Fernwartung Download

Datenschutz Grundverordnung

« zurück   |  

Mit 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Bis zu diesem Zeitpunkt sind Sie als Unternehmen verpflichtet, alle Datenanwendungen an die neue Rechtslage anzupassen.

Generell stellt die DSGVO sicher, dass personenbezogene Daten bei der automatischen Verarbeitung bestmöglich geschützt sind und eine Weitergabe an Dritte verhindert wird. Rechtlich gesehen gibt es kein Eigentum an Daten, sondern nur ein Eigentum an Sachen. Es hat daher niemand das Recht, Daten nach Belieben zu verwalten. 

Um Ihnen einen Überblick zu geben, was Sie alles ab spätestens 25. Mai berücksichtigen müssen, haben wir die wichtigsten Inhalte der DSGVO anschaulich zusammengefasst:


Wegfall der Meldepflicht

Wenn Sie personenbezogene Daten verarbeiten (zB. Kundendaten, Adressen für Newsletter), müssen Sie selbst dafür sorgen, dass sämtliche Vorschriften eingehalten werden. Die Meldepflicht im Datenverarbeitungsregister entfällt.

 

Verarbeitung von personenbezogenen Daten

Laut DSGVO ist die Verarbeitung personenbezogener Daten nur unter gewissen Voraussetzungen möglich:

  • Der Nutzer erteilt seine Einwilligung zur Verarbeitung seiner Daten
  • Zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen ist eine Datenverarbeitung erforderlich.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die schutzwürdigen Interessen des Betroffenen überwiegen nicht.

Die Verwendung der erhobenen Daten ist nur für den Zweck erlaubt, für den sie erhoben wurden. So dürfen Daten einer Kontaktanfrage nicht für einen Newsletter-Versand verwendet werden. Daten die nicht mehr benötigt werden und für die es keinen Grund für eine weitere Speicherung gibt, müssen gelöscht werden.

Ein normales Besuchertracking, also die Aufzeichnung und Verarbeitung von Daten für statistische Zwecke (z.B. Google Analytics), ist als „berechtigtes Interesse des Webseite Betreibers“ einzustufen, das „von keinen schutzwürdigen Interessen der User überwogen wird.“

Bei einer Beschwerde oder einer Prüfung müssen Sie dem Betroffenen nachweisen, dass dieser einer Datenverarbeitung (Zeitpunkt, Medium, Form) zugestimmt hat. Bewahren Sie daher entsprechende Informationen wie z.B. Gewinnspielteilnahmen oder Anmeldungen zum Newsletter stets auf. 



Google Analytics und Social Plugins nach DSGVO

Als Inhaber einer Webseite interessieren Sie sich natürlich dafür, wie sich die Webseitenbesucher auf den Seiten verhalten. Am häufigsten wird dazu Google Analytics eingesetzt.

Damit Sie z.B.: Google Analytics und Social Plugins DSGVO konform einsetzen können, sind Sie verpflichtet, die vorgeschriebenen datenschutzrechtlichen Bestimmungen einzuhalten:

  • Hinweis auf die Speicherung personenbezogener Daten auf Webseiten („Cookies“)
  • Anonymisierung der IP-Adresse der User durch Löschung der letzten Stellen der IP Adresse, sodass eine eindeutige Zuordnung zu einem Gerät nicht mehr möglich ist.
  • Veröffentlichung einer Datenschutzerklärung auf der Webseite, die auf die Verwendung von Dritt-Anbietern wie Google, Facebook oder Twitter, deren Funktionsweise und die Erfassung von Daten hinweist.
  • Möglichkeit ein Opt-Out Cookie zu setzten.
  • Abschluss eines Auftragsdatenverarbeitungsvertrags zwischen Webseitenbetreiber und Google Analytics.
  • Alle Voreinstellungen sind anwenderfreundlich zu gestalten. So soll z.B. eine Zustimmungs-Checkbox nicht vor-angekreuzt sein.


Facebook, Twitter & Co. bieten Unternehmen an, Social Plugins auf ihren Webseiten einzubinden, um den Besuchern die Verbreitung des Contents (z.B. durch Teilen) zu erleichtert. Die Plugins sammeln jedoch, von den Webbesuchern meist unbemerkt, Daten, die der Erstellung von Webnutzungsprofilen dienen.

Die einfachste und sicherste Lösung wäre der Verzicht auf Social Plugins. Diese Lösung ist für Marketing- und Vertriebszwecke (z.b.: Kommunikation von Angeboten) jedoch unattraktiv.

  • 2-Klick-Lösung: Nach Klick auf den Social-Button erhält der Webbesucher eine Information vorgeschalten, bei er durch nochmaligen Klick (2. Klick), bestätigt, dass er hinsichtlich der Übertragung personenbezogener Daten informiert wurde. Erst nach dem 2. Klick erfolgt die Verbindung zum sozialen Netzwerk.
  • Shariff-Lösung: Hier handelt es sich um eine Weiterentwicklung der „2-Klick-Lösung“, da zwei Klicks für Webbesucher mituntereine eine Hemmschwelle darstellen. Bei dieser Lösung wird lediglich die Server-Adresse (anstatt der IP-Adresse) an das jeweilige soziale Netzwerk übertragen. Solange der Besucher nicht von sich aus aktiv wird (z.B. durch Klick auf „Gefällt mir“) bleibt er für Facebook & Co. unsichtbar.

  

Verzeichnis von Verarbeitungstätigkeiten

Der Datenverantwortliche im Unternehmen muss ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ – ähnlich der DVR-Meldungen - führen. Das Verzeichnis ist auf Anfrage der entsprechenden Behörde vorzulegen. Das Verzeichnis muss folgende Daten beinhalten:

  • Kontaktdaten des Verantwortlichen (im Unternehmen)
  • Zweck der Verarbeitung
  • Kategorie der Personen (Kunden, Lieferanten, …)
  • Kategorien von Empfängern (Finanzamt, Sozialversicherung, …)
  • Fristen für die Löschung der Daten
  • Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nicht, wenn

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.


Informationspflicht und Betroffenenrechte

Auf Nachfrage sind einer betroffenen Person Informationen über die Datenanwendungen der von ihr gespeicherten Daten zur Verfügung zu stellen. Die Person muss hierbei ihre Identität nur dann nachweisen, wenn der Datenverantwortliche berechtigte Zweifel hat.

Die Auskunftserteilung muss innerhalb eines Monats und hat kostenlos zu erfolgen. 

Jeder Betroffene hat das Recht, dass seine Daten auf Antrag ergänzt oder vollständig gelöscht werden. Ausnahmen bilden hier gesetzliche Regelungen (z.B. Aufbewahrungspflichten) oder berechtigte Gründe für die Datenverarbeitung. 

Folgende Informationen sind dem Betroffenen auszuhändigen:

  • Die verarbeiteten Datenkategorien
  • Verarbeitungszweck
  • Speicherdauer bzw. Kriterien für die Festlegung der Speicherdauer
  • Herkunft der Daten, sofern diese nicht bei der betroffenen Person erhoben wurden
  • Umfassende Belehrung der Betroffenenrechte
  • Mögliche Empfänger der Daten
  • detaillierte Informationen hinsichtlich Profiling
  • bei der Übermittlung in Drittstaaten die zugrunde liegenden Garantien
  • Der Betroffene hat weiters einen Anspruch auf Kopie der Daten

Bei Verletzung des Datenschutzgesetztes gilt es die Betroffenen sowie die Datenschutzbehörde innerhalb von 72h zu informieren. Dies gilt auch bei einem event. Datendiebstahl.


To-Do Liste

Wir hoffen, wir konnten Ihnen einen kurzen Überblick zur DSGVO geben. Zusammengefasst eine Auflistung, welche Schritte Sie in Ihrem Unternehmen beachten sollten:

  • Verantwortlichen festlegen
  • personenbezogene Daten aufspüren, kategorisieren, Zweck festlegen, Risiken abschätzen und auf Rechtmäßigkeit prüfen.
  • Sanierungsmaßnahmen durchführen
  • Verarbeitungsvorgängen definieren.
  • Festlegen der notwendige Daten, Berechtigungen und Speicherdauer
  • Verzeichnis der Verarbeitungstätigkeiten, Datenschutzfolge-abschätzung und Vorabkonsultation erstellen
  • Außenauftritt überarbeiten: Informationspflichten, Einwilligungstexte, Datenschutzerklärungen
  • Verträge mit Auftragsverarbeitern überarbeiten
  • Betroffenenrechte vorbereiten
  • Schulung und Sensibilisierung von Mitarbeiter

 

Fragen?

Sie sind sich nicht sicher, ob Ihre Webseite oder Ihre Daten der DSGVO entsprechen? Setzten Sie sich mit uns in Verbindung. Wir checken Ihre Webseite und beraten Sie bezüglich Ihres Datenbestands.


Für ein kostenloses Beratungsgespräch wenden Sie sich an unser CREATIVE-Team unter +4‌3 654‌7 8336 oder schreiben Sie uns eine E-Mail.

  

Nützliche Links

Mehr zur Datenschutzgrundverordnung finden Sie beim WKO Datenschutzservice und unter den Grundsätzen und Rechtmäßigkeit der Verarbeitung.

Diese Webseite verwendet Cookies um Sie bei der Nutzung zu unterstützen. Durch die Nutzung dieser Webseite akzeptieren Sie die Verwendung von Cookies.

mehr Informationen