unternehmens, das viele Daten verarbeitet, belastender als die eines Unternehmens, das eine kleine Datenmenge verarbeitet.

So ist beispielsweise die Wahrscheinlichkeit, einen Datenschutzbeauftragten für ein Unternehmen/Organisation einzustellen, das viele Daten verarbeitet, höher als für ein Unternehmen/Organisation, das eine geringe Datenmenge verarbeitet. Gleichzeitig spielen auch die Art der personenbezogenen Daten und die Auswirkungen der vorgesehenen Verarbeitung eine Rolle. Die Verarbeitung einer kleinen Datenmenge, die aber sensibler Natur ist, wie beispielsweise Gesundheitsdaten, würde strengere Maßnahmen erfordern, um die GDPR einzuhalten.

Ist unsere Website von GDPR betroffen?


Wenn Ihre Organisation/Unternehmen mit EU-Bürgern interagiert oder Geschäfte tätigt, z.B. Produkte/Dienstleistungen verkauft oder individuelles Verhalten online überwacht, dann gelten Sie für GDPR.

Wenn Sie Tools von Drittanbietern wie z.B. Google oder Facebook verwenden, die personenbezogene Daten erheben, müssen Sie eine gültige Einwilligung einholen, bevor ein Cookie oder eine Tracking-Technologie auf dem Computer des Besuchers platziert wird.

Wenn Sie Kontaktformulare oder Newsletter haben, die Daten von EU-Bürgern sammeln, dann sind Sie auch für GDPR anwendbar und müssen sicherstellen, dass Sie die rechtmäßige Verarbeitung ihrer personenbezogenen Daten durchführen.

Wissen Sie, welche Tracker Sie auf Ihrer Website haben?


Viele Websites verwenden Tracking-Technologien, einschließlich Cookies, Pixel und Tags, um Werbung zu schalten, Statistiken zu sammeln und Marketingkampagnen durchzuführen. Im Rahmen der GDPR sind Sie für die Benachrichtigung und Einholung der Zustimmung zu jeder dieser Technologien verantwortlich. Stellen Sie sicher, dass Sie ein Web-Audit Ihrer Website durchführen und sehen, welche Tracker Sie aktiviert und ausgeführt haben.

Wenn Sie sich nicht sicher sind, welche Tracker Sie auf Ihrer Website haben, dann nutzen Sie das Tool kostenlos. Es ist kostenlos und liefert Ihnen innerhalb von 5 Minuten oder weniger ein Ergebnis.

Sammeln Sie die Einwilligung auf dem richtigen Weg?


Es gibt spezifische Anforderungen, um eine gültige Zustimmung einzuholen. Die Einwilligung muss mitgeteilt werden, eindeutig, explizit, freiwillig erteilt und spezifisch sein und es muss das Recht gegeben sein, zu widerrufen. Außerdem muss sie in einfacher Sprache geschrieben und deutlich sichtbar sein. Damit die Zustimmung erteilt werden kann, muss die Person mindestens die folgenden Informationen erhalten:

  • die Identität der Organisation, die Daten verarbeitet;
  • die Zwecke, für die die Daten verarbeitet werden sollen;
  • die Art der Daten, die verarbeitet werden sollen;
  • die Möglichkeit, die erteilte Einwilligung zu widerrufen (z.B. einen Abmeldelink am Ende einer E-Mail)
  • wenn die Zustimmung im Zusammenhang mit einer internationalen Übermittlung steht, die möglichen Risiken einer Datenübermittlung in Drittländer.

Nachfolgend sehen Sie ein Beispiel, wie Sie kommunizieren und eine gültige Einwilligung erhalten können:

  1. Die Zustimmung sollte positiv, spezifisch und unmissverständlich sein
  2. Angaben zu Empfängern und Datenverantwortlichen
  3. Zweck der Verarbeitung und Mitteilung der Profilerstellung
  4. Dauer
  5. Widerruf der Einwilligung
  6. Link zur Reklamation, Korrektur und Übermittlung von Daten
  7. Kann abgelehnt werden

Sind Ihre Datenschutzbanner positiv?


Der Standardtext, der in den Cookie-Mitteilungen enthalten ist, lautet: „Durch die Nutzung dieser Website akzeptieren Sie Cookies“. Dies reicht unter GDPR nicht aus, da er nur eine angedeutete Zustimmung suggeriert, mehrdeutig und allgemein ist. Sie benötigen nun detaillierte Kontrollstufen mit separaten Zustimmungen für Tracking und Analytics-Cookies sowie Mechanismen, um auch die Zustimmung des Kunden zu signalisieren. Sie müssen eine positive Maßnahme ergreifen.

Haben Sie es leicht gemacht, die Einwilligung zu widerrufen?


Es sollte genauso einfach sein, zu widerrufen wie die Zustimmung zu erteilen. Wird die Einwilligung widerrufen, kann Ihr Unternehmen/Organisation die Daten nicht mehr verarbeiten. Nach dem Widerruf muss Ihr Unternehmen/Organisation sicherstellen, dass die Daten gelöscht werden, es sei denn, sie können aus einem anderen Rechtsgrund (z.B. Speicherbedarf oder soweit es zur Erfüllung des Vertrages erforderlich ist) verarbeitet werden.

Wenn die Daten für mehrere Zwecke verarbeitet wurden, kann Ihr Unternehmen/Organisation die personenbezogenen Daten nicht für den Teil der Verarbeitung verwenden, für den die Einwilligung widerrufen wurde, oder für einen der Zwecke, je nach Art des Widerrufs.

Beispiel: Sie stellen einen Online-Newsletter zur Verfügung. Ihr Kunde gibt seine Zustimmung, den Online-Newsletter zu abonnieren, der es Ihnen ermöglicht, alle Daten über seine Interessen zu verarbeiten, um ein Profil der von ihm konsultierten Artikel zu erstellen. Ein Jahr später teilen sie Ihnen mit, dass sie den Online-Newsletter nicht mehr erhalten möchten. Sie müssen alle personenbezogenen Daten dieser Person, die im Rahmen des Newsletter-Abonnements erhoben wurden, aus Ihrer Datenbank löschen, einschließlich der Profile dieser Person.

Haben Sie die Plugins von Drittanbietern genannt, die Daten verarbeiten?


Ihre Datenschutzbanner müssen jede Partei, für die die Zustimmung erteilt wird, eindeutig identifizieren. Es reicht nicht aus, den Namen der Kategorie anzugeben, wie z.B. Analytics, sondern sollte die Identität des Unternehmens, z.B. Google, beinhalten, das die Daten verarbeitet.

Wie können Besucher und Kunden Sie für persönliche Daten kontaktieren?


Einzelpersonen können sich an Ihr Unternehmen/Organisation wenden, um ihre Rechte aus der GDPR auszuüben (Zugangsrechte, Berichtigung, Löschung, Portabilität usw.). Wenn personenbezogene Daten auf elektronischem Wege verarbeitet werden, sollte Ihr Unternehmen/Organisation Mittel bereitstellen, um Anträge elektronisch zu stellen. Ihr Unternehmen/Organisation muss auf ihre Anfrage unverzüglich, im Prinzip innerhalb eines Monats nach Eingang der Anfrage, antworten.

Sie kann sie um zusätzliche Informationen bitten, um die Identität der Person zu bestätigen, die den Antrag stellt.

Lehnt Ihr Unternehmen/Organisation den Antrag ab, so muss es die Person über die Gründe dafür und ihr Recht informieren, bei der Datenschutzbehörde Beschwerde einzureichen und einen Rechtsbehelf einzulegen.

Haben Sie einen Nachweis über eine gültige Einwilligung?


GDPR verlangt von Ihnen, dass Sie den Nachweis der Einwilligung aufbewahren – wer, wann, wie und was Sie den Leuten gesagt haben. Gute Praxis wäre es, sowohl die erteilte als auch die abgelehnte Einwilligung für Besucher und Kunden zu dokumentieren, wenn Sie ihre personenbezogenen Daten verarbeiten.

Haben Sie Ihre Datenschutzbestimmungen aktualisiert?


Sie müssen Ihre zugehörigen Richtlinien aktualisieren, z.B. eine Datenschutzrichtlinie. Es ist wichtig, dass Unternehmen über dokumentierte Richtlinien verfügen, damit Ihre Mitarbeiter ein klares Verständnis dafür haben, was von ihnen verlangt wird.

Diese Richtlinien können Informationen wie Trainingsrichtlinien, Informationssicherheitsrichtlinien, Aufbewahrungsverfahren, Formulare und Verfahren für den Zugang zu den Unterlagen, Datenschutzverfahren, internationales Datenübertragungsverfahren, Datenübertragbarkeitsverfahren und Beschwerdeverfahren umfassen.

Hast du deine Mailinglisten aufbereitet?


Stellen Sie sicher, dass Sie Ihre E-Mail-Datenbanken bereinigen. Wenn Ihre Abonnentendatenbank nicht nach den GDPR-Standards erhoben wurde, müssen Sie bestätigen, dass Sie die erforderliche Einwilligung erhalten haben. Dies könnte das Senden einer Wiederzulassungs-E-Mail beinhalten, damit sie sich für eine Wiederaufnahme entscheiden können. Dies ist der Nachweis der Zustimmung und macht Ihr Unternehmen GDPR-konform.

Sammeln Sie zu viele Informationen?


GDPR führt das Konzept der Datenminimierung ein, das Sie verpflichtet, nur so viele Daten zu sammeln, wie für die erfolgreiche Durchführung einer bestimmten Aufgabe erforderlich sind. Obwohl es also einfach sein kann, ein zusätzliches Feld hinzuzufügen, um Informationen über Telefonnummer, Geschlecht und Standort zu sammeln, müssen Sie prüfen, ob Sie es für die Bearbeitung der Anfrage benötigen. Darüber hinaus können die für einen bestimmten Zweck erhobenen Daten ohne weitere Zustimmung nicht weiterverwendet werden.