DSGVO fÜr Websites und Online-Shops

Mai 2018

Am 25.05.2018 ist die Deadline für die Umsetzung bezüglich der Datenschutzgrundverordnung - DSGVO.  Dabei gibt es einige Neuerungen und Erweiterung der bestehenden Datenschutzrichtlinien. Hier eine Zusammenfassung, allerdings ohne Gewähr.

Grundsätzliches

  1. Es sollten alle Systeme und Dienste auf Sicherheit, Belastbarkeit und Vertraulichkeit geprüft werden
  2. Nach einem Zwischenfall (Datenverlust) müssen diese schnell wiederherstellbar sein und die betreffende Landesbehörde muss innerhalb von 72 Std. informiert werden.
  3. Pseudonymisierung und Verschlüsselung sind in den meisten Fällen Pflicht. Vor allem wenn (personenbezogene) Daten auf einer Website eingegeben oder verarbeitet werden.
  4. Über alle getroffenen Maßnahmen müssen Nachweise erbracht werden können, auch hinsichtlich der Auftragsdatenverarbeitung.
  5. Auf Websites sollten die Datenschutzerklärung, die Plugins und Einstellungen vor allem von Google-Diensten geprüft werden. Auch ein Cookie-Hinweis ist dringend zu empfehlen.

Datenschutz

Daten, vor allem personenbezogene Daten, sollten nur dann erfasst werden, wenn diese die folgenden Kriterien erfüllen.

  • Rechtmäßig (per Gesetz oder Einwilligung)
  • Transparenz
  • Zweckbindung
  • Nur nötige Daten
  • Bestmöglich geschützt

Grundsätzlich gilt ansonsten: wenn es nicht ausdrücklich erlaubt ist dürfen keine Daten erfasst werden.

Verträge

Es sollten Verträge zur Auftragsdatenverarbeitung mit allen Geschäftspartner geschlossen werden, die in einer Geschäftsbeziehung Daten verarbeiten (Kunden/Lieferanten).

Google bietet auch einen Vertrag zur Auftragsdatenverarbeitung für Google-Analytics.

Weitere Massnahmen

  • Alle bestehenden Datenverarbeitungsprozesse auf deren Zulässigkeit prüfen
  • Prüfen ob Datenübermittlungsprozesse zulässig sind und notwendige Auftragsverarbeitungsverträge vorliegen
  • Daten-Verzeichnis von Verarbeitungstätigkeiten mit der Übersicht aller Datenverarbeitungsprozesse erstellen.
  • Prüfen ob die Anforderungen an die Sicherheit der Daten erfüllt werden und gegebenenfalls eine Folgenabschätzung durchzuführen ist
  • Gibt es ein Beschwerdemanagement? Wie können betroffene Ihre Rechte geltend machen?
  • Mitarbeiter informieren/schulen und zur Vertraulichkeit verpflichten sowie zur Befolgung der neuen Datenschutz-Regeln anhalten
  • Datenschutz-Relevante Vorgänge protokollieren

Daten-Verzeichnis

Zusätzlich sollten zu allen Datenverarbeitungsprozessen Daten-Verzeichnisse erstellt werden. D.h. zum Beispiel für Kundendaten, Bewerberdaten (die nach 6 Monaten gelöscht sein sollten) sowie für Beschäftigtenstammdaten, Nutzungsdaten, Auftragsdaten etc.

Hierbei ist auch sicher zu stellen, dass Kunden immer ein Recht auf Löschung haben. Dies gilt auch für synchronisierte Laptops, Handys sowie Backups etc.

Prozess-Handbuch

Zudem sollten Prozesshandbücher geführt werden die über die Verarbeitung ihrer Daten informieren. Man sollte immer wissen, was wo gespeichert wird und wie man diese Daten bearbeiten und löschen kann.

Beispielsweise müssen nach einem Gewinnspiel alle erhobenen Daten gelöscht werden. Zum Beispiel nach Ermittlung der Gewinner.

Auch Mitarbeiter sollten diese Prozesse kennen.

Haftung und Strafen

Die Geschäftsführung haftet für sich und alle Mitarbeiter. Meist sogar persönlich. Dieser Haftung kann nur bei eingeführter Datenschutz-Compliance inkl. Überwachung teilweise entgangen werden.

Die Bußgelder belaufen sich auf bis zu 20 Millionen Euro. 4% des Jahresumsatzes sollen angesetzt werden.

Also packen Sie es an und nehmen Sie das Thema nicht auf die leichte Schulter.

Wichtiger Hinweis

Bitte beachten Sie: Alle  Angaben sind ohne Gewähr und beruhen auf dem derzeitigen Kenntnisstand. Wir führen keine Rechtberatung durch und wollen Sie nur für das Thema sensibilisieren.

Dsgvo2