Neue DSGVO ab Mai 2018 – Wie sieht es mit der Sicherheit deiner Kundendaten aus?

Am 25.05.2018 tritt die neue Datenschutzverordnung DSGVO in Kraft. Sie stärkt die Rechte der Verbraucher und der Kunden. Wer dagegen verstößt, muss in Zukunft mit sehr hohen Bußgeldern rechnen. Solltest du als Unternehmerin oder Unternehmer mit den personenbezogenen Daten deiner Kunden arbeiten, solltest du klären, ob du sie erfassen darfst, wie du sie künftig erfasst, verarbeitest und löschst.

Als Betreiber einer Website oder eines Onlineshops, kommt mit der neuen DSGVO folgendes auf dich zu:

Das Recht auf Vergessen

Du musst in Zukunft persönliche Daten von Verbrauchern löschen, wenn der Verbraucher das wünscht und für eine weitere Speicherung keine berechtigten Gründe vorliegen. Brauchst du bestimmte Daten deiner Kunden nur für eine einmalige Aktion, beispielsweise für ein Mailing oder ein Gewinnspiel, nicht aber für deine grundlegende Geschäftstätigkeit, musst du diese erhobenen Daten im Anschluss an die Aktion wieder löschen.

Versand von Newslettern

Eine Einwilligung in den Erhalt von Newslettern darf nicht vom Vertragsabschluss abhängig gemacht werden, sofern diese nicht erforderlich für die Erfüllung des Vertrages sind. Auch nach der zum 25.05.2018 in Kraft tretenden neuen DSGVO kommst du im digitalen Bereich nicht um das Double-Opt-In-Verfahren herum. Bei einer elektronischen Einwilligung (z.B. Newsletter) ist das nur mit dem Double-Opt-In-Verfahren möglich. Hier wird jeder einzelne Schritt mit einem Zeitstempel protokolliert. Du musst bei digitalen und analogen (Marketing-)Maßnahmen die Einwilligung künftig jederzeit nachweisen können. Bereits bestehende Einwilligungen sollen auch über den 25.05.2018 hinaus weitergelten, wenn sie den Anforderungen der DSGVO schon jetzt entsprechen.

Auftragsdatenverarbeitung

Verträge mit einem Dienstleister oder Subunternehmer, z.B. mit dem der Internet-Service-Provider, der Werbe- oder Marketingagentur, der Druckerei, dem Rechenzentrum oder dem E-Mail-Dienstleiter, müssen künftig neu gefasst werden. Bei Verstößen gegen Datenschutzrecht können beide gesondert haften.

Tracking-, Analyse und Remarketing-Tools

Mit der DSGVO wird für die Verwendung der genannten Tools eine ausdrückliche Einwilligung der Nutzer erforderlich sein. Das betrifft nicht nur Cookies, sondern auch Tracker und Analysetools wie beispielsweise Google Analytics.

Einsatz eines Datenschutzbeauftragten

Ab 10 Mitarbeitern musst du einen Datenschutzbeauftragten benennen und mindestens dessen E-Mail-Adresse als Kontaktmöglichkeit anführen.

Wozu bist du noch verpflichtet?

Du musst angeben, welche Daten zu welchen Zwecken verarbeitet werden oder was z.B. mit den gespeicherten E-Mail-Adressen von wem gemacht wird. Du musst ein berechtigtes Interessen angeben, warum du zum Zwecke deiner Marketingmaßnahmen Facebook-Pixel oder Google Analytics verwendest.
In Hinblick all deine Datenverarbeitungsprozesse, musst du einen rechtlichen Bezug zur DSGVO herstellen. Du musst angeben, welche Löschfristen für die Speicherung von personenbezogenen Daten gelten und welche Datenquellen du nutzt. Du musst deine Besucher und Kunden auf deren Nutzerrechte hinweisen. Dazu zählen:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit

Außerdem musst du deine Nutzer darauf hinweisen, dass sie ein Beschwerderecht bei den zuständigen Aufsichtsbehörden haben, wenn ein Problem mit dem Datenschutz vorliegt.

Und dann wäre da noch etwas…

Damit das Ganze auch durch und durch EU-konform ist, müssen natürlich auch eine Reihe von Dokumentations- und Aufzeichnungs- und Nachweispflichten beachtet und umgesetzt werden.

Fazit und Empfehlung

Damit du dich rechtlich auf der sicheren Seite befindest, empfehlen wir dir einen Anwalt mit einer guten Expertise in Sachen Datenschutz bei der Umsetzung der DSGVO hinzuzuziehen.