facebook-pixel

Hast du dich schon auf die DSGVO vorbereitet?

Wir befinden uns in den letzten Zügen der Vorbereitung zur Datenschutzgrundverordnung der EU (DSGVO). Du dachtest, dich betrifft das nicht? Falsch, die DSGVO geht uns Selbständige alle etwas an. Es gibt zwar je nach Größe des Unternehmens leicht abweichende Bestimmungen, jedoch betrifft die Datenschutzgrundverordnung der EU ein jedes Unternehmen und auch jeden Freelancer, der mit personenbezogenen Daten arbeitet. In Kraft getreten ist das Gesetz bereits am 25.Mai 2016, die 2-jährige Übergangsfrist endet nun am 25.Mai 2018.

Was bedeutet das überhaupt?

Es geht um den einheitlichen Schutz personenbezogener Daten, sowohl durch private Unternehmen, als auch öffentliche Stellen und um den freien Datenverkehr innerhalb Europas. Zuvor hatte jedes Land seine eigenen Regelungen. Jetzt regelt die DSGVO einheitlich für alle in der EU tätigen Unternehmen die Erfassung und Verarbeitung personenbezogener Daten. Zudem wird der Betroffene über die Verarbeitung seiner Daten informiert. Übrigens betrifft es auch Unternehmen, die nicht in der EU ansässig sind, aber dennoch personenbezogene Daten von EU- Bürgern verarbeiten.

Was sind personenbezogene Daten?

Zu personenbezogenen Daten gehören zum Beispiel: Name, Adresse, Geburtsdatum, Geschlecht, Einkommen, Gesundheitsinformationen, kultureller Hintergrund, sogar die Kleidergröße, biometrische Daten und viele weitere. Der Begriff umfasst im Rahmen der DSGVO wirklich alle Merkmale, die auf eine identifizierbare Person zurückzuführen sind.

Was passiert, wenn du die DSGVO ignorierst?

Der Grundgedanke der DSGVO ist der Schutz von personenbezogenen Daten von EU- Bürgern. Da es sich hier um ein sehr sensibles Thema handelt, sollte es auf jeden Fall ernst genommen werden, da Zuwiderhandlung mit hohen Bußgeldern bestraft wird. Bedenke, dass jeder EU-Bürger, dessen Daten von deinem Unternehmen genutzt werden, ein potentieller Kandidat ist, Aufsichtsbehörden zu informieren. Verbraucherschutzvereine und Abmahnanwälte, aber auch Lieferanten, Kunden, ehemalige Mitarbeiter oder Konkurrenten können zu Klägern werden, wenn Daten missbräuchlich verarbeitet werden.

Todo List

Kontist entwickelt für deine Selbstständigkeit genau so ein Geschäftskonto.

Erfahre jetzt mehr

Was sind die wichtigsten Punkte, die Du als Selbstständiger bis zum 24.5.2018 zu erledigen hast?

Hier eine kleine Checkliste:

  1. Am besten du beginnst mit den Themen, die nach außen hin am offensichtlichsten sind. Überprüfe welche Art von Daten dein Unternehmen sammelt und wie sie weiterverarbeitet werden.
  2. Checke, welche Programme du nutzt, durch die sensible Daten fließen. Es müssen mit allen Anbietern ADV Verträge (Auftragsverarbeitungsvertrag) geschlossen werden (inklusive Anbietern, wie Slack, Mailchimp, sämtlichen CRM Systemen und Co.).
  3. Überprüfe bestehende Einwilligungen für Email-Marketing. Wenn sie nicht ausreichen, bereite dich vor, entsprechende Einwilligungen für das Senden von Email-Marketing von jedem Nutzer einzuholen.
  4. Erkundige dich, ob du einen Datenschutzbeauftragten bestellen musst (unbedingt vor dem 25.5 - ob du dazu verpflichtet bist, ist abhängig von deiner Unternehmensgröße und der Sensibilität der Daten in deinem Geschäftsfeld).
  5. Verbessere die Sicherheits-Funktionen deines Produkts, zum Beispiel durch Verschlüsselungen.
  6. Sei transparent und kommuniziere offen an Nutzer, welche personenbezogene Daten du erhebst, warum du sie speicherst und wofür du sie verwendest.
  7. Übrigens musst du jeder Person gewähren, ihre gespeicherten Daten anzufordern. Außerdem hat jeder EU Bürger das “Recht auf Vergessenwerden” und kann die vollständige Löschung seiner personenbezogenen Daten beantragen. Nur in wenigen Fällen gibt es die gesetzliche Aufbewahrungsfrist, wie zum Beispiel für Finanzdienstleister.
  8. Falls du mit Mitarbeiter hast, kläre sie auf, denn die Verordnung betrifft jeden, der im Namen deines Unternehmens mit personenbezogenen Daten zu tun hat.

Was ändert sich im konkreten Fall, der viele Selbständige betrifft: Marketing mit Google Analytics, Google AdWords und Co.

Für Google- Dienste wie AdWords, AdExchange, AdSense und DoubleClick for Publishers, haftet Google selbst, da Google hierfür eigene Nutzerdaten gebraucht. Zwar stellt Google große Datenmengen zur Verfügung, diese werden aber ohne Zusammenhang zu personenbezogen Daten weitergegeben. Der Datenschutz besteht hier also zwischen dem Nutzer und Google.

Bei der Nutzung von Google Analytics ist zu beachten, dass IP- Adressen anonymisiert werden. Dies bedeutet, dass die IP- Adresse des Besuchers so verfremdet wird, dass die erfassten Trackingdaten nicht mehr direkt zugewiesen werden können.

Die Implementierung von Google Analytics sollte daher nach folgendem Schema durchgeführt werden: Vertrag mit Google zur Auftragsdatenverarbeitung abschließen IP-Adressen verfremden Datenschutzerklärung anpassen Stelle sicher, dass Nutzer jederzeit vom Widerrufsrecht Gebrauch machen können, z.B. durch Opt-out Cookie.

Was du beim E-Mail Marketing beachten musst

Der Punkt in der DSGVO, der die meisten Online/Marketer besonders betreffen wird, ist der Umgang mit E-Mail- und Adresslisten und deren Aufbau. Du möchtest bei der Registrierung eines neuen Kunden dessen Anschrift speichern, um ihm Werbung zu schicken? Vielleicht möchtest du die Anschrift an nahestehende Unternehmen für deren Kundendatenbank weitergeben?

Auch nach der DSGVO müssen Nutzer dem Empfang von Werbe-Mailings oder Newslettern ausdrücklich zustimmen. Zusätzliche Kontrollkästchen sind erforderlich, wenn ein Formular weitere Einwilligungen enthält, z.B. “Ich erkläre mich mit den AGB einverstanden”. Eine pauschale Einwilligung in “Werbung” oder “interessante Informationen” ist nicht mehr zulässig. Eine grobe Umschreibung der Marketing-Inhalte, wie “Informationen zu unseren Produkten, Sonderangeboten und Neuigkeiten aus der Branche” ist ausreichend. Das Kontrollkästchen darf nicht “vorangehakt” sein, denn das “Nicht-Wegklicken” stellt keine Einwilligung dar. Newsletter oder andere Marketing-Emails dürfen nur nach dem ausdrücklichen Einverständnis der Nutzer versendet werden.

Achte also darauf, dass die Einwilligung aktiv durch den Nutzer erfolgt ist. Die Austragung aus dem Newsletter muss genau so simpel sein, wie die Einwilligung.

Auch darf die Vertragsleistung nicht abhängig davon gemacht werden, ob der Nutzer einwilligt, seine Daten zur Verfügung zu stellen. Hier kommt das Kopplungsverbot zum Zuge. Damit schützt der Gesetzgeber den User vor der Gefahr, für kostenlose Dienste mit seinen Daten bezahlen zu müssen. Ergo: Gratis Downloads, Vorlagen, E-Books usw. dürfen nicht mehr an die Einwilligung in den Newsletter gekoppelt sein.

Wenn du E-Mail-Dienstleister wie Mailchimp oder Clever Reach einsetzt, handelt es sich um einen Fall der Auftragsverarbeitung personenbezogener Daten. Also muss hier ein Auftragsverarbeitungsvertrag (ADV) abgeschlossen werden.

Um den Informationspflichten nachzukommen, solltest du auf den Einsatz eines Versanddienstleisters schon im Anmeldeformular hinweisen.

Vorlagen, Musterverträge, weiterführende Links

Der Datenschutzbeauftrage Thorsten Wälde hat eine Sammlung von relevanten Links zusammengestellt: Sammlung von Links

Außerdem hat er sich in einem Interview mit der Union by Kontist zu wichtigen Themen der DSGVO unterhalten. Hör rein und vertiefe dein Wissen!