Sie sind hier: Home » Markt » Hinweise & Tipps

Stolperfalle Datenschutz


Fünf Aspekte zur korrekten Umsetzung der EU-DSGVO in digitalen Betrieben
Drohenden Strafzahlungen entgehen zum Beispiel Onlinehändler oder Betreiber von Internetseiten und Portalen, indem sie verschiedene Punkte wie die folgenden beachten



Von Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH

Bereits vor knapp zwei Jahren verabschiedete das Parlament in Brüssel die einheitliche EU-Datenschutzgrundverordnung (DSGVO). In den meisten digitalen Betrieben war – trotz zweijähriger Übergangszeit – große Verwirrung die Folge und noch heute fällt vielen die Umsetzung des umfangreichen Beschlusses schwer. Doch auch wenn hohe Komplexität schnell zu Verwirrung und Unsicherheit führt, gilt es Nachlässigkeiten bei der Durchführung oder gar Untätigkeit zu vermeiden. Drohenden Strafzahlungen entgehen zum Beispiel Onlinehändler oder Betreiber von Internetseiten und Portalen, indem sie verschiedene Punkte wie die folgenden beachten.

1. Betroffene informieren
Seit Inkrafttreten der EU-DSGVO besteht eine Informationspflicht des Verantwortlichen gegenüber den betroffenen Personen, so festgehalten in Artikel 13. Diese umfasst nicht nur Kunden oder andere Website-Besucher, sondern auch die eigenen Mitarbeiter sowie neue Bewerber. Entnimmt ein Betreiber die Daten direkt bei der betroffenen Person, ist er verpflichtet, diese vor der Erhebung zu informieren, was zum Beispiel durch einen Zusatz im Vertrag oder durch eine Einblendung auf der Internetseite geschieht. Beides beinhaltet die Angabe von Namen und Kontaktdaten sowie den Zweck der Speicherung und wie lange diese andauert. Auch jede Änderung der letzten Punkte fällt unter die Informationspflicht. Tritt der Sonderfall ein, dass eine dritte Partei die Daten sammelt und an den Verantwortlichen weitergibt – aufgeführt in Artikel 14 –, informiert dieser nicht nur über das Grundlegende, sondern gibt auch seine externen Quellen an.

2. Für jeden gut lesbar
Einer ganzen Reihe von Vorschriften unterliegt auch die auf der firmeneigenen Website abgebildete Version der Datenschutzerklärung. Dort erscheinen zum Beispiel Selbstverständlichkeiten wie Name und Kontaktdaten des Anbieters, Angabe zum Zweck der Datenspeicherung, Widerspruchsrecht gegen die Verarbeitung und Dauer der Datenspeicherung. Als ebenfalls notwendig erweisen sich allerdings Hinweise zum Recht auf Auskunft, das Vorhandensein eines Beschwerderechts oder die Angabe von Kontaktdaten eines Datenschutzbeauftragten. Außerdem räumt der Gesetzgeber den betroffenen Personen in dieser Erklärung ein Recht auf Widerspruch bei einer Aufsichtsbehörde ein.

3. Transparenz als höchstes Gebot
Um ein theoretisches Abmahnrisiko zu minimieren, verpflichtet sich der Betreiber, eine größtmögliche Transparenz zu gewährleisten. Seit Inkrafttreten der DSGVO verlangt der Gesetzgeber vom Verantwortlichen in der Lage zu sein, angeforderte Angaben proaktiv zu liefern. Zusätzlich reicht seit Ende 2019 die bloße Anzeige von verwendeten Cookies auf den Internetseiten nicht mehr aus. Eine deutliche Verschärfung der Richtlinie verbietet jeglichen Einsatz der Datenpakete ohne eindeutige Zustimmung des Nutzers. Kurz gesagt: keine Einwilligung, keine Cookies. Zur Erfüllung der Voraussetzungen dient etwa die Gestaltung eines gut sichtbaren Banners, welches auf einen Blick alle relevanten Informationen präsentiert. Als besonders beliebt stellen sich seit der Gesetzesverschärfung ankreuzbare Kästchen heraus, die dem Nutzer eine persönlich abgestimmte Auswahl ermöglichen.

4. Double-Opt-in hält besser
Newsletter verschicken gehört zu den am häufigsten angewendeten Methoden der Informationsweitergabe. Mit dem Double-Opt-in Verfahren befinden sich Unternehmen seit Einführung der DSGVO in diesem Fall auf der sicheren Seite. Anders als beim Single-Opt-in fragt der Betreiber dort nicht nur den Kontakt wie zum Beispiel die Mail-Adresse ab, sondern fordert noch eine zusätzliche Absicherung – meistens in Form einer Bestätigungsmail – des Kunden. Damit darf sichergestellt sein, dass die Person, die Informationen erhält, selbige auch tatsächlich angefordert hat. Bei einer möglichen Beschwerde besteht für den Betreiber eine Nachweispflicht der jeweiligen Einwilligung zur Verarbeitung der personenbezogenen Daten.

5. Verantwortung verteilen
Einige Entscheider denken, die Bestellung eines Datenschutzbeauftragten erfolge freiwillig. Diese Annahme stellt sich jedoch als falsch heraus. Ganz klar definiert die EU-DSGVO in Artikel 37, Absatz 1, wann die Geschäftsleitung der Pflicht unterliegt, einen Verantwortlichen zu bestimmen. Es gilt daher dringend zu überprüfen, ob das jeweilige Unternehmen diese Voraussetzung erfüllt. Doch selbst wenn die Notwendigkeit nicht besteht, lohnt sich die Berufung einer Ansprechperson. Laufen alle Probleme und Beschwerden in einem Punkt zusammen, gestaltet sich die Lösung häufig einfacher. Alternativ bietet sich eine den Datenschutzrichtlinien angepasste CRM-Software zur Adressverwaltung wie die von cobra an. (cobra – computer’s brainware: ra)

eingetragen: 15.04.20
Newsletterlauf: 24.06.20

cobra - computer's brainware: Kontakt & Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

Corona-Unterstützung: Hilfen und in welcher Höhe Organisationen und ihre strenge IT-Richtlinien

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen