Infothek DSGVO

Informationen, Aktuelles & Handlungsanleitungen

Herzlich willkommen in der Protected Shops Infothek zum Thema DSGVO!
In der Infothek haben wir für Sie die relevanten Themen rund um die Datenschutz-Grundverordnung (DSGVO) bereitgestellt.

Beschreibung der gesetzlichen Relevanz

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft.
Mit der Verordnung wird das Datenschutzrecht in der EU neu geregelt und harmonisiert. Die DSGVO enthält zahlreiche Pflichten, die Online- Händler umsetzen müssen, damit ihr Shop den neuen datenschutzrechtlichen Vorgaben entspricht. Da die Anforderungen hoch sind und die Umsetzung einiger Maßnahmen zeitintensiv ist, besteht jetzt Handlungsbedarf.
Shop-Betreiber sollten so bald wie möglich damit beginnen, ihre Datenschutzprozesse den neuen Regelungen anzupassen. Das ist notwendig, da es keine Übergangsfrist gibt.
Ab dem 25.05.2018 ist die DSGVO verbindlich geltendes Recht.
Bei Verstößen können Onlinehändler mit hohen Bußgeldern belangt werden.

Aktuelle Whitepaper zur DSGVO

Eine Einführung in die Neuerungen der Datenschutz-Grundverordnung erhalten Sie im folgenden Whitepaper:

Einführung hier lesen

Das bereits bestehende Verbotsprinzip bleibt erhalten. Eine Verarbeitung von personenbezogenen Daten ist verboten, es sei denn es gibt eine einschlägige Rechtsgrundlage für die Verarbeitung. Welche Rechtsgrundlagen es unter der DS-GVO gibt, und was bei diesen zu beachten ist erfahren Sie in diesem Beitrag.

Beitrag hier lesen

Händler müssen sich darauf einstellen, dass die von der Datenverarbeitung betroffenen Personen (z.B. Besucher einer Webseite, Kunden, Mitarbeiter) künftig an sie herantreten können, um zu erfahren, zu welchem Zweck die Daten erhoben werden (z.B. personalisierte Werbung), welche Datenkategorien betroffen sind (z.B. ethnische Herkunft) und wie lange die voraussichtliche Speicherdauer beträgt. Dieses Recht auf Auskunft ist neben weiteren Rechten zum Schutz der Betroffenen wie das Recht auf Löschung oder das Recht auf Datenübertragbarkeit eines der wichtigsten neuen Rechte, das Nutzer künftig gegenüber Händlern geltend machen können, die Daten von ihnen erheben. Genaues zu den Betroffenenrechten erfahren Sie hier.

Beitrag hier lesen

FAQ zum „Verzeichnis von Verarbeitungstätigkeiten“

1. Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Im Verzeichnis von Verarbeitungstätigkeiten werden die Verarbeitungstätigkeiten eines Unternehmens hinterlegt. Beispiele für solche Verfahren wären etwa der Bestellprozess, die Lohnbuchhaltung oder der Newsletter-Versand. Bei diesen genannten Tätigkeiten werden personenbezogene Daten erhoben und verarbeitet, diese müssen in das Verzeichnis von Verarbeitungstätigkeiten eingetragen werden. Dieses Verzeichnis soll in ähnlicher Form bereits nach aktuellen Datenschutzrecht geführt werden, dort heißt es noch „Verfahrensverzeichnis“

2. Was ist der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten?

Das Verzeichnis enthält die Kontaktdaten des verarbeitenden Unternehmens bzw. des Gewerbetreibenden sowie ggfs. eines Datenschutzbeauftragten, sofern dieser vorhanden ist. Darüber hinaus müssen für alle Verarbeitungstätigkeiten der Zweck der Verarbeitung und die Personenkategorie(z.B. Kunden) und die Datenkategorien(z.B. Bestelldaten) enthalten werden. Ebenso bedarf es einer Information zu Empfängerkategorien(z.B. Versanddienstleister). Gesondert muss ausgewiesen werden, falls es im Verfahren zu einer Übermittlung ins Nicht-EU-Ausland kommt. Darüber hinaus muss für jede Verarbeitungstätigkeit die Fristen zur Löschung genannt werden. Zuletzt bedarf es noch einer allgemeiner Beschreibung der technisch und organisatorischen Maßnahmen.

3. Wer ist zum Führen des Verzeichnisses von Verarbeitungstätigkeiten verpflichtet?

Jeder der personenbezogenen Daten geschäftlich erhebt und verarbeitet. Damit muss eigentlich fast jeder Unternehmer oder Gewerbetreibender ein solches führen. Denn so gut wie jede Firma erhebt personenbezogene Daten irgendwelcher Art. Verpflichtet zum Führen ist dabei der Gewerbetreibende bzw. die Unternehmensleitung.

4. Gibt es eine Erleichterung für kleine und mittelständige Unternehmen?

Grundsätzlich ja. Alle Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssten eigentlich kein Verzeichnis führen.

Allerdings gibt es für diese Entpflichtung drei Ausnahmen. So müssen auch kleine und mittelständische Unternehmen ein Verzeichnis führen, sofern sie Verarbeitungen mit Risiko für Rechte und Freiheiten betroffener Personen durchführen, sofern die Verarbeitung öfter als gelegentlich erfolgt oder sofern besondere Datenkategorien(besonders geschützte Daten wie solche zu Religion, Gesundheit, sexueller Orientierung) verarbeitet werden. Wenn auch nur eine Ausnahme zutrifft, muss das Verzeichnis geführt werden. Während ersteres zumindest bei kleinen Unternehmen noch selten sein wird, wird es bei den weiteren Ausnahmen schwierig.

So ziemlich jedes normale Unternehmen nutzt mindestens einzelne Verfahren, welche ständig genutzt werden. Beispielsweise die Lohnbuchhaltung, die Kundenverwaltung oder das E-Mailsystem.

Darüber hinaus muss jedes Unternehmen mit Mitarbeitern in Deutschland Lohnsteuer abführen. Da zur Berechnung der Kirchensteuer die Religionszugehörigkeit der Mitarbeiter bekannt sein muss, und die Religionszugehörigkeit ein besonders geschütztes Datum ist, ist auch diese Ausnahme sehr selten einschlägig.

Fazit: Leider ist die im Gesetz genannte Erleichterung für KMUs in der Praxis sehr selten anwendbar. Jeder normale Gewerbetreibende wird ein Verzeichnis von Verarbeitungstätigkeiten führen müssen.

5. Wer hat Einsicht in das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Aufsichtsbehörde kann also jederzeit von sich an ein Unternehmen innerhalb ihres Aufsichtsbereichs herantreten und kann verlangen, das Verzeichnis vorgelegt zu bekommen. Die Zuständige Aufsichtsbehörde für ein Unternehmen ist in Deutschland jenes seines Bundeslandes. Darüber hinaus gibt es zukünftig Pflichten, Datenpannen den Aufsichtsbehörden zu melden. Hier ist zu erwarten, dass die Aufsichtsbehörde als Reaktion auf eine solche Meldung ebenfalls das Verzeichnis vorgelegt bekommen will. Allerdings ist die Aufsichtsbehörde die einzige Stelle außerhalb des Unternehmens, die das Verzeichnis zu Gesicht bekommt, die bisher bestehende Pflicht, betroffenen Personen auf Antrag ein eingeschränktes Verfahrensverzeichnis auszuhändigen entfällt.

6. Was ist der Zweck des Verzeichnis von Verarbeitungstätigkeiten?

Einerseits soll es Unternehmen selbst helfen, seine Verfahren strukturiert aufzubereiten, und sich diesen mehr bewusst zu werden. Auch lassen sich andere Vorgaben der Datenschutzgrund-Verordnung mithilfe des Verzeichnisses besser in Griff bekommen.

Andrerseits soll es Aufsichtsbehörden helfen, im Falle einer Prüfung sich schnellen Überblick zu verschaffen, welche Daten ein Unternehmen zu welchen Zwecken verarbeitet, und an wen diese Daten weitergegeben werden.

7. Reicht es aus, ein Verzeichnis von Verarbeitungstätigkeiten erst dann zu erstellen, wenn die Aufsichtsbehörde sich meldet?

Nein. Die Dokumentationspflichten der Datenschutzgrundverordnung gelten ab dem 25.Mai 2018. Die Datenschutzbehörden haben bereits dargestellt, dass diese bei Prüfungen einen gelebten Datenschutz sehen wollen. Ein Verzeichnis muss aktiv geführt werden. Es reicht also auch nicht aus, das Verzeichnis einmalig zu erstellen. Stattdessen sollte dieses regelmäßig überarbeitet werden, sofern neue Verfahren hinzukommen oder sich an einem Verfahren etwas ändert.

8. Welche Folgen hat ein Verstoß gegen die Pflicht des Führens des Verzeichnis von Verarbeitungstätigkeiten?

Wenn ein Unternehmen ein Verarbeitungsverzeichnis nicht führt, kann dies durch die Aufsichtsbehörden mit einem Bußgeld sanktioniert werden.

Die maximale Höhe dieses Bußgeldes beträgt 10 Millionen Euro bzw. 2% des Jahresumsatzes. Zwar ist es unwahrscheinlich, dass Aufsichtsbehörden den genannten Bußgeldrahmen für das Fehlen eines Verzeichnisses ausreizen, trotzdem sind hier zukünftig durchaus empfindliche Strafsummen zu erwarten.

Die am 25.Mai 2018 in Kraft tretende Datenschutz-Grundverordnung(DS-GVO) zwingt alle Unternehmen dazu, technische und organisatorische Maßnahmen (im weiteren TOM) zu treffen, um die Sicherheit und den Schutz der zu verarbeitenden personenbezogenen Daten ihrer Kunden und Mitarbeiter zu gewährleisten. Dies ist an und für sich nichts neues, besteht diese Pflicht doch schon im bestehenden Bundesdatenschutzgesetz(BDSG). Insbesondere jedoch auf Grund der hohen möglichen Sanktionen durch die Aufsichtsbehörden sind alle Unternehmen dringend aufgerufen, die erforderlichen Maßnahmen im eigenen Unternehmen rechtzeitig zu überprüfen. Näheres zu diesem Thema, erhalten Sie in dem folgenden Beitrag.

Beitrag hier lesen

Jedes Unternehmen tut gut daran, bis zum 23. Mai 2018 seine Datenschutzpraktiken zu überprüfen und anzupassen. Hierzu gehört insbesondere auch zu überprüfen, ob die technisch- und organisatorischen Maßnahmen ausreichen, um die erhobenen und verarbeiten Daten ausreichend zu schützen. Jedoch lässt sich in der Praxis auch bei großen Anstrengungen nie völlig verhindern, dass es einmal zu einer Datenpanne kommt. Sei es, dass man gehackt wurde, oder es zu einem Verlust von Daten durch einen Softwarefehler kam. Was dann zu tun ist, erfahren Sie hier.

Beitrag hier lesen

Grundsätzlich sind alle Daten, welche erhoben und verarbeitet werden, bestmöglich zu schützen. Jedoch ist offensichtlich, dass es Daten gibt, von welchen nur ein niedriges Missbrauchspotential ausgeht, insbesondere bei solchen, welche ohnehin schon öffentlich sind, etwa die Telefonnummer eines Betroffenen welche bereits im Telefonbuch veröffentlicht wurde. Auf der anderen Seite gibt es jedoch auch Daten, welche ganz besonderen Schutz bedürfen, da diese einen hohen Schaden für betroffene Personen erzeugen können, sollten diese in die falschen Hände gelangen. Etwa Gesundheitsdaten, man stelle sich etwa vor, die vertrauliche Patientenakte wäre öffentlich einsehbar. Welche anderen Daten besonders geschützt sind, und was bei Ihrer Verarbeitung zu beachten ist, erklärt Ihnen der folgende Beitrag.

Beitrag hier lesen

Jetzt neu für eCommerce-Unternehmen:

Unser Generator für das Verzeichnis von Verarbeitungstätigkeiten

Protected Shops: DSGVO Compliance Paket

  • Generelle Prüfung der DSGVO Compliance des Onlinehändlers durch entwickelten „Self-Audit“.
  • Einzelne Verfahren werden mittels eines intuitiven Erstellungsprozesses individuell erstellt.
  • Rechtssicherheit durch kontinuierliche Pflege und Erweiterung durch Rechtsdienstleister Protected Shops.
  • Mit vorgefertigten Vorlagen (ständig erweitertes Portfolio) für gängige Verarbeitungstätigkeiten zur Webanalyse, Bestellabwicklung oder zum Newsletter-Versand wird Ihnen das Anlegen des Verzeichnisses für Verarbeitungstätigkeiten leicht gemacht.
DSGVO compliance Schutzpaket
weitere Informationen

JETZT BESTELLEN

Jetzt bestellen und DSGVO konform handeln Das Schutzpaket kostet 29,90€ monatlich zzgl. Ust. bei jährlicher Zahlweise.

Sie sind bereits Kunde von ProtectedShops?

Loggen Sie sich bitte in Ihren Kundenbereich ein.
Dort haben wir für Sie einen speziellen Bestandskundentarif hinterlegt.

weitere Informationen