Lektion 1

DSGVO Basics, Begriffsbestimmungen

Was ist die DSGVO?

Die DSGVO ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten EU-weit regeln soll. Dadurch soll für Verbraucher noch mehr Transparenz entstehen und der Betroffene ​in die Lage versetzt werden “Herr seiner Daten” zu bleiben. Betroffene sollen genau ​wissen, warum und wofür seine Daten verwendet werden. Weiterhin soll der Umgang mit personenbezogenen Daten EU-weit vereinheitlicht werden.

Dass es die EU mit dieser Verordnung ernst meint, die Datenschutzpraxis vieler, vor allem kleiner Firmen zu professionalisieren, zeigen zwei Gründe:

  • Die Tatsache, dass es sich hierbei um unmittelbar geltendes Recht in allen EU-Mitgliedstaaten handelt. Hiermit sollen einheitliche Standards geschaffen werden.
  • Ein drastisch erhöhter Bußgeld-Rahmen mit bis zu 4 Prozent des Jahresumsatzes oder 20 Millionen Euro (der Geldbetrag, der höher ist, wird genommen). Hiermit sollen die Bußgelder eine abschreckende Wirkung bekommen, sodass der Datenschutz ernster genommen wird als das bisher der Fall war.

Ab wann tritt die DSGVO in Kraft?

Die Datenschutzgrundverordnung (kurz: DSGVO) ​trat am 25. Mai 2018 in Kraft.

Für wen gilt die DSGVO?

Die DSGVO gilt unabhängig von der Unternehmensgröße:

  • für alle Unternehmen und deren Niederlassungen in der EU, die personenbezogene Daten verarbeiten.
  • für alle Unternehmen außerhalb der EU, sofern die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Union steht, oder das Verhalten von EU-Bürgern beobachtet wird.

Was bedeutet "Datenverarbeitung"?

Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Somit ist auch jedes bloße Anschauen auf dem Bildschirm oder einem Papier bereits eine Datenverarbeitung, ohne dass diese bei der Verarbeitung verändert werden.

Beispiele: Erstellung einer Email-Liste, Annahme einer Visitenkarte, führen einer Mitarbeiter- oder Bewerberdatenbank.

Was sind "personenbezogenen Daten"?

Personenbezogene Daten sind Informationen, durch die eine einzelne Person identifiziert werden kann.

Per Definition sind das "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)". Damit sind alle Informationen umfasst, die über eine Person etwas aussagen.

Beispiele: 

  • Name
  • E-Mail-Adresse
  • Anschrift
  • Telefonnummer
  • Kontodaten
  • Standortdaten
  • übrigens auch die IP-Adresse – dazu jedoch später noch mehr
  • Bestell-ID
  • Transaktions-ID
  • Trackingdaten, über die Rückschlüsse auf den Betroffenen gezogen werden können
  • etc

Durch diese Daten und auch durch eine Kombination einzelner Daten, ist es möglich, dass eine betroffene Person identifiziert werden kann. Sie gelten für die EU daher als besonders schützenswert. Sie als Unternehmer oder Selbstständiger tragen für die gesammelten Daten die Verantwortung und müssen in der Lage sein zu erklären, auf welcher Berechtigungsgrundlage die Daten verarbeitet werden und welche Schutzmaßnahmen Sie dabei ergreifen.

Der "Verantwortliche"

Diejenige natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es haftet also das gesamte Unternehmen im Falle einer Strafe, nicht der Geschäftsführer und erst recht nicht der Datenschutzbeauftragte. In unserem Kontext ist Digistore24 beim Kauf der Verantwortliche.

Nach der Datenweitergabe an den Vendor ist der Vendor bei der Datenverarbeitung über die Produktauslieferung hinaus Verantwortlicher, da er ab diesem Zeitpunkt über Zwecke und Mittel der Datenverarbeitung bestimmt.

Der "Auftragsverarbeiter"

Eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Beispielsweise sind das Telefonmarketing-Agenturen, Server-Hoster, externe CRM Systeme, aber auch ein E-Mail Marketing System wie Klick-Tipp.

Hinweis: Mit Auftragsverarbeitern brauchen Sie einen Auftragsverarbeitungs-Vertrag. Sitzt der Auftragsverarbeiter außerhalb der EU, ist darüber hinaus zu prüfen, ob ein Angemessenheitsbeschluss vorliegt bzw. das Unternehmen Privacy Shield zertifiziert ist. Ist das nicht der Fall, benötigen Sie einen "Model Clause" Vertrag. Dieser wurde von der Europäischen Kommission veröffentlicht.

"Dritte"

Natürliche oder juristische Personen, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.

Hinweis: Wenn Sie personenbezogene Daten an Dritte weitergeben, müssen Sie den Betroffenen explizit darüber informieren. Allgemeine Formulierungen wie “Unsere Partner erhalten Ihre Daten zur Verarbeitungen” sind nicht zulässig. Auch bei Dritten kann der Betroffene seine Daten löschen, übertragen, ändern und einsehen lassen.

Wer ist der "Betroffene"?

Es handelt sich hierbei, vereinfacht gesagt, um diejenigen natürlichen Personen, deren Daten erhoben und verarbeitet werden.

Hinweis: Hierbei spielt es keine Rolle, ob die natürliche Person Vertreter eines Unternehmens, ein Selbstständiger oder einfach ein Privatmann ist.

Der Begriff der "Einwilligung"

Von einer Einwilligung können wir dann sprechen, wenn die betroffene Person freiwillig und vollständig informiert für einen bestimmten Zweck der Datenverarbeitung zustimmt. Diese Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen.

Hinweis: Diese Einwilligung muss eine seitens des Betroffenen proaktive Handlung beinhalten wie das Anhaken einer Checkbox. Weiterhin darf das Geben der Einwilligung nicht an eine “Belohnung” in irgendeiner Form gebunden sein (“Kopplungsverbot”). Eine „ausdrückliche“ Einwilligung ist nur bei der Verarbeitung von sensiblen Daten erforderlich. Mehr dazu später.

Bedingungen für die Einwilligung

Die Einwilligung selbst muss im Klartext dokumentiert und sicher gespeichert sein. Prinzipiell muss die Einwilligung in klarer und verständlicher schriftlicher Form vorliegen. Weiterhin dürfen keine weit gefassten Pauschaleinwilligungen ausgestellt werden, sondern muss für jeden Verarbeitungszweck ​eine separate Einwilligung ​erteilt werden. Beispielsweise ist E-Mail-Marketing ein anderer Verarbeitungszweck als das Bilden von Kundenprofilen, bei dem ein Betroffener aufgrund von personenbezogenen Daten (z.B. Trackingdaten) automatisiert “bewertet” wird.

​Jederzeit muss es eine Widerrufsmöglichkeit für den Betroffenen geben, durch die er dem Datenverarbeiter (“Verantwortlichen”) seine Erlaubnis zur Verarbeitung seiner Daten zweckgebunden entziehen kann.

Hinweis: Vor dem 25.Mai 2018 erhobene personenbezogene Daten dürfen weiterhin verarbeitet werden, sofern eine nachweisbare Einwilligung des Betroffenen vorliegt oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, das dem des Betroffenen überwiegt. Mehr dazu später.

"Profiling"

Dies ist per Definition: Jegliche Form der automatisierten Verarbeitung personenbezogener Daten unter Bewertung persönlicher Aspekte in Bezug auf eine natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Als Beispiel ist hier die Schufa zu nennen, deren Profiling den Betroffenen in erheblicher Weise beeinträchtigt.

Hinweis: Personalisierte Werbung ist meiner persönlichen Einschätzung nach kein Profiling im Sinne der o.g. Definition, da sie, wie ich finde, weder eine rechtliche Wirkung auf die betroffene Person entfaltet noch sie in ähnlicher Weise erheblich beeinträchtigt.

"Datenschutzbeauftragter"

Als Datenschutzbeauftragten bezeichnet man die Person, die mit der Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen betraut ist. Er stellt das Bindeglied zur Behörde dar und ist direkter Ansprechpartner für diese. Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit aus der umfangreichen, regelmäßigen und systematischen Überwachung von Personen oder der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht. Darüber hinaus sind jeweils die individuellen Bestimmungen der jeweiligen Länder zu beachten. Der Datenschutzbeauftragte ist für die Einhaltung der DSGVO bei Ihnen zuständig, aber nicht verantwortlich im Sinne einer Haftung.

Hinweis: Ich rate auf jeden Fall dazu, mit einem erfahrenen externen Datenschutzbeauftragten zusammenzuarbeiten, weil dieser Ihnen auch wichtige Hilfestellungen in der Umsetzung, sowie der Aufrechterhaltung der DSGVO​ Compliance geben ​kann. Außerdem macht es sich gut vor den Behörden und in der Außendarstellung, wenn Sie einen Datenschutzbeauftragten ​haben. Wir bei Digistore24 haben ein ganzes Datenschutzteam, bestehend aus zertifizierten Datenschutzbeauftragten sowie gleich mehrere externe Datenschutzbeauftragte, die uns beratend zur Seite stehen. So können wir den optimalen Schutz sowohl Ihrer Daten als auch die Ihrer Kunden gewährleisten.​

Hinweis: Wenn Sie formell einen Datenschutzbeauftragten ernannt haben, müssen Sie ihn der Behörde melden, sonst drohen Ihnen teure Strafen. Wenn Sie zwar den Rat eines Datenschutzbeauftragten haben wollen, ihn aber nicht “offiziell bestellen” wollen, dann können Sie ihn auch einfach “Datenschutzkoordinator” nennen. Diesen müssen Sie dann nicht der Behörde melden.

Wichtig für Arbeitgeber

Wenn Sie als Arbeitgeber auch Gesundheitsdaten, eine Gewerkschaftszugehörigkeit, die religiöse Zugehörigkeit oder politische Meinungen speichern, verarbeiten Sie Daten “besonderer Kategorien”. Solche Daten müssen besonders geschützt werden und es sollte eine Beschränkung der Zugriffsberechtigung durch Mitarbeiter geben. Ich rate Ihnen, so wenig wie möglich Daten besonderer Kategorien zu speichern.

Die 7 Grundsätze für die Verarbeitung personenbezogener Daten im Überblick (Artikel 5, DSGVO)

  • Personenbezogene Daten dürfen ausschließlich rechtmäßig, transparent und so verarbeitet werden, wie es der naive User erwarten würde („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).
  • Die Verarbeitung darf ausschließlich für von vornherein festgelegte und dokumentierte Zwecke durchgeführt werden (“Zweckbindung”).
  • Sie muss auf das unbedingt notwendige Maß an Umfang der Datenerhebung und Verarbeitung beschränkt sein (“Datenminimierung”).
  • Sie muss sachlich richtig und auf dem neuesten Stand sein (“Richtigkeit”).
  • Die betroffene Person darf nur so lange identifizierbar sein, wie es für den Verarbeitungszweck unbedingt notwendig ist (“Speicherbegrenzung”)
  • Die Daten müssen hinreichend geschützt werden (“Integrität und Vertraulichkeit”).
  • Der Verantwortliche (zum Beispiel der Geschäftsführer der Firma) muss die Einhaltung nachweisen können (“Rechenschaftspflicht”).

Hinweis: Verstöße gegen die oben genannten Grundsätze sollen laut Gesetzgeber mit der Höchststrafe belegt werden.

Rechtmäßigkeit der Verarbeitung (Artikel 6, DSGVO)

​Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten. Für Unternehmer ist hier relevant, dass eine Berechtigungsgrundlage zur Verarbeitung der Daten existiert. Im Wesentlichen gibt es hier 4 für Sie wichtige Berechtigungsgrundlagen:

  • Einwilligung: Der Betroffene hat der Verarbeitung ausdrücklich zugestimmt.
  • Vertrag: Die Verarbeitung erfolgt auf Grundlage von einem Vertrag, z.B. Kaufvertrag.
  • Berechtigtes Interesse: Die Verarbeitung erfolgt, um ein berechtigtes Interesse des Verantwortlichen zu wahren.
  • Gesetzliche Pflicht: Es besteht eine gesetzliche Verpflichtung zur Verarbeitung der Daten.

Hinweis: einerseits ist die Berechtigungsgrundlage “berechtigtes Interesse im Sinne von Artikel 6, Ziffer I f” sehr vage gefasst, andererseits das Hauptargument, wenn Sie beispielsweise Ihre Kunden via E-Mail kontaktieren, ohne zuvor deren Einwilligung einzuholen. Die sichere Variante ist, nur Kunden anzuschreiben, wenn eine Einwilligung seitens des Kunden/Betroffenen (in Form eines Doppel-Optin) vorliegt.

Strafen

Wie bereits erwähnt, soll die Strafe für schwerwiegende Vergehen, wie zum Beispiel der Verstoß gegen die Grundsätze (Art. 5, DSGVO) der Datenverarbeitung, verhängt werden. 

Für geringere Vergehen, wie zum Beispiel dem Vergessen des Erstellens eines Verarbeitungsverzeichnisses ist bis zur Hälfte des Strafmaßes der Höchststrafe vorgesehen, also 10 Mio Euro oder 2% des Vorjahresumsatzes.

Hinweis: Ich habe meine Ausbildung und schriftliche Prüfung zum zertifizierten Datenschutzbeauftragten in Österreich gemacht. Dort erfuhr ich bereits von Insidern, dass Österreich sehr vorsichtig sein will mit dem Verhängen von Strafen bei Verstößen gegen die DSGVO. Dies wurde mittlerweile auch durch die Presse bestätigt. Deutschland wird da strenger agieren (welch Überraschung), zumal die DSGVO sich an den deutschen Datenschutzgesetzen orientiert und dort somit ihren Ursprung hat. Bulgarien hatte bis vor der DSGVO praktisch überhaupt keinen Datenschutz und daher ist der Status der “Aufrüstung” der Behörden unklar.

Ablauf einer Beschwerde

Die Behörden haben aufgerüstet und die Beschwerdeprozesse, zum Beispiel in Deutschland und Spanien, exzellent vorbereitet. Hier wurden, wie wir das auch im Internetmarketing gewöhnt sind, Optin-Formulare geschaffen. Dadurch können Anzeigen bei der Behörde eingebracht, und Unternehmen sowie Selbstständige entsprechend bestraft werden.

Ein Beispiel: https://www.lda.bayern.de/de/beschwerde.html

​Hinweis: Das ganze Setup veranlasst mich, beim Thema Datenschutz damit zu rechnen, dass viele Strafen medienwirksam verhängt werden bei Verstößen und viele Firmen abgemahnt werden, die das Thema vernachlässigen.

Downloads / Lernmaterialien

Die komplette Verordnung zum Download (PDF)

DOWNLOAD

← Zurück zur Übersicht

Zu Lektion 2→

Übersicht Lektionen

Wechseln Sie schnell und bequem zu allen Lektionen des Kurses

Kursübersicht
Lektion 2 Datenschutz​
Lektion 3 Datenschutzerklärung
Lektion 4 Drittanbieter​
Lektion 5 E-Mail-Marketing​
Lektion 6 Lead-Magneten und Kopplungsverbot
Lektion 7 DSGVO-konformes Tracking
Lektion 8 ​Interner Umgang mit Daten
Lektion 9 Auskunftsbegehren
Lektion 10 Die DSGVO und Digistore24

Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.

www.digistore24.com | Impressum | Datenschutzerklärung

English | German

Made with Digibiz24 Badge