DSGVO-Konformität als Wettbewerbsvorteil: Chancen für Anbieter im Zeitalter des Datenschutzes
Die DSGVO - Was muss beachtet werden, um teure Strafen zu vermeiden?
Die Datenschutzgrundverordnung ändert nicht nur einiges für Nutzer von Onlinediensten und Plattformen, sondern bringt auch für Anbieter und Händler Veränderungen mit sich.
Deutschland ist bereits jetzt ein Land, indem die Datenschutzbestimmungen einen hohen Stellenwert besitzen. Händler die sich bisher schon um die Einhaltung des Datenschutzes ihrer Kunden bemüht haben, wird die Einführung der neuen DSGVO weniger betreffen, als Anbieter die das bisher vernachlässigt haben.
Was Sie als Händler und Anbieter von Online Diensten und Plattformen ab Mai 2018 unbedingt beachten müssen, haben wir hier für Sie zusammengefasst.
Datensicherheit nach dem Stand der Technik
Datensicherheit für Nutzerdaten sollte zwar eigentlich ein Standard sein, der in allen Verordnungen und Gesetzen verankert sein muss, die Praxis zeigt allerdings, dass dem nicht so ist. Viele Webseiten die beispielsweise ein Kontaktformular anbieten, und sogar Webshops die Zahlungen abwickeln haben im Jahr 2017!!! immer noch keine ausreichenden Maßnahmen zum Schutz Ihrer Webseiten getroffen. Fehlende SSL / TLS Verschlüsselung (http anstelle des sichereren https) und unzureichend gesicherte Datenbanken, machen Datendiebstähle und Missbrauch fast zu einem alltäglichen Medienereignis.
Die DSGVO schreibt Betreibern und Anbietern ab Mai vor, eine ausreichende Datensicherheit, durch Berücksichtigung des Stands der Technik, des Risikos und der Kosten zu gewährleisten.
Im Klartext bedeutet das für Sie als Anbieter:
- SSL / TLS Verschlüsselung (Zertifikat), sobald Newsletter- oder Kontaktformular auf der Webseite eingesetzt werden.
- Risikoeinschätzung Ihrer Kundengruppe (Sind Sie ein Arzt mit Online Terminkalender müssen Sie andere Maßnahmen ergreifen, als der Malerbetrieb mit Newsletteranmeldung)
- Regelmäßige und dokumentierte Updates der Webseite, PlugIns, Shopsysteme und anderer eingesetzter Software
- Dokumentation der Maßnahmen und Prozesse
Wichtig ist noch zu erwähnen, dass diese Anforderungen an Betreiber noch nicht erprobt sind. Es wird zu Problemen und Unstimmigkeiten bei der Einführung im Mai kommen, das ist sicher.
Die Zeit wird zeigen, was „Stand der Technik“, „angemessen“ und „dem Risiko entsprechend“ in der Praxis für Anbieter von Webseiten, Onlineshops und Plattformen heißen wird.
Datenübertragung und das Recht auf Datenportabilität
Meine Nutzerdaten einfach und unkompliziert mitnehmen
Als Betreiber einer „einfachen“ Unternehmenswebseite wird Sie diese Änderung wenig bis gar nicht betreffen – Für Anbieter von Onlineshops, Netzwerken und Plattformen wird es allerdings nicht ganz so einfach.
Ihre Kunden und Nutzer bekommen ab Mai 2018 die gesetzliche Möglichkeit, die Daten die Sie erhaben, zu einem anderen Anbieter / Betreiber umzuziehen.
Das bedeutet im Klartext:
Alle Daten und Informationen die Sie von Ihren Benutzern speichern, also personenbezogene Daten wie Adresse, Name, Zahlungsmittel, Bestell- und Chatverläufe und viele weitere, müssen auf Wunsch downloadbar sein. Facebook und Google bieten solch eine Exportfunktion für Daten bereits seit einiger Zeit an.
Natürlich ist es ein Unterschied, ob man Google ist und tausende von Ereignissen und Aktivitäten der Nutzer aufzeichnet und auswertet, oder eben „nur“ ein Onlineshop oder kleines Portal. Die Anbieter von CMS und Onlineshop Systemen werde sicherlich zeitnah Funktionen und Tools zur Verfügung stellen, um den Anforderungen an die DSGVO gerecht zu werden.
Wenn Sie Webseiten Software oder Webshop System nutzen, die bereits ein wenig in die Jahre gekommen sind, sollten Sie sich sehr bald informieren. Einige Systeme und Versionen von Software werden die Voraussetzung an die DSGVO technisch nicht erfüllen können. Fragen Sie am besten gleich bei Ihrer Webagentur / Webdesigner nach, welche Möglichkeiten es in Ihrem Fall gibt.
Auch wir beraten Sie gerne ausführlich über die Optionen und haben auch schon DSGVO-ready Webseiten und Webshops im Repertoire, falls das mit der alten Seite nicht klappt.
Dokumentation der Maßnahmen – Die Rechenschaftspflicht für Anbieter
Alles muss dokumentiert werden!
Ab Mai 2018 reicht es nicht mehr aus, Schutzmaßnahmen zu treffen, Sie müssen sie als Betreiber auch nachweisen können. Das bedeutet im Klartext, alles was an Maßnahmen zum Schutz der Daten Ihrer Nutzer und Kunden durchgeführt wird, muss auf Verlangen in dokumentierter Form nachgewiesen werden können. Hierunter fallen Angaben zum Erhebungsprozess der Daten, der Lagerung und der Auswertung.
Das Auskunftsrechts erstreckt sich nicht nur auf Aufsichtsbehörden, sondern soll auch für Nutzer gelten.
Eine Standardisierung der Dokumentation im eigenen Unternehmen sollte daher in Betracht gezogen werden, wenn noch nicht geschehen.
Bevor Sie sich um die Dokumentation der Schutzmaßnahmen Gedanken machen, sollten Sie als erstes herausfinden, welche Daten Sie überhaupt von Ihren Kunden / Benutzern erheben. Danach sollte man sich mit einem Profi zusammensetzen und einen geeigneten „Schlachtplan“ entwickeln. Gerade bei Klein- und Mittelständischen Unternehmen fehlen derzeit noch die Erfahrungen mit der Umsetzung von solchen Dokumentationsprozessen.
Bei der Dokumentation darf auch der Datenschutz des eigenen Unternehmens nicht zu kurz kommen. Gewisse Informationen zur Lagerung, Verarbeitung und Analyse der Daten können in den falschen Händen großen Schaden anrichten. Der Grundsatz hier lautet: „So viel wie nötigt, aber so wenig wie möglich“ Lass Sie sich an dieser Stell unbedingt von Experten beraten, hier werden viele kleine Webdesigner wohl an Ihre Grenzen stoßen. Sicherheit im Internet ist ein heikles Thema, dass Sie auf keinen Fall auf die leichte Schulter nehmen sollten. Als „Motivation“ dienen vielleicht die geplanten Bußgelder in diesem Bereich. Laut der DSGVO, sollen Aufsichtsbehörden Bußgelder in Höhe von bis zu 20 Millionen € verhängen dürfen. Bei Unternehmen und Konzernen können sogar Bußgelder in Höhe von bis zu 4% des Umsatzes zum Gegenstand eines Verstoßes werden.
Ihre wichtigsten Pflichten als Anbieter und Betreiber von Webdiensten im Überblick
Datenschutzgrundverordnung Checkliste kompakt
- Datensicherheit nach aktuelle Stand der Technik (SSL/TLS Verschlüsselung, Datenbankensicherheit, Software immer UpToDate)
- Möglichkeit zur Datenübertragung schaffen (Export aller benutzerbezogenen Daten)
- Dokumentation der Datenschutzmaßnahmen anfertigen (Von Webagenturen einfordern
Sobald die DSGVO im Mai 2018 in Kraft getreten ist, werden wir Sie an dieser Stelle natürlich mit weiteren Informationen versorgen.
Sollten Fragen oder Probleme auftreten, kontaktieren Sie uns bitte rechtzeitig und bald. Viele Anbieter haben das Leuten noch nicht gehört, und wollen auf den letzten Drücker „noch schnell“ einen DSGVO konformen Umbau vor Ablauf der Frist.