8 (einfache) Schritte, um DSGVO-fähig zu sein, wenn Sie eine Website besitzen

Veröffentlicht: 2018-03-29

Haftungsausschluss: Bitte beachten Sie, dass wir keine Anwaltskanzlei sind und dies keine Rechtsberatung darstellt! Die Informationen in diesem Blog-Beitrag werden nur zu allgemeinen Informationszwecken bereitgestellt und spiegeln möglicherweise nicht Ihre rechtlichen/DSGVO-Anforderungen wider.

Um sicherzustellen, dass Sie (und/oder Ihr Unternehmen) DSGVO-konform sind, empfehlen wir Ihnen dringend, einen Anwalt zu konsultieren.

Die Datenschutz-Grundverordnung (DSGVO) ist die wichtigste datenschutzrechtliche Änderung seit 20 Jahren. Um es kürzer (und leichter verständlich) zu machen: Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG und soll die Datenschutzgesetze in ganz Europa harmonisieren, den Datenschutz aller EU-Bürger schützen und stärken und die Art und Weise, wie Organisationen neu gestaltet werden in der gesamten Region an den Datenschutz herangehen.

Datum der Durchsetzung: 25. Mai 2018 – zu diesem Zeitpunkt können den Organisationen, die die Vorschriften nicht einhalten, hohe Bußgelder drohen.

Als Person: Ihre persönlichen Daten werden einfacher zu verwalten sein. Als Geschäftsinhaber, Website-Administrator oder Organisation, die betroffenen Personen in der EU Waren oder Dienstleistungen anbietet (oder deren Verhalten überwacht), müssen Sie sich daran halten. Wenn Sie also EU-Kunden oder Daten von Personen mit Wohnsitz in der Europäischen Union haben, müssen Sie die DSGVO einhalten, unabhängig davon, wo Sie sich tatsächlich befinden. Andernfalls können Sie wegen Verstoßes gegen die DSGVO mit einer Geldstrafe von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden.

Was sind personenbezogene Daten?

Name
Adresse
Email
Telefonnummern
Lokalisierung
Online-Kennung
Gesundheitsinformationen
Einkommen
Kulturelles Profil
und mehr

Was bedeutet Nichteinhaltung?

Angenommen, Sie haben einige persönliche Daten von Ihren Kunden, Leads oder jemandem, der irgendwann über Ihr Unternehmen gestolpert ist. Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und mit denen diese Person direkt oder indirekt identifiziert werden kann. Dabei kann es sich um einen Namen, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf Websites sozialer Netzwerke, medizinische Informationen oder eine Computer-IP-Adresse handeln.

Wenn Sie über diese Art von Daten verfügen, müssen Sie außerdem sicherstellen, dass Sie die Zustimmung aller haben und ein einfaches Verfahren zum Widerruf der Zustimmung haben, da dies der Kern des Privacy by Design-Konzepts ist. Die Einhaltung der DSGVO erfordert eine Reihe von Maßnahmen zur Vermeidung von Datenschutzverletzungen, und im Falle einer Sicherheitsverletzung müssen Sie innerhalb von 72 Stunden nach Bekanntwerden der Verletzung eine Benachrichtigung an alle Beteiligten senden.

Was sollten Sie jetzt tun, um genauer zu sein?

Wenn Sie ein Analysetool, eine Liste von E-Mails zum Versenden von Newslettern und alles, was Ihnen beim Sammeln von Daten hilft, haben, müssen Sie grundsätzlich die DSGVO einhalten und alles so transparent wie möglich machen.

Hier ist, womit Sie beginnen können:

Unterzeichnen Sie eine DPA (Data Processor Agreement) mit allen Ihren Drittanbieter-Apps (Visitor Analytics oder ein anderes Analysetool, E-Mail-Client-Service usw.). Um einen DPA zu unterzeichnen, müssen Sie nur Ihre Mitteilungen von all Ihren Drittanbieter-Apps überprüfen (falls Sie sie bereits erhalten haben) oder sie bitten, Ihnen einen zuzusenden.
Machen Sie einen klaren Abschnitt mit den Allgemeinen Geschäftsbedingungen, in dem Sie die Daten angeben, die Sie sammeln, und deren Zweck
Erwähnen Sie alle verwendeten Cookies und Details darüber (Name, Lebensdauer, Notwendigkeit).
Recht auf Auskunft gewähren: Wenn jemand in Ihren Listen/Datenbanken von Ihnen eine Bestätigung darüber erhalten möchte, ob personenbezogene Daten, die ihn betreffen, wo und zu welchem Zweck verarbeitet werden, müssen Sie darauf antworten und a kostenlose Kopie der personenbezogenen Daten in elektronischer Form.
Bieten Sie das Recht auf Vergessenwerden an, auch bekannt als Datenlöschung. Man kann jederzeit darum bitten, seine persönlichen Daten zu löschen. Seien Sie also vorsichtig mit diesem, denn die Bedingungen für die Löschung, wie in Artikel 17 beschrieben, umfassen, dass die Daten für die ursprünglichen Verarbeitungszwecke nicht mehr relevant sind oder eine betroffene Person ihre Einwilligung widerruft.
Erstellen Sie eine Reihe von Maßnahmen, um Datenschutzverletzungen zu vermeiden, und im Falle einer Sicherheitsverletzung sollten Sie alle Beteiligten innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen.
Bieten Sie das Recht auf Datenübertragbarkeit an. Das bedeutet, dass jemand die ihn betreffenden personenbezogenen Daten, die er zuvor in einem „allgemein verwendeten und maschinenlesbaren Format“ bereitgestellt hat, anfordern kann und das Recht hat, diese Daten an einen anderen Verantwortlichen zu übermitteln. In Kürze kann jeder seine Daten von einem Controller exportieren und an einen anderen senden.
Gehen Sie besser organisiert mit den Daten um! Auch in der Gesetzgebung gibt es eine wichtige Änderung zum Datenschutz. Um es leichter verständlich zu machen, fordert Artikel 23 die für die Verarbeitung Verantwortlichen auf, nur die Daten zu speichern und zu verarbeiten, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind (Datenminimierung), und den Zugang zu personenbezogenen Daten auf diejenigen zu beschränken, die für die Durchführung der Verarbeitung erforderlich sind .

Es gibt viel mehr Informationen zu diesem Thema, aber hier ist die DSGVO-Struktur und die Kapitel, damit Sie leicht verstehen können, worum es bei dieser großen Änderung des Datenschutzes geht:

1. Kapitel: Allgemeine Bestimmungen (DSGVO-Ziele und Definitionen)
Kapitel 2: Grundsätze (alles im Zusammenhang mit der Verarbeitung personenbezogener Daten und Bedingungen für die Einwilligung)
Kapitel 3: Rechte der betroffenen Person (dieses Kapitel konzentriert sich auf Transparenz, Zugang zu Daten, Löschung, Entscheidungsfindung und Einschränkungen)
Kapitel 4: Verantwortlicher und Auftragsverarbeiter (allgemeine Verpflichtung sowohl des Verantwortlichen als auch des Auftragsverarbeiters, Sicherheit personenbezogener Daten, Datenschutzbeauftragte und Informationen zu Verhaltenskodizes)
Kapitel 5: Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (nun, das muss nicht erklärt werden)
6. Kapitel: Unabhängige Aufsichtsbehörden (Allgemeine Voraussetzungen für Unabhängigkeit, Zuständigkeit, Aufgaben und Befugnisse innerhalb einer Organisation)
Kapitel 7: Zusammenarbeit und Konsistenz (dieses ist ziemlich komplex und es erklärt viele Fragen zur Zusammenarbeit, Konsistenzmechanismen, Verfahren, Vertraulichkeit und viele Dinge des Europäischen Datenschutzausschusses)
Kapitel 8: Rechtsbehelfe, Haftung und Sanktionen (ein wichtiges Kapitel, wenn Sie wissen wollen, was Strafen sind und wie Sie sicherstellen können, dass Sie sie nicht bekommen)
Kapitel 9: Bestimmungen in Bezug auf bestimmte Datenverarbeitungssituationen
Kapitel 10: Delegierte Rechtsakte und Durchführungsrechtsakte
Kapitel 11: Schlussbestimmungen

Wir bei Visitor Analytics arbeiten hart daran sicherzustellen, dass wir weiterhin alle Funktionen für unsere Kunden bereitstellen und gleichzeitig DSGVO-konform sind!

Im nächsten Artikel werden wir Ihnen sagen, wie wir unsere Dienstleistungen anpassen, um alle Erwartungen der DSGVO zu erfüllen, und wie wir Ihnen als Website-Eigentümer, der unsere App nutzt, helfen können, ohne Aufwand konform zu sein! Wir wissen, dass all diese Compliance-Schritte kompliziert klingen mögen, aber wenn Sie gerade erst mit dem Weg zu einer 100 % DSGVO-konformen Website beginnen, finden Sie hier die umfassendste DSGVO-Checkliste für den Einstieg.

PS: Wenn Sie es geschafft haben, das Ende des Artikels zu erreichen, hier ist eine schöne Infografik über die DSGVO, die vom großartigen EU-Team erstellt wurde: http://ec.europa.eu/justice/smedataprotect/index_en.htm