Datenschutzgrundverordnung (DSGVO) und Datenschutzrecht
Das müssen Sie 2022 über die Datenschutzgrundverordnung wissen
Worum geht’s?
Cookies, Datenschutzerklärung, Datenschutzrecht, Einwilligung und Auftragsverarbeitung: Die Europäische Datenschutzgrundverordnung (DSGVO) – manche nennen sie auch Datenschutzverordnung oder EU DSGVO – treibt auch Jahre nach Inkrafttreten viele Unternehmer, Webdesigner und Onlineshopbetreiber in den Wahnsinn. Sie möchten endlich wissen, was genau Sie tun müssen, um Ihre Website und Ihr Business DSGVO-konform zu gestalten? Auf der Suche nach Informationen rund um die DSGVO der Europäischen Union sind Sie hier genau richtig!
DSGVO: Die wichtigsten Infos für alle Unternehmer und Websitebetreiber
Was ist die DSGVO und für wen gilt sie?
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine Vorschrift, die einheitlich in der ganzen Europäischen Union (EU) gilt. Im Englischen spricht man von der General Data Protection Regulation (GDPR). Die EU-Datenschutz-Grundverordnung regelt, wie Unternehmer und Behörden mit personenbezogenen Daten ihrer Besucher, Kunden oder Nutzer umgehen sollen. Neben der EU-DSGVO gelten in Deutschland weitere Datenschutz-Gesetze wie das Bundesdatenschutzgesetz Deutschland (BDSG), das TMG, das TTDSG und das TKG. Daneben gibt es das TTDSG, das weitestgehend an die sog. E Privacy Richtlinie angepasst wurde.
Was ist das Ziel der DSGVO?
Mit der Datenschutz-Grundverordnung (DSGVO) soll in der ganzen EU ein einheitlicher Standard geschaffen werden, wie Unternehmen und Behörden mit personenbezogenen Daten ihrer Kunden, Besucher und Nutzer umgehen. Bis 2018 galten EU-weit sehr unterschiedliche Regelungen und Standards im Datenschutz.
Ziel der DSGVO ist es, das wichtige Thema Datenschutz in der EU einheitlich zu regeln, um einen Flickenteppich abweichender Regelungen in den verschiedenen EU Ländern zu vermeiden. Es sollen sich alle Akteure weltweit darauf einstellen können, dass in der gesamten EU ein einheitliches Datenschutzniveau mit einheitlichen gesetzlichen Regelungen gilt. Der EU-weite Anwendungsbereich ist in Art.3 der DSGVO geregelt: Art. 3 DSGVO Räumlicher Anwendungsbereich
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
- a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Verarbeitung personenbezogener Daten laut Datenschutz-Grundverordnung
Inhaltlich regelt die DSGVO den Umgang mit so genannten personenbezogenen Daten und damit auch die Rechte der betroffenen Person. Dabei müssen 2 gegensätzliche Positionen ausgeglichen werden: Der Schutz der personenbezogenen Daten auf der einen und der Schutz des freien Binnenmarktes und des freien Datenverkehrs in der EU auf der anderen Seite. Geregelt sind diese Ziele in Art. 1 und Art.2 der DSGVO:
Art. 1 DSGVO Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Art. 2 DSGVO Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Seit wann gilt die EU-DSGVO?
Die DSGVO ist schon am 14. April 2016 vom EU-Parlament beschlossen worden und trat am 25. Mai 2016 in Kraft. Die EU-Mitgliedstaaten müssen die DSGVO seit dem 25. Mai 2018 verbindlich anwenden. Die Datenschutz-Grundverordnung heißt eigentlich Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“. Die „Datenschutzrichtlinie“ (Richtlinie 95/46/EG) wurde mit Inkrafttreten der DSGVO aufgehoben. Anders als bei der Datenschutzrichtlinie brauchte es keiner Umsetzung der DSGVO durch die Mitgliedstaaten.
Was passiert, wenn ich mich nicht an die DSGVO halte?
Wenn Sie die DSGVO ignorieren, müssen Sie sich auf hohe Bußgelder einstellen. Aufsichtsbehörden können bei Datenschutzverstößen im schlimmsten Fall 20 Mio. Euro Bußgeld verhängen. Noch teurer kann es für weltweit agierende Unternehmen werden: Diesen drohen gemäß Datenschutzrecht Bußen von 4 % des weltweiten Vorjahresumsatzes. Nehmen Sie die Datenschutz-Grundverordnung nicht ernst, drohen Ihnen außerdem Abmahnungen und Gerichtsverfahren.
Ist die DSGVO ein Gesetz?
Die DSGVO ist ein Rechtsakt der EU. Die Datenschutz-Grundverordnung ist als Gesetz in allen Mitgliedstaaten der EU direkt anwendbar ist. Die DSGVO schafft einen einheitlichen Rechtsrahmen in Bezug auf den Datenschutz in der gesamten EU.
Video: Datenschutzgrundverordnung DSGVO einfach erklärt!
Lernen Sie die Datenschutzgrundverordnung – DSGVO kennen. [Erstellt von https://www.erklaerhelden.de/]
Datenschutz, Marketing und die DSGVO: Ab wann ist das für mich relevant?
Die wichtigste Regelung für alle Unternehmer und Websitebetreiber: Personenbezogene Daten dürfen Sie nur verarbeiten, wenn Sie eine rechtliche Grundlage dafür haben oder Ihre Nutzer oder Kunden eingewilligt haben. Je nach Business stecken Sie vielleicht schon schneller in der DSGVO-Falle, als Sie gedacht haben.
Einige Beispiele:
- Sie betreiben eine Webseite und analysieren die Daten Ihrer Nutzer mit Tracking-Tools.
- Sie haben einen Onlineshop und erheben Bestelldaten.
- Die Bezahlung bei Bestellungen in Ihrem Onlineshop wickeln Sie über Paypal ab.
- Sie versenden Newsletter an E-Mail-Adressen.
- Sie binden für Ihre Besucher ein Kontaktformular auf Ihrer Seite ein.
- Sie erstellen für Ihr Unternehmen eine Fanpage bei Facebook.
Wie Sie sehen, gibt es zahlreiche Fälle, die Sie bedenken müssen. Um ein besseres Gefühl dafür zu bekommen, wann Sie aktiv werden müssen, können Sie sich hier zum Datenschutz und zur DSGVO informieren.
Ausführliche Informationen zur DSGVO
Personenbezogene Daten
Wenn Sie personenbezogene Daten verarbeiten, müssen Sie in den meisten Fällen eine Einwilligung von den betroffenen Personen einholen. Die DGSVO erlegt Ihnen zahlreiche weitere Pflichten auf. Aber was sind eigentlich personenbezogene Daten? Das erfahren Sie hier.
Datenschutzbeauftragter
Die DSGVO schreibt vor, dass Sie in bestimmten Fällen einen Datenschutzbeauftragten bestellen. Wir zeigen Ihnen hier, wann Sie einen Datenschutzbeauftragten bestellen müssen und welche Aufgaben ein Datenschutzbeauftragter konkret hat.
DSGVO Bußgelder und Strafen
Die DSGVO zu ignorieren, ist keine gute Idee. Denn es drohen Ihnen Bußgelder bis zu 20 Millionen Euro bzw. 4 % Ihres weltweiten Jahresumsatzes (je nachdem, was höher ist), wenn Sie gegen die Verordnung EU 2016/679 des Europäischen Parlaments und des Rates verstoßen. Wir erklären hier, wonach sich die Höhe bemisst und in welcher Höhe die Behörden bereits Bußgelder verhängt haben.
AV-Vertrag
Beauftragen Sie externe Dienstleister und verarbeiten diese personenbezogenen Daten Ihrer Kunden nach Ihrer Weisung? Auch dann müssen Sie bei der Verarbeitung personenbezogener Daten für einen angemessenen Datenschutz sorgen und sich an die geltenden Datenschutzstandards und -grundlagen halten. Hierzu schreibt die DSGVO der Europäischen Union vor, dass Sie einen AV-Vertrag abschließen. Details haben wir für Sie in diesem Artikel zusammengefasst.
Auswirkungen der DSGVO auf:
Datenschutzerklärung
Wenn Sie eine Website betreiben, müssen Sie Ihre Besucher umfassend informieren, wie Sie mit ihren personenbezogenen Daten bezüglich Datenschutz umgehen. Dazu gibt es die Datenschutzerklärung, die sie laut DS-GVO mit einem Klick von überall aus auf Ihrer Seite einsehen können müssen. Das wichtigste zur Datenschutzerklärung haben wir kurz und bündig hier für Sie zusammengefasst.
Impressum
Als Websitebetreiber brauchen Sie ein Impressum, damit Ihre Besucher wissen, an wen Sie sich wenden können, falls sie Fragen oder Probleme mit ihrem Angebot haben. Doch neben den Kontaktdaten müssen Sie noch zahlreiche weitere Angaben in einem rechtssicheren Impressum machen – und das nicht erst seit der DSGVO. Details und Tipps stellen wir hier für Sie zur Verfügung.
Social Media
Ob Facebook, LinkedIn oder Instagram – eine DSGVO-Datenschutzerklärung und ein Impressum sind auch in Ihren Social-Media-Profilen Pflicht. Je nach Plattform muss man aber wissen, wie man die Rechtstexte einfügt. Hier zeigen wir Ihnen Schritt für Schritt, wie es geht.
Newsletter
Wenn Sie einen Newsletter versenden, müssen Sie einiges beachten. Das gehört zum Beispiel, dass Sie eine Einwilligung per Double-Opt-In einholen und in Ihre Datenschutzerklärung nach Datenschutz-Grundverordnung einen Passus zum Newsletter aufnehmen. Hier erläutern wir, was noch wichtig ist.
Kontaktformular
In einem Kontaktformular erfragen Sie personenbezogene Daten Ihrer Nutzer. Doch DSGVO-Grundsätze wie Datensparsamkeit und Zweckbindung verpflichten Sie dazu, nicht alles von Ihren Kunden abzufragen, was Sie möchten. Wir erklären, worauf Sie achten müssen, wenn Sie ein Kontaktformular auf Ihrer Seite einbinden.
Cookies
Für Cookies müssen Sie eine Einwilligung nach DSGVO einholen, sofern diese nicht für den Betrieb der Seite technisch notwendig sind. Umsetzen können Sie das mit einem Banner oder einem Cookie Consent Tool, in dem Sie auf die Datenverarbeitung hinweisen. Wie Sie dabei auf der sicheren Seite sind, zeigen wir Ihnen hier.
Bildrechte
Wenn Sie auf Ihrer Website Bilder veröffentlichen möchten, brauchen Sie die Zustimmung des Urhebers. Für Fotos von Personen brauchen Sie ebenfalls deren Einwilligung. Das ist nicht erst seit der DSGVO so. Hier erklären wir alles Wichtige, was Sie rund um Bildrechte wissen müssen.
Mitarbeiterdaten
Wer Mitarbeiter beschäftigt, hat beim Thema Datenschutz und Datensicherheit einiges zu beachten. Sie müssen etwa in bestimmten Fällen Einwilligungen nach der DSGVO einholen oder Ihre Arbeitnehmer für den Datenschutz sensibilisieren. Hier beantworten wir die wichtigsten Fragen rund um DSGVO und Mitarbeiterdaten.
Auswahl betroffener Tools
Google Analytics
Sie nutzen Google Analytics? Dann sollten Sie nicht nur eine Auftragsverarbeitung abschließen, sondern sollten auch eine „echte“ Einwilligung Ihrer User einholen. Doch Google Analytics hält noch mehr DSVGO-Stolperfallen bereit. Wir erläutern, welche das sind und wie Sie am besten vorgehen.
Wichtig: Universal Analytics wird zum 01.06.2023 vollständig eingestellt! Das bedeutet, sollten Sie bis dato Universal Analytics nutzen, empfehlen wir Ihnen jetzt bereits die Umstellung auf Google Analytics 4.
Ihre Mitarbeiter nutzen sowohl beruflich als auch privat WhatsApp? Das kann im Rahmen der Datensicherheit problematisch sein – schließlich greift WhatsApp auf personenbezogene Daten zu. Wie Sie hier DSGVO-konform handeln können und was es für Alternativen gibt, haben wir hier für Sie zusammengetragen.
Zoom
Zoom ist ein Anbieter für Videokonferenzen, der sich immer größerer Beliebtheit erfreut. Doch wenn Sie Zoom nutzen, müssen Sie einige Dinge tun, um datenschutzrechtlich auf der sicheren Seite zu sein. Hier erklären wir, was es rund um Zoom und die DSGVO zu beachten gibt.
Mailchimp
Wenn Sie Newsletter versenden, kennen Sie bestimmt das cloudbasierte Newsletter-Tool Mailchimp. Das Tool DSGVO-konform einzusetzen, bringt aber einige To-Do’s mit sich: Auftragsverarbeitung und Datenschutzerklärung sind hier vor allem wichtig. Wir verraten Details und geben Tipps, was es noch für Punkte zu beachten gibt.
WordPress
WordPress verarbeitet jede Menge personenbezogener Daten. Die DSGVO spielt also eine große Rolle, nicht nur, wenn Sie bestimmte Plugins verwenden. Die SSL-Verschlüsselung ist ein Anfang – doch damit ist es noch lange nicht getan. Hier erklären wir, was Sie noch alles beachten müssen.
Die DSGVO für…
Webseitenbetreiber und Webdesigner
Als Webdesigner müssen Sie in der Regel nicht auf den Datenschutz auf Ihrer eigenen Homepage, sondern auch den für Ihre Kunden achten. Sobald Sie ein Newsletter-Formular einbauen oder ein Social-Media-Profil einrichten, sollten die Alarmglocken angehen. Unsere wichtigsten Infos helfen Ihnen, nichts zu vergessen.
Online-Shopbetreiber
Als Onlineshop-Betreiber spielen zahlreiche DSGVO-Pflichten für Sie eine Rolle: Sie müssen Ihre Datenschutzerklärung anpassen, Einwilligungen für nicht-notwendige Cookies einholen, Double-Opt-in für Newsletter einrichten und vieles mehr. Und wie das alles? Die wichtigsten Infos geben wir Ihnen hier.
Unternehmen
Als Unternehmer müssen nicht nur „nach außen“ dafür sorgen, dass Sie DSGVO-konform sind – etwa durch eine Datenschutzerklärung. Auch unternehmensintern sind datenschutzrechtlich korrekte Abläufe unerlässlich: Datenschutz-Folgenabschätzung und Datenschutzbeauftragte sind hier nur einige Stichpunkte. Alles, was sonst noch wichtig ist, haben wir hier für Sie zusammengestellt.
DSGVO Gesetzestext
Die genaue Bezeichnung der DSGVO ist die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“. Sie gilt seit dem 25. Mai 2018. Gleichzeitig wurde die Richtlinie 95/46/EG (Datenschutzrichtlinie) aufgehoben.
Wenn kein Recht mehr zur Datenverwendung vorliegt. Dabei sind die wichtigsten Gründe der Wegfall des Zwecks der Datenverarbeitung sowie der Widerruf der Nutzereinwilligung gem. Art. 17 DSGVO.
Aus der DSGVO ergibt sich die Bestellungspflicht eines Datenschutzbeauftragten in bestimmten Fällen. Dieser ist Ansprechpartner für alle datenschutzrechtlichen internen sowie externen Fragen.
Auskunftspflicht, Verfahrensverzeichnispflicht, Bestellung eines Datenschutzbeauftragten
Ja, bei Datenschutzverstößen können Bußgelder in Höhe von 20 Mio. Euro verhängt werden, bei weltweit agierenden Unternehmen sogar bis zu 4 % des weltweiten Vorjahresumsatzes.
Ein Vertrag zur Auftragsverarbeitung regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggf. einzusetzenden Subdienstleistern.
Wenn personenbezogene Daten durch Dritte verarbeitet werden, ist es nach DSGVO zwingend erforderlich, dass ein Auftragsverarbeitungsvertrag abzuschließen ist.
Dieser Vertrag muss beinhalten:
Gegenstand und Dauer der Verabreitung
Art der personenbezogenen Daten, Kreis der betroffenen Personen
Art und Zweck der Verarbeitung
Umfang der Weisungsbefugnisse
Pflichten des Auftragsverbareiters
Pflichten und Rechte des Verantwortlichen
Schreiben Sie uns eine Nachricht