Ab dem 25.05.2018 ist die DSGVO verbindlich geltendes Recht. Bei Verstößen können Onlinehändler mit hohen Bußgeldern belangt werden.
1. Prüfen
Prüfen Sie durch unseren Fragebogen “Self Audit” welchen Bereichen und Tätigkeiten in Ihrem Unternehmen Sie in Hinblick auf die DSGVO besondere Beachtung schenken müssen. Der Fragebogen ist in wenigen Minuten durchlaufen.
2. Handeln
Bei der Erstellung des notwendigen Verzeichnisses der Verarbeitungstätigkeiten unterstützen wir Sie anhand reichhaltiger Templates als Arbeitshilfe. Sie werden von uns über Neuerungen und Aktualisierungsaufforderungen informiert.
3. Sicherheit
Die Templates sind so aufbereitet, dass Sie Zeit bei der Erstellung des DSGVO konformen Verzeichnis Ihrer Verarbeitungstätigkeiten sparen. So können Sie es schnell und komfortabel erstellen und bei Bedarf als PDF komplett drucken.
Protected Shops:
DSGVO Compliance Paket
- Generelle Prüfung der DSGVO compliance des Onlinehändlers durch entwickelten „Self-Audit“.
- Einzelne Verfahren werden mittels eines intuitiven Erstellungsprozesses individuell erstellt.
- Rechtssicherheit durch kontinuierliche Pflege und Erweiterung durch Rechtsdienstleister Protected Shops.
- Mit vorgefertigen Vorlagen (ständig erweitertes Portfolio) für gängige Verarbeitungstätigkeiten zur Webanalyse, Bestellabwicklung oder zum Newsletterversand wird Ihnen das Anlegen des Verzeichnisses für Verarbeitungstätigkeiten leicht gemacht.
Wie wir Ihnen bei der DSGVO helfen:
Alle Prozesse bei denen personenbezogene Daten verarbeitet werden, müssen in einem Verarbeitungsverzeichnis dokumentiert werden.
Das Verarbeitungsverzeichnis muss die in Art. 30 DS-GVO aufgezählten Informationen enthalten und auch Informationen zum Datenschutzniveau, also den technischen und organisatorischen Maßnahmen zum Schutz der Daten in Ihrem Betrieb.
Die Erstellung eines Verarbeitungsverzeichnisses ist komplex und mit viel Arbeit verbunden. Wir unterstützen Sie bei der Erstellung des DS-GVO konformen Verarbeitungsverzeichnisses.
Die DS-GVO sieht neue Informationspflichten vor. Daher benötigen Händler eine überarbeitete Datenschutzerklärung mit neuen Klauseln. Ohne juristische Hilfe ist die richtige Informationserteilung kaum möglich. Bis 25. Mai 2018 sollten sich Händler daher fachkundigen Beistand suchen, der bei der Anpassung der Datenschutzerklärung hilft. Wir bieten Unterstützung bei der Umsetzung der Informationspflichten an.
Kunden, die ein Rechtstext-Schutzpaket bei Protected Shops gekauft haben, bieten wir eine angepasste, DS-GVO kompatible Datenschutzerklärung für ihren persönlichen Online-Shop. Die Datenschutzerklärung kann im Rechtstextkonfigurator angepasst und nachfolgend in den Shop übertragen werden. Unsere Kunden wurden bereits per Newsletter informiert.
Wenn die Datenverarbeitung ein voraussichtlich hohes Risiko für die Betroffenen mit sich bringt (z.B. wenn Daten zur Sexualität, Religion oder politischer Einstellung erhoben werden), ist vor der Verarbeitung der Daten eine Risikobewertung vorzunehmen oder wie die DS-GVO es nennt, eine Datenschutz-Folgenabschätzung.
Mit der Datenschutz-Folgenabschätzung müssen Händler u.a. die mit der Verarbeitung verbundenen Risiken bewerten und sich um eine möglichst große Eindämmung der Gefahren bemühen.
Die Rechte der Betroffenen, also der Personen, deren Daten Sie verarbeiten, wurden mit der Einführung der DS-GVO erweitert. Dementsprechend müssen Sie sich von Ihren Kunden eine Einwilligungserklärung einholen und diese speichern, sofern Sie die Daten nicht ausschließlich zur Bearbeitung des konkreten Auftrags verarbeiten, sondern darüber hinaus zum Beispiel zur dauerhaften Kontaktaufnahme speichern wollen. Dies ist z.B. beim Newsletter-Versand erforderlich. Ihre Kunden haben zudem weitreichende Rechte auf Auskunft über die Speicherung und Weitergabe ihrer Daten, sowie ein Recht auf Löschung.
Eine Auftragsverarbeitung liegt vor, wenn Sie die Verarbeitung und Aufbereitung von personenbezogenen Daten nicht selbst durchführen, sondern von einem Dienstleister vornehmen lassen, z.B. einem Cloud-Anbieter oder einem Finanzdienstleister.
Falls Sie Daten an Dritte weitergeben, müssen Sie gegebenenfalls einen Vertrag zur Auftragsverarbeitung schließen.
Die DS-GVO zwingt alle Unternehmen dazu, technische und organisatorische Maßnahmen (im weiteren TOM) zu treffen, um die Sicherheit und den Schutz der zu verarbeitenden personenbezogenen Daten ihrer Kunden und Mitarbeiter zu gewährleisten. Dies ist an und für sich nichts Neues, besteht diese Pflicht doch schon im bestehenden Bundesdatenschutzgesetz.
Die TOM sind jedoch an die Anforderungen der DS-GVO anzupassen und betreffen unter anderem Virenschutzprogramme, Passwörter, Löschfristen oder auch Schutzmaßnahmen gegen Einbruch in Ihrem Betrieb.
Die neuen Vorgaben der DS-GVO zum Vorgehen bei Datenpannen sind deutlich strenger als die zuvor geltenden Regelungen. Sicherheitsvorfälle müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden: Im Zweifel sowohl an die betroffenen Personen als auch an die zuständigen Behörden. Jedes Unternehmen tut also gut daran, bis zum 25. Mai 2018 seine Datenschutzpraktiken zu überprüfen und anzupassen. Hierzu gehört insbesondere auch zu überprüfen, ob die technisch- und organisatorischen Maßnahmen ausreichen, um die erhobenen und verarbeiten Daten ausreichend zu schützen. Jedoch lässt sich in der Praxis auch bei großen Anstrengungen nie völlig verhindern, dass es einmal zu einer Datenpanne kommt. Sei es, dass man gehackt wurde, oder es zu einem Verlust von Daten durch einen Softwarefehler kam.
Die DS-GVO sieht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Mitarbeiter im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Beschäftigtenzahl ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn Datenvorgänge vorgenommen werden, bei welchen ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht.
Beschreibung der gesetzlichen Relevanz
Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft.
Mit der Verordnung wird das Datenschutzrecht in der EU neu geregelt und harmonisiert. Die DSGVO enthält zahlreiche Pflichten, die Online- Händler
umsetzen müssen, damit ihr Shop den neuen datenschutzrechtlichen Vorgaben entspricht. Da die Anforderungen hoch sind und die Umsetzung einiger Maßnahmen zeitintensiv ist, besteht jetzt Handlungsbedarf.
Shop-Betreiber sollten so bald wie möglich damit beginnen, ihre Datenschutzprozesse den neuen Regelungen anzupassen. Das ist notwendig, da es keine Übergangsfrist gibt.
Ab dem 25.05.2018 ist die DSGVO verbindlich geltendes Recht.
Bei Verstößen können Onlinehändler mit hohen Bußgeldern belangt werden.
1. Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Im Verzeichnis von Verarbeitungstätigkeiten werden die Verarbeitungstätigkeiten eines Unternehmens hinterlegt. Beispiele für solche Verfahren wären etwa der Bestellprozess, die Lohnbuchhaltung oder der Newsletter-Versand. Bei diesen genannten Tätigkeiten werden personenbezogene Daten erhoben und verarbeitet, diese müssen in das Verzeichnis von Verarbeitungstätigkeiten eingetragen werden. Dieses Verzeichnis soll in ähnlicher Form bereits nach aktuellen Datenschutzrecht geführt werden, dort heißt es noch „Verfahrensverzeichnis“
2. Wer ist zum Führen des Verzeichnisses von Verarbeitungstätigkeiten verpflichtet?
Jeder der personenbezogenen Daten geschäftlich erhebt und verarbeitet. Damit muss eigentlich fast jeder Unternehmer oder Gewerbetreibender ein solches führen. Denn so gut wie jede Firma erhebt personenbezogene Daten irgendwelcher Art. Verpflichtet zum Führen ist dabei der Gewerbetreibende bzw. die Unternehmensleitung.
3. Gibt es eine Erleichterung für kleine und mittelständige Unternehmen?
Grundsätzlich ja. Alle Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssten eigentlich kein Verzeichnis führen.
Allerdings gibt es für diese Entpflichtung drei Ausnahmen. So müssen auch kleine und mittelständische Unternehmen ein Verzeichnis führen, sofern sie Verarbeitungen mit Risiko für Rechte und Freiheiten betroffener Personen durchführen, sofern die Verarbeitung öfter als gelegentlich erfolgt oder sofern besondere Datenkategorien(besonders geschützte Daten wie solche zu Religion, Gesundheit, sexueller Orientierung) verarbeitet werden. Wenn auch nur eine Ausnahme zutrifft, muss das Verzeichnis geführt werden. Während ersteres zumindest bei kleinen Unternehmen noch selten sein wird, wird es bei den weiteren Ausnahmen schwierig.
So ziemlich jedes normale Unternehmen nutzt mindestens einzelne Verfahren, welche ständig genutzt werden. Beispielsweise die Lohnbuchhaltung, die Kundenverwaltung oder das E-Mailsystem.
Darüber hinaus muss jedes Unternehmen mit Mitarbeitern in Deutschland Lohnsteuer abführen. Da zur Berechnung der Kirchensteuer die Religionszugehörigkeit der Mitarbeiter bekannt sein muss, und die Religionszugehörigkeit ein besonders geschütztes Datum ist, ist auch diese Ausnahme sehr selten einschlägig.
Fazit: Leider ist die im Gesetz genannte Erleichterung für KMUs in der Praxis sehr selten anwendbar. Jeder normale Gewerbetreibende wird ein Verzeichnis von Verarbeitungstätigkeiten führen müssen.
4. Wer hat Einsicht in das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Aufsichtsbehörde kann also jederzeit von sich an ein Unternehmen innerhalb ihres Aufsichtsbereichs herantreten und kann verlangen, das Verzeichnis vorgelegt zu bekommen. Die Zuständige Aufsichtsbehörde für ein Unternehmen ist in Deutschland jenes seines Bundeslandes. Darüber hinaus gibt es zukünftig Pflichten, Datenpannen den Aufsichtsbehörden zu melden. Hier ist zu erwarten, dass die Aufsichtsbehörde als Reaktion auf eine solche Meldung ebenfalls das Verzeichnis vorgelegt bekommen will. Allerdings ist die Aufsichtsbehörde die einzige Stelle außerhalb des Unternehmens, die das Verzeichnis zu Gesicht bekommt, die bisher bestehende Pflicht, betroffenen Personen auf Antrag ein eingeschränktes Verfahrensverzeichnis auszuhändigen entfällt.
5. Was ist der Zweck des Verzeichnis von Verarbeitungstätigkeiten?
Einerseits soll es Unternehmen selbst helfen, seine Verfahren strukturiert aufzubereiten, und sich diesen mehr bewusst zu werden. Auch lassen sich andere Vorgaben der Datenschutzgrund-Verordnung mithilfe des Verzeichnisses besser in Griff bekommen.
Andrerseits soll es Aufsichtsbehörden helfen, im Falle einer Prüfung sich schnellen Überblick zu verschaffen, welche Daten ein Unternehmen zu welchen Zwecken verarbeitet, und an wen diese Daten weitergegeben werden.
6. Reicht es aus, ein Verzeichnis von Verarbeitungstätigkeiten erst dann zu erstellen, wenn die Aufsichtsbehörde sich meldet?
Nein. Die Dokumentationspflichten der Datenschutzgrundverordnung gelten ab dem 25.Mai 2018. Die Datenschutzbehörden haben bereits dargestellt, dass diese bei Prüfungen einen gelebten Datenschutz sehen wollen. Ein Verzeichnis muss aktiv geführt werden. Es reicht also auch nicht aus, das Verzeichnis einmalig zu erstellen. Stattdessen sollte dieses regelmäßig überarbeitet werden, sofern neue Verfahren hinzukommen oder sich an einem Verfahren etwas ändert.
7. Welche Folgen hat ein Verstoß gegen die Pflicht des Führens des Verzeichnis von Verarbeitungstätigkeiten?
Wenn ein Unternehmen ein Verarbeitungsverzeichnis nicht führt, kann dies durch die Aufsichtsbehörden mit einem Bußgeld sanktioniert werden. Die maximale Höhe dieses Bußgeldes beträgt 10 Millionen Euro bzw. 2% des Jahresumsatzes. Zwar ist es unwahrscheinlich, dass Aufsichtsbehörden den genannten Bußgeldrahmen für das Fehlen eines Verzeichnisses ausreizen, trotzdem sind hier zukünftig durchaus empfindliche Strafsummen zu erwarten.