Nun ist sie da, die Datenschutzgrundverordnung. Seit dem 28.05.2018 muss sie auch in Deutschland von jedem Unternehmer, der personenbezogene Daten verarbeitet, umgesetzt werden.
Musterformulare
für D.A.S. Rechtsschutzkunden der ERGO
Hier finden Sie unsere Merkblätter und Musterschreiben rund um die neue Datenschutzgrundverordnung:
Datenschutzgrundverordnung - Allgemeines
Einwilligung Datenspeicherung
Onlineshops
Websites
Wir möchten Ihnen einen Überblick verschaffen, woran Sie bei der Umsetzung denken sollten:
Passen Sie sowohl Ihre Datenschutzerklärung als auch Ihr Impressum an
Nennen müssen Sie in Zukunft neben den Daten des Verantwortlichen auch die Kontaktdaten des Datenschutzbeauftragen, mindestens dessen Email Adresse (Art. 13 DSGVO). Einen Datenschutzbeauftragten benötigen Unternehmen, die die Voraussetzungen des Art. 37 DSGVO erfüllen.
teilen Sie Ihrem Kunden mit, warum und mit welcher rechtlichen Grundlage Sie personenbezogene Daten verarbeiten
Grundsätzlich ist auch in Zukunft die Verarbeitung personenbezogener Daten verboten, wenn die Kunden nicht ausdrücklich einwilligen oder das Gesetz die Verarbeitung erlaubt. Ganz ohne Daten ist aber kein Vertragsschluss möglich - informieren Sie Ihre Kunden darüber. Ihre Datenschutzerklärung muss nach Art 6 DSGVO eine Aufklärung über die Verarbeitung personenbezogener Daten enthalten. Sie müssen Ihre Kunden darüber aufklären, zu welchem Zweck Sie seine Daten benötigen. Die erhobenen Daten dürfen dann auch nur zu diesem Zweck verwendet werden (Angabe der Kundenadresse zum Postversand an den Kunden).
Beachten Sie immer das Prinzip der Datenminimierung (Art. 5 DSGVO). Fragen Sie nur die Daten ab, die Sie tatsächlich brauchen.
teilen Sie Ihrem Kunden mit, wer seine Daten erhält
Falls Sie die Daten an ein anderes Unternehmen weiterleiten, müssen Sie auch dies dem Kunden mitteilen und den Grund dafür darlegen (zum Beispiel: Forderungsmanagement durch ein anderes Unternehmen).
Teilen Sie mit, wie lange Sie die Daten speichern
Eine dauerhafte Speicherung personenbezogener Daten ist nicht gestattet. Wie lange Sie die Daten Ihrer Kunden speichern, sollten Sie in Ihrer Datenschutzerklärung genau angeben und nicht durch schwammige Formulierungen verschleiern. Der Kunde hat gemäß Art. 17 DSGVO explizit ein Recht auf "Vergessen werden". Wenn es also keinen Grund mehr zur Speicherung der Daten gibt, sollten Sie als Verarbeiter aktiv werden und die Daten Ihrer Kunden löschen. Wir haben Ihnen ein Merkblatt zur DSGVO erstellt, in dem Sie mehr zu diesem Thema erfahren.
Dokumentieren Sie die Einwilligung
Dokumentieren Sie unbedingt den Ursprung der Daten und die Einwilligung des Kunden zur Verarbeitung seiner personenbezogenen Daten. Wir haben Ihnen eine Musterformulierung für die Einwilligung zur Datenspeicherung hinterlegt.
Klären Sie Ihre Kunden über ihre Rechte auf
Nach der Datenschutzgrundverordnung haben Ihre Kunden einen Anspruch darauf, über ihre Rechte bezüglich des eigenen Datenschutzes aufgeklärt zu werden. Ihr Kunde hat folgende Rechte, die Sie mit in Ihre Datenschutzerklärung aufnehmen müssen:
Sie müssen Ihre Nutzer darauf hinweisen, dass sie ein Beschwerderecht bei den zuständigen Aufsichtsbehörden haben, wenn ein Problem hinsichtlich des Datenschutzes vorliegt.
Kontaktformulare anpassen
Falls Sie Ihrem Kunden Kontaktformulare anbieten, müssen Sie sich auch hierbei nach den Neuerungen der DSGVO richten, denn auch in Kontaktformularen werden in der Regel persönliche Daten abgefragt. Konkret bedeutet das für Sie als Unternehmer, dass Sie Ihren Kunden über die Art, den Umfang und Zweck der Datenabfrage informieren müssen und die Verwendung und Verarbeitung der personenbezogenen Daten offenlegen müssen.
Newsletter
Wenn Sie bereits bislang einen Newsletter an Ihre Kunden versendet haben, der sich an den Regelungen des BDSG und des Telemediengesetzes orientiert, ändert sich für Sie durch die Einführung der DSGVO nicht viel.
Um auch in Zukunft Newsletter versenden zu können, ist es vor allem wichtig, dass Sie die Einwilligung des Kunden zum Erhalt eines Newsletters nachweisen können. Die Einwilligung darf dabei nicht an die Vornahme einer Handlung geknüpft sein. Also: Newsletter abbonieren, sonst kein Vertragsschluss, funktioniert nicht. Der Kunde muss darüber hinaus auf die Datenschutzerklärung (die natürlich DSGVO konform ist) hingewiesen werden. Für die Einwilligung zum Newslettererhalt bewährt sich das "drop in" Verfahren, besser noch "double opt in": Der Kunde erhält nach der Eingabe seiner Emailadresse eine Bestätigungsmail mit einem Aktivierungslink, den er für die ausdrückliche Zustimmung zum Newsletter dann anklicken muss. Nicht empfehlenswert ist das einfache "drop out" Verfahren, in dem der Kunde das Häckchen aus dem Kästenchen zum Newslettererhalt erst entfernen muss.