Wichtige Massnahmen zur Umsetzung der DSGVO am 25.05.2018

Da die DSGVO ab dem 25.05.2018 gilt und von allen Unternehmen zu beachten ist, sollten zeitnah alle Maßnahmen eingeleitet werden, damit Ihr Unternehmen datenschutzkonform aufgestellt ist. Insbesondere die hohen Bußgelder, die mit einer Datenschutzverletzung nach Art. 83 DSGVO zusammenhängen können, machen es erforderlich, den Datenschutz noch stärker als bisher im Unternehmen zu beachten.

 I.
Dokumentationspflichten

Kernstück der DSGVO ist die Beachtung umfangreicher Dokumentationspflichten, die auf Art. 24 Abs. 1 DSGVO gestützt werden. Danach hat das Unternehmen geeignete technische und organisatorische Maßnahmen umzusetzen, um den Nachweis dafür erbringen zu können, dass die Verarbeitung datenschutzkonform erfolgt. Bei Beanstandungen oder Kontrollen der Aufsichtsbehörde hat also der Unternehmer nachzuweisen, dass er die Vorschriften der DSGVO eingehalten hat.

Die Dokumentationspflichten sind in folgenden Bereichen/Punkten zu beachten: 

  • Einwilligungserklärungen von Kunden
  • Datenschutzerklärung
  • Verarbeitungsverzeichnis
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Auftragsverarbeitung
  • schriftliche Vereinbarung zur Benennung des Datenschutzbeauftragten
  • ggf. schriftliche weitere Zuständigkeitsregelungen der Verantwortlichkeiten
  • Datenschutz-Folgeabschätzung
  • ggf. Zertifikat über das Vorhandensein einer sicheren IT

Bei all diesen Themen ist darauf zu achten, dass im Unternehmen eine entsprechende Dokumentation vorhanden ist, die auf Anforderung der Datenaufsichtsbehörde vorgelegt werden kann. Da Art. 24 Abs. 1 DSGVO eine Aktualisierung verlangt, muss in regelmäßigen Abständen geprüft werden, ob die Dokumente entsprechend anzupassen sind. Auch hierfür müssen Verantwortlichkeiten im Unternehmen festgelegt werden.

 II.
Einwilligungserklärungen im Direktmarketing

Die Direktwerbung per E-Mail sowie Fax, Telefon oder SMS bedarf grundsätzlich der ausdrücklichen Einwilligung des Betroffenen, § 7 Abs. 2 Nr. 3 UWG. Dabei ist als sicherster Weg des Newsletter-Versandes das „Double-Opt-In“-Verfahren zu empfehlen. Der Newsletter-Interessent muss dabei zunächst auf der Homepage seine Einwilligung erklären, z. B. durch Anklicken eines Kästchens. Anschließend erhält er vom Unternehmer eine werbefreie Mail mit Bestätigungslink. Erst wenn der Empfänger diesen durch Anklicken des Links aktiviert hat, darf der Newsletter an den Interessenten versendet werden.

Wichtig ist dabei, dass die elektronische Einwilligung den Anforderungen des Art. 7 DSGVO entspricht und sowohl die elektronische Anmeldung des Interessenten als auch dessen Antwort auf die Bestätigungsmail erfasst und archiviert wird, weil anderenfalls der Nachweis einer wirksamen Einwilligung nicht geführt werden kann. Für den Nachweis des Einverständnisses ist es erforderlich, dass der Werbende die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentiert (AG Düsseldorf, Urteil v. 9.4.2014, 23 C 3876/13).

Außerdem muss darauf geachtet werden, dass die Bestätigungsmail des Werbenden selbst keine Werbung enthalten darf, weil die Zusendung von Werbung erst nach Klicken des Links durch den Interessenten in der Bestätigungsmail zulässig ist. Ebenso müssen die personenbezogenen Daten des Interessenten unverzüglich gelöscht werden für den Fall, dass der Interessent zukünftig der Zusendung von Newslettern widerspricht. Die Einwilligungserklärung muss in einer klaren und einfachen
Sprache so erfolgen, dass die Einwilligungserklärung von den anderen Sachverhalten klar zu unterscheiden ist (Abgrenzung z. B. durch Fettdruck). Ferner müssen Art und Umfang der Verarbeitung personenbezogener Daten aus der Einwilligungserklärung ausdrücklich hervorgehen, wobei der Betroffene auf sein Recht zum kostenlosen Widerruf der Einwilligung hinzuweisen ist. Dabei ist das Kopplungsverbot zu beachten, d. h., den Betroffenen dürfen keine Nachteile entstehen für den Fall, dass eine Einwilligung nicht erteilt oder diese widerrufen wird.

Soweit die bisherigen Einwilligungserklärungen den Anforderungen nicht genügen, sollten Sie von Ihren Kunden zeitnah bzw. rechtzeitig vor dem 25.05.2018 neue Einwilligungserklärungen einfordern.

Dabei könnte z. B.  folgender Text (Vorschlag) verwendet werden:

„Hiermit willige ich ein, dass Firma ……………….. meine personenbezogenen Daten weiterhin für die Zusendung von Produktinformationen in Form eines Newsletters verwenden darf. Mir ist bekannt, dass ich meine Einwilligung jederzeit kostenfrei widerrufen kann. Ich bestätige, dass meine Einwilligung freiwillig erfolgt, an keine Bedingungen geknüpft ist, mir Umfang und Inhalt dieser Erklärung hinreichend bekannt und die Hinweise für diese Erklärung verständlich sind.“

Der Hinweis auf die Möglichkeit des jederzeitigen kostenfreien Widerrufs muss zudem in jedem Newsletter enthalten sein. Ebenso sollten Sie in Ihrem Newsletter ein ordnungsgemäßes Impressum aufnehmen, damit jederzeit klar erkennbar ist, wer Verfasser des Newsletters ist. Anderenfalls besteht die Gefahr wettbewerbsrechtlicher Abmahnungen.

 III.
Auftragsverarbeitung

Sie sollten mit Dritten, an die Sie personenbezogene Daten zur Bearbeitung weiterleiten (z. B. Newsletter-Shop, IT-Dienstleister, sonstige Dritte), eine Vereinbarung über die Auftragsverarbeitung abschließen, damit die Weitergabe personenbezogener Daten an den Dritten rechtlich auf gesicherter Grundlage erfolgt. Inhalt der Vereinbarung ist die Versicherung des Auftragsverarbeiters, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Daten und der Rechte der betroffenen Personen gewährleistet ist. Sollte der Dienstleister zur Unterzeichnung der schriftlichen Vereinbarung nicht bereit sein, muss die Fortsetzung der Zusammenarbeit geprüft und im Zweifel beendet werden. Der Dienstleister sollte nicht nur die Auftragsverarbeitung schriftlich mit Ihnen abschließen, sondern Ihnen auch ein entsprechendes Zertifikat vorlegen, dem zu entnehmen ist, dass die an ihn weitergeleiteten personenbezogenen Daten in sicheren Händen sind. Dies ist auch deshalb geboten, weil im Verletzungsfall ggf. auch Ansprüche gegen das verantwortliche Unternehmen geltend gemacht werden können, welches dann im Innenverhältnis Regress beim Auftragsverarbeiter nehmen müsste.

 IV.
Verpflichtung auf das Datengeheimnis

Da auch die Mitarbeiter, die personenbezogene Daten verarbeiten, über die Veränderungen zur DSGVO zu informieren und auf ihre Verpflichtung zum Datengeheimnis hinzuweisen sind, sollten Sie diese über die Anforderungen der DSGVO informieren und die Erklärung von Ihren Mitarbeitern entsprechend unterzeichnen lassen. Es ist erforderlich, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, auf die Vertraulichkeit und den Datenschutz schriftlich hingewiesen und entsprechend sensibilisiert werden.

 V.
Datensicherheit / Sonstiges

Darüber hinaus sollten Sie die von Ihnen auf Ihrer Homepage eingestellte Datenschutzerklärung prüfen, ob diese auch die Anforderungen nach der DSGVO erfüllt. Ebenso ist bei Vorliegen der Voraussetzungen ein Datenschutzbeauftragter zu benennen und das Verarbeitungsverzeichnis zu erstellen.

Soweit Sie dazu Rückfragen haben, stehen wir Ihnen gern zur Verfügung.

Ihr 

Dr. Björn Schreier
Rechtsanwalt
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Steuerrecht