DSGVO infos

datenschutz

Neuregelungen zum 25. mai 2018

Seit Ende Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Betroffen ist jeder Unternehmer und jeder Webseitenbetreiber. Diese Sonderseite verschafft Ihnen einen Überblick zum Thema und zeigt, wie Sie die nötigen Schritte einfach und schnell umsetzen können. 

Als Agentur dürfen wir keine Rechtsberatung anbieten, die Informationen stammen aus unserer Kooperation mit der eRecht24 GmbH — sämtliche Angebote und Inhalte im Rahmen der DSGVO werden auf Basis deren Informationen und Tools als Vorlagen erstellt. Die Verwendung auf Ihrer Homepage erfolgt auf eigene Verantwortung, unsere Vorschläge ersetzen nicht die ggf. angebrachte individuelle anwaltliche Prüfung. 

Bestandteil unserer umfangreichen Leistungen im Bereich Webseitenerstellung ist die Unterstützung bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO — als eRecht24 Agentur-Partner. 

Die DSGVO regelt seit dem 25. Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten – einheitlich europaweit. Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, Unternehmer können also darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt aber auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten — etwa Cloud- und Social-Media-Dienste aus den USA.

Die DSGVO betrifft dabei wirklich jedes Unternehmen, das im Internet aktiv ist: Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werbung auf Facebook, die eigene Datenschutzerklärung, vieles ändert sich durch die Neuregelungen.

Auftragsverarbeitung

Mit uns als Ihrer Agenur für Werbemaßnahmen sowie Ihrem Webhoster oder CMS-Service-Provider mit <metatag>® benötigen Sie in jedem Fall einen Vertrag zur Auftragsverarbeitung (AV, früher ADV für Auftragsdatenverarbeitung). In unseren Entwurf müssen lediglich Kunden, die besonderen Geheimnisschutzregeln (z.B. §203 StGB) unterliegen, diese noch eintragen. 

Bitte laden Sie Ihr von unserer Seite bereits gezeichnetes Exemplar herunter 

AV-Vertrag eg media gmbh

Datenschutzerklärung Webseite

Zunächst benötigt jede Webseite eine neue Datenschutzerklärung, die den Vorgaben der DSGVO entspricht. Grundsätze einer DSGVO-konformen Datenschutzerklärung:

  • Einfache und verständliche Sprache
  • ggf. eine vorgeschaltete, allgemein-zusammenfassende Erklärung
  • Kontaktdaten des Seitenbetreibers
  • Datenschutzbeauftragter, wenn vorhanden
  • Die Rechtsgrundlage der jeweiligen Datenerhebung/Verarbeitung (gesetzliche Regelung oder Einwilligung) muss konkret benannt werden
Die folgenden Punkte muss eine Datenschutzerklärung nach DSGVO mindestens enthalten:
  • Nennung aller Datenverarbeitungsvorgänge auf der Webseite
  • Umgang Kunden-/Bestelldaten
  • Tracking, Cookies, Social Media
  • Newsletter, AV-Vertrag
  • Dauer der Speicherung, Löschungsfristen
  • Auskunft, Berichtigung, Löschung, Widerspruch
  • Recht auf Datenherausgabe und Übertragbarkeit

Eine Einwilligung darf nicht innerhalb der Datenschutzerklärung erklärt werden.

Achtung! Löschpflicht Art. 17 DSGVO

Daten müssen gelöscht werden, wenn:

  • der Erhebungszweck weggefallen ist,
  • die Einwilligung widerrufen wurde (Newsletter-Abmeldung),
  • ein Widerspruch des Nutzers erfolgt („Löschen Sie meine Daten“) und keine gesetzlichen Speicherpflichten entgegenstehen (Steuern und Buchhaltung)
     

Wir erstellen Ihre DSGVO-konforme Datenschutzerklärung — bitte fragen Sie uns!

Impressum

Im Impressum sind — soweit auf aktuell korrektem Stand — keine Änderungen notwendig. Allerdings wird momentan diskutiert, dass für Auskunfts-, Berichtigungs- und Löschungsansprüche ein spezielles Kontaktformular geschaffen werden soll, das in die allgemeine Menüstruktur (bei Datenschutzerklärung und Impressum) integriert werden soll.

Im Zuge der Erstellung einer DSGVO-konformen DS-Erklärung erstellen wir parallel das Impressum nochmal aktuell neu — sicher ist sicher. Wir informieren an dieser Stelle über ggf. folgende Neuerungen und erforderliche Anpassungen.

Cookies und Tracking

Im Hinblick auf Cookies und Tracking gibt es momentan keine Änderungen. Cookies werden spezifisch durch die ePrivacy-Verordnung (ePV) neu geregelt. Diese kommt allerdings wohl erst 2019.

Die gute Nachricht: Google Analytics bleibt auch nach der DSGVO wie bisher „erlaubt“, wenn folgende Voraussetzungen erfüllt sind:

  • IP Anonymisierung aktiviert — ist beim CMS <metatag>® die Standardeinstellung
  • Opt-out Möglichkeiten für Desktop und Mobil — wird von der neuen Datenschutzerklärung, wie von uns angeboten, abgedeckt
  • AV-Vertrag mit Google abgeschlossen
     

Zusatz zur Datenverarbeitung mit Google abschließen.

Kunden von eg media, die über keinen eigenen Google-Account verfügen und/oder für die wir eine sog. "Google Analytics Property" über unseren Account (mit) verwalten*, müssen mit Google eine Zusatzvereinbarung zur Datenverarbeitung abschließen. Dazu kann in Vorbereitung bitte ggf. bereits ein Google Account angelegt werden — bitte teilen Sie uns die dazu verwendete eMailadresse mit, damit wir die GA-Property für Ihren Account freischalten können. 

*falls Ihnen nicht bekannt ist, ob für Ihr <metatag>® CMS-Webs Google Analytics aktiv ist, können Sie es wie hier in der Onlinehilfe beschrieben einsehen: Wenn unter inhalt > s.e.o. > Google Tools im Feld Google Analytics "UA-..." steht, ist das Tracking aktiv. Für weitere Unterstützung kontaktieren Sie uns bitte am einfachsten direkt mit der dort eingetragenen UA-ID.

Infoseite von Google Analytics mit Anleitung für den Abschluß online


Bei anderen Tools wie z.B. dem Facebook Pixel kann man momentan leider keine genaue Aussage treffen.
Allerdings wird die Rechtslage wahrscheinlich komplizierter.

Newsletter und Einwilligungen

Einwilligungen von Nutzern, z.B. zum Newsletter-Versand, die bereits nach altem Recht wirksam eingeholt wurden (double opt-in) gelten grundsätzlich weiter.

Ausnahmen
  • Koppelungsverbot bei alten Einwilligungen nicht beachtet
  • Einwilligungen durch Minderjährige
  • Dokumentation (inkl. Zeitpunkt) der Einwilligung nicht vorhanden
Was ist mit neuen Newsletter-Aktionen oder Preisausschreiben?

Wenn keine gesetzliche Erlaubnis zum Speichern/Übertragen von Daten vorhanden ist, wird immer eine Einwilligung benötigt. Auch unter der DSGVO sollte das double opt-in Prinzip beachtet werden, um die Einwilligung im Zweifel auch nachweisen zu können. Die Einwilligung muss in jedem Fall elektronisch dokumentiert werden.

Die Einwilligung muss dabei „freiwillig“ erfolgen: Echtes Koppelungsverbot in Art. 7 Abs.4 DSGVO. In der Regel: Keine Daten gegen Inhalte (z.B. E-Books, Gewinnspiele, Checklisten) und keine Koppelung von Newsletter-Versand an Vertragsschluss.

Was passiert mit dem Newslettermodul im CMS <metatag>®?

Zwar wurde bereits seit langem ein double opt-in Verfahren angewendet, es wurde jedoch kein Zeitpunkt vermerkt und zudem war bislang ein manueller Eingriff — um etwa rasch einen telefonischen Wunsch nach An- bzw. Abmeldung vom Newsletter erfüllen zu können — in die Empfängerlisten möglich. 

Einige Anbieter wählten ein jursitisch wohl eher als "waghalsig" einzuordnendes Verfahren, bei dem die Newsletterempfänger lediglich informiert und nur bei Nicht-Einverständnis zur Abmeldung aufgefordert wurden. Wir hatten die mehrheitlich von Juristen vertretene Variante empfohlen, neue Einwilligungen aller Abonnenten einzuholen. Dies war jedoch nur bis zum 25.5.2018 mit bis dahin gültigen Einwilligungen möglich, gem. DSGVO müssen Sie die alten Empfängerlisten nun löschen!

Bitte kontaktieren Sie uns bei Interesse zum Thema Newsletter

Kontaktformulare

Insbesondere auf nicht-verschlüsselten Webseiten — Aufruf via http:// und noch nicht https:// (SSL) — sind Kontaktformulare ab dem 25.5.2018 einem verstärkten Abmahnrisiko ausgesetzt. Eine strenge Auslegung der noch unklaren Rechtslage würde zusätzlich einen Link zur Datenschutzerklärung bis hin zu einer Checkbox zur Einwilligung zur Datenverarbeitung fordern. Unser Rat lautet daher: wer auf sein Kontaktformular auch verzichten kann, sollte es einfacher entfernen. Beim "Schnellkontakt", der in vielen <metatag>® Designs per Banner aktiviert werden kann, ist uns mit geringem Aufwand das Hinzufügen einer Checkbox zur Zustimmung möglich.

Bitte kontaktieren Sie uns bei Fragen zum Kontaktformular!

Social Plugins

Die Originalversionen diverser Button und anderer Plugins sozialer Netzwerke übertragen schon bei Aufruf einer sie einsetzenden Seite Daten an das jeweilige soziale Netzwerk. Diese Praktik wurde zuletzt vermehrt von deutschen Gerichten als nicht zulässig erkannt. Problemlos ist hingegen ein eigener Button, der lediglich zur eigenen Präsenz auf dem sozialen Netzwerk verlinkt. Oder natürlich ein sog. "Safe Sharing Tool", bei dem erst nach einem Klick auf einen damit ausgestatteten Button Daten an das soziale Netzwerk übertragen werden. 

— übrigens: hat ihre Facebook Fanpage ein (korrektes) Impressum...?

Bitte kontaktieren Sie zum Thema "Social Media & DSGVO"!

 

Weitere DSGVO Themen, auch jenseits des Webs

Wir haben im Folgenden weitere wichtige Themen rund um die neue Datenschutzgrundverordnung für Sie gesammelt. Als Agentur dürfen wir keine Rechtsberatung anbieten, die Texte stammen aus unserer Kooperation mit eRecht24.
 

Datenschutzbeauftragter

Unternehmen, die in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen oder zu einer Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO verpflichtet sind (s.u.), müssen einen Datenschutzbeauftragten benennen.

Interessenskonflikte

Bei der Besetzung des Datenschutzbeauftragten dürfen keine Interessenkonflikte bestehen. Daher kann ein Vorstandsmitglied, ein Geschäftsführer oder der Unternehmensinhaber nicht Datenschutzbeauftragter sein. Diese Personen können im Fall von Konflikten zwischen den Unternehmensinteressen und den datenschutzrechtlichen Vorschriften nicht vermitteln.

Sie können auch einen externen Datenschutzbeauftragten bestellen, um Konflikte zu vermeiden.

Qualifikationen des Datenschutzbeauftragten

Der Datenschutzbeauftragte muss zuverlässig sein. Juristische sowie technische Fachkunde sind ebenfalls unumgänglich für die Position des Datenschutz- beauftragten. Schulungen/Seminare inkl. Prüfung werden bundesweit angeboten, um die entsprechenden Qualifikationen zu erwerben, z.B. beim TÜV.
 

Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis)

Sie benötigen ein Verarbeitungsverzeichnis, wenn Sie mehr als 250 Mitarbeiter beschäftigen und wenn Sie besondere Datenkategorien verarbeiten.

Die Pflicht gilt auch für Unternehmen unter 250 Mitarbeitern, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt. Es ist aber noch nicht abschließend geklärt, was dies genau bedeutet. Bis die Voraussetzungen abschließend geklärt sind, sollten Sie im Zweifel ein solches Verzeichnis anlegen.

Welche Inhalte gehören hinein?
  • Angaben des Verantwortlichen
  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für Löschung
  • Beschreibung der technischen und organisatorischen Maßnahmen
  • Angaben des Auftragsverarbeiters
  • Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen
  • Übermittlungen von personenbezogenen Daten an ein Drittland

Beispiele und Aufbau eines solchen Verarbeitungsverzeichnis finden Sie z.B. bei der Bitkom:

Bitkom Leitfaden Verarbeitungsverzeichnis
 

Mitarbeiterdaten

Mit der DSGVO kommen auch Neuregelungen zum Mitarbeiterdatenschutz. Die neuen Vorschriften enthalten zahlreiche Pflichten und Obliegenheiten, die Arbeitgeber künftig einhalten müssen.

Es sollen nur die Daten erhoben werden, die „erforderlich“ sind.

Mitarbeiterdaten sollen nur dann verarbeitet werden, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Erlaubt ist die Verarbeitung auch dann, wenn sie für die Erfüllung gesetzlicher Rechte und Pflichten, eines Tarifvertrags oder einer Betriebs- oder Dienstvereinbarung oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, muss dabei immer anhand des konkreten Einzelfalls bestimmt werden.

Einwilligungen einholen

Wer sich den rechtlichen Unsicherheiten rund um die „Erforderlichkeit“ entziehen will, kann freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern einholen. Im Streitfall muss eine behauptete Freiwilligkeit der Einwilligung vom Arbeitgeber allerdings nachgewiesen werden.

Eine wirksame Einwilligung muss bestimmte formale Kriterien erfüllen. So muss sie grundsätzlich in Schriftform erfolgen, d. h. eigenständig unterschrieben werden. Da das allerdings nicht immer praktikabel ist, kann unter besonderen Umständen auch eine elektronische Einwilligung eingeholt werden. Zudem muss der Beschäftigte in geeigneter Form darauf hingewiesen werden, dass die Einwilligung jederzeit widerruflich ist. Schlussendlich müssen durch den Arbeitgeber bestimmte Voraussetzungen für die Widerrufserklärung geschaffen werden.

Ein Arbeitgeber muss die Einhaltung der soeben genannten Pflichten im Zweifel nachweisen können (Dokumentationspflichten). Des Weiteren sind Arbeitgeber künftig mit strengeren Informationspflichten bei Datenschutzverstößen und zahlreichen weiteren Pflichten (z.B. Löschungspflichten) konfrontiert.

Arbeitgeber sollten im Hinblick auf diese Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen (Stichwort: Compliance-Management).
 

Datenschutz bei Minderjährigen

Bei Jugendlichen unter 16 Jahren müssen die Eltern einwilligen. Dies gilt aber nur für Fälle, bei denen die DSGVO eine Einwilligung vorschreibt (z.B. für Werbung) und in der Praxis nur dann, wenn es sich um Angebote handelt, die sich direkt an Kinder und Jugendliche richten.

Bei gemischten Angeboten (für Erwachsene und Jugendliche) sind keine spezifischen Vorgaben umzusetzen.
 

Datenschutz-Folgenabschätzung

In bestimmten Fällen sind Sie verpflichtet, die Folgen der Datenverarbeitung zu bewerten und dies in einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO festzuhalten. Eine sog. DSFA ist grundsätzlich immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Dies ist z.B. bei den folgenden Konstellationen der Fall:
  • Verarbeitung von Gesundheitsdaten, Religion, Sexualität
  • Geschäftsgeheimisse
  • Profiling/Scoring
  • Strafbare Handlungen
  • u.vm.

Wann und wie eine solche Datenschutz-Folgenabschätzung im Detail durchzuführen ist, können Sie im umfangreichen Whitepaper des Forum Privatfreiheit nachlesen.
 

Einsichtsrecht und Meldepflicht

Generell haben Betroffene Anspruch auf Auskunft zu ihren gespeicherten personenbezogenen Daten (Art. 15 DSGVO).

Form der Auskunft:
  • schriftlich
  • elektronisch (E-Mail)
  • auf Verlangen mündlich
Frist der Auskunft:

Unverzüglich, aber spätestens 1 Monat nach Eingang des Antrags

Wann müssen bei Datenpannen die Betroffenen und Aufsichtsbehörden informiert werden?

Hier gelten mittlerweile strengere Anforderungen als bisher. Nach Art 33 DSGVO müssen Datenpannen gegenüber Aufsichtsbehörden unverzüglich (möglichst binnen 72 Stunden) mittels umfassender Dokumentation vorgelegt werden.

Details zum Inhalt regelt Art. 33 Abs. 5 DSGVO
 

Bußgelder und Abmahnungen

Datenschutzverstöße können abgemahnt werden!

Bei Verstößen drohen Abmahnungen und Gerichtsverfahren, denn:
  • Datenschutzrecht hat wettbewerbsrechtliche Relevanz!
  • Verstöße können auch nach der DSGVO abgemahnt werden!
Bußgelder

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des weltweiten Vorjahresumsatzes vor. Bisher haben Datenschutzbehörden den oberen Rahmen der Bußgelder nur sehr selten und bei dauerhaften Verstößen ausgereizt. Das wird sich aber sehr wahrscheinlich ändern, der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO.

Wichtig: Anfragen/Beschwerden von Nutzern ernst nehmen.

Noch wichtiger: Anfragen/Beschwerden von Datenschutzbehörden ernst nehmen.

Was sollten Sie jetzt konkret tun?

Bei der Umsetzung einer DSGVO-konformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO für Ihre Webseite unterstützen wir sie als eRecht24 Agentur-Partner — wir kümmern uns anhand Ihrer Angaben um Impressum & Datenschutz auf Ihrer Webseite, koordinieren mit Ihnen die nötigen AV-Verträge  oder klären die zukünftige Verwendung des Newsletter-Moduls unseres CMS <metatag>® mit Ihnen.

Bitte nehmen Sie bei Interesse an unserer Unterstützung zur DSGVO-Umsetzung im Web zeitnah Kontakt zu uns auf!

 

Sie wissen, dass Sie sich um Themen wie Datenschutz, Impressum, Bildrechte oder Facebook & Co. noch weitreichender kümmern müssen? Sie haben keine Zeit, alle komplizierten rechtlichen Vorgaben aufwendig selbst zu recherchieren? Sie wollen oder können nicht für jede Webseitenprüfung einen teuren Anwalt bezahlen? Sie brauchen klare Antworten, verständliche Lösungen und praktische Tools statt noch mehr Fragen?

Wir empfehlen das DSGVO-Special bei eRecht24-Premium (Partnerlink)

Mond futtert Orange
Bild zeigen

Wir verwenden Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.

×ausblenden