Worum geht es bei der DSGVO?
Worauf bezieht sich die DSGVO genau?
User sollen nach Auffassung des Gesetzgebers die Kontrolle darüber behalten, wie ihre Daten verwendet werden. Dies soll den Schutz ihrer garantierten Grundrechte sichern. Die Folge sind strenge Anforderungen an Datenverarbeitungsverfahren, Transparenz, Dokumentation und Nutzer-Zustimmung.
- Als Unternehmen sind Sie zur Einhaltung der DSGVO verpflichtet. Ansonsten drohen Strafen.
- Sie müssen Ihre Aktivitäten zur Verarbeitung personenbezogener Daten aufzeichnen und diese Aufzeichnungen regelmäßig kontrollieren.
- Dazu gehören einerseits persönliche Daten von Nutzern, die von Ihnen verwendet werden. Aber auch die Daten von Dritten, so genannten Datenverarbeitern, müssen Sie einbeziehen.
Dritte Datenverarbeiter können zum Beispiel Software-as-a-Service-Anbieter sein. Auch eingebettete Webseitenfunktionen gehören dazu, die Besucher auf Ihrer Website tracken und dazu Profile erstellen. Sie müssen jederzeit Rechenschaft darüber ablegen können, welche Art von Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und an welche Länder und Dritte die Daten übermittelt werden.
In vielen Fällen werden personenbezogene Daten an Organisationen oder Rechtsgebiete übermittelt, die außerhalb des Geltungsbereichs der DSGVO liegen oder von der DSGVO als unangemessen betrachtet werden. In dem Fall müssen Sie die User gezielt darüber informieren. Das betrifft auch die damit verbundenen Risiken.
Wie erklären Webseiten-Nutzer ihr Einverständnis?
Eine gültige Zustimmung ist nach den Richtlinien der DSGVO eine frei gegebene, spezifische, informierte und unmissverständliche Angabe der Wünsche des Nutzers. Sie muss in Form einer eindeutigen bestätigenden Handlung erfolgen. Als Beweis dafür, dass die Zustimmung tatsächlich erteilt wurde, müssen Sie solche Einverständniserklärungen aufbewahren. Regelungen dazu hat der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) am 4. Mai 2020 verabschiedet. Das EDPB ist für die Anwendung der DSGVO in der gesamten EU zuständig und bildet die höchste Aufsichtsbehörde.
- Laut den EDPB-Guidelines drückt das Scrollen oder fortgesetzte Browsen auf einer Website noch keine gültige Zustimmung aus.
- Cookie-Banner dürfen keine vorangekreuzten Kontrollkästchen haben.
- So genannte Cookie-Walls (erzwungene Zustimmung) gelten als nicht datenschutzkonform.
Welche Rechte haben die Nutzer noch?
Einzelpersonen haben dank DSGVO das „Recht auf Datenübertragbarkeit“, das „Recht auf Datenzugriff“ und das „Recht, vergessen zu werden“. Sie können eine früher erfolgte Zustimmung zur Speicherung ihrer Daten jederzeit zurückziehen.
- Auf Wunsch eines Nutzers muss der für die Datenverarbeitung Verantwortliche die persönlichen Daten der Person löschen. Voraussetzung dafür ist, dass die Daten für den Zweck, für den sie gesammelt wurden, nicht mehr erforderlich sind.
- Kommt es in Ihrem Unternehmen zu Datenschutzverletzungen, müssen Sie die Datenschutzbehörden und die mit den Daten verknüpften Personen innerhalb von 72 Stunden darüber benachrichtigen.
- Sie sind verpflichtet, einen Datenschutzbeauftragten (DSB) einzusetzen. Er muss die Verarbeitung sensibler Daten überwachen und die Einhaltung der DSGVO in der gesamten Organisation sicherstellen.
Was bedeutet die DSGVO für meine Website?
- Wenn Ihre Website Besucher aus der EU hat, müssen Sie von jedem Nutzer das Einverständnis für die Nutzung personengebundener Daten einholen.
- Das betrifft auch Dienste Dritter wie Google oder Facebook, die auf Ihrer Seite integriert sind.
DSGVO-konform geht das nur so: Sie müssen dem Besucher vor der Verarbeitung personenbezogener Daten den Umfang und den Zweck Ihrer Datenverarbeitung in klarer Sprache beschreiben. Anschließend müssen Sie eine eindeutige Zustimmung des Nutzers einholen.
Informationen dieser Art müssen für die Besucher Ihrer Website jederzeit sichtbar bleiben. Sie können zum Beispiel Bestandteil Ihrer Datenschutzrichtlinien sein. Sie sind außerdem verpflichtet, Ihren Website-Besuchern auf benutzerfreundliche Weise die Änderung oder den Widerruf ihres Einverständnisses zu ermöglichen.
Sämtliche Einverständniserklärungen müssen protokolliert werden. Jegliche Nachverfolgung personengebundener Daten muss außerdem dokumentiert sein. Das gilt auch für die integrierten Dienste Dritter. Staaten, in die die Daten eventuell übermittelt werden, müssen angegeben werden.
Welche Hilfsmittel können Sie benutzen?
Eine nützliche Hilfe kann die Cookiebot Consent Management-Plattform (CMP) sein. Sie können damit überprüfen, ob Ihre Website mit den Vorgaben der DSGVO bezüglich Tracking und Nutzer-Zustimmung konform ist.
- Cookiebot CMP ermöglicht Ihnen, sämtliches Tracking auf Ihrer Website zu überwachen und zu dokumentieren.
- Es zeigt Ihren Website-Besuchern außerdem alle DSGVO-relevanten Informationen an.
- Sämtliche Einverständniserklärungen der User werden automatisch eingeholt und protokolliert.
Begriffserklärungen / FAQs
In der DSGVO heißt es wörtlich: Persönliche Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (,betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.
Online-Identifizierungsmerkmale wie etwa IP-Adressen gelten als personengebundene Daten, sofern sie nicht gezielt anonymisiert werden. Pseudonymisierte persönliche Daten sind ebenfalls Gegenstand der DSGVO, sofern durch eine technische Zurückentwicklung der Daten die Möglichkeit der personengebundenen Zuordnung gegeben ist.
Zu den sensiblen personenbezogenen Daten gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Ausrichtung einer Person, Gesundheitsdaten, genetische Daten und biometrische Daten.
Eine IP-Adresse oder ein Name gelten als persönliche Daten, nicht aber als sensible persönliche Daten.
- Zu den einfachen persönlich identifizierbaren Informationen (PII) gehören neben Name, Adresse, Telefonnummern und E-Mail-Adresse, Angaben zu Geschlecht und Alter auch andere Daten aus dem Lebenslauf. Außerdem zählen Daten wie die Kaufhistorie in Online-Shops, Kreditkartendaten und IP-Nummern dazu.
- Sensible PII sind Angaben zu Herkunft und ethnischem Hintergrund (nicht aber zur Nationalität), genetische und biometrische Daten, Hinweise auf politische oder religiöse Überzeugungen, gewerkschaftliche Bindungen, Angaben zu Gesundheit und sexueller Orientierung.
Datenverarbeitung ist jedweder Umgang mit persönlichen Daten, ob automatisiert oder nicht. Entsprechende Handlungen, die in der DSGVO erwähnt werden, sind zum Beispiel: Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder anderweitiges Verfügbarmachen, Ausrichten, Kombinieren, Einschränken des Löschens oder Zerstören.
Die Person, deren Daten verarbeitet werden, muss ihr Einverständnis dazu frei, informiert und eindeutig angeben können. Nur so kommt gemäß DSGVO eine klare, positiv erklärte Zustimmung zur Verarbeitung der sie betreffenden persönlichen Daten zustande.
Datenportabilität bedeutet das Recht, die eigenen personenbezogenen Daten von einem für die Verarbeitung Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Eine solche Weitergabe von Daten darf nicht behindert werden.
Unternehmen, die die Anforderungen nicht erfüllen oder ihre Bemühungen zur Einhaltung der Vorschriften nicht dokumentieren, riskieren Strafen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr. Relevant ist der jeweils höhere Betrag.
DSGVO-Checkliste: Datenschutz-Konformität in 6 Schritten
- Bereiten Sie Ihr Unternehmen vor
Informieren Sie alle relevanten Personen in Ihrem Unternehmen über die Anforderungen der DSGVO. Führen Sie Mitarbeiterschulungen zu den Grundsätzen der Cybersicherheit, des Datenschutzes nach Plan und des Datenschutzes nach Vorgabe durch. Falls Sie mehr als 250 Mitarbeiter beschäftigen, müssen Sie einen Datenschutzbeauftragten (DSB) benennen.
- Prüfen Sie Ihre Daten
Stellen Sie sicher, dass Sie wissen, wo sich alle Ihre Daten befinden, wer darauf Zugriff hat und über welche Geräte dies geschieht. Stellen Sie fest, wo personenbezogene Daten verarbeitet werden. Das schließt auch Drittverarbeiter ein. Dokumentieren Sie die Gründe für die rechtmäßige Verarbeitung und aktualisieren Sie die aktuellen Datenschutzrichtlinien.
- Überprüfen Sie Ihre Service-Partner
Stellen Sie sicher, dass Servicepartner ebenfalls DSGVO-konform arbeiten oder einer gesetzlich zugelassenen Datengesetzgebung unterliegen. Das betrifft auf Ihre Website eingebettete Dienste oder Software-as-a-Service-Anbieter. Überprüfen Sie ihre internationalen Datenflüsse und dokumentieren Sie diese.
- Holen Sie Einverständniserklärungen ein
Implementieren Sie Methoden zur Einholung, Erlangung und Aufzeichnung von Zustimmungen. Nur so befinden Sie sich in Übereinstimmung mit der DSGVO. Halten Sie klar fest, wozu jeder einzelne Nutzer seine Einwilligung gegeben hat. Geben Sie dem Nutzer die Möglichkeit, seine Einwilligung zu widerrufen oder zu ändern.
- Beachten Sie die Datenrechte
Verwenden Sie Verfahren, die es Ihrem Unternehmen ermöglichen, die Rechte der betroffenen Nutzer umzusetzen. Sie müssen also Möglichkeiten zum Zugriff auf die persönlichen Daten, zu ihrer Berichtigung oder ihrer Löschung schaffen. Dokumentieren Sie, wie die Verfahren sowohl durch Kunden wie auch durch Mitarbeiter umgesetzt werden.
- Bereiten Sie sich auf Datenschutzverletzungen vor
Stellen Sie sicher, dass Verfahren zur Aufdeckung, Untersuchung und Meldung von Datenschutzverletzungen vorhanden sind. Sie müssen in der Lage sein, die 72-Stunden-Frist der DSGVO für die Benachrichtigung einzuhalten.
DSGVO-Anforderungen erfüllen
Kurse, Schulungen, Zertifizierungen
Sie können folgende Zertifizierungen erhalten: EU GDPR Foundation (EU GDPR F) sowie EU GDPR Practitioner (EU GDPR P) – beide entsprechen der ISO 17024. Diese erlangen Sie über verschiedene Kurse wie zum Beispiel IT Governance. Die International Association of Privacy Professionals (IAPP) stellt ebenfalls Online-Schulungen bereit.
DSGVO-Konformitäts-Software
Es gibt zahlreiche Toolkits, Frameworks und Softwarelösungen, die Sie dabei unterstützen können, DSGVO-konform zu werden, zum Beispiel Responsum.
Cookiebot CMP kann Ihnen helfen, die Handhabung von Benutzerzustimmungen auf Ihrer Website zu automatisieren und Cookies und andere verwendete Tracker zu dokumentieren.