Die DSGVO ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten EU-weit regeln soll. Dadurch soll für Verbraucher noch mehr Transparenz entstehen und der Betroffene in die Lage versetzt werden “Herr seiner Daten” zu bleiben. Betroffene sollen genau wissen, warum und wofür seine Daten verwendet werden. Weiterhin soll der Umgang mit personenbezogenen Daten EU-weit vereinheitlicht werden.
Dass es die EU mit dieser Verordnung ernst meint, die Datenschutzpraxis vieler, vor allem kleiner Firmen zu professionalisieren, zeigen zwei Gründe:
Die Datenschutzgrundverordnung (kurz: DSGVO) trat am 25. Mai 2018 in Kraft.
Die DSGVO gilt unabhängig von der Unternehmensgröße:
Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Somit ist auch jedes bloße Anschauen auf dem Bildschirm oder einem Papier bereits eine Datenverarbeitung, ohne dass diese bei der Verarbeitung verändert werden.
Beispiele: Erstellung einer Email-Liste, Annahme einer Visitenkarte, führen einer Mitarbeiter- oder Bewerberdatenbank.
Personenbezogene Daten sind Informationen, durch die eine einzelne Person identifiziert werden kann.
Per Definition sind das "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)". Damit sind alle Informationen umfasst, die über eine Person etwas aussagen.
Beispiele:
Durch diese Daten und auch durch eine Kombination einzelner Daten, ist es möglich, dass eine betroffene Person identifiziert werden kann. Sie gelten für die EU daher als besonders schützenswert. Sie als Unternehmer oder Selbstständiger tragen für die gesammelten Daten die Verantwortung und müssen in der Lage sein zu erklären, auf welcher Berechtigungsgrundlage die Daten verarbeitet werden und welche Schutzmaßnahmen Sie dabei ergreifen.
Diejenige natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es haftet also das gesamte Unternehmen im Falle einer Strafe, nicht der Geschäftsführer und erst recht nicht der Datenschutzbeauftragte. In unserem Kontext ist Digistore24 beim Kauf der Verantwortliche.
Nach der Datenweitergabe an den Vendor ist der Vendor bei der Datenverarbeitung über die Produktauslieferung hinaus Verantwortlicher, da er ab diesem Zeitpunkt über Zwecke und Mittel der Datenverarbeitung bestimmt.
Eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Beispielsweise sind das Telefonmarketing-Agenturen, Server-Hoster, externe CRM Systeme, aber auch ein E-Mail Marketing System wie Klick-Tipp.
Hinweis: Mit Auftragsverarbeitern brauchen Sie einen Auftragsverarbeitungs-Vertrag. Sitzt der Auftragsverarbeiter außerhalb der EU, ist darüber hinaus zu prüfen, ob ein Angemessenheitsbeschluss vorliegt bzw. das Unternehmen Privacy Shield zertifiziert ist. Ist das nicht der Fall, benötigen Sie einen "Model Clause" Vertrag. Dieser wurde von der Europäischen Kommission veröffentlicht.
Natürliche oder juristische Personen, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.
Hinweis: Wenn Sie personenbezogene Daten an Dritte weitergeben, müssen Sie den Betroffenen explizit darüber informieren. Allgemeine Formulierungen wie “Unsere Partner erhalten Ihre Daten zur Verarbeitungen” sind nicht zulässig. Auch bei Dritten kann der Betroffene seine Daten löschen, übertragen, ändern und einsehen lassen.
Es handelt sich hierbei, vereinfacht gesagt, um diejenigen natürlichen Personen, deren Daten erhoben und verarbeitet werden.
Hinweis: Hierbei spielt es keine Rolle, ob die natürliche Person Vertreter eines Unternehmens, ein Selbstständiger oder einfach ein Privatmann ist.
Von einer Einwilligung können wir dann sprechen, wenn die betroffene Person freiwillig und vollständig informiert für einen bestimmten Zweck der Datenverarbeitung zustimmt. Diese Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen.
Hinweis: Diese Einwilligung muss eine seitens des Betroffenen proaktive Handlung beinhalten wie das Anhaken einer Checkbox. Weiterhin darf das Geben der Einwilligung nicht an eine “Belohnung” in irgendeiner Form gebunden sein (“Kopplungsverbot”). Eine „ausdrückliche“ Einwilligung ist nur bei der Verarbeitung von sensiblen Daten erforderlich. Mehr dazu später.
Die Einwilligung selbst muss im Klartext dokumentiert und sicher gespeichert sein. Prinzipiell muss die Einwilligung in klarer und verständlicher schriftlicher Form vorliegen. Weiterhin dürfen keine weit gefassten Pauschaleinwilligungen ausgestellt werden, sondern muss für jeden Verarbeitungszweck eine separate Einwilligung erteilt werden. Beispielsweise ist E-Mail-Marketing ein anderer Verarbeitungszweck als das Bilden von Kundenprofilen, bei dem ein Betroffener aufgrund von personenbezogenen Daten (z.B. Trackingdaten) automatisiert “bewertet” wird.
Jederzeit muss es eine Widerrufsmöglichkeit für den Betroffenen geben, durch die er dem Datenverarbeiter (“Verantwortlichen”) seine Erlaubnis zur Verarbeitung seiner Daten zweckgebunden entziehen kann.
Hinweis: Vor dem 25.Mai 2018 erhobene personenbezogene Daten dürfen weiterhin verarbeitet werden, sofern eine nachweisbare Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, das dem des Betroffenen überwiegt. Mehr dazu später.
Dies ist per Definition: Jegliche Form der automatisierten Verarbeitung personenbezogener Daten unter Bewertung persönlicher Aspekte in Bezug auf eine natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Als Beispiel ist hier die Schufa zu nennen, deren Profiling den Betroffenen in erheblicher Weise beeinträchtigt.
Hinweis: Personalisierte Werbung ist meiner persönlichen Einschätzung nach kein Profiling im Sinne der o.g. Definition, da sie, wie ich finde, weder eine rechtliche Wirkung auf die betroffene Person entfaltet noch sie in ähnlicher Weise erheblich beeinträchtigt.
Als Datenschutzbeauftragten bezeichnet man die Person, die mit der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen betraut ist. Er stellt das Bindeglied zur Behörde dar und ist direkter Ansprechpartner für diese. Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit aus der umfangreichen, regelmäßigen und systematischen Überwachung von Personen oder der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht. Darüber hinaus sind jeweils die individuellen Bestimmungen der jeweiligen Länder zu beachten. Der Datenschutzbeauftragte ist für die Einhaltung der DSGVO bei Ihnen zuständig, aber nicht verantwortlich im Sinne einer Haftung.
Hinweis: Ich rate auf jeden Fall dazu, mit einem erfahrenen externen Datenschutzbeauftragten zusammenzuarbeiten, weil dieser Ihnen auch wichtige Hilfestellungen in der Umsetzung, sowie der Aufrechterhaltung der DSGVO Compliance geben kann. Außerdem macht es sich gut vor den Behörden und in der Außendarstellung, wenn Sie einen Datenschutzbeauftragten haben. Wir bei Digistore24 haben ein ganzes Datenschutzteam, bestehend aus zertifizierten Datenschutzbeauftragten sowie gleich mehrere externe Datenschutzbeauftragte, die uns beratend zur Seite stehen. So können wir den optimalen Schutz sowohl Ihrer Daten als auch die Ihrer Kunden gewährleisten.
Hinweis: Wenn Sie formell einen Datenschutzbeauftragten ernannt haben, müssen Sie ihn der Behörde melden, sonst drohen Ihnen teure Strafen. Wenn Sie zwar den Rat eines Datenschutzbeauftragten haben wollen, ihn aber nicht “offiziell bestellen” wollen, dann können Sie ihn auch einfach “Datenschutzkoordinator” nennen. Diesen müssen Sie dann nicht der Behörde melden.
Wenn Sie als Arbeitgeber auch Gesundheitsdaten, eine Gewerkschaftszugehörigkeit, die religiöse Zugehörigkeit oder politische Meinungen speichern, verarbeiten Sie Daten “besonderer Kategorien”. Solche Daten müssen besonders geschützt werden und es sollte eine Beschränkung der Zugriffsberechtigung durch Mitarbeiter geben. Ich rate Ihnen, so wenig wie möglich Daten besonderer Kategorien zu speichern.
Hinweis: Verstöße gegen die oben genannten Grundsätze sollen laut Gesetzgeber mit der Höchststrafe belegt werden.
Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten. Für Unternehmer ist hier relevant, dass eine Berechtigungsgrundlage zur Verarbeitung der Daten existiert. Im Wesentlichen gibt es hier 4 für Sie wichtige Berechtigungsgrundlagen:
Hinweis: einerseits ist die Berechtigungsgrundlage “berechtigtes Interesse im Sinne von Artikel 6, Ziffer I f” sehr vage gefasst, andererseits das Hauptargument, wenn Sie beispielsweise Ihre Kunden via E-Mail kontaktieren, ohne zuvor deren Einwilligung einzuholen. Die sichere Variante ist, nur Kunden anzuschreiben, wenn eine Einwilligung seitens des Kunden/Betroffenen (in Form eines Doppel-Optin) vorliegt.
Wie bereits erwähnt, soll die Strafe für schwerwiegende Vergehen, wie zum Beispiel der Verstoß gegen die Grundsätze (Art. 5, DSGVO) der Datenverarbeitung, verhängt werden.
Für geringere Vergehen, wie zum Beispiel dem Vergessen des Erstellens eines Verarbeitungsverzeichnisses ist bis zur Hälfte des Strafmaßes der Höchststrafe vorgesehen, also 10 Mio Euro oder 2% des Vorjahresumsatzes.
Hinweis: Ich habe meine Ausbildung und schriftliche Prüfung zum zertifizierten Datenschutzbeauftragten in Österreich gemacht. Dort erfuhr ich bereits von Insidern, dass Österreich sehr vorsichtig sein will mit dem Verhängen von Strafen bei Verstößen gegen die DSGVO. Dies wurde mittlerweile auch durch die Presse bestätigt. Deutschland wird da strenger agieren (welch Überraschung), zumal die DSGVO sich an den deutschen Datenschutzgesetzen orientiert und dort somit ihren Ursprung hat. Bulgarien hatte bis vor der DSGVO praktisch überhaupt keinen Datenschutz und daher ist der Status der “Aufrüstung” der Behörden unklar.
Die Behörden haben aufgerüstet und die Beschwerdeprozesse, zum Beispiel in Deutschland und Spanien, exzellent vorbereitet. Hier wurden, wie wir das auch im Internetmarketing gewöhnt sind, Optin-Formulare geschaffen. Dadurch können Anzeigen bei der Behörde eingebracht, und Unternehmen sowie Selbstständige entsprechend bestraft werden.
Ein Beispiel: https://www.lda.bayern.de/de/beschwerde.html
Hinweis: Das ganze Setup veranlasst mich, beim Thema Datenschutz damit zu rechnen, dass viele Strafen medienwirksam verhängt werden bei Verstößen und viele Firmen abgemahnt werden, die das Thema vernachlässigen.
Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.