Datenschutz: Top 10-To-Dos in Vorbereitung auf die DSGVO

Noch ist es nicht zu spät – bald aber schon! Der Stichtag der DSGVO naht und lässt so manchen ins Schwitzen kommen. Mit diesen Top 10-Tipps können Onlineprinter noch einige wichtige Schritte machen.

Ob die Politik in Sachen Datenschutz kurz vor dem Inkrafttreten der neuen Verordnung noch ein paar „Vereinfachungen“ für bestimmte Gruppen regeln wird, werden die nächsten Tage noch zeigen. Fest steht aber, dass die DSGVO schon sehr bald umgesetzt sein muss, und zwar in jedem Unternehmen. An gleicher Stelle habe ich – auch mit der Unterstützung von Dr. Martin Schirmbacher – bereits über die potenziellen „Problemchen“ berichtet, die die DSGVO Onlineprintern bringen wird. Und da das Thema nun akuter denn je pocht, hat Martin Schirmbacher, Fachanwalt für IT-Recht bei Härting Rechtsanwälte und Rechtsbeistand der Initiative Online Print, eine hilfreiche Top 10-Hitliste für – gezwungenermaßen – Kurzentschlossene Umsetzer zusammengestellt.

Die DSGVO steht inzwischen unmittelbar vor der Tür und eine erstaunliche Zahl von Unternehmen ist nicht oder nur sehr unzureichend darauf vorbereitet. Viele Unternehmen, darunter auch einige Onlinedrucker, haben noch gar nichts unternommen, um sich für das neue Datenschutzrecht aufzustellen. Wer jetzt bei spezialisierten Beratern oder Anwälten anfragt, erntet nur ein ebenso hektisches wie müdes Lächeln. DSGVO-Compliance ist zum Stichtag 25. Mai nicht mehr erreichbar. In Panik muss deshalb niemand verfallen. Wichtig ist, zu priorisieren. Viele To-Dos können auch noch nach dem Wirksamwerden der Datenschutzgrundverordnung angegangen oder fertiggestellt werden.

Die folgende Liste soll dafür ein wenig Orientierung geben. Die Themen sind nach Dringlichkeit, nicht Wichtigkeit geordnet.

Top 1: Neueinholung von Opt-Ins

Nach Erwägungsgrund (171) DSGVO gelten in der Vergangenheit erteilte Einwilligungen fort, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht. Der Düsseldorfer Kreis, der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, geht davon aus, dass dies in der Regel der Fall sein wird, außer wenn die Einwilligung gegen das neue Kopplungsverbot verstößt oder sich gezielt an Minderjährige richtet. Wer bisher Opt-Ins eingeholt und dokumentiert hat, muss also keine neuen Einwilligungen einholen. Viele Re-Opt-in-Kampagnen sind unzulässig und/oder unsinnig (und vielfach auch wirkungslos). Wer ein Opt-in hat, das aber nicht ausreichend dokumentiert ist und deshalb neue Einwilligungen einholen möchte, muss das jetzt tun.

Top 2: Anpassung der Datenschutzerklärung

Die Datenschutzerklärung auf der Website von Online-Druckern muss an die DSGVO angepasst werden. Insbesondere muss darin über die Datenerhebung informiert werden. Die Anforderungen an eine transparente Verbraucherinformation sind höher als nach geltendem Recht. Zum Beispiel muss die Rechtsgrundlage für die Datenverarbeitung angegeben werden. Wenn in der Datenschutzerklärung noch vom BDSG die Rede ist, muss die Erklärung noch angepasst werden.

Top 3: AV-Vereinbarungen mit Agenturen/Tool-Anbietern

Werden personenbezogene Daten im Auftrag durch einen Toolanbieter oder andere Agenturen verarbeitet, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Der Verantwortliche gem. Art. 24 DSGVO hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Außerdem obliegt ihm eine Auswahlverantwortung dahingehend, dass er nur mit Auftragsverarbeitern arbeiten darf, die gem. Art. 28 Abs. 1 DSGVO die Durchführung geeigneter technischer und organisatorischer Maßnahmen hinreichend garantieren können.

Top 4: Cookie-Banner

Die Rechtslage zu Cookies und der Notwendigkeit einer Einwilligung ist derzeit offen. Der DSGVO lässt sich nicht wirklich entnehmen, ob ein Cookie-Banner nötig ist. Zudem ist das Verhältnis der europäischen Datenschutzregeln zum deutschen Telemediengesetz ungeklärt. Die Datenschutzbehörden halten offenbar jedes Tracking-Cookie für einwilligungsbedürftig. Das ist sicher nicht richtig, gleichwohl kann die Einführung eines Cookie-Banner empfehlenswert sein. Dabei sollte dann zwischen notwendigen Cookies (etwa für eine Warenkorbfunktion) und Tracking/Targeting-Cookies unterschieden werden.

Wer als Onlinedrucker seine Schritte bei der Umsetzung der DSGVO noch planen muss, dem bleibt wenig Zeit – eine kleine Abhilfe schafft die Dringlichkeitstabelle; Quelle: Härting Rechtsanwälte

Top 5: Rechtliche Prüfung CRM/DMP

Gemäß Erwägungsgrund (47) S. 7 kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Eine Personalisierung der Werbung kann sich deshalb unter Umständen auf ein berechtigtes Interesse stützen. Allerdings will die DSGVO den gläsernen Kunden verhindern, so dass jedenfalls bei einer tiefgreifenden Profilbildung eine Einwilligung erforderlich ist. Jedes CRM-System und jede Data Mining Plattform, in der Kundendaten gespeichert sind, sollte daher einer detaillierten rechtlichen Prüfung unterzogen werden.

Top 6: Datenschutzbeauftragter

Gemäß Art. 37 DSGVO muss ein Datenschutzbeauftragter bestellt werden, wenn die Datenverarbeitung Kerntätigkeit des Unternehmens ist. Darüber hinaus regelt § 38 BDSG-neu für Deutschland, dass dann ein Datenschutzbeauftragter erforderlich ist, wenn in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind. Bei Nichtbestellung droht ein hohes Bußgeld. Zu diesen Personen zählen etwa alle Call Center Agents, Service-Mitarbeiter oder Buchhalter. Drucker oder Packer zählen nicht dazu, auch wenn sie die Auftragsdaten sehen oder vereinzelt mit personenbezogenen Daten im Rahmen von Kundenaufträgen in Berührung kommen.

Top 7: Prozess für Auskunftsansprüche

Die allgemeinen Anforderungen an die Betroffenenrechte richten sich nach Art. 12 DSGVO. Insbesondere wird unverzügliche Auskunftserteilung gefordert, sobald jemand von seinem Recht auf Auskunft über die gespeicherten Daten Gebrauch macht. Es ist also ein unternehmensinterner Prozess zu schaffen, der eine schnelle Zusammenführung aller über den Kunden oder Interessenten gespeicherten Daten ermöglicht.

Top 8: Facebook-Plugins

Der EuGH wird demnächst über zwei wesentliche Fragen Facebook betreffend entscheiden: Wer ist für die Datenerhebung auf der Facebook-Seite eines Unternehmens verantwortlich und ist die Einbindung eines Facebook-Widgets oder des Like-Buttons eine Datenerhebung durch den Website-Betreiber und eine Datenübertragung an Facebook. Ergebnis offen. Empfehlenswert scheint, bis dahin auf eine Lösung zu setzen, die IP-Daten an das soziale Netzwerk erst nach einem Klick des Website-Nutzers vorsieht (z.B. den Shariff).

Visitenkarten sind „Butter-und-Brot-Jobs“ für viele Onlinedrucker. Entstehen durch die DSGVO neue Verpflichtungen? Quelle: letterjazz.com

Top 9: Verzeichnis der Verarbeitungstätigkeiten

Sehr wichtig, aber nicht mega-dringend ist die Fertigstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Das ist eine Konkretisierung der allgemeinen Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO und dient den Datenschutzbehörden als Ausgangspunkt von Kontrollmaßnahmen. Unabhängig von der Unternehmensgröße müssen wohl alle Online-Drucker ein solches Verzeichnis führen. Die Verpflichtung besteht nämlich immer, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Wer ständig Visitenkarten druckt, fällt darunter. Das Verzeichnis muss für jeden einzelnen Datenverarbeitungsprozess zumindest u.a. Name und Zweck der Datenverarbeitung, die Rechtsgrundlage, die Beschreibung der Verarbeitung, die Betroffenen und Empfänger, sowie Zugriffsberechtigten, die personenbezogenen Daten / Datenkategorien, die Regelfristen für die Löschung und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen beinhalten.

Top 10: Löschkonzept für Daten

Ebenfalls wichtig, aber nicht unbedingt dringend ist die Entwicklung eines Löschkonzepts: Für jedes gespeicherte Datum muss eine Löschfrist abhängig von der Rechtsgrundlage festgelegt werden. Ausnahmen gelten, wenn gesetzliche Aufbewahrungsfristen angeordnet sind. Um diese Fristen stets sauber einhalten zu können, sollten Löschkonzepte entwickelt werden. Diese müssen dann in der Praxis auch umgesetzt werden, sodass personenbezogene Daten auch tatsächlich gelöscht werden.

Summary
Datenschutz: Top 10-To-Dos in Vorbereitung auf die DSGVO
Article Name
Datenschutz: Top 10-To-Dos in Vorbereitung auf die DSGVO
Description
Noch ist es nicht zu spät – bald aber schon! Der Stichtag der DSGVO naht und lässt so manchen ins Schwitzen kommen. Mit diesen Top 10-Tipps können Onlineprinter noch einige wichtige Schritte machen.
Author
Publisher Name
beyond-print.de

4 Comments

  1. Nicht DSGVO Konform 17. Mai 2018 at 9:07 - Reply

    Mir konnte bislang keiner erklären, wozu bei einer Online-Bestellung z. B. mit Agenturkunden, die Ware an eine abweichende Lieferadresse schicken lassen ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Bei einer Online-Bestellung muss der Auftraggeber neben den AGB auch den Datenschutzbestimmungen zustimmen. Letztere können so formuliert sein, dass darin auch alle Infos eines AVV enthalten sind und diese durch Zustimmung beim Onlinekauf somit auch Bestandteil des Vertrages werden. Wozu muss dann noch ein weiterer Vertrag abgeschlossen werden?

    • Martin Schirmbacher 17. Mai 2018 at 12:16 - Reply

      Ich sehe keinen Grund, in dieser Konstellation eine AV-Vereinbarung zu schließen.
      Unabhängig davon rate ich aber von einer „Zustimmung zu den Datenschutzbestimmungen“ rate ich aber ab.

  2. Philipp Blum 16. Mai 2018 at 9:51 - Reply

    „Die Datenschutzbehörden halten offenbar jedes Tracking-Cookie für einwilligungsbedürftig. Das ist sicher nicht richtig, [..]“
    Meiner Interpretation der DSGVO sind Cookies auch personenbezogene Daten. Muessen also auch wie solche behandelt werden. Es gibt eine Moeglichkeit den Nutzer mit dem Cookie zu verbinden.

    • Martin Schirmbacher 16. Mai 2018 at 13:52 - Reply

      „Personenbezogen“ ist nicht gleich „einwilligungsbedürftig“. Die datenschutzrechtlich notwendige Rechtfertigung kann sich auch aus dem berechtigten Interesse des Websitebetreibers ergeben. Das ist gerade der Unterschied.

Hinterlasse einen Kommentar

Mit Abschicken meines Kommentars erkläre ich mich mit den Nutzungsbedingungen einverstanden.

Send this to friend