DSGVO: Die 3 wichtigsten Fragen und Regeln

Ein Beitrag von Wera von Witzleben. Bald tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Wir klären die drei wichtigsten Fragen und Regeln aus der Praxis, damit Sie vorbereitet sind.

Der 25. Mai 2018 und damit der Tag, an dem die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, rückt immer näher. Unternehmen, die an diesem Tag noch nicht DSGVO-fit sind, drohen hohe Strafen: Bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr können fällig werden – je nachdem, welcher Wert höher ist. Wir klären die drei wichtigsten Fragen und Regeln, damit Sie vorbereitet sind.

1. In wie weit sind Kreative und Unternehmen mit weniger als 10 Festangestellten von der DSGVO betroffen?
Auch Kreative und kleine Unternehmen müssen Verfahrensverzeichnisse führen und die Einwilligungen der betroffenen Personen einholen. Die Schreibarbeit bleibt also auch ihnen nicht erspart. Jedoch können sie auf einen eigenen Datenschutzbeauftragten verzichten. Wir empfehlen jedoch auch kleinen Unternehmen, sich von Fachleuten beraten zu lassen, die ihre interne Struktur analysieren und aufzeigen, wo Verbesserungsbedarf besteht.

2. Viele Agenturen in der Kreativwirtschaft – vor allem Kollegen aus dem Bereich Grafikdesign – arbeiten mit freien Mitarbeitern, reicht da eine Verschwiegenheitserklärung?
Sie müssen mit allen Dienstleistern einen Auftragsverarbeitungsvertrag schließen, in dem der jeweilige Partner Auskunft gibt, wie er die Daten (Ihre Kundendaten, für die Sie eine Einwilligungserklärung eingeholt haben) verarbeitet. Auch bei Ihren Freiberuflern müssen Sie also sicher sein können, dass die Daten DSGVO-konform verarbeitet werden.

3. Brauche ich teure professionelle Lösungen für Archivierung, Sicherung, Löschung und was genau erwartet mich da?
Ein neuer Punkt der DSGVO ist Privacy by Design & Privacy by Default, der besagt, dass Hardware und Software die Datensicherheit und Datensparsamkeit gewährleisten müssen. Hard- und Software sind dem Stand der Technik anzupassen. So sollte z.B. auch eine Wiederherstellbarkeit (Backup, langfristige Speicherung, z.B. NAS) und die Zuverlässgkeit der Geräte (z.B. Absicherung durch USVs) gewährleistet sein. Inwieweit Sie hier nachbessern müssen, kann Ihnen z.B. ein externer Datenschutzbeauftragter sagen. 


Regel Nr. 1: Löschen will gelernt sein
Bereiten Sie sich und Ihr Team auf den Ernstfall vor. Das neue Recht auf Vergessenwerden verlangt von Ihnen, dass Sie das Begehren eines Betroffenen auf Auskunft, Änderung und Löschung seiner Datensätze jederzeit und in jeglicher Form entgegennehmen und DSGVO-konform verarbeiten können. Egal, welche Kommunikationsform der Betroffene wählt, um Ihnen sein Anliegen entgegen zu bringen, Sie müssen organisatorisch in der Lage sein, diese Anfragen schnell und gesetzeskonform zu bearbeiten. Selbst der Facebook-Kommentar gilt im Zweifelsfall als Löschungs-Begehren. Erstellen Sie Ablaufpläne und definieren Sie ein Vorgehensweisen, die Ihr Team verinnerlichen und im Bedarfsfall auf Knopfdruck wiedergeben kann. 

Regel Nr. 2: Dokumentation ist alles
Ran an die Leitz-Ordner, denn ab jetzt wird dokumentiert, was das Zeug hält. Ihre Verfahrensverzeichnisse sollten ausführlich zu jedem Fall geführt werden und immer aktuell gehalten werden, damit Sie auf Verlangen lückenlos dokumentieren können, wer, wann welche Daten verarbeitet hat. Am besten benennen Sie einen Mitarbeiter, der sich um diesen Aufwand kümmert und Ansprechpartner ist (dies gilt auch für kleine Unternehmen und hat nichts mit dem geforderten Datenschutzbeauftragten ab 10 Mitarbeitern zu tun). Beispiele, wie ein solches Verzeichnis aussehen könnte, finden Sie im Link unten. Da dies eine offiziell empfohlene Vorlage der Aufsichtsbehörden ist, sind diese Vordrucke sicherlich ein guter Start, der DSGVO vorerst genüge zu tun. Die Vorlagen können Sie natürlich Ihren Gegebenheiten anpassen.

Regel Nr. 3: Achtung bei der Einverständniserklärung
Das schönste Verfahrensverzeichnis nutzt Ihnen nichts, wenn Ihnen die rechtliche Grundlage oder eine Einverständniserklärung für die Datenerhebung fehlt. Denn grundsätzlich ist jede Datenverarbeitung aufgrund des Rechts auf informationelle Selbstbestimmung verboten (Verbotsprinzip mit Erlaubnisvorbehalt). Die spannenden Ausnahmen finden sich in Artikel 6 der DSGVO. Hier werden die Unterpunkte a), b) und f) vermutlich am häufigsten Anwendung finden:

a) Die Einwilligung zur Datenverarbeitung einzuholen ist derzeit wohl die sicherste Methode. Auch wenn keine Schriftform vorgeschrieben ist, die Beweisbarkeit ist im Zweifelsfall einfacher, haben Sie alles ordentlich dokumentiert und archiviert. Für die elektronische Einverständniserklärung gilt das Double Opt-In Verfahren derzeit als ausreichende Dokumentation.

b) Aufatmen (nicht nur) für Shopbetreiber: Art. 6, b) erlaubt die Verarbeitung der Daten, die für die Bearbeitung z.B. einer Bestellung oder Informationsanforderung notwendig sind. Die Erlaubnis ergibt sich aus dem Kontext heraus. Ohne Lieferadresse schließlich keine Lieferung. Doch Achtung, auch hier sind Sie zur Datensparsamkeit angehalten. Es dürfen nur die Daten abgefragt werden, die zur Bearbeitung tatsächlich benötigt werden.

f) Berechtigtes Interesse, die Daten Ihrer potentiellen Leads zu erheben haben Sie als werbetreibendes Unternehmen natürlich immer. Laut DSGVO gibt es spezifische Erwägungsgründe, die beispielsweise Direktwerbung als ein derartig berechtigtes Interesse bewerten. Im E-Mail-Marketing werden Sie jedoch weiterhin die Werbe-Einwilligung des Empfängers benötigen.

Beachten sollten Sie bei der Datenabfrage Ihrer Nurturing-Strecke immer die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und der begrenzten Speicherung. Sie sollten daher auf jeder einzelnen Stufe den Zweck der Datenabfrage genau definieren und alles ordnungsgemäß in Ihre Verarbeitungsverzeichnisse aufnehmen.

Unter dem Link des BvD finden Sie die offiziellen Muster für Verzeichnisse gemäß Art. 30 der Arbeitsgruppen der Aufsichtsbehörden.

Die wichtigsten Informationen bekommen Sie auch kurz zusammengefasst auf dem Kommdirekt Entscheidertag Spezial für Top-Entscheider aus Marketing und Vertrieb am 20. April im Martinipark in Augsburg. Anmeldung hier.