Countdown to DSGVO – Erste Hilfe und Notfall-Plan

Countdown to DSGVO ? ab dem 25.05.2018 gilt das neue Datenschutzrecht mit Datenschutz-Grundverordnung und neuem Bundesdatenschutzgesetz (BDSG). Die horrenden Bußgelder, die die Aufsichtsbehörden bei Verstößen gegen das Datenschutzrecht verhängen können, sind in aller Munde. Kurzfristig jedoch drohen wohl eher Abmahnschreiben durch Abmahnvereine und manche Mitbewerber, die Abmahnungen zum festen Bestandteil ihrer Geschäftstätigkeit gemacht haben. Erste Hilfe und Notfall-Plan, wenn noch nicht alles erledigt ist: Zwiebelschalen-Prinzip.

Datenschutz-Compliance von außen nach innen

Abgemahnt werden kann nur das, was auf der eigenen Website sofort sichtbar ist. Das sind zunächst die (fehlende oder nicht DSGVO-konforme) Datenschutzerklärung, ein nicht rechtskonformes Kontaktformular und das Web-Impressum. Also gilt es, sich mit der eigenen Datenschutz-Compliance von außen nach innen vorzuarbeiten – wie beim Häuten einer Zwiebel.

_ Schicht 1: Web-Auftritt

Ihre Website ist Ihr Aushängeschild, frei und öffentlich zugänglich – und damit auch ungeschützt im Fokus Ihrer Mitbewerber und der Abmahnvereine, die dort nach Verstöße gegen das neue Datenschutzrecht suchen wollen. Der öffentliche Bereich Ihrer Website muss also mit dem 25.05.2018 vollständig datenschutz-konform sein:

  • Datenschutzerklärung – entspricht der Text Ihrer Datenschutzerklärung den Vorgaben der Datenschutz-Grundverordnung? Informieren Sie vor allem über den Zweck der Datenverarbeitung und die Rechtsgrundlage, auf die Sie sich dabei stützen?
  • Webshop – stimmen der Bestellablauf im Warenkorb-System Ihres Webshop und die Angaben auf den einzelnen Produktseiten überein mit den Angaben in Ihrer Datenschutzerklärung? Oder widersprechen sich die Angaben möglicherweise?
  • AGB – enthalten Ihre Allgemeinen Geschäftsbedingungen möglicherweise Klauseln zum Datenschutz, die ab dem 25.05.2018 veraltet sind und inhaltlich nicht mit Ihrer Datenschutzerklärung übereinstimmen?
  • Kontaktformular – verwenden Sie auf Ihrer Website ein Kontaktformular, über das Sie in Ihrer Datenschutzerklärung nicht informieren, oder mit dem Sie Pflichtangaben fordern, die nicht erforderlich sind und die dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO zuwider laufen?
  • Web-Impressum – ist Ihre Anbieterkennzeichnung in Ordnung und sind dort keine Hinweise mehr zum Datenschutz enthalten, die Ihrer Datenschutzerklärung widersprechen?

_ Schicht 2: Rechte der Betroffenen

Recht auf Auskunft, Löschung und Datenübertragbarkeit – über kurz oder lang werden Webshop-Kunden und andere Personen, die mit Ihnen in geschäftlicher Beziehung stehen oder mit Ihnen einfach einmal per E-Mail kommuniziert haben, deren Rechte nach dem neuen Datenschutzrecht geltend machen. Ist Ihre innerbetriebliche Organisation darauf vorbereitet?

  • Auskunftsanspruch – sind Sie in der Lage, betroffenen Personen die Auskunft gemäß Art. 15 DSGVO zu erteilen? Vollständig gemäß Art. 15 Abs. 1 und 2 DSGVO, in Form einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO und regelmäßig innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DSGVO?
  • Recht auf Löschung („Recht auf Vergessenwerden“) – sind Sie in der Lage, diejenigen Daten, die gelöscht werden müssen, sicher zu trennen von denjenigen Daten, für die eine Aufbewahrungspflicht, etwa nach dem Handelsrecht oder nach dem Steuerrecht, besteht?
  • Recht auf Datenübertragbarkeit („Recht auf Datenportabilität“) – sind Sie in der Lage, der betroffenen Person die relevanten Daten gemäß Art. 20 Abs. 1 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen?

Und sind Sie vor allem in der Lage, all dies zu erledigen, ohne dass hierdurch Ihr laufender Geschäftsbetrieb beeinträchtigt wird?

_ Schicht 3: Rechte der Aufsichtsbehörden

Innerbetriebliche Organisation des Datenschutzes, Datenschutz-Compliance und Kontrolle durch die Aufsichtsbehörden – ob kleine und mittelständische Unternehmen unmittelbar ab dem 25.05.2018 von aufsichtsrechtlichen Maßnahmen betroffen sein werden, sei einmal dahingestellt. Nicht zuletzt die geringe Personalausstattung der meisten Aufsichtsbehörden spricht mehr dafür als dagegen. Das darf aber kein Grund sein, die innerbetriebliche Organisation des Datenschutzes zu verbummeln:

  • Auftragsverarbeitung – sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, entsprechend Art. 28 DSGVO auf aktuellem Stand? Achtung: Auftragsverarbeiter sind nicht nur Betreiber von Rechenzentren und Cloud-Anbieter, sondern auch externe IT-Dienstleister, die mittels TeamViewer und ähnlicher Remote-Technik Fernwartung anbieten und dabei Zugriff auf personenbezogene Daten erhalten können.
  • Verarbeitungsverzeichnis – haben Sie ein Verzeichnis aller Verarbeitungstätigkeiten, die Ihrer Zuständigkeit unterliegen, erstellt, das den formalen Anforderungen des Art. 30 DSGVO genügt und das Sie der Aufsichtsbehörde auf Anfrage zur Verfügung stellen können?
  • Datenschutz-Folgenabschätzung – hat eine Form der Datenverarbeitung in Ihrem Unternehmen zur Folge, dass eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden muss?
  • Datenschutzbeauftragter – sind Sie nach Maßgabe von Art. 37 DSGVO und § 38 BDSG (Fassung ab 25.05.2018) verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen? Haben Sie die Kontaktdaten des Datenschutzbeauftragten veröffentlicht (z.B. in Ihrer Datenschutzerklärung) und haben Sie diese Daten der Aufsichtsbehörde mitgeteilt?

Datenschutz-Compliance unter Zeitdruck

Gerade die Pflicht, über die Bestellung eines betrieblichen Datenschutzbeauftragten auch in der Datenschutzerklärung zu informieren, zeigt, dass auch die innerbetriebliche Organisation des Datenschutzes mit Nachdruck auf die Füße gestellt werden muss. Schlafende Hunde soll man nicht wecken.

Rund um den 25. Mai 2018, rund um den Stichtag für das neue Datenschutzrecht mit Datenschutz-Grundverordnung und neuem BDSG gilt: Risiken erkennen, Prioritäten definieren, Konzepte umsetzen, Strukturen implementieren.

Auf diese Weise sind am Ende Compliance-Anforderungen umgesetzt, Querschüsse aus dem Wettbewerbsrecht abgewendet – und das neue Datenschutzrecht wird im Unternehmen aktiv gelebt. Mit ein wenig Kaltblütigkeit gelingt das auch, wenn die Zeit kurz vor dem Stichtag davonläuft.

 

© RA Stefan Loebisch | Kontakt