Am 25. Mai 2018 tritt in Deutschland die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union in Kraft. Diese ist ohne Übergangszeit anwendbar und betrifft Unternehmen und Privatpersonen, welche Bürger im europäischen Raum adressieren und deren Daten verarbeiten. Die Maßnahmen greifen somit global und sind räumlich nicht nur auf die Europäische Union beschränkt.
Durch das neue EU-Recht wird in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) abgelöst. Wesentliche Elemente wie beispielsweise Zweckbindung, Richtigkeit und Datensparsamkeit bleiben zwar erhalten, werden jedoch um neue Punkte wie die Rechte der Betroffenen und Pflichten der datenverarbeitenden Stellen erweitert.
Ziel der DSGVO ist ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU, die Stärkung der Rechte derjenigen Personen, deren personenbezogene Daten verarbeitet werden und der Schutz dieser Daten.
Was muss konkret beachtet werden?
Privacy by default
„Privacy by default“ heißt frei übersetzt soviel wie „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und beinhaltet, dass die Standardkonfiguration eines Systems datenschutzfreundlich umgesetzt werden muss. Konkret meint die Vorgabe die Verarbeitung von personenbezogenen Daten so auszugestalten, dass diese erst nach Einwilligung der Nutzer möglich und nicht standardmäßig pauschal erlaubt ist.
Hintergrund ist der Schutz weniger technikaffiner Nutzer bzw. Nutzer welche die datenschutzrechtlichen Einstellungen eines Systems nicht aktiv anpassen.
Erhebung und Verarbeitung von Daten
Nach Art. 13 DSGVO ist nun Pflicht, wenn „personenbezogene Daten bei der betroffenen Person erhoben werden“ der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten gewisse Informationen zu geben.
Konkret heißt das, dass dem Nutzer bei Eingabe von Daten (beispielsweise in einem Formular) Information über Art und Umfang der Datenerhebung zur Verfügung gestellt werden müssen.
In Formularen (Kontakt-, Registrierungsformular, Anmeldung zum Newsletter oder einfach der Warenkorb eines Onlineshops) wird dies in vielen Fällen über eine Textpassage vor Absenden des Formulars gelöst, beim erstmaligen Besuch der Webpräsenz über einen Hinweis zur Verwendung von Cookies bzw. Tracking-Tools, der aktiv durch den Nutzer bestätigt werden muss.
Nicht zu vergessen ist hier die Möglichkeit des Widerspruchs, welche dem Nutzer eingeräumt werden muss. Dies wird meist über Opt-Out-Plugins gelöst.
Informationspflicht (in der Datenschutzerklärung)
Die Verarbeitung von Daten muss (neben der aktiven Einwilligung der Nutzer zur Verarbeitung von personenbezogenen Daten bzw. Daten, welche Rückschlüsse auf die Personen erlauben) in der Datenschutzerklärung (bzw. ebenfalls analog als Besucher vor Ort) nach Art. 13 und Art. 14 DSGVO konkret mit folgenden Punkten benannt werden:
Basis der Rechtsgrundlage, auf welcher die Datenerhebung passiert
Zweck der Datenerhebung
Art der Daten
Dauer der Speicherung
Benennung des zuständigen Datenschutzbeauftragten inkl. Angabe der Kontaktinformationen
Weiterhin muss dem Nutzer nach Art. 17 DSGVO permanent die Möglichkeit eingeräumt werden, der Verarbeitung von personenbezogenen Daten zu widersprechen (Recht auf Löschung bzw. „Recht auf Vergessenwerden“).
Dies ist unabhängig vom Widerrufsrecht, welches, im Gegensatz zum Widerspruchsrecht, auf 14 Tage begrenzt ist.
Auskunftspflicht / Auskunftsrecht
Unter dem Gesichtspunkt „Stärkung der Verbraucherrechte“ wurde weiterhin im Art. 15 DSGVO verankert, dass Nutzern die Möglichkeit eingeräumt werden muss, einzusehen, ob personenbezogene Daten vorliegen und diese „unverzüglich“ inkl. folgender Informationen zur Verfügung zu stellen:
Verarbeitungszweck
Kategorien personenbezogener Daten
Herkunft der Daten
Neben der Auskunftspflicht hat jeder Verbraucher das „Recht auf Berichtigung“ (Art. 16 DSGVO), sofern die verwendeten personenbezogenen Daten unrichtig bzw. unvollständig sind.
Weiterhin kann der Verbraucher nach Art. 18 DSGVO von den Verantwortlichen verlangen, die Verarbeitung der personenbezogenen Daten unter bestimmten Voraussetzungen einzuschränken.
Eine Übersicht aller Artikel der DSGVO und weiterführende Informationen kann unter dem Link DSGVO-Übersicht eingesehen werden.
Allen Onlineshopbetreibern möchten wir die interaktive Checkliste des Händlerbundes empfehlen.
Handlungsempfehlungen im myty
Da wir in unserer Funktion als Softwaredienstleister keine juristische Beratung anbieten dürfen, sind alle im Folgenden aufgezeigten Maßnahmen vor Umsetzung durch einen Datenschutzbeauftragten und/oder Anwalt zu prüfen. Für die Richtigkeit der Informationen übernehmen wir keinerlei Gewähr, diese stellen lediglich unsere Interpretation der DSGVO-Gesetzestexte dar.
Alle im myty vorgenommenen Anpassungen im Rahmen der DSGVO lassen sich in der Nutzerdokumentation für myty-Systeme ab Version 5.2 finden.
Hier wird erklärt, welche Möglichkeiten unser System bietet, um dem Recht auf Auskunft, Recht auf Datenübertragbarkeit und dem Recht auf Löschung nachzukommen. Zudem ist aufgelistet, welche hinterlegte personenbezogene Daten sich im myty finden lassen.
Gerne übermitteln wir Ihnen ebenfalls unser DSGVO-Angebotspaket zur Einbindung von Hinweisen bzgl. der Verwendung von Cookies und und Verarbeitung von Formular-Daten.
Sollte Ihr System nicht der genannten Version entsprechen, kommen Sie bitte auf uns zu. Wir erstellen Ihnen gerne ein individuelles Update-Angebot.