Sie sind hier: Home » Markt » Hinweise & Tipps

Stolperfalle Datenschutz


Fünf Aspekte zur korrekten Umsetzung der EU-DSGVO in digitalen Betrieben
Drohenden Strafzahlungen entgehen zum Beispiel Onlinehändler oder Betreiber von Internetseiten und Portalen, indem sie verschiedene Punkte wie die folgenden beachten



Von Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH

Bereits vor knapp zwei Jahren verabschiedete das Parlament in Brüssel die einheitliche EU-Datenschutzgrundverordnung (DSGVO). In den meisten digitalen Betrieben war – trotz zweijähriger Übergangszeit – große Verwirrung die Folge und noch heute fällt vielen die Umsetzung des umfangreichen Beschlusses schwer. Doch auch wenn hohe Komplexität schnell zu Verwirrung und Unsicherheit führt, gilt es Nachlässigkeiten bei der Durchführung oder gar Untätigkeit zu vermeiden. Drohenden Strafzahlungen entgehen zum Beispiel Onlinehändler oder Betreiber von Internetseiten und Portalen, indem sie verschiedene Punkte wie die folgenden beachten.

1. Betroffene informieren
Seit Inkrafttreten der EU-DSGVO besteht eine Informationspflicht des Verantwortlichen gegenüber den betroffenen Personen, so festgehalten in Artikel 13. Diese umfasst nicht nur Kunden oder andere Website-Besucher, sondern auch die eigenen Mitarbeiter sowie neue Bewerber. Entnimmt ein Betreiber die Daten direkt bei der betroffenen Person, ist er verpflichtet, diese vor der Erhebung zu informieren, was zum Beispiel durch einen Zusatz im Vertrag oder durch eine Einblendung auf der Internetseite geschieht. Beides beinhaltet die Angabe von Namen und Kontaktdaten sowie den Zweck der Speicherung und wie lange diese andauert. Auch jede Änderung der letzten Punkte fällt unter die Informationspflicht. Tritt der Sonderfall ein, dass eine dritte Partei die Daten sammelt und an den Verantwortlichen weitergibt – aufgeführt in Artikel 14 –, informiert dieser nicht nur über das Grundlegende, sondern gibt auch seine externen Quellen an.

2. Für jeden gut lesbar
Einer ganzen Reihe von Vorschriften unterliegt auch die auf der firmeneigenen Website abgebildete Version der Datenschutzerklärung. Dort erscheinen zum Beispiel Selbstverständlichkeiten wie Name und Kontaktdaten des Anbieters, Angabe zum Zweck der Datenspeicherung, Widerspruchsrecht gegen die Verarbeitung und Dauer der Datenspeicherung. Als ebenfalls notwendig erweisen sich allerdings Hinweise zum Recht auf Auskunft, das Vorhandensein eines Beschwerderechts oder die Angabe von Kontaktdaten eines Datenschutzbeauftragten. Außerdem räumt der Gesetzgeber den betroffenen Personen in dieser Erklärung ein Recht auf Widerspruch bei einer Aufsichtsbehörde ein.

3. Transparenz als höchstes Gebot
Um ein theoretisches Abmahnrisiko zu minimieren, verpflichtet sich der Betreiber, eine größtmögliche Transparenz zu gewährleisten. Seit Inkrafttreten der DSGVO verlangt der Gesetzgeber vom Verantwortlichen in der Lage zu sein, angeforderte Angaben proaktiv zu liefern. Zusätzlich reicht seit Ende 2019 die bloße Anzeige von verwendeten Cookies auf den Internetseiten nicht mehr aus. Eine deutliche Verschärfung der Richtlinie verbietet jeglichen Einsatz der Datenpakete ohne eindeutige Zustimmung des Nutzers. Kurz gesagt: keine Einwilligung, keine Cookies. Zur Erfüllung der Voraussetzungen dient etwa die Gestaltung eines gut sichtbaren Banners, welches auf einen Blick alle relevanten Informationen präsentiert. Als besonders beliebt stellen sich seit der Gesetzesverschärfung ankreuzbare Kästchen heraus, die dem Nutzer eine persönlich abgestimmte Auswahl ermöglichen.

4. Double-Opt-in hält besser
Newsletter verschicken gehört zu den am häufigsten angewendeten Methoden der Informationsweitergabe. Mit dem Double-Opt-in Verfahren befinden sich Unternehmen seit Einführung der DSGVO in diesem Fall auf der sicheren Seite. Anders als beim Single-Opt-in fragt der Betreiber dort nicht nur den Kontakt wie zum Beispiel die Mail-Adresse ab, sondern fordert noch eine zusätzliche Absicherung – meistens in Form einer Bestätigungsmail – des Kunden. Damit darf sichergestellt sein, dass die Person, die Informationen erhält, selbige auch tatsächlich angefordert hat. Bei einer möglichen Beschwerde besteht für den Betreiber eine Nachweispflicht der jeweiligen Einwilligung zur Verarbeitung der personenbezogenen Daten.

5. Verantwortung verteilen
Einige Entscheider denken, die Bestellung eines Datenschutzbeauftragten erfolge freiwillig. Diese Annahme stellt sich jedoch als falsch heraus. Ganz klar definiert die EU-DSGVO in Artikel 37, Absatz 1, wann die Geschäftsleitung der Pflicht unterliegt, einen Verantwortlichen zu bestimmen. Es gilt daher dringend zu überprüfen, ob das jeweilige Unternehmen diese Voraussetzung erfüllt. Doch selbst wenn die Notwendigkeit nicht besteht, lohnt sich die Berufung einer Ansprechperson. Laufen alle Probleme und Beschwerden in einem Punkt zusammen, gestaltet sich die Lösung häufig einfacher. Alternativ bietet sich eine den Datenschutzrichtlinien angepasste CRM-Software zur Adressverwaltung wie die von cobra an. (cobra – computer’s brainware: ra)

eingetragen: 15.04.20
Newsletterlauf: 24.06.20

cobra - computer's brainware: Kontakt & Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen