DSGVO_SFH_2018
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
DAS INSIDER-MAGAZIN: NEWS • FAKTEN • HINTERGRÜNDE<br />
15.06.<br />
<strong>2018</strong><br />
DOSSIER <strong>DSGVO</strong><br />
Fachbeitrag<br />
Die wichtigsten Änderungen<br />
durch die <strong>DSGVO</strong> für den Vertrieb<br />
und die Datenverarbeitung in<br />
Unternehmen S. 4<br />
Interview<br />
Der Datenschutzbeauftragte<br />
Dr. Dennis Werner über die<br />
dringendsten To-dos für den<br />
Sportfachhandel S. 11<br />
Checkliste<br />
Kein Grund zur Panik. Wir zeigen<br />
Ihnen, wie Sie die aus der <strong>DSGVO</strong><br />
entstehenden Pflichten auch jetzt<br />
noch umzusetzen. S. 12
Wissen<br />
auf<br />
allen<br />
Kanälen<br />
Das Insider-Magazin mit<br />
News • Fakten • Hintergründen<br />
sport-fachhandel.com<br />
AUCH<br />
ALS APP<br />
APP-STORE & GOOGLE PLAY<br />
HIER<br />
DOWN-<br />
LOADEN<br />
FOTOS: ISTOCKPHOTO.COM/PEOPLEIMAGES + DASHADIMA
GRAFIK TITELSEITE: ISTOCKPHOTO.COM/PE3CHECK<br />
LESERSERVICE<br />
Fragen, Anregungen und Kritik bitte an:<br />
leserservice@sport-fachhandel.com<br />
oder an:<br />
SportCombi Verlag GmbH<br />
– Leserservice <strong>SFH</strong> –<br />
Heerstraße 5 • D-58540 Meinerzhagen<br />
Telefon +49 – (0)2354 – 7799-14<br />
VERLAG<br />
SportCombi Verlag GmbH<br />
Heerstraße 5 · D-58540 Meinerzhagen<br />
Telefon +49 – (0) 23 54 – 77 99–0<br />
Fax +49 – (0) 23 54 – 77 99–77<br />
E-Mail info@sport-fachhandel.com<br />
Internet www.sport-fachhandel.com<br />
CHEFREDAKTEUR (V.I.S.D.P.)<br />
Andreas Mayer +49 – (0) 23 54 – 77 99-16<br />
a.mayer@sportcombi.de<br />
REDAKTION<br />
Marcel Rotzoll, Astrid Schlüchter<br />
ANZEIGEN<br />
SportCombi Verlag GmbH<br />
Heerstraße 5 · D-58540 Meinerzhagen<br />
Telefon +49 – (0) 23 54 – 77 99–0<br />
Fax +49 – (0) 23 54 – 77 99–77<br />
E-Mail anzeigen@sportcombi.de<br />
AP Ulrich Onnasch (Ltg.) (DW –21)<br />
u.onnasch@sportcombi.de<br />
Sylvia Triebel (DW –20)<br />
s.triebel@sportcombi.de<br />
Astrid Eisenblätter (DW –14)<br />
a.eisenblaetter@sportcombi.de<br />
Erik Hornung – Non Sport Products/<br />
Tourismus (DW –13)<br />
e.hornung@sportcombi.de<br />
GESCHÄFTSFÜHRUNG<br />
Dipl. Kfm. Thomas Brinkmann<br />
LAYOUT henrich.media GmbH<br />
sportFACHHANDEL erscheint 16 mal/Jahr.<br />
Zur Zeit ist der Anzeigentarif<br />
Nr. 9 vom 1. September 2017 gültig.<br />
EINZELHEFT Deutschland, Österreich,<br />
Schweiz € 6,–<br />
ABONNEMENTBESTELLUNG UND<br />
LIEFERUNGSREKLAMATIONEN<br />
SportCombi Verlag GmbH<br />
Heerstraße 5 · D-58540 Meinerzhagen<br />
Telefon +49 – (0) 23 54 – 77 99–0<br />
Fax +49 – (0) 23 54 – 77 99–77<br />
E-Mail abo@sport-fachhandel.com<br />
Internet www.sport-fachhandel.com/abo<br />
JAHRESABO Deutschland, Österreich und<br />
Schweiz 98,- €<br />
BESTELLUNG VON EINZELHEFTEN<br />
nur gegen V-Scheck<br />
(Preis = Anzahl Hefte x 6,– € +<br />
einmalig 2,50 € für Versand u. Verpackung<br />
innerhalb Deutschlands, Österreich, Schweiz,<br />
bei: SportCombi Verlag GmbH, Meinerzhagen<br />
Bei Nichtbelieferung ohne Verschulden des<br />
Verlages oder infolge von Störungen des<br />
Arbeitsfriedens bestehen keine Ansprüche gegen<br />
den Verlag.<br />
Copyright für alle Beiträge: SportCombi Verlag<br />
GmbH. Alle Verlags- und Nutzungsrechte liegen<br />
beim Verlag. Vervielfältigung, Speicherung und<br />
Nachdruck redaktioneller Beiträge und Nutzung<br />
der Daten in elektronischen Medien nur mit<br />
schriftlicher Genehmigung der SportCombi<br />
Verlag GmbH.<br />
Gerichtsstand: Iserlohn<br />
Für unverlangt eingesandte Manuskripte und<br />
Bilder wird nicht gehaftet. Anspruch auf Ausfallhonorar,<br />
Archivgebühren und dgl. besteht nicht.<br />
Namentlich gekennzeichnete Beiträge müssen<br />
nicht die Meinung der Redaktion wiedergeben.<br />
Änderungen und Kürzungen der Manuskripte<br />
behält sich die Redaktion vor.<br />
sportFACHHANDEL ist ein Titel der<br />
Die Titel der SportCombi:<br />
Juni <strong>2018</strong> <strong>DSGVO</strong> | DOSSIER | 3<br />
<strong>DSGVO</strong>:<br />
Jetzt aber!<br />
Am 25. Mai war der Stichtag zur Umsetzung<br />
der Datenschutz-Grundverordnung, die für alle<br />
EU-Mitgliedstaaten verbindlich ist. Und auch wenn<br />
das Gesetz bereits seit zwei Jahren bekannt war,<br />
brach kurz vor dem Stichtag vielerorts Hektik aus.<br />
Nach wie vor herrscht teils große Unsicherheit, ob<br />
die Regelungen der <strong>DSGVO</strong> auch auf das eigene<br />
Unternehmen Auswirkungen haben. Die Antwort<br />
ist in der Regel ein einfaches: Ja.<br />
Denn jedes Unternehmen, das<br />
personenbezogene Daten verarbeitet, muss<br />
sich an die neuen Vorgaben halten. Auch und<br />
insbesondere der Sportfachhandel. In Zeiten von<br />
Onlineshops, Kundenkarten oder Newsletter-<br />
Angeboten verarbeitet nahezu jeder Fachhändler<br />
personenbezogene Daten.<br />
Die Auswirkungen der <strong>DSGVO</strong> haben Sie<br />
bereits sicher im privaten Bereich bemerkt: Viele<br />
Newsletter-Versender haben nochmals explizit<br />
nachgefragt, ob Sie weiterhin Benachrichtigungen<br />
erhalten wollen oder ob Ihre Kontaktdaten<br />
weiterhin benutzt werden dürfen.<br />
Noch kurz vor Inkrafttreten der <strong>DSGVO</strong> hatten<br />
laut einer Studie 87 Prozent von 606 befragten<br />
mittleren und großen Unternehmen aus zwölf<br />
verschieden Branchen ihre Prozesse noch nicht<br />
an die neuen Vorgaben angepasst. Die Zahl dürfte<br />
zwar mittlerweile kleiner geworden sein. Dass<br />
aber alle Unternehmen up to date sind, ist eher<br />
unwahrscheinlich.<br />
Gehören Sie dazu?<br />
Falls Sie noch Nachholbedarf in Sachen <strong>DSGVO</strong><br />
haben, gilt: Keine Panik. Schnell handeln sollten<br />
Sie trotzdem. Dafür haben wir in diesem E-Paper<br />
das nötige Rüstzeug für Sie zusammengetragen.<br />
FLÜSSE<br />
Ihr sportFACHHANDEL-Team<br />
TEAM<br />
SPORT
4 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
Am 25. Mai war Stichtag zur<br />
Umsetzung der Datenschutzgrundverordnung.<br />
Jeder<br />
Unternehmer muss seitdem<br />
die daraus resultierenden<br />
und europaweit geltenden<br />
Vorschriften und Pflichten<br />
beachten.<br />
FOTO: PE3CHECK2/ISTOCKPHOTO.COM<br />
<strong>DSGVO</strong> IM ÜBERBLICK<br />
Ein Schreckgespenst<br />
für den Fachhandel?<br />
Ein Überblick über ausgewählte Änderungen im Datenschutzrecht sowohl für den Vertrieb als auch die<br />
Datenverarbeitung im Unternehmen.<br />
Text:<br />
Marco Müller-ter Jung,<br />
Nico Czajkowski<br />
Tagesaktuelle News:<br />
sport-fachhandel.com<br />
APP-STORE & GOOGLE PLAY<br />
Datenschutz-Grundverordnung oder <strong>DSGVO</strong>;<br />
diese Wörter bzw. ihre Abkürzung geistern<br />
seit Monaten in der Presse, auf Tagungen<br />
und in den Führungsetagen der Unternehmen umher.<br />
Das neue Datenschutzrecht ist in aller Munde,<br />
doch viele Unternehmen haben die Zeit, seitdem<br />
die <strong>DSGVO</strong> in ihrer endgültigen Fassung bekannt<br />
ist (Mai 2016), genutzt, um den Unternehmensbetrieb<br />
daran anzupassen.<br />
Stichtag für die <strong>DSGVO</strong> Compliance eines Unternehmens<br />
war der 25. Mai <strong>2018</strong>. Seit diesem Tag hat<br />
die <strong>DSGVO</strong> das Bundesdatenschutzgesetz (kurz:<br />
„BDSG“) sowie alle weiteren nationalen Datenschutzgesetze<br />
aller EU-Mitgliedstaaten endgültig<br />
abgelöst. Ziel dieser Verordnung ist es, das Schutzniveau<br />
der Daten natürlicher Personen in der<br />
ganzen EU auf ein einheitliches Level zu heben.<br />
Flankiert wird die <strong>DSGVO</strong> zudem von nationalen<br />
Datenschutzgesetzen, die die einzelnen Mitgliedstaaten<br />
im Einklang und zur Ergänzung der <strong>DSGVO</strong><br />
erlassen mussten bzw. durften. In der Bundesrepublik<br />
Deutschland ist daher ab Mai <strong>2018</strong><br />
ebenfalls das Bundesdatenschutzgesetz <strong>2018</strong><br />
(„BDSG-<strong>2018</strong>“) bei der Verarbeitung personenbezogener<br />
Daten zu beachten.<br />
Was bedeutet dies nun für den<br />
Sportfachhandel?<br />
Von der Verordnung betroffen ist jedes Unternehmen,<br />
das personenbezogene Daten verarbeitet. Dies
Juni <strong>2018</strong> <strong>DSGVO</strong> | DOSSIER | 5<br />
ist nahezu in jedem Unternehmen der Fall. Denn<br />
mit den Datenschutzgesetzen wird nicht nur die<br />
Verarbeitung von Kundendaten, etwa im Online-<br />
Vertrieb und für Marketing-Zwecke, erfasst.<br />
Vielmehr fallen hierunter zum Beispiel auch die<br />
Verarbeitung derjenigen Daten natürlicher<br />
Personen, die im Rahmen der Zusammenarbeit<br />
zwischen Unternehmen, etwa innerhalb eines<br />
Vertriebssystems, für das jeweilige Unternehmen<br />
tätig werden, sowie die Verarbeitung der Daten der<br />
eigenen Beschäftigten.<br />
Eine Umsetzung der geltenden datenschutzrechtlichen<br />
Vorgaben ist daher zwingend, um den<br />
scharfen Sanktionsmöglichkeiten der Aufsichtsbehörden<br />
aus dem Weg zu gehen. Nachfolgend<br />
werden ausgewählte Änderungen und Problemfelder<br />
des neuen Datenschutzrechts in einem<br />
kurzen Überblick vorgestellt.<br />
Wie teuer wird es? Haftung und<br />
Sanktionen nach der <strong>DSGVO</strong>.<br />
Das Wichtigste vorab: Die möglichen Sanktionen<br />
werden deutlich verschärft. Die <strong>DSGVO</strong> wird den<br />
Datenschutz-Aufsichtsbehörden in Zukunft die<br />
Möglichkeit geben, Bußgelder in empfindlichen<br />
Höhen zu verhängen. Das bislang geltende BDSG<br />
ließ Bußgelder bis zu einer Höhe von 300.000 Euro<br />
zu. Die <strong>DSGVO</strong> hingegen gibt den Datenschutz-<br />
Aufsichtsbehörden das nötige Werkzeug an die<br />
Hand, um bei Verstößen Strafzahlungen in einer<br />
Höhe von bis zu 20 Millionen Euro zu verhängen.<br />
Alternativ zu diesem Betrag kann die Behörde<br />
auch ein Bußgeld in Höhe von bis zu 4 Prozent des<br />
gesamten weltweit erzielten Jahresumsatzes des<br />
Unternehmens, gemessen an dem vorherigen<br />
Geschäftsjahr, verhängen. Je nachdem, welcher<br />
Betrag höher ist. Aus dieser Änderung lässt sich<br />
der Stellenwert der Daten und des Datenschutzes<br />
im 21. Jahrhundert sowie die Ernsthaftigkeit der<br />
Umsetzung der <strong>DSGVO</strong> ablesen.<br />
Wer ist betroffen?<br />
Die <strong>DSGVO</strong> verfolgt das Ziel, die Daten von natürlichen<br />
Personen zu schützen und vor ungewollter<br />
oder unrechtmäßiger Verarbeitung zu bewahren.<br />
Das Begriffspaar „personenbezogene Daten“<br />
bleibt auch unter der <strong>DSGVO</strong> so weitreichend, wie<br />
bereits aus dem deutschen BDSG bekannt. Kurz<br />
gesagt, unterfallen alle Informationen dem Schutz<br />
der <strong>DSGVO</strong>, die sich auf eine identifizierte oder<br />
identifizierbare natürliche Person beziehen. Daten<br />
über juristische Personen fallen demnach weiterhin<br />
nicht in diesen Schutzbereich.<br />
Neue und verschärfte Pflichten für<br />
das Unternehmen: Rechenschaft,<br />
Dokumentation und Folgenabschätzung<br />
Die Regelungen der <strong>DSGVO</strong> hat jedes Unternehmen<br />
(auch: „Verantwortlicher“) zu beachten, das Daten<br />
in einer Niederlassung innerhalb der EU verarbeitet<br />
sowie jedes Unternehmen, das zwar über keine<br />
Niederlassung in der Union verfügt, jedoch Waren<br />
und Dienstleistungen in der EU anbietet oder<br />
personenbezogene Daten von natürlichen Personen,<br />
die sich im Gebiet der EU befinden, verarbeitet.<br />
Das bereits bekannte Sitzland-Prinzip wird durch<br />
die <strong>DSGVO</strong> also auch um das sog. Marktortprinzip<br />
erweitert, sodass die Regelungen der <strong>DSGVO</strong><br />
ebenfalls bei der Datenverarbeitung durch außereuropäische<br />
Anbieter greifen.<br />
Unternehmen sind dazu verpflichtet, die Grundsätze<br />
der Datenverarbeitung nach der <strong>DSGVO</strong><br />
einzuhalten. Dazu zählen insbesondere die bereits<br />
nach dem BDSG bekannten Grundsätze der Rechtmäßigkeit,<br />
Transparenz und Zweckbindung der<br />
Datenverarbeitung. Neu ist hingegen, dass den<br />
Verantwortlichen hinsichtlich der Einhaltung<br />
dieser Grundsätze eine Rechenschaftspflicht<br />
(„Accountability“, Art. 5 Abs. 2 <strong>DSGVO</strong>) trifft, er also<br />
die Einhaltung der Grundsätze der <strong>DSGVO</strong> nachweisen<br />
können muss.Kann er dies nicht, drohen<br />
Sanktionen nach dem oben dargelegten Maßstab.<br />
Zudem ist der Verantwortliche dazu verpflichtet,<br />
geeignete technische und organisatorische Maßnahmen<br />
zu ergreifen, um sicherzustellen und den<br />
Nachweis dafür erbringen zu können, dass die<br />
Datenverarbeitung in seinem Unternehmen nach<br />
Maßgabe der <strong>DSGVO</strong> erfolgt. Der Nachweis einer<br />
ordnungsgemäßen Datenverarbeitung kann dem<br />
Unternehmen im Falle einer vermeintlichen<br />
Datenverletzung auch zur Exkulpation (d.h. Schuldbefreiung<br />
einer Person) dienen, wenn dadurch<br />
nachgewiesen werden kann, dass die Datenverarbeitung<br />
im Einklang mit der <strong>DSGVO</strong> erfolgte.<br />
Jedes datenverarbeitende Unternehmen wird durch<br />
die <strong>DSGVO</strong> dazu verpflichtet, ein Verzeichnis über<br />
die Verarbeitung personenbezogener Daten („Verarbeitungsverzeichnis“,<br />
Art. 30 <strong>DSGVO</strong>) zu führen.<br />
Mit einem ordentlich geführten und umfassenden<br />
Verarbeitungsverzeichnis kann zudem bereits ein<br />
Großteil der oben benannten Rechenschaftspflichten<br />
erfüllt werden. Zwar suggeriert die <strong>DSGVO</strong>,<br />
dass die Pflicht zur Führung eines Verarbeitungsverzeichnisses<br />
nur für Unternehmen mit mehr<br />
als 250 Mitarbeitern gelte. Allerdings wird diese<br />
Ausnahme zugunsten kleinerer Unternehmen nur<br />
in den wenigsten Fällen tatsächlich greifen, >>>
6 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
Tagesaktuelle News:<br />
sport-fachhandel.com<br />
APP-STORE & GOOGLE PLAY<br />
denn auch Unternehmen mit weniger als 250<br />
Mitarbeitern müssen ein Verarbeitungsverzeichnis<br />
führen, wenn sie nicht nur gelegentlich, sondern<br />
planmäßig personenbezogene Daten verarbeiten.<br />
Eine solche planmäßige Datenverarbeitung dürfte<br />
bereits bei regelmäßigem Kontakt mit Kunden oder<br />
Lieferanten sowie im Rahmen der Verwaltung von<br />
Mitarbeitern unumgänglich sein.<br />
Besteht bei einer Datenverarbeitung voraussichtlich<br />
ein hohes Risiko für die personenbezogenen<br />
Daten, hat der Verantwortliche vor der<br />
Verarbeitung eine Abschätzung der Folgen der<br />
Verarbeitung („Folgenabschätzung“) für den Schutz<br />
der personenbezogenen Daten durchzuführen und<br />
das Ergebnis zu dokumentieren. Bei typischerweise<br />
risikogeneigten Verarbeitungstätigkeiten ist eine<br />
Folgenabschätzung in jedem Fall durchzuführen.<br />
Typischerweise risikogeneigt sind etwa automatisierte<br />
Verarbeitungen und Profilbildungsmaßnahmen<br />
mit rechtlichen Folgen für den Betroffenen<br />
oder aber die umfangreiche Verarbeitung<br />
personenbezogener Daten besonderer Art, dazu<br />
gehören z. B. Daten über den Gesundheitszustand<br />
oder die ethnische Herkunft.<br />
Wie und wann dürfen Daten an Dritte<br />
weitergeben werden?<br />
Die Datenübermittlung zu Empfängern innerhalb<br />
der EU unterliegt grundsätzlich den Vorgaben der<br />
<strong>DSGVO</strong>. Insofern bringt die neue Verordnung,<br />
jedenfalls was den europäischen Binnenbereich<br />
angeht, eine Erleichterung. Eine Übermittlung<br />
personenbezogener Daten in ein Drittland, wie<br />
z. B. den USA, erfordert weitere Maßnahmen zur<br />
Rechtfertigung. Dies kann zum Beispiel der Fall<br />
sein, wenn Daten innerhalb einer Konzernstruktur<br />
an Mutter-/Tochtergesellschaften weitergegeben<br />
oder Daten bei einem Cloud-Anbieter in einem<br />
Drittland gespeichert werden.<br />
Dabei ist gewissermaßen eine zweistufige Prüfung<br />
vorzunehmen, wobei in der ersten Stufe festgestellt<br />
werden muss, ob die zu transferierenden Daten<br />
überhaupt, also auch innerhalb der EU, transferiert<br />
werden dürfen. Also etwa, ob eine ausreichende<br />
Einwilligung oder eine gesetzliche Rechtfertigung<br />
vorliegt. In der zweiten Stufe ist dann zu prüfen,<br />
ob die Voraussetzungen für einen Non-EU<br />
Transfer vorliegen. Dabei gibt es grundsätzlich<br />
mehrere Möglichkeiten, um einen solchen Transfer<br />
zu rechtfertigen. All diese Möglichkeiten haben<br />
jedoch gemein, dass sie das Ziel verfolgen, bei dem<br />
nicht in der EU ansässigen Datenempfänger ein den<br />
EU-Ansprüchen genügendes Datenschutzniveau<br />
herzustellen. So besteht ein angemessenes Datenschutzniveau,<br />
wenn die EU für ein Drittland einen<br />
sogenannten Angemessenheitsbeschluss erlassen<br />
hat.<br />
Sobald der Brexit im März 2019 vollzogen<br />
ist, wird das Vereinigte Königreich – Stand jetzt<br />
– ebenfalls als Drittland zu behandeln sein. Dies<br />
hat zur Folge, dass der Transfer von Daten zu<br />
Unternehmen mit Sitz im Vereinigten Königreich<br />
ebenfalls an zusätzliche Voraussetzungen geknüpft<br />
ist, die über die rechtlichen Vorgaben der <strong>DSGVO</strong><br />
hinsichtlich eines Datentransfers innerhalb der EU<br />
hinausgehen. Ein Unternehmen, welches Daten<br />
nach England, Schottland, Wales oder Nordirland<br />
übermitteln möchte, muss dann dafür Sorge tragen,<br />
dass diese weiteren Voraussetzungen erfüllt sind.<br />
Ein Angemessenheitsbeschluss hinsichtlich des<br />
Datenschutzniveaus im Vereinigten Königreich ist<br />
noch nicht absehbar.<br />
Sofern für ein Drittland kein Angemessenheitsbeschluss<br />
vorliegt, kann das datenübermittelnde<br />
Unternehmen zusammen mit dem Datenempfänger<br />
durch geeignete Garantien selbst<br />
Maßnahmen treffen, um das erforderliche Datenschutzniveau<br />
zu erreichen.<br />
Eine Möglichkeit ist die Verwendung der EU-Standarddatenschutzklauseln,<br />
um den Datenempfänger<br />
dazu zu verpflichten, das Datenschutzniveau der<br />
<strong>DSGVO</strong> bei der Datenverarbeitung zu erreichen und<br />
einzuhalten.<br />
Auch die Etablierung von verbindlichen<br />
internen Datenschutzvorschriften – sog. Binding<br />
Corporate Rules, auch BCR genannt – innerhalb eines<br />
Konzerns wird nach der <strong>DSGVO</strong> vereinfacht. Solche<br />
internen Vorschriften sind künftig aufgrund des<br />
durch die <strong>DSGVO</strong> eingeführten Koheränzverfahrens<br />
in allen Mitgliedstaaten wirksam und gültig, sofern<br />
ein Mitgliedstaat diese vom Unternehmen selbst<br />
auferlegten Regelungen zertifiziert hat.<br />
Eine weitere geeignete Garantie zum Schutz<br />
personenbezogener Daten kann durch die Verwendung<br />
von genehmigten Verhaltensregeln (Code of<br />
Conduct) erfolgen. Diese Verhaltensregeln sind von<br />
Verbänden und Vereinigungen aufzustellen und<br />
müssen insbesondere Rechtsschutzmöglichkeiten<br />
für die Betroffenen der Datenverarbeitung umfassen.<br />
Der Datenverantwortliche hat dafür Sorge<br />
zu tragen, dass sich der Datenempfänger an diese<br />
Verhaltensregeln bindet. Dies kann etwa durch eine<br />
vertragliche Vereinbarung geschehen.<br />
Zudem ist es möglich, bestimmte Verarbeitungsvorgänge<br />
zertifizieren zu lassen. Durch diese<br />
Zertifizierung wird dem Datenempfänger eine<br />
Datenverarbeitung nach den Vorgaben der <strong>DSGVO</strong><br />
bescheinigt. Zusätzlich zur Zertifizierung muss<br />
allerdings auch rechtlich verbindlich – etwa durch<br />
einen Vertrag – sichergestellt werden, dass der<br />
Datenempfänger die Zertifizierungskriterien auch<br />
tatsächlich einhält.<br />
Dem deutschen Datenschutzrecht bislang unbekannt<br />
war das Konstrukt der gemeinsamen<br />
Verantwortlichkeit hinsichtlich der Verarbeitung
© Daniel Ernst - Fotolia<br />
Mein sportFACHHANDEL<br />
BRANCHEN-NEWS<br />
100 %<br />
INDIVIDUELL<br />
Ob am Bildschirm oder mobil, mit „Mein sportFACHHANDEL“ können Sie den Nachrichtendienst von<br />
sportFACHHANDEL auf Ihre ganz persönlichen Bedürfnisse hin individualisieren und konfigurieren. So geht’s:<br />
1Registrieren Sie sich auf<br />
sport-fachhandel.com<br />
Legen Sie fest,<br />
2wie häufig<br />
Sie per E-Mail<br />
benachrichtigt<br />
werden wollen oder<br />
ob Sie die News per<br />
Push-Nachricht<br />
auf Ihr mobiles<br />
Endgerät erhalten<br />
möchten.<br />
Über „Mein <strong>SFH</strong>-Verwaltung“ können Sie nun<br />
3 beginnen, Personen oder Unternehmen ganz nach<br />
Ihre individuellen Bedürfnissen auszuwählen.<br />
4Geben Sie dazu den Personen-Nachnamen oder<br />
Unternehmen Ihrer Wahl in die Suchmaske ein,<br />
lassen sich alle Artikel anzeigen und bestätigen Sie Ihre<br />
Wahl durch Klick auf den MERKEN-Button<br />
5Sie können über den Reiter Mein <strong>SFH</strong> jederzeit<br />
Personen und Unternehmen in Ihrer<br />
persönlichen Liste ergänzen oder entfernen.<br />
News maßgeschneidert,<br />
z.B. über …<br />
… nur mein Sortiment<br />
… nur meine Firma<br />
… nur meine Konkurrenz<br />
… nur Schuhe<br />
… nur Newcomer ...<br />
sport-fachhandel.com
8 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
Die <strong>DSGVO</strong> soll helfen,<br />
die Daten von natürlichen<br />
Personen zu schützen<br />
und vor ungewollter oder<br />
unrechtmäßiger Verarbeitung<br />
zu bewahren.<br />
personenbezogener Daten. Diese Möglichkeit der<br />
Verantwortungsteilung führt die <strong>DSGVO</strong> nunmehr<br />
ein (sog. „Joint-Controllership“). Zwar kann durch<br />
das Joint-Controllership keine Datenübermittlung<br />
zwischen zwei Unternehmen gerechtfertigt werden,<br />
jedoch gibt es den Unternehmen und ihren<br />
Partnern die Möglichkeit, eine an das Geschäftsmodell<br />
angepasste Verantwortlichkeit hinsichtlich<br />
der zu verarbeitenden Daten in einem Vertrag zu<br />
vereinbaren.<br />
Auftrags(daten)verarbeitung<br />
Von der Datenübertragung an Dritte zu unterscheiden<br />
ist die Auftragsverarbeitung von Daten. Diese<br />
technische Feinheit liegt darin begründet, dass ein<br />
Auftragsverarbeiter, im Gegensatz zu einem dritten<br />
Datenempfänger, nicht eigenverantwortlich mit<br />
den Daten verfahren darf, sondern diesbezüglich<br />
den Weisungen des Datenverantwortlichen untersteht.<br />
Daher sieht das Gesetz in dieser Konstruktion<br />
rechtlich keine Weitergabe der Daten an Dritte.<br />
Das bereits aus dem BDSG bekannte Konstrukt der<br />
Auftragsdatenverarbeitung, welches i. d. R. bei der<br />
Verarbeitung der Daten durch ein externes Unternehmen<br />
– etwa im Bereich von Cloud-Services –<br />
zur Anwendung kommt, erfährt durch die <strong>DSGVO</strong><br />
Neuerungen. Verträge die bislang zur Vereinbarung<br />
einer Auftragsdatenverarbeitung verwendet<br />
wurden, sollten an die neue Verordnung angepasst<br />
werden. Von größerer Bedeutung ist die Änderung,<br />
dass künftig nicht mehr nur der Auftraggeber im<br />
Außenverhältnis für eine Datenpanne haftet,<br />
sondern fortan ebenfalls der Auftragverarbeiter in<br />
die Verantwortung gerät.<br />
Die Rechte des Betroffenen<br />
Die <strong>DSGVO</strong> bezeichnet denjenigen als Betroffenen,<br />
dessen Daten verarbeitet werden. Die Rechte der<br />
Betroffenen gegenüber den Datenverantwortlichen<br />
erfahren durch die <strong>DSGVO</strong> eine deutliche Stärkung:<br />
Eine Erweiterung des Rechts der Löschung auf das<br />
Recht auf Vergessenwerden führt dazu, dass der<br />
Verantwortliche auf Wunsch des Betroffenen nicht<br />
nur dessen Daten in seinem System zu löschen
Juni <strong>2018</strong> <strong>DSGVO</strong> | DOSSIER | 9<br />
FOTOS: DWF<br />
hat. Sofern der Datenverantwortliche die Daten<br />
öffentlich gemacht oder weitergegeben hat, trifft<br />
ihn zudem die Pflicht, angemessene Maßnahmen<br />
zu ergreifen, um weitere für die Datenverarbeitung<br />
Verantwortliche über den Löschungswunsch zu<br />
informieren. Mit dieser Pflicht geht unter Umständen<br />
ein erhöhter Aufwand einher. Neu ist ebenfalls<br />
das Betroffenenrecht auf Datenportabilität. Dieses<br />
Recht gewährt dem Betroffenen die Möglichkeit,<br />
ihn betreffende personenbezogene Daten, die<br />
einem Datenverantwortlichen bereitgestellt wurden,<br />
herauszuverlangen, wobei ihm diese Daten in<br />
einem gängigen und maschinenlesbaren Format<br />
bereitgestellt werden müssen. Hintergrund dieses<br />
Rechts ist, dass es dem Betroffenen möglich sein<br />
soll, z. B. problemlos zwischen Anbietern verschiedener<br />
Dienste zu wechseln und nicht von einem<br />
Wechsel abgehalten zu werden, weil er ansonsten<br />
auf die bislang erhobenen, verarbeiteten und ausgewerteten<br />
Daten verzichten müsste. Als Beispiel für<br />
eine solche Dienstleistung lassen sich etwa Sportoder<br />
Fitnessapps bzw. Gesundheitsapps nennen.<br />
Aus den Betroffenenrechten ergeben sich spiegelbildlich<br />
auch neue Pflichten für die Verantwortlichen.<br />
Diese Pflichten verlangen unter Umständen<br />
FOTO: NICOELNINO/ISTOCKPHOTO.COM<br />
die Implementierung neuer Prozesse im Unternehmen,<br />
welche es ermöglichen, die rechtlichen<br />
Ansprüche des Betroffenen zu erfüllen. Wird einer<br />
Aufforderung des Betroffenen nicht entsprochen,<br />
hat dieser die Möglichkeit sich bei der Aufsichtsbehörde<br />
zu beschweren. Diese wiederrum kann<br />
dann ein Bußgeld festsetzen. Darüber hinaus ist es<br />
einem Betroffenen nach dem neuen Datenschutzrecht<br />
möglich, selbst Schadenersatz von dem Unternehmen<br />
– etwa wegen nicht vorgenommener oder<br />
verzögerter Datenherausgabe – zu verlangen.<br />
Informationspflichten und<br />
Datenschutzerklärungen<br />
Die <strong>DSGVO</strong> verpflichtet Unternehmen zu weitergehenden<br />
Informationspflichten gegenüber den<br />
Betroffenen, als dies bislang der Fall war. So muss<br />
der Datenverantwortliche den Betroffenen zum<br />
Zeitpunkt der Erhebung mehr Informationen im<br />
Kontext der Datenverarbeitung mitteilen, als dies<br />
nach bislang geltendem Recht der Fall war. Diese<br />
Änderung wirkt sich vor allem im Bereich der<br />
Online-Datenschutzerklärung z.B. für Webseiten<br />
aus. So ist es seit Mai <strong>2018</strong> verpflichtend, u. a. die<br />
Kontaktdaten des Datenschutzbeauftragten, die<br />
Rechtsgrundlage der Datenverarbeitung sowie<br />
die voraussichtliche Dauer der Datenspeicherung<br />
anzugeben.<br />
Im Hinblick auf den Online-Bereich des Datenschutzes<br />
wird die angekündigte „E-Privacy<br />
Ver ordnung“ der EU mit Spannung erwartet.<br />
Aus dieser EU-Verordnung werden sich wichtige<br />
Pflichten für den Betrieb von Webseiten und<br />
anderen Telemedien ergeben, die es sodann<br />
zusätzlich zu beachten gilt.<br />
Datenschutz im Beschäftigungskontext<br />
Die Regelungen zum Beschäftigtendatenschutz<br />
ergeben sich nicht direkt aus der <strong>DSGVO</strong>, sondern<br />
aus dem BDSG <strong>2018</strong>. In diesem Datenschutzbereich<br />
waren die EU-Mitgliedstaaten dazu aufgefordert,<br />
eigene Regelungen zu treffen. Die <strong>DSGVO</strong> gibt den<br />
Mitgliedstaaten dabei allerdings einen Rahmen vor,<br />
in dem sich die nationalstaatlichen Regelungen<br />
bewegen müssen. So haben die Vorschriften die<br />
berechtigten Interessen und die Grundrechte der<br />
Arbeitnehmer angemessen zu berücksichtigen.<br />
Auch muss die Verarbeitung der Beschäftigtendaten<br />
transparent sein.<br />
Neu ist in dieser Hinsicht, dass nach den neuen<br />
Datenschutzgesetzen die Datenverarbeitung aufgrund<br />
von Kollektivvereinbarungen zulässig ist.<br />
Andererseits wurden vom Gesetzgeber die Anforderungen<br />
an die Freiwilligkeit einer Einwilligung<br />
seitens des Beschäftigten teilweise verschärft.<br />
DIE AUTOREN:<br />
Die Autoren sind Rechtsanwälte<br />
der internationalen<br />
Wirtschaftssozietät DWF.<br />
DWF ist eine Fullservicekanzlei,<br />
die weltweit an<br />
26 Standorten vertreten<br />
ist und ihre Mandanten<br />
grenzüberschreitend<br />
zu allen Bereichen des<br />
Wirtschaftsrechts berät.<br />
Marco Müller-ter Jung,<br />
LL.M. (Informationsrecht) ist<br />
Fachanwalt für IT-Recht und<br />
berät Unternehmen rechtlich<br />
bei der Entwicklung neuer<br />
innovativer Technologien,<br />
etwa in den Bereichen Additive<br />
Manufacturing, Autonomous<br />
Driving, IT- und Cyber-Security,<br />
IoT/Robotics/Automatisierung<br />
und Big Data. Nico Czajkowski,<br />
LL.M. berät zu Fragen des<br />
Lauterkeits- und Markenrechts,<br />
sowie zum Datenschutzrecht.<br />
Marco Müller-ter Jung<br />
Nico Czajkowski
10 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
Die <strong>DSGVO</strong> vereinheitlicht die<br />
Datenschutzbestimmungen<br />
innerhalb der EU. Eine Übermittlung<br />
personenbezogener Daten in ein<br />
Drittland erfordern jedoch weitere<br />
Maßnahmen zur Rechtfertigung.<br />
An der Transparenzvorgabe müssen sich insbesondere<br />
die Betriebsvereinbarungen mit den Arbeitnehmern<br />
messen lassen und für den Angestellten<br />
klar zu erkennen geben, welche ihn betreffenden<br />
personenbezogenen Daten erhoben, verwendet,<br />
eingesehen oder anderweitig verarbeitet werden<br />
sollen.<br />
Die Rechtsgrundlage zur Datenverarbeitung für<br />
Zwecke des Beschäftigungsverhältnisses ergibt<br />
sich künftig aus dem BDSG <strong>2018</strong>. Danach dürfen<br />
personenbezogene Daten des Beschäftigten für die<br />
Zwecke des Beschäftigungsverhältnisses verarbeitet<br />
werden, wenn dies, kurz gesagt, für dieses<br />
Verhältnis erforderlich ist. Neben diesem Erlaubnistatbestand<br />
kann der Arbeitgeber die Datenverarbeitung<br />
auch auf die in der <strong>DSGVO</strong> benannten<br />
Verarbeitungserlaubnisse, wie z.B. die Einwilligung,<br />
stützen.<br />
Auch wenn das BDSG <strong>2018</strong> den Beschäftigtendatenschutz<br />
regelt, hat ein Unternehmen hinsichtlich<br />
der Daten seiner Arbeitnehmer – bei den<br />
Themen GPS-Tracking oder Videoüberwachung<br />
– die allgemeingültigen Vorgaben der <strong>DSGVO</strong>, insbesondere<br />
die Informations- und Betroffenenrechte<br />
der Arbeitnehmer, zu beachten.<br />
Eine besondere Neuerung liegt im Wegfall der<br />
Verpflichtung auf das Datengeheimnis, wie sie<br />
bislang nach § 5 BDSG vorzunehmen war. Weder<br />
die <strong>DSGVO</strong>, noch das BDSG <strong>2018</strong> enthalten eine<br />
mit § 5 BDSG – aus dem sich bislang die Pflicht<br />
aber auch der Inhalt des Datengeheimnisses ergab<br />
– vergleichbare Regelung. Dennoch ergibt sich die<br />
Verpflichtung der Arbeitgeber, ihre Arbeitnehmer<br />
über eine rechtskonforme Datenverarbeitung zu<br />
unterrichten, unmittelbar aus der <strong>DSGVO</strong>. Die<br />
bislang in den Arbeitsverträgen verwendeten<br />
Klauseln samt Verweis auf § 5 BDSG bedürfen<br />
daher einer entsprechenden Anpassung.<br />
Hinzu kommt, dass der Arbeitgeber nunmehr<br />
verpflichtet ist, seine Mitarbeiter regelmäßig zum<br />
Datenschutz und vertrauensvollen Umgang mit<br />
personenbezogenen Daten im Unternehmen, etwa<br />
von Kunden, zu schulen. Diesbezüglich gilt es zu<br />
prüfen, inwieweit neben den Arbeitsverträgen<br />
abgeschlossene Verpflichtungen auf das Datengeheimnis<br />
nebst dazugehöriger Merkblätter<br />
anzupassen sind und welche geeigneten Schulungsmaßnahmen<br />
der Arbeitgeber zu ergreifen und<br />
deren Durchführung zu dokumentieren hat.<br />
Was tun bei einer Datenpanne?<br />
Die Pflichten des Unternehmens<br />
Von besonderer Relevanz sind die in der <strong>DSGVO</strong><br />
festgeschriebenen Meldepflichten bei Datenpannen.<br />
Bislang bestand eine Meldepflicht nach dem<br />
alten BDSG nur in Fällen, in denen besondere Arten<br />
personenbezogener Daten (z.B. Daten über die<br />
Gesundheit oder die ethnische Herkunft einer<br />
Person) durch eine Datenpanne betroffen waren<br />
und diese Panne eine Bedrohung für die Rechte<br />
oder die schutzwürdigen Interessen der Betroffenen<br />
darstellte. Dann erst hatte der Verantwortliche<br />
die Pflicht, dies unverzüglich der zuständigen Aufsichtsbehörde<br />
sowie den Betroffenen mitzuteilen.<br />
Diese Meldepflicht wird durch die <strong>DSGVO</strong> deutlich<br />
verschärft. Nunmehr genügt es, wenn jede Art<br />
eines personenbezogenen Datenelements von einer<br />
Datenpanne betroffen ist. Dabei ist es irrelevant,<br />
ob die Datenpanne in Form eines rechtswidrigen<br />
Zugriffs, etwa durch einen Dritten, vorliegt oder<br />
aber versehentlich, durch eine unbeabsichtigte<br />
Löschung, erfolgte. Dann muss der Verantwortliche<br />
binnen 72 Stunden nach Bekanntwerden dieser<br />
Panne eine Meldung an die zuständige Aufsichtsbehörde<br />
machen, wenn es durch die Verletzung der<br />
Datensicherheit voraussichtlich zu einem Risiko<br />
für die Rechte und Freiheiten der betroffenen<br />
Person führt. Hinsichtlich der Frage, ob ein solches<br />
Risiko vorliegt, hat der Datenverantwortliche eine<br />
Prognose zu treffen. Eine Prognostizierung und gegebenenfalls<br />
daran anschließende Reaktion binnen<br />
72 Stunden nach Bekanntwerden der Datenpanne<br />
machen ein Daten-Managementsystem erforderlich,<br />
das es ermöglicht, innerhalb dieser kurzen<br />
Frist eine belastbare Prognose unter Einbeziehung<br />
aller relevanten Umstände zu treffen und zu dokumentieren<br />
sowie gegebenenfalls Informationen im<br />
erforderlichen Umfang an die Aufsichtsbehörde zu<br />
übermitteln.<br />
Eine Meldepflicht tritt nur dann nicht ein, wenn<br />
eine durch den Verantwortlichen zu stellende<br />
Prognose ergibt, dass die Verletzung einer Datenschutzvorrichtung<br />
voraussichtlich kein Risiko für<br />
die geschützten Daten bedeutet. Das Risiko einer<br />
unzutreffenden Prognose sowie die entsprechende<br />
Beweislast treffen den Verantwortlichen und sind<br />
bußgeldbewehrt.
Juni <strong>2018</strong> <strong>DSGVO</strong> | DOSSIER | 11<br />
INTERVIEW<br />
<strong>DSGVO</strong> – Welche sind die<br />
dringendsten To-do‘s?<br />
Ende Mai ist die Datenschutz-Grundverordnung (<strong>DSGVO</strong>) in Kraft getreten. Noch sind längst nicht alle<br />
Unternehmen der Branche <strong>DSGVO</strong>-konform. Wir sprachen mit Dr. Dennis Werner, einem TÜV-zertifizierten<br />
Datenschutzbeauftragten und Fachanwalt für IT-Recht, was bei der Umsetzung zu beachten ist und warum<br />
Panik unangebracht ist.<br />
Interview: Christian Bonk<br />
FOTO: JURANDO<br />
sportFACHHANDEL: Als Betreiber eines Sportgeschäfts<br />
mit eigener Webseite sind für die<br />
Umsetzung der <strong>DSGVO</strong> etliche Teilprojekte wichtig.<br />
Zu welchen Teilprojekten raten Sie zuerst?<br />
Dr. Dennis Werner: Prüfen Sie zunächst, ob Sie<br />
einen Datenschutzbeauftragten benennen müssen.<br />
Wenn ja, benennen Sie einen und melden Sie<br />
diesen bei der Aufsichtsbehörde. Prüfen Sie dann,<br />
ob Ihre Website, insbesondere Ihre Datenschutzerklärung,<br />
<strong>DSGVO</strong>-konform ist. Verpflichten Sie<br />
Ihre Beschäftigten zur Vertraulichkeit und fangen<br />
Sie dann an, ihren Dokumentationspflichten nachzukommen,<br />
indem Sie ein Verfahrensverzeichnis<br />
aufbauen und Ihre technischen und organisatorischen<br />
Maßnahmen dokumentieren. Schließlich<br />
erstellen Sie eine Übersicht Ihrer Dienstleister,<br />
die personenbezogene Daten für Sie verarbeiten,<br />
und prüfen Sie, ob Sie wirksame Auftragsverarbeitungsverträge<br />
mit diesen geschlossen haben.<br />
Besonders auf der Webseite müssen viele Textbausteine<br />
erneuert werden. Gibt es zuverlässige Quellen<br />
für rechtsverbindliche Texte, die bezahlbar sind?<br />
Ja, es gibt im Internet zahlreiche – teilweise auch<br />
kostenlose –Datenschutzerklärungsgeneratoren.<br />
Die Krux daran ist nur häufig, dass die Verwendung<br />
dieser Generatoren ein gewisses Maß an<br />
technischem und rechtlichem Verständnis für<br />
Datenschutzfragestellungen voraussetzt, was nicht<br />
bei allen Website-Betreibern und Web-Designern<br />
vorhanden ist. Eine individuell zugeschnittene<br />
Datenschutzerklärung muss aber auch nicht teuer<br />
sein. Mehr als 150 Euro sollte sie nicht kosten,<br />
wenn man keine ganz wilden Dinge auf seiner<br />
Website oder im Marketingbereich macht. Dafür<br />
ist man dann auf der sicheren Seite.<br />
Wenn die Zeit partout nicht reicht und ich mich<br />
entscheide, das komplette Projekt von externen<br />
Fachleuten erledigen zu lassen: Mit welchen Kosten<br />
muss ich rechnen? Das kommt auf den Umfang des<br />
Geschäftsbetriebes an. Der Aufwand reicht von wenigen<br />
Stunden bis zu vielen Leistungstagen. Einen<br />
richtigen Experten wird man kaum für weniger<br />
als 800 Euro am Tag bekommen. Kostengünstiger<br />
können digitale Lösungen sein, die Sie bei den<br />
meisten zu erledigenden Punkten an die Hand<br />
nehmen und persönliche Beratung nur an wenigen<br />
Stellen erforderlich machen.<br />
Wie wahrscheinlich ist es, dass ich in absehbarer<br />
Zeit von einer Behörde hinsichtlich <strong>DSGVO</strong><br />
kontrolliert werde? Sehr unwahrscheinlich, weil<br />
die personelle Ausstattung der Behörden derzeit<br />
noch dünn ist. Anlasslose Kontrollen wird es nach<br />
meiner Einschätzung auf absehbare Zeit nicht<br />
geben. Auf der anderen Seite ist die Behörde jetzt<br />
aber verpflichtet, Hinweisen nachzugehen. Solche<br />
Hinweise werden erfahrungsgemäß gerne von<br />
ausgeschiedenen Mitarbeitern oder Mitbewerbern<br />
gegeben. Größer dürfte die Gefahr von Abmahnungen<br />
sein.<br />
Jetzt ist es passiert: eine Abmahnung liegt im Briefkasten.<br />
Was ist nun unbedingt zu tun? Ruhe bewahren!<br />
Und dann einen spezialisierten Rechtsanwalt<br />
hinzuziehen. Auf keinen Fall selbst schreiben oder<br />
vorschnell eine Unterlassungserklärung abgeben.<br />
Datenschutzrecht ist eine absolute Spezialmaterie.<br />
Vieles ist äußert umstritten und jede Abmahnung<br />
bedarf einer eingehenden Einzelfallprüfung. Häufig<br />
finden sich aber Ansätze für eine erfolgreiche<br />
Verteidigung. Das wird gerade in der nächsten Zeit<br />
gelten, wenn Sachverhalte abgemahnt werden, für<br />
die es keine gesicherte Grundlage im Gesetz oder<br />
in der Rechtsprechung gibt.<br />
Wenn ich mich entscheide, die <strong>DSGVO</strong> in Eigenregie<br />
umzusetzen: Gibt es ein Art „TÜV“, der mir eine<br />
vollständige Umsetzung bescheinigt? Nein, so etwas<br />
gibt es nicht.<br />
Herr Dr. Werner, wir danken Ihnen für das<br />
Gespräch.<br />
Eine Kontrolle ist sehr<br />
unwahrscheinlich, weil<br />
die personelle Ausstattung der<br />
Behörden derzeit noch dünn<br />
ist. Größer dürfte die Gefahr<br />
von Abmahnungen sein.«<br />
Dr. Dennis Werner<br />
Dr. Dennis Werner ist<br />
Fachanwalt für IT-Recht<br />
und TÜV-zertifizierter<br />
Datenschutzbeauftragter. Er<br />
leitet das Datenschutz-Team<br />
des Legal-Tech Start-ups<br />
JURANDO.
12 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
SCHRITT FÜR SCHRITT<br />
<strong>DSGVO</strong> verpennt?<br />
... aber höchste Zeit, etwas zu tun! Denn irgendwie handeln muss jeder, der personenbezogene Daten für sein<br />
Business nutzt. Doch mit einem Konzept, sinnvollen Hilfsmitteln und zumutbarem Zeitaufwand lässt sich ein<br />
großer Teil der neuen Pflichten ganz gut umsetzen – auch jetzt noch!<br />
Text: Christian Bonk<br />
1<br />
Verarbeiten Sie personenbezogene Daten,<br />
z.B. für eine Kundendatei mit persönlichen Angaben?<br />
Es gilt der Grundsatz der Zweckbindung: Sie dürfen nur Daten verarbeiten, wenn<br />
der konkrete Zweck dafür vor der Verarbeitung feststeht und dokumentiert ist.<br />
VORSICHT FALLE<br />
Viele wollen an der <strong>DSGVO</strong><br />
verdienen und lassen sich<br />
mit dem Verweis auf ihre<br />
Auftragslage und das bereits<br />
erfolgte Inkrafttreten der<br />
<strong>DSGVO</strong> mit Traumhonoraren<br />
ihre teils fragwürdige Leistung<br />
vergüten. Hier ist genau so<br />
Vorsicht geboten wie bei<br />
dubiosen Internet-Tools, die<br />
für hohe Summen <strong>DSGVO</strong>-<br />
Sicherheit auf Knopfdruck<br />
versprechen. Viel besser fahren<br />
Sie, wenn Sie besonnen mit<br />
der Umsetzung beginnen<br />
und zunächst in Eigenregie<br />
Teilprojekte angehen. Ein<br />
ganz wichtiger Hinweis<br />
darf aber nicht fehlen: Mit<br />
diesen Anhaltspunkten<br />
haben Sie keinen Anspruch<br />
auf Rechtssicherheit. Und<br />
es ist auf jeden Fall ratsam,<br />
sich bei individuell unklaren<br />
Punkten den Rat vom<br />
Fachmann einzuholen. Das<br />
kann ein IT-Fachanwalt, ein<br />
Datenschutzbeauftragter<br />
oder auch der Experte<br />
eines Berufsverbandes sein.<br />
Dennoch gilt: Wenn Sie damit<br />
beginnen, in Eigenregie erste<br />
Anforderungen zu erfüllen,<br />
sind Sie auf jeden Fall auf dem<br />
richtigen Weg.<br />
To do: Listen Sie die jeweiligen Tätigkeiten<br />
und Prozesse auf, bei denen<br />
2<br />
personenbezogene Daten verarbeitet<br />
werden.<br />
Beispiel: Kundendatei mit Schuhgrößen, Zweck:<br />
Bessere und professionellere Beratung beim<br />
Schuhkauf durch den Kunden durch das Wissen,<br />
welche Schuhgröße beim letzten Mal optimal<br />
gepasst hat.<br />
To do: Erstellen Sie ein Verarbeitungsverzeichnis:<br />
Hier wird alles verzeichnet,<br />
3<br />
was mit personenbezogenen Daten zu tun<br />
hat. Sie müssen dieses Verzeichnis führen.<br />
Den Mindestinhalt eines solchen Verzeichnisses können<br />
Sie in Art. 30 <strong>DSGVO</strong> nachlesen.<br />
Beispiel: Kundenkarte für Rabatt-Aktionen, Listeneintrag:<br />
372 Kunden haben eine Kundenkarte von<br />
uns, für die wir Name, Adresse und Alter abgefragt<br />
haben.<br />
To do: Sorgen Sie dafür, dass Rechner oder<br />
4<br />
Server in einem abschließbaren Raum<br />
stehen – und natürlich, dass dieser auch<br />
abgeschlossen ist. Sie müssen für ein<br />
ausreichendes Schutzniveau sorgen, um die von Ihnen<br />
gesammelten Daten ausreichend zu schützen. Auch<br />
diese Maßnahmen müssen Sie dokumentieren. Führen<br />
Sie eine Liste mit den Personen, die zu Jobzwecken<br />
Zugang zu diesem Raum haben müssen. Listen Sie<br />
zudem auf, ob Ihre Daten in einer Cloudlösung<br />
gespeichert werden und sorgen Sie für ausreichenden<br />
Schutz durch Passwörter und Zertifikate.<br />
Setzen Sie Kundenkarten ein?<br />
5<br />
Auch dazu müssten Sie Zweck, Art der<br />
Nutzung und Umfang der gespeicherten<br />
Kundendaten dokumentieren. Wie<br />
und in welchem Umfang das zu bewerkstelligen ist,<br />
finden Sie in den Informationspflichten aus Art.<br />
13/14 <strong>DSGVO</strong>.<br />
To do: Genau dokumentieren, wie, wofür und mit<br />
welchen personenbezogenen Daten Sie Ihre Kundenkarten<br />
ausstatten.<br />
Arbeiten Sie mit Dienstleistern<br />
6<br />
zusammen?<br />
To do: Überprüfen Sie, wer Ihre Kundendaten<br />
nutzt, um in Ihrem Auftrag Tätigkeiten<br />
auszuführen und erstellen Sie eine Anweisung,<br />
wie die Dienstleister mit den Daten zu verfahren haben.<br />
Schließen Sie unbedingt einen Auftragsverarbeitungsvertrag<br />
mit den Dienstleistern.<br />
Beispiel: Liefer-Service für präparierte Ski durch<br />
einen Kurierdienst aus dem Ort. Machen Sie den<br />
Dienstleister darauf aufmerksam, dass er die<br />
Adressen nur für die Auslieferung in Ihrem Auftrag<br />
nutzen darf.<br />
Erwarten Sie Anfragen<br />
7<br />
von Kunden?<br />
Viele Kunden werden im Zuge der<br />
<strong>DSGVO</strong>-Einführung aufmerksamer<br />
sein als zuvor. Sie haben nämlich umfassende<br />
Rechte auf Auskunft darüber, wie es um ihre Daten<br />
steht. Und diese Auskünfte sollten Sie jederzeit<br />
geben können.<br />
To do: Bereiten Sie sich auf Anfragen vor und stellen<br />
Sie Prozesse sicher, den Kunden schnell und verbindlich<br />
antworten zu können und gegebenenfalls Daten zu<br />
löschen.<br />
Beispiel: Kundendatei: Zeigen Sie ihrem Kunden<br />
auf Anfrage den „Datensatz“, den Sie über ihn auf<br />
dem Rechner haben.
Juni <strong>2018</strong><br />
<strong>DSGVO</strong><br />
<strong>DSGVO</strong> | DOSSIER | 13<br />
Kein Grund<br />
zur Panik ...<br />
1<br />
Haben Sie eine Internetseite?<br />
To do: Die erste Maßnahme für Ihre<br />
2<br />
Webseite ist eine aktuelle Datenschutzerklärung.<br />
Um diese zu erstellen,<br />
informieren Sie sich am besten im<br />
Internet. Es gibt unzählige Möglichkeiten, vom<br />
kostenlosen Generator für Kleinunternehmen bis hin zu<br />
kostenpflichtigen Services, die Ihnen Ihre Datenschutzerklärung<br />
individuell ans neue Recht anpassen.<br />
To do: Ein weiterer wichtiger Schritt ist<br />
3<br />
der sogenannte AVV-Vertrag – den sollten<br />
Sie umgehend mit Ihrem Provider auf den<br />
aktuellen Stand bringen. In der Regel<br />
kommt zwar der Provider damit auf Sie zu, im Zweifel<br />
fragen Sie dort aber schnell nach. Denn der bringt die<br />
„Datenverarbeitungsbeziehung“ zwischen Ihnen und<br />
diesem wichtigen Dienstleister auf den neusten Stand.<br />
Speichert Ihre Website Daten?<br />
4<br />
Welche Daten sind für den Betrieb<br />
Ihrer Website technisch unbedingt erforderlich<br />
(z.B. IP-Adresse, Datum und<br />
Uhrzeit der Anfrage, Browser, Betriebssystemversion<br />
etc.)? Legen Sie Log-Files an und was<br />
speichern Sie darin zu welchem Zweck? Wann<br />
werden die Log-Files gelöscht? Angaben hierzu<br />
müssen auf der Website mit entsprechenden<br />
Hinweisen und Textbausteinen erläutert werden.<br />
5<br />
Setzen<br />
6<br />
Haben<br />
Sie Cookies ein?<br />
Wenn ja, welche und zu welchem Zweck?<br />
Haben Sie einen Cookie-Hinweis? Der<br />
sollte unbedingt ergänzt werden.<br />
Sie eine SSL-Verschlüsselung?<br />
Wenn nicht, sollten Sie dringend eine<br />
einrichten.<br />
7<br />
Setzen<br />
Sie ein Web-Analyse-Tool<br />
(z.B. Google-Analytics) ein?<br />
Dann brauchen Sie auch dazu eine<br />
Textpassage.<br />
Verwenden Sie social- mediaplug-ins<br />
(z.B. Facebook)?<br />
8 Dann informieren Sie sich über eine<br />
„Zwei-Klick-Lösung“. So stellen Sie<br />
sicher, dass nicht schon beim alleinigen Aufrufen<br />
Ihrer Webseite Daten weitergegeben werden.<br />
9<br />
Binden<br />
10<br />
Sie YouTube-Videos ein?<br />
Dann empfiehlt sich der Einsatz des<br />
„erweiterten Datenschutzmodus“.<br />
Haben Sie eine Karte von<br />
Google-Maps eingebunden?<br />
Dann sollte auch darauf eine<br />
Textpassage eingehen.<br />
Brauchen Sie wirklich ein<br />
11<br />
Kontaktformular?<br />
Das wirft nämlich datenschutzrechtlich<br />
eine Vielzahl von Fragen auf,<br />
die Sie vermeiden, wenn Sie es entfernen.<br />
12<br />
Betreiben Sie einen Newsletter?<br />
Dann überprüfen Sie unbedingt, ob die<br />
bislang eingeholten Einwilligungen<br />
noch gültig sind.<br />
© SIMONKR/ISTOCKPHOTO.COM<br />
Weil Sport verbindet ...<br />
Combinieren Sie richtig: Nur der SportCombi Verlag bietet die einzigartige Möglichkeit,<br />
Endverbraucher- und Fachhandelskommunikation maßgeschneidert und nach Ihren<br />
eigenen, aktuellen Zielen und Bedürfnissen ausgerichtet, zu combinieren.<br />
B2C<br />
B2B<br />
sportcombi.de