Worum geht's?
Cookies, Datenschutzerklärung, Auftragsverarbeitungen: Die DSGVO treibt auch 5 Jahre nach Inkrafttreten viele Unternehmer, Webdesigner und Onlineshopbetreiber oft noch in den Wahnsinn. Sie möchten endlich wissen, was genau Sie tun müssen, um Ihre Website und ihr Business DSGVO-konform zu gestalten? Dann sind Sie hier genau richtig. Wir erklären Ihnen die wichtigsten Fakten rund um die Datenschutzgrundverordnung, für wen sie wann gilt, was Sie tun müssen, um nicht gegen die Vorschriften zu verstoßen und welche Rechte Ihre Kunden haben.
1. Was ist die Datenschutzgrundverordnung und worum geht es?
Die Datenschutzgrundverordnung (DSGVO - auch EU-Datenschutz-Grundverordnung, kurz DS-GVO genannt) regelt den Umgang mit personenbezogenen Daten. Die genaue DSGVO-Bedeutung für Unternehmen, erfahren Sie in diesem Artikel als DSGVO-Zusammenfassung.
Was ist die DSGVO?
Die EU-Datenschutzgrundverordnung – auch EU-DSGVO oder Datenschutzverordnung genannt –, ist eine Vorschrift, die einheitlich in der ganzen EU gilt. Sie regelt, wie Unternehmer und Behörden mit personenbezogenen Daten ihrer Besucher, Kunden oder Nutzer umgehen sollen. Die Datenschutzgrundverordnung (DSGVO) auf Englisch nennt sich General Data Protection Regulation (GDPR).
Neben der EU-Datenschutzgrundverordnung (DSGVO) gelten in Deutschland weitere Datenschutzgesetze wie das neue Bundesdatenschutzgesetz Deutschland (BDSG-neu), das DDG (ehemals TMG) und das TKG. Diese dienen als Erweiterung und Konkretisierung der DSGVO.
Warum gibt es die Datenschutzgrundverordnung?
Bis 2018 galten EU-weit sehr unterschiedliche Regelungen und Standards in Sachen Datenschutz. Mit dem DSGVO-Gesetz wurde nun in der Europäischen Union ein einheitliches Regelwerk geschaffen, das festlegt, wie Unternehmen und Behörden mit der Verarbeitung personenbezogener Daten umgehen dürfen.
WUSSTEN SIE'S?
Ziel ist es, den Datenschutz in der EU einheitlich zu regeln, um einen Flickenteppich abweichender Regelungen in den verschiedenen EU-Ländern zu vermeiden. Stattdessen gilt nun in der gesamten EU ein einheitliches Datenschutzniveau mit durchgängigen gesetzlichen Regelungen.
Der EU-weite Anwendungsbereich ist in Art. 3 der DSGVO geregelt. Den gesamten Gesetzestext der Datenschutzgrundverordnung finden Sie am Ende des Beitrags.
Sichern Sie den Datenschutz in Ihrem Unternehmen ab. Mit unserer Datenschutz-Lösung auf eRecht24 können Sie eine Risikoabschätzung durchführen. Probieren Sie es jetzt aus.
Was genau regelt die DSGVO?
Inhaltlich regelt die Datenschutzgrundverordnung den Umgang mit personenbezogenen Daten und den damit einhergehenden Rechten von Betroffenen. Jeder Mensch hat laut DSGVO bestimmte Rechte, wenn seine Daten erhoben werden – und das nicht nur im Internet. Das gilt insbesondere für besonders schützenswerte Daten, etwa über Gesundheit, biometrische Daten oder Herkunft.
Dabei stehen sich zwei gegensätzliche Positionen gegenüber: Der Schutz der personenbezogenen Daten auf der einen und der Schutz des freien Binnenmarktes und des freien Datenverkehrs in der EU auf der anderen Seite. Geregelt sind diese Ziele in Art. 1 DSGVO und Art. 2 DSGVO.
Seit wann gilt die Datenschutzgrundverordnung?
Die DSGVO trat bereits am 25. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist müssen alle EU-Mitgliedstaaten die Datenschutzgrundverordnung seit dem 25. Mai 2018 verbindlich anwenden.
Die bis dahin geltende Datenschutzrichtlinie (Richtlinie 95/46/EG) wurde mit Inkrafttreten der Datenschutzgrundverordnung aufgehoben. Anders als bei der Datenschutzrichtlinie brauchte es keiner Umsetzung der DSGVO durch die Mitgliedstaaten.
Was passiert bei Verstößen gegen die DSGVO?
Wer die Vorschriften der Datenschutzgrundverordnung ignoriert, muss sich auf hohe DSGVO-Bußgelder einstellen. Aufsichtsbehörden können bei Datenschutzverstößen, beispielsweise bei der Verarbeitung personenbezogener Daten, im schlimmsten Fall 20 Mio. Euro Strafe verhängen.
Noch teurer kann es für weltweit agierende Unternehmen werden: Diesen drohen Bußgelder von 4 % des weltweiten Vorjahresumsatzes. Unternehmen, die die Datenschutzgrundverordnung nicht ernstnehmen, müssen außerdem mit Abmahnungen und einem Gerichtsverfahren rechnen.
2. Für wen gilt die DSGVO?
Grundsätzlich gilt die Datenschutzgrundverordnung für sämtliche Personen und Organisationen, die von ihren Kunden, Mitarbeitern oder Mitgliedern personenbezogene Daten erheben. Dazu gehören sowohl Unternehmen und Behörden als auch Praxen und Vereine.
Betreiben Sie eine Website oder einen Online-Shop, ist die DSGVO ebenfalls für Sie relevant – und zwar eben dann, wenn Sie personenbezogene Daten erheben und verarbeiten. Das wäre zum Beispiel in folgenden Tätigkeitsfeldern der Fall:
- Webseitenbetreiber und Webdesigner: Als Webdesigner müssen Sie in der Regel nicht nur auf den Datenschutz auf Ihrer eigenen Homepage, sondern auch auf den Ihrer Kunden achten. Sobald Sie ein Newsletter-Formular einbauen oder ein Social-Media-Profil einrichten, sollten die Alarmglocken angehen – denn in diesen Fällen erheben Sie auf jeden Fall personenbezogene Daten.
- Onlineshop-Betreiber: Als Onlineshop-Betreiber spielen zahlreiche DSGVO-Pflichten für Sie eine Rolle: Sie müssen u. a. Ihre Datenschutzerklärung anpassen, Einwilligungen für nicht-notwendige Cookies einholen und Double-Opt-in für Newsletter einrichten, um die Vorschriften der DSGVO umzusetzen.
- Unternehmen: Als Unternehmer müssen Sie nicht nur bei Ihrem Internetauftritt dafür sorgen, dass dieser DSGVO-konform ist (etwa durch eine Datenschutzerklärung). Auch unternehmensintern sind datenschutzrechtlich korrekte Abläufe unerlässlich: Datenschutz-Folgenabschätzung und Datenschutzbeauftragte sind hier nur einige Stichpunkte.
Ab wann ist die Datenschutzgrundverordnung für mich relevant?
Sobald Sie personenbezogene Daten erheben, verarbeiten oder an Dritte übermitteln, wird die DSGVO für Sie relevant.
-
Sie haben einen Onlineshop und erheben Bestelldaten. Die Daten Ihrer Nutzer analysieren Sie über Tracking-Tools.
-
Sie versenden Newsletter über E-Mail-Adressen.
-
Sie betreiben ein Meinungsforum oder eine Informationsplattform und veröffentlichen Kommentare der Besucher.
-
Sie versenden online Grußkarten an E-Mail-Adressen.
-
Sie haben einen Friseursalon und vergeben online Termine. Dazu sammeln Sie Namen, E-Mail-Adresse und Telefonnummer der Kunden ein.
Grundsätzlich gilt: All das dürfen Sie nur tun, wenn Sie eine Rechtsgrundlage dafür haben oder Ihre Nutzer oder Kunden in die Erhebung der personenbezogenen Daten eingewilligt haben. Diese Einwilligung muss immer freiwillig sein.
Außerdem gilt das sogenannte Kopplungsverbot. Möchten Sie zum Beispiel neue Abonnenten für Ihren Newsletter gewinnen und bieten gleichzeitig auf Ihrer Webseite noch weitere Leistungen an, dürfen Sie diese nicht davon abhängig machen, dass Ihr Besucher den Newsletter abonniert. Das Anmeldeformular für den Newsletter muss die Anforderungen der DSGVO umsetzen.
Als eRecht24-Premium-Mitglied können Sie unsere Vorlage für ein DSGVO-konformes Newsletter-Anmeldeformular nutzen. Damit sind Sie auf der sicheren Seite, wenn Sie E-Mail-Marketing als Vertriebskanal verwenden möchten. Außerdem können Sie mit unserem Datenschutz-Management-System den Datenschutzstatus Ihres Unternehmens checken.
Kurz und knapp: Versenden Sie Werbemails und Newsletter nie unaufgefordert ohne Einwilligung – weder im B2C-Bereich noch gegenüber anderen Unternehmen.
Was Sie weiterhin beim Thema Newsletter und Datenschutzgrundverordnung beachten sollten, erfahren Sie in unserem ausführlichen Beitrag „Newsletter rechtssicher versenden“.
3. Was darf ich laut DSGVO – und was nicht?
Die Datenschutzgrundverordnung schützt die sensiblen Daten von Personen. Daher können Sie auch nicht einfach beliebig personenbezogene Daten erheben. Was Sie laut DSGVO dürfen und was nicht, regeln die wichtigsten Grundsätze der Datenschutzgrundverordnung.
Verbot mit Erlaubnisvorbehalt |
Sie dürfen grundsätzlich keine personenbezogenen Daten erheben, verarbeiten oder nutzen – es sei denn, Sie haben eine Erlaubnis. Diese kann entstehen aus:
|
Datensparsamkeit | Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen (Datenminimierung). |
Zweckbindung | Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben. |
Datenrichtigkeit | Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein. |
Datensicherheit | Sie müssen personenbezogene Daten schützen. Je schützenswerter – z.B. je sensibler – die Daten, desto höher muss das Schutzniveau sein. Welche Maßnahmen angemessen sind, orientiert sich am Stand der Technik, den notwendigen Kosten sowie den Umständen und Risiken. |
Kurz und knapp: Ignorieren Sie die Grundsätze der DSGVO, können Ihnen empfindliche Bußgelder drohen. Daher gilt: Auch wenn das Thema komplex ist, nehmen Sie es nicht auf die leichte Schulter.
Als Einzelunternehmer brauchen Sie keine Datenschutzerklärung und personenbezogene Daten verarbeiten Sie schon gar nicht? Rund um die DSGVO kursieren zahlreiche Irrtümer. Damit Sie sich beim Thema Datenschutz-Grundverordnung nicht mehr verunsichern lassen müssen, haben wir Ihnen typische „DSGVO-Irrtümer“ zusammengefasst.
4. Welche Rechte haben meine Kunden?
Kapitel 3 der DSGVO hält die Rechte der Betroffenen sowie die entsprechenden Pflichten der Verantwortlichen fest. Jede Person, von der etwa im Online-Handel personenbezogene Daten erhoben werden, kann diese Rechte gegenüber dem Verantwortlichen geltend machen. Erheben Sie die Daten, sind Sie auch dafür verantwortlich und Ansprechpartner. Folgende Rechte haben Betroffene:
Recht auf Auskunft (Art. 15 DSGVO)
Sie sind verpflichtet, Ihren Kunden auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zuzusenden. Dazu gehören insbesondere folgende Informationen.
- Zweck der Datenverarbeitung: Wozu nutzen Sie die Daten?
- Kategorien personenbezogener Daten: Ist es der Name, die Adresse oder das Alter?
- Empfänger oder Kategorien von Empfängern der Daten: Wer bekommt die Daten? Oder: Bekommt eine bestimmte Gruppe die Daten, z.B. Krankenkassen?
- Übermittlungen personenbezogener Daten in ein Drittland: Gibt es geeignete Garantien (Zertifizierungen)?
- Geplante Speicherdauer oder Kriterien für die Festlegung: Wie lange speichern Sie die Daten? Wenn Sie das nicht genau sagen können: Woran machen Sie das fest?
- Beschwerde: Betroffene können sich bei einer Aufsichtsbehörde beschweren.
Recht auf Berichtigung, Ergänzung und Löschung (Art. 16 und 17 DSGVO)
Nutzer haben einen Anspruch darauf, dass Sie personenbezogene Daten löschen oder sperren, wenn Sie nicht mehr berechtigt sind, die Daten zu verwenden. Das Recht auf Vergessenwerden (Recht auf Löschung) tritt gemäß Art. 17 DSGVO ein, wenn
- Der Zweck für die Verarbeitung der Daten weggefallen ist.
- Der Nutzer seine Einwilligung widerrufen hat.
- Ein Recht auf Datenverarbeitung nicht bestand.
Hintergrund: Der EuGH hat bereits vor Jahren entschieden: EU-Bürger können von Suchmaschinenbetreibern wie Google unter bestimmten Voraussetzungen verlangen, dass ihre Suchergebnisse nicht mehr angezeigt werden. Die DSGVO verankert diesen Anspruch nicht nur gegenüber Google, Bing und Co., sondern gegen jede Stelle, die personenbezogene Daten verarbeitet.
AUSNAHME
Sind Sie rechtlich dazu verpflichtet, die Daten aufzubewahren, hat die Öffentlichkeit ein berechtigtes Interesse daran, dass Sie die Daten aufbewahren oder möchten Sie eigene Rechte verteidigen, kann der Löschungsanspruch entfallen.
Ihre Kunden können außerdem von Ihnen verlangen, dass unwahre Daten entsprechend berichtigt oder ergänzt werden (Art. 16 DSGVO).
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Außerdem haben Nutzer ein Recht auf Datenübertragbarkeit (Datenportabilität) gemäß Art. 20 DSGVO. Das bedeutet, sie können ihre personenbezogenen Daten zu einem anderen Anbieter "mitnehmen" und von Ihnen verlangen, ihre personenbezogenen Daten an einen anderen Verantwortlichen weiterzugeben.
Die Datenportabilität ist zum Beispiel wichtig für:
- Wechsel zu anderen (sozialen) Netzwerken
- Wechsel der Bank
- Wechsel des Arbeitgebers
Das Recht auf Übermittlung der Daten kann entfallen, wenn der Aufwand die Interessen und Möglichkeiten des Unternehmers übersteigt. Wann das der Fall ist, lässt sich aber nicht pauschal beantworten – wenden Sie sich daher im Zweifelsfall an eine Anwaltskanzlei.
Weiterhin haben Betroffene das Recht, der Datenverarbeitung für Direktwerbung zu widersprechen und unter bestimmten Voraussetzungen einzuschränken.
Kurz und knapp: Betroffene haben gemäß DSGVO Recht auf Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Verarbeitungseinschränkung sowie Widerspruch der Datenverarbeitung.
5. Worauf wirkt sich die DSGVO aus?
Sie wissen nun, dass Sie bei der Erhebung personenbezogener Daten Vorsicht walten lassen und die Anforderungen der DSGVO beachten müssen. Was aber bedeutet das konkret? Das erfahren Sie jetzt.
Datenschutzerklärung
Wenn Sie eine Website betreiben, müssen Sie Ihre Besucher umfassend informieren, wie Sie mit ihren personenbezogenen Daten bezüglich des Datenschutzes umgehen. Dazu gibt es die Datenschutzerklärung, die Ihre Kunden mit einem Klick von überall aus auf Ihrer Seite einsehen können. Das Wichtigste dazu haben wir kurz und bündig in unserem Artikel “DSGVO-konforme Datenschutzerklärung” für Sie zusammengefasst. Dort können Sie außerdem mittels Datenschutzgenerator eine kostenlose Datenschutzerklärung auf Deutsch für Ihre Website erstellen.
Benötigen Sie die Datenschutzerklärung auf Englisch oder in einer anderen Sprache, sollten Sie die deutsche Datenschutzerklärung nicht einfach übersetzen. Übersetzungen genügen nicht, da es in verschiedenen Ländern trotz einheitlicher DSGVO rechtliche Besonderheiten gibt, auf die in der Datenschutzerklärung zu achten ist.
Aber woher bekommen Sie internationale Datenschutzerklärungen? Ein spezialisierter Rechtsanwalt übernimmt nicht nur die Übersetzung der Rechtstexte, sondern auch die Anpassung dieser auf die rechtlichen Gepflogenheiten in dem entsprechenden Land.
Impressum
Als Websitebetreiber brauchen Sie ein Impressum, damit Ihre Besucher wissen, an wen Sie sich wenden können, falls sie Fragen zu oder Probleme mit Ihrem Angebot haben. Neben den Kontaktdaten gehören jedoch noch weitere Angaben in ein rechtssicheres Impressum – und das nicht erst seit der DSGVO. Details und Tipps finden Sie in unserem Artikel zum Impressum-Generator.
Social Media
Ob Facebook, LinkedIn oder Instagram – eine DSGVO-Datenschutzerklärung und ein Impressum sind auch in Ihren Social-Media-Profilen Pflicht. Je nach Plattform muss man aber wissen, wie man die Rechtstexte einfügt. In unserem Artikel zum Thema “Impressum, Datenschutz und Social Media” zeigen wir Ihnen Schritt für Schritt, wie es geht.
Newsletter
Wenn Sie einen Newsletter versenden, müssen Sie einiges beachten. Dazu gehört zum Beispiel, dass Sie die Einwilligung Ihrer Abonnementen per Double-Opt-In-Verfahren einholen und in Ihre Datenschutzerklärung einen Passus zum Newsletter aufnehmen. In unserem Beitrag “Newsletter rechtssicher erstellen und versenden” erläutern wir, was noch wichtig ist.
Kontaktformular
In einem Kontaktformular erfragen Sie personenbezogene Daten Ihrer Nutzer. Doch DSGVO-Grundsätze wie Datensparsamkeit und Zweckbindung verpflichten Sie dazu, nicht alles von Ihren Kunden abzufragen, was Sie möchten. Wir erklären im Artikel “Kontaktformular”, worauf Sie achten müssen, wenn Sie ein solches auf Ihrer Seite einbinden.
Cookies
Für Cookies müssen Sie eine Einwilligung nach DSGVO einholen, sofern diese nicht für den Betrieb der Seite technisch notwendig sind. Umsetzen können Sie das mit einem Banner oder einem Cookie-Consent Tool, in dem Sie auf die Datenverarbeitung hinweisen. Wie Sie dabei auf der sicheren Seite sind, zeigen wir Ihnen im Artikel zur Hinweispflicht für Cookies.
Bildrechte
Wenn Sie auf Ihrer Website Bilder veröffentlichen möchten, brauchen Sie die Zustimmung des Urhebers. Für Fotos von Personen brauchen Sie ebenfalls deren Einwilligung. Das ist nicht erst seit der DSGVO so. In unserem Artikel zum Thema “Bildrechte im Internet” erklären wir alles Wichtige, was Sie dazu wissen müssen.
Mitarbeiterdaten
Wer Mitarbeiter beschäftigt, hat beim Thema Datenschutz laut DSGVO und Datensicherheit einiges zu beachten. Sie müssen etwa in bestimmten Fällen Einwilligungen nach der DSGVO einholen oder Ihre Arbeitnehmer für den Datenschutz sensibilisieren. Im Beitrag “Mitarbeiterdaten und DSGVO” beantworten wir die wichtigsten Fragen zum Thema.
Als eRecht24-Premium-Mitglied machen Sie Ihre Website mit unserem Projekt Manager rechtssicher: Sie können sowohl eine DSGVO-konforme Datenschutzerklärung als auch ein rechtssicheres Impressum erstellen und das Usercentrics Consent-Tool für die Cookie-Einwilligung nutzen.
Kurz und knapp: DSGVO-konforme Datenschutzerklärung, Kontaktformular und Impressum sowohl auf Ihrer Website als auch auf Social-Media-Profilen ist Pflicht. Für die Verwendung technisch-nicht notwendiger Cookies benötigen Sie eine vorherige Einwilligung. Das gilt auch, wenn Sie Bilder nutzen möchten, an denen Sie keine Urheberrechte haben.
Weitere Informationen zum Thema Urheberrecht haben wir Ihnen in unserem ausführlichen Beitrag „Wie Sie trotz Urheberrecht Bilder, Texte und Videos rechtssicher nutzen“ zusammengestellt.
6. Welche Tools sind von der DSGVO betroffen?
Die meisten Marketing-Tools erheben personenbezogene Daten und fallen somit unter den Datenschutz. Was Sie bezüglich der DSGVO-Konformität beachten sollten, wenn Sie diese Tools und Plattformen für Ihr Business nutzen möchten, lesen Sie jetzt.
Google Analytics
Sie verwenden Google Analytics? Dann sollten Sie mit Google eine Auftragsverarbeitung abschließen und sich zudem zusätzlich eine „echte“ Einwilligung Ihrer User einholen. Doch Google Analytics hält noch mehr DSVGO-Stolperfallen bereit. Wir erläutern, welche das sind und wie Sie am besten vorgehen.
WICHTIG
Universal Analytics wurde zum 01.06.2023 vollständig eingestellt! Das bedeutet, sollten Sie bis dato Universal Analytics nutzen, empfehlen wir Ihnen jetzt die Umstellung auf Google Analytics 4.
Ihre Mitarbeiter nutzen sowohl beruflich als auch privat WhatsApp? Das kann im Rahmen der Datensicherheit problematisch sein – schließlich greift WhatsApp auf personenbezogene Daten zu. Wie Sie DSGVO-konform handeln können und was es für Alternativen gibt, haben wir in unserem Beitrag "Mitarbeiterdaten, DSGVO und Datenschutz: Das sollten Sie als Arbeitgeber wissen" für Sie zusammengetragen.
Zoom
Zoom ist ein beliebter Anbieter für Videokonferenzen. Möchten Sie Zoom nutzen, müssen Sie jedoch einige Maßnahmen ergreifen, um datenschutzrechtlich auf der sicheren Seite zu sein. In unserem Beitrag "Wie auch Sie das Videokonferenztool Zoom datenschutzkonform nutzen können" erklären wir, was es rund um Zoom und die DSGVO zu beachten gibt.
Mailchimp
Wenn Sie Newsletter versenden, kennen Sie bestimmt das cloudbasierte Newsletter-Tool Mailchimp. Das Tool DSGVO-konform einzusetzen, bringt aber einige To-Do's mit sich: Auftragsverarbeitung und Datenschutzerklärung sind hier vor allem wichtig. In unserem Beitrag "E-Mail-Marketing: So erstellen Sie erfolgreiche und rechtssichere Mailkampagnen" verraten wir Details und geben Tipps, was es noch zu beachten gilt.
WordPress
WordPress verarbeitet jede Menge personenbezogener Daten. Die DSGVO spielt also eine große Rolle – und zwar nicht nur, wenn Sie bestimmte Plug-Ins verwenden. Die SSL-Verschlüsselung ist ein Anfang, doch damit ist es noch lange nicht getan. In unserem Beitrag "WordPress als Nutzer DSGVO-konform betreiben" erklären wir, was Sie noch beachten müssen.
eRecht24 Free Website Scanner
- Überprüfung auf rechtliche Schwachstellen
- Detailliertes Ergebnis übersichtlich aufbereitet
- Kostenfrei in nur wenigen Schritten erstellt
Kurz und knapp: Nutzen Sie Tools oder Messenger wie WhatsApp, Google Analytics, Zoom, Mailchimp oder das CMS WordPress beruflich, müssen Sie bestimmte Maßnahmen ergreifen, damit der Datenschutz sichergestellt ist.
Noch mehr Informationen zu den von der DSGVO betroffenen Tools finden Sie unter anderem in unseren Beiträgen „Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?“ und „WordPress als Nutzer DSGVO-konform betreiben“.
7. Wie setze ich die Vorgaben der DSGVO richtig um?
Der Schutz der Daten Ihrer Kunden ist Ihnen ein wichtiges Anliegen? Erfahren Sie jetzt, wie Sie sensible Daten schützen und die Vorgaben der DSGVO korrekt umsetzen.
Einwilligung bei personenbezogenen Daten
Wenn Sie personenbezogene Daten verarbeiten, müssen Sie in den meisten Fällen eine Einwilligung der betroffenen Personen einholen. Die DSGVO legt Ihnen zahlreiche weitere Pflichten auf. Für welche Daten diese Pflichten gelten, erfahren Sie in unserem Beitrag "Mit personenbezogenen Daten DSGVO-konform umgehen".
Datenschutzbeauftragter
Die DSGVO schreibt vor, dass Sie in bestimmten Fällen einen Datenschutzbeauftragten bestellen. Wir zeigen Ihnen hier, wann das erforderlich ist und welche Aufgaben ein Datenschutzbeauftragter konkret hat.
AV-Vertrag
Sie beauftragen externe Dienstleister, die personenbezogene Daten Ihrer Kunden verarbeiten? Dann müssen Sie bei der Datenverarbeitung für einen angemessenen Datenschutz sorgen und sich an die geltenden Datenschutzstandards und -grundlagen halten. Hierzu schreibt die DSGVO den Abschluss eines AV-Vertrags vor. Details haben wir für Sie in unserem Artikel "Was ist die DSGVO Auftragsverarbeitung und was geht mich das an?" zusammengefasst.
Standardvertragsklauseln
Übermitteln Sie personenbezogene Daten in Drittländer, müssen Sie auch hier einen angemessenen Datenschutz sicherstellen. Prüfen Sie, ob ein Angemessenheitsbeschluss der EU-Kommission für das Drittland vorliegt. Unter dem DPF ist eine Datenübermittlung in die USA zulässig, wenn der Anbieter ein Selbstzertifizierungsverfahren durchlaufen hat. Liegen kein Angemessenheitsbeschluss oder keine Zertifizierung vor, müssen Sie datenschutzrechtliche Maßnahmen ergreifen.
Das geht zum Beispiel, indem Sie Standardvertragsklauseln abschließen und eine Risikoabschätzung vornehmen. Wir erklären, was das genau bedeutet und was Sie dafür tun müssen.
Als eRecht24-Premium Mitglied können Sie mit unserem Datenschutz-Management-System nicht nur AV-Verträge und TOMs erstellen, sondern auch den Datenschutzstatus Ihres Unternehmens checken. Probieren Sie es jetzt aus!
Kurz und knapp: Mit einer nachweisbaren Einwilligung in die Datenverarbeitung, einer rechtssicheren Datenschutzerklärung, Anmeldeformular und Impressum sowie wenn nötig AV-Vertrag und Standardvertragsklauseln machen Sie Ihre Website DSGVO-konform.
Noch mehr Informationen und Tipps zu einer abmahnsicheren Unternehmenswebsite haben wir Ihnen in unserem ausführlichen Beitrag „So erstellen Sie 2024 abmahnsichere Webseiten“ zusammengefasst.
8. Checkliste: Die wichtigsten Infos zur DSGVO auf einen Blick
Die DSGVO bringt viele To-Do's mit sich, an die Sie als Unternehmer unbedingt denken müssen. Damit Sie nichts vergessen, haben wir Ihnen die wichtigsten Punkte in der folgenden Checkliste zusammengefasst:
-
DSGVO-konforme Datenschutzerklärung:
-
Datenverarbeitungsvorgänge in Datenschutzerklärung aufnehmen
-
Pflichtangaben wie Rechtsgrundlage, Zweck und Speicherdauer aufnehmen
-
Präzise, verständlich und leicht zugänglich verfassen
-
-
Datenschutzerklärung und Impressum überarbeiten:
-
Ggf. eigene Datenschutzerklärung und Impressum für Social-Media-Profile erstellen
-
-
Bei Nutzung von Online-Marketing-Tools:
-
Einwilligung einholen (am besten über Cookie Consent Tool)
-
Ggf. Auftragsverarbeitung prüfen und schließen
-
Sämtliche Tools, Tracker und Profile in Datenschutzerklärung aufnehmen
-
-
Bei Newsletter-Versand:
-
Einwilligung schriftlich oder elektronisch einholen
-
Nachweis der Einwilligung mittels Double-Opt-In-Verfahren
-
Freiwillige Einwilligung (Kopplungsverbot)
-
Einwilligung muss zweckgebunden & widerrufbar sein
-
Sämtliche Tools, die Sie für eine DSGVO-konforme Datenschutzerklärung, ein rechtssicheres Impressum und abmahnsichere Mailkampagnen benötigen, finden Sie bei eRecht24 Premium – inklusive Consent Tool von User Centrics.
Noch Fragen?
Auch wenn es nicht immer gleich einfach ist: Der Schutz personenbezogener Daten ist wichtig. Nicht nur aufgrund der hohen Bußgelder von bis zu 4% des weltweiten Umsatzes oder 20. Mio. Euro lohnt es sich, alles korrekt zu machen.
9. FAQ zur DSGVO
10. DSGVO Gesetzestext
Den Gesetzestext der DSGVO („Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ – finden Sie hier.
KAPITEL I
Allgemeine Bestimmungen
- Artikel 1 - Gegenstand und Ziele
- Artikel 2 - Sachlicher Anwendungsbereich
- Artikel 3 - Räumlicher Anwendungsbereich
- Artikel 4 - Begriffsbestimmungen
KAPITEL II
Grundsätze
- Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten
- Artikel 6 - Rechtmäßigkeit der Verarbeitung
- Artikel 7 - Bedingungen für die Einwilligung
- Artikel 8 - Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
- Artikel 9 - Verarbeitung besonderer Kategorien personenbezogener Daten
- Artikel 10 - Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
- Artikel 11 - Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
KAPITEL III
Rechte der betroffenen Person
Abschnitt 1 - Transparenz und Modalitäten
Abschnitt 2 - Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
- Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- Artikel 15 - Auskunftsrecht der betroffenen Person
Abschnitt 3 - Berichtigung und Löschung
- Artikel 16 - Recht auf Berichtigung
- Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
- Artikel 18 - Recht auf Einschränkung der Verarbeitung
- Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- Artikel 20 - Recht auf Datenübertragbarkeit
Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
- Artikel 21 - Widerspruchsrecht
- Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Abschnitt 5 - Beschränkungen
KAPITEL IV
Verantwortlicher und Auftragsverarbeiter
Abschnitt 1 - Allgemeine Pflichten
- Artikel 24 - Verantwortung des für die Verarbeitung Verantwortlichen
- Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Artikel 26 - Gemeinsam für die Verarbeitung Verantwortliche
- Artikel 27 - Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
- Artikel 28 - Auftragsverarbeiter
- Artikel 29 - Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
- Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
- Artikel 31 - Zusammenarbeit mit der Aufsichtsbehörde
Abschnitt 2 - Sicherheit personenbezogener Daten
- Artikel 32 Sicherheit der Verarbeitung
- Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Abschnitt 3 - Datenschutz-Folgenabschätzung und vorherige Konsultation
Abschnitt 4 - Datenschutzbeauftragter
- Artikel 37 - Benennung eines Datenschutzbeauftragten
- Artikel 38 - Stellung des Datenschutzbeauftragten
- Artikel 39 - Aufgaben des Datenschutzbeauftragten
Abschnitt 5 - Verhaltensregeln und Zertifizierung
- Artikel 40 - Verhaltensregeln
- Artikel 41 - Überwachung der genehmigten Verhaltensregeln
- Artikel 42 - Zertifizierung
- Artikel 43 - Zertifizierungsstellen
KAPITEL V
Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
- Artikel 44 - Allgemeine Grundsätze der Datenübermittlung
- Artikel 45 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
- Artikel 46 - Datenübermittlung vorbehaltlich geeigneter Garantien
- Artikel 47 - Verbindliche interne Datenschutzvorschriften
- Artikel 48 - Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
- Artikel 49 - Ausnahmen für bestimmte Fälle
- Artikel 50 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten
KAPITEL VI
Unabhängige Aufsichtsbehörden
Abschnitt 1 - Unabhängigkeit
- Artikel 51 - Aufsichtsbehörde
- Artikel 52 - Unabhängigkeit
- Artikel 53 - Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
- Artikel 54 - Errichtung der Aufsichtsbehörde
Abschnitt 2 - Zuständigkeit, Aufgaben und Befugnisse
- Artikel 55 - Zuständigkeit
- Artikel 56 - Zuständigkeit der federführenden Aufsichtsbehörde
- Artikel 57 - Aufgaben
- Artikel 58 - Befugnisse
- Artikel 59 - Tätigkeitsbericht
KAPITEL VII
Zusammenarbeit und Kohärenz
Abschnitt 1 - Zusammenarbeit
- Artikel 60 - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
- Artikel 61 - Gegenseitige Amtshilfe
- Artikel 62 - Gemeinsame Maßnahmen der Aufsichtsbehörden
Abschnitt 2 - Kohärenz
- Artikel 63 - Kohärenzverfahren
- Artikel 64 - Stellungnahme des Ausschusses
- Artikel 65 - Streitbeilegung durch den Ausschuss
- Artikel 66 - Dringlichkeitsverfahren
- Artikel 67 - Informationsaustausch
Abschnitt 3 - Europäischer Datenschutzausschuss
- Artikel 68 - Europäischer Datenschutzausschuss
- Artikel 69 - Unabhängigkeit
- Artikel 70 - Aufgaben des Ausschusses
- Artikel 71 - Berichterstattung
- Artikel 72 - Verfahrensweise
- Artikel 73 - Vorsitz
- Artikel 74 - Aufgaben des Vorsitzes
- Artikel 75 - Sekretariat
- Artikel 76 - Vertraulichkeit
KAPITEL VIII
Rechtsbehelfe, Haftung und Sanktionen
- Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde
- Artikel 78 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
- Artikel 79 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
- Artikel 80 - Vertretung von betroffenen Personen
- Artikel 81 - Aussetzung des Verfahrens
- Artikel 82 - Haftung und Recht auf Schadenersatz
- Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen
- Artikel 84 - Sanktionen
KAPITEL IX
Vorschriften für besondere Verarbeitungssituationen
- Artikel 85 - Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
- Artikel 86 - Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
- Artikel 87 - Verarbeitung der nationalen Kennziffer
- Artikel 88 - Datenverarbeitung im Beschäftigungskontext
- Artikel 89 - Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
- Artikel 90 - Geheimhaltungspflichten
- Artikel 91 - Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
KAPITEL X
Delegierte Rechtsakte und Durchführungsrechtsakte
KAPITEL XI
Schlussbestimmungen
- Artikel 94 - Aufhebung der Richtlinie 95/46/EG
- Artikel 95 - Verhältnis zur Richtlinie 2002/58/EG
- Artikel 96 - Verhältnis zu bereits geschlossenen Übereinkünften
- Artikel 97 - Berichte der Kommission
- Artikel 98 - Überprüfung anderer Rechtsakte der Union zum Datenschutz
- Artikel 99 - Inkrafttreten und Anwendung