Kurz gesagt geht es um die Rechte für EU-Bürger hinsichtlich des Datenschutzes. Das bedeutet, dass grundsätzlich alles was mit der Verarbeitung von persönlichen Daten zusammenhängt solange verboten ist, bis der Verbraucher nicht ausdrücklich seine Zustimmung erteilt.
Konkrete Ziele der DSGVO sind:
- Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
- Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
- Sicherstellung, dass der freie Verkehr personenbezogener Daten in der europäischen Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.
Ab wann tritt das Gesetz in Kraft?
Der Text der DSGVO wurden im Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am 20.Tag nach ihrer Veröffentlichung in Kraft, gilt jedoch verbindlich und unmittelbar ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Einer Verlängerung der Übergangsfrist ist nicht geplant.
Für wen gilt die Verordnung?
Grundsätzlich für jeden, der im Netz unterwegs ist und in jedweder Art persönliche Daten erfasst (das einfache Kontaktformular kann schon ausreichen).
Die Datenschutzgrundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt nach Art. 2 Abs. 1 für beide gleichermaßen. Hintergrund ist, dass die Datenschutzgrundverordnung dem Schutz natürlicher Personen statt juristischer Personen angesprochen werden.Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.
Was ändert sich konkret?
- Eindeutige Definition von personenbezogenen Daten: Sämtliche Daten, die der Identifizierung einer Person dient
- Mehr Rechte für natürliche Personen
- Ausdrückliche Zustimmung erforderlich
- Recht auf Vergessen
- Information, welche Daten wo und seit wann gespeichert werden
- Höhere Bußgelder bei Verstößen
- Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.
- Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass alle wirksamen Maßnahmen ergriffen werden.
- Mitteilungspflicht bei Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen darüber informieren.
- Konkrete Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist.
- Datenschutz nach Entwurf.
- Übermittlung der Daten an betroffene Personen, Kontrolle ihrer Daten
- Strengere technische und organisatorische Maßnahme
Auswirkungen am Beispiel Kontaktformular
Das Ausfüllen von Kontaktformularen ist ein klassisches Anwendungsfall bei der Sammlung von personenbezogenen Daten. Streng genommen sollte das Formular selbst nur die erforderlichen Informationen anfragen, die für eine ordnungsgemäße Bearbeitung erforderlich sind. Sie sollten klar und transparent formulieren, dass das Formular nur für den Kontakt selbst und nicht für andere Zwecke verwendet wird. Sprich, ein Extrahieren der Daten zu anderen Zwecken, wie etwa Zusenden von Info-Post und Marketing E-Mails ist nicht zulässig.
Auswirkungen am Beispiel Profiling
Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.
Das Profiling wird in Art. 22 DSGVO erfasst:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO).
Was ist jetzt zu tun?
Auf keinen Fall sollten Sie sich von der sich verbreiteten Panik erfassen lassen! 
Analysieren Sie bestehende Prozesse und erstellen Sie ein Regelwerk zur Verarbeitung von personenbezogener Datenverarbeitung. Zum Beispiel:
- erfasste personenbezogene Daten
- Daten von Drittanbietern
- Aufbewahrungsfristen für Daten
- Ort der Datenverarbeitung und -speicherung
- Sicherheit
- Anpassung der Datenschutzerklärung
Meine eigene Verpflichtung zum Datenschutz
Als Ein-Mann-Dienstleistungs-Agentur bin ich nur in einem bescheidenen Umfang betroffen und meine ergriffenen Maßnahmen sind überschaubar:
- Verzicht auf Kontaktformulare
- Keine automatische Speicherung oder Verarbeitung von personenbezogenen Daten (das gilt auch für Cookies und IP-Adressen)
- Keine Social-Sharing-Buttons
- Kein Zugriff von Web-Fonts auf fremde Server
- Ausschließlicher Einsatz von double-opt-in Verfahren im E-Mail-Marketing
- Anpassung meiner Datenschutzerklärung
Weiterführende Information
Gerne helfe ich Ihnen bei der Umsetzung zur DSGVO im Rahmen Ihres Internetauftritts. Schreiben Sie mir einfach.
