22 Feb Bei Verstoß gegen die DSGVO drohen hohe Strafen!
Du willst wissen, ob deine Website den Vorgaben der neuen EU-Datenschutzgrundverordnung gerecht wird? In diesem Sinne haben wir für dich eine DSGVO Checkliste erstellt, worin die wichtigsten Punkte enthalten sind.
Was ist die Datenschutzgrundverordnung (DSGVO)?
Das Europäische Parlament beschloss am 14. April 2016 die Datenschutzgrundverordnung (DSGVO). Als EU-weite Verordnung vereinheitlicht diese die nationalen Datenschutzgesetze. Trotzdem enthält sie zahlreiche „Öffnungsklauseln“. Dadurch sind nationale Gesetzgeber berechtigt, gewisse Bestimmungen näher zu regeln. Folgerichtig bedeutet dies für Österreich, dass es auch weiterhin ein nationales Datenschutzgesetz geben wird.
Wen betrifft die DSGVO?
Alle Unternehmen, die personenbezogene Daten verarbeiten bzw. Unternehmen aus Drittstaaten, die ihre Leistungen auf EU-Bürger ausrichten.
Welche Kernvorgaben hat die DSGVO?
- Mehr Verantwortung der Unternehmen, dafür keine Meldung an das Datenverarbeitungsregister (DVR)
- Ausweitung des Schutzes für personenbezogene Daten
- Pflichten: Informationspflichten, Löschfristen, Dokumentations- sowie Nachweispflichten
- Ernennung eines Datenschutzbeauftragten (nur verpflichtend bei bestimmten Branchen)
- Transparenz: gegenüber Mitarbeitern, Kunden sowie Aufsichtsbehörden
- Sicherheit bei Daten: Risikobewertung sowie Datenschutz-Folgeabschätzung
Welches Strafausmaß ist bei Datenschutzverstöße vorgesehen?
Mit 25.5.2018 tritt die Verordnung in Kraft, ab diesem Zeitpunkt gelten die Bestimmungen und somit auch die Strafen. Als Höchststrafe wurden vier Prozent des gesamten Vorjahresumsatzes oder 20 Millionen Euro festgesetzt.
Datenschutzkonforme Webseite:
Die DSGVO räumt den EU-Bürgern mehr Schutz für ihre personenbezogenen Daten ein. Der Unternehmer bzw. Webseiteninhaber trägt somit mehr Verantwortung im Umgang mit Daten. Bei der Verarbeitung von personenbezogenen Daten sind folgende Kernthemen im Fokus: Rechtmäßigkeit, Zweckbindung, Richtigkeit, Daten, Zeit und Verbindlichkeit. Die Verarbeitung der Daten muss rechtmäßig sein, dazu gehört eine aktive Einwilligung des Kunden sowie eine transparente Aufklärung über den Zweck, Dauer und Übermittlung der Daten (Informationspflicht). Weiters ist der Unternehmer verpflichtet: Daten zu minimieren (Löschfristen), technische/organische Schutzmaßnahmen für die bestehenden Datensätze zu implementieren, Verzeichnis der Verarbeitungstätigkeit und Risikoanalyse umzusetzen.
Der Kunde hat die nachfolgenden Rechte: transparente Information, zeitgemäße Auskunft (innerhalb von 4 Wochen), Berichtigung, Widerruf, Einschränkung der Verarbeitung und Löschung (Ausnahme: gesetzliche Aufbewahrungspflicht einhalten).
Abhängig von der Unternehmens-Branche, den gesammelten Daten und der dazugehörigen Datenverarbeitung, muss eine rechtskonforme Webseite mehrere gesetzliche Richtlinien befolgen (DSVGO, TKG, MedG, Privacy Richtlinien EU, GewO, UGB, FAGG (eCommerce) etc.). Webseiteninhaber müssen ihre bereits bestehende Webseite bis 25.5.2018 datenschutzkonform gestalten, ansonsten drohen hohe Strafen. Im Zuge dessen sollten die Webseiteninhaber überprüfen, ob ihre Webseite wirklich rechtskonform ist, also ob bereits bestehende gesetzliche Richtlinien eingehalten werden.
Checkliste
Webseiten und Online-Shops:
- Einhalten der rechtskonformen Informationspflichten
- Einwilligung bei Datenaufnahme und Verarbeitung
- Transparente Einsicht bei den Löschfristen
- Rechtskonforme Information über die Verarbeitungstätigkeit der personenbezogenen Daten sowie rechtskonforme AGBs
- Kontaktdaten des Datenschutzbeauftragten (oder Datenschutzverantwortlichen) sind gut ersichtlich platziert (nur verpflichtend bei bestimmten Branchen)
- Rechtskonformes Impressum (Privacy Richtlinien der EU, TKG, MedG, FAGG (eCommerce), etc.)
- Verfassen von Datenschutz-FAQs (Opt-Out Links, Opt-In Lösungen, Cookie-Bestimmungen, Datenschutzerklärung, Transparente Aufklärung bei Datennutzung von Dritten etc.)
- Die Cookie-Meldung erfüllt die gegenwärtige Rechtsprechung
Newsletter-System:
- DSGVO-konform Einwilligung des Kunden
- Rechtliche Basis bei jedem Newsletter-Adressaten (Einwilligung, Vertrag etc.) abklären, transparente Information, Dokumentation
- Zugriffsrecht auf das Newsletter-System abklären und dokumentieren. Wenn Dritte auf die Daten zugreifen, prüfen ob diese die Richtlinien der DSGVO einhalten
- Prüfen, ob der Newsletter-Anbieter (Auftragsverarbeiter) die Richtlinien der DSGVO erfüllt
- Auftragsdatenverarbeiter-Vereinbarungen einholen
- Abklären, ob die Vereinbarung DSGVO-konform ist
- Abklären, wo die Daten gespeichert (EU oder Drittstaaten) sind und wo der Server-Standort ist (EU oder Drittstaaten)
- Dem Newsletter-Adressaten die Möglichkeit für Widerruf geben
- In Österreich ECG-Liste beachten, bei anderen Vertriebsländern die passende Liste beachten
- Rechtskonformes Impressum
Pflichten bei der Wartung
- Regelmäßige Aktualisierungen der personenbezogenen Daten
- Regelmäßiges wechseln der Zugangsdaten
- Regelmäßige Überprüfung der Zugänge (Accounts)
- Sicherheitsstandards beachten: Regelmäßige Backups, Datenminimierung, Kompatibilitätschecks
Gerne beraten wir dich!