DSGVO – 10 wichtige Punkte auf die Sie achten müssen!

Ab dem 25. Mai 2018 gilt europaweit die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese Verordnung kommt überall dort zur Anwendung, wo persönliche Daten von Menschen eingegeben, verarbeitet und gespeichert werden. Ferner regelt diese Verordnung auch die Kontaktaufnahme zu Personen. Dies betrifft damit auch die Verarbeitung personenbezogener Daten im Marketing und in der Werbung.

Zusammen mit Laurent Meister, Fachanwalt und Experten für Datenschutz erarbeitete die Heilbronner B2B Werbeagentur TEAMDREI zehn wichtige Punkte, bei denen sofortiger Handlungsbedarf im Bezug auf die Datenschutz-Grundverordung besteht.

10 Punkte wichtige Punkte zur DSGVO

1. Um abmahnfähige Verstöße auszuschließen, empfiehlt es sich, die vorgeschriebenen zusätzlichen Angaben sowie die Überarbeitung von AGBs, Impressum und Datenschutzrichtlinien durch einen Fachanwalt für Datenschutz vornehmen und/ oder prüfen zu lassen. Ein besonderes Augenmerk sollte z.B. auf die Cookies gelegt werden, die eine Online-Präsenz beim User setzt. Ein einfacher Hinweis, dass Cookies beim Besuch der Webseite gesetzt werden reicht nicht mehr aus. Viel mehr muss der Nutzer informiert werden, dass er ein Widerspruchsrecht gegen die Verwendung von Cookies hat (sog. Opt-Out-Verfahren).
2. Ab neun Mitarbeitern, die mit der Verarbeitung personenbezogener Daten befasst sind, muss ein Datenschutzbeauftragter benannt werden. Seine Aufgaben sind die Umsetzung und Einhaltung der EU-Datenschutzbestimmungen.
3. Im direkten Kontakt mit Kunden oder Interessenten sind Unternehmen in der Nachweispflicht. Das heißt: Sie müssen auf Nachfrage den Nachweis erbringen können, dass eine Einverständniserklärung des Kunden oder Interessenten zur Nutzung dessen personenbezogener Daten (Datenschutzeinverständniserklärung) vorliegt.
4. Für alle Leistungsarten und Prozesse, bei denen personenbezogene Daten Verwendung finden, muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. Dokumentiert werden hier sämtliche Verarbeitungstätigkeiten: Beteiligte, eingesetzte Tracking-Tools, Zweck der Verarbeitung, Prozessschritte, u.v.m.
5. Wird anderen Unternehmen, Lieferanten oder Dienstleistern (wie z.B. Werbeagenturen) Zugriff auf personenbezogene Daten von Kunden und Mitarbeitern gegeben, so befinden sich die Daten im Gebiet der Auftragsdatenverarbeitung. Mit allen diesen Unternehmen und Geschäftspartnern sollte ein Auftragsdatenverarbeitungs-Vertrag (ADV) abgeschlossen werden, in der die DSGVO-konforme Verarbeitung sichergestellt wird.
6. Wird Google Analytics genutzt, um beispielsweise Statistiken zur Online-Präsenz zu erheben, muss auch mit Google ein ADV zur Auftragsdatenverarbeitung abgeschlossen werden. Zudem sollte unbedingt die Anonymisierung der IP-Adresse eingestellt werden.
7. Auch Mailing-, Tracking- oder Retargeting-Anbieter, sowie Hosting-Provider sollten bestätigen, dass sie die EU-Datenschutz-Grundverordnung einhalten. Entweder durch den Abschluss eines Auftragsdatenverarbeitungs-Vertrag oder durch eine schriftliche Bestätigung, dass diese sich an die EU-Vorgaben halten. I.d.R. verfügen diese Anbieter über TÜV-Zertifikate. Das gleiche gilt für sogenannte Drittanbieter.
8. Unternehmen, die im Auftrag von Kunden oder Geschäftspartnern personenbezogene Daten verarbeiten bzw. diese bereitgestellt bekommen, sollten ebenfalls einen Auftragsdatenverarbeitungs-Vertrag abschließen, jedoch diesmal in der Rolle des Auftragnehmers.
9. Personenbezogenen Daten müssen an einem sicheren Ort aufbewahrt und vor unberechtigtem Zugang geschützt werden. Dies gilt auch für den Transfer der Daten z.B. per E-Mail. Online-Präsenzen sollten deswegen über SSL verschlüsselt sein (das grüne Schloss in der Browserleiste) – was zudem einen positiven Einfluss auf das Ranking hat.
10. Damit die Daten von Alt-Kunden oder Interessenten, bei denen kein regelmäßiger Kundenkontakt besteht, weiter genutzt werden können, sollte dieser Personenkreis noch vor dem 25. Mai 2018 angeschrieben und über die aktuell gespeicherten, personenbezogenen Daten informiert werden. Ferner sollte darauf verwiesen werden, dass wenn kein schriftlicher Widerspruch zur Nutzung der Daten erfolgt, man davon ausgehe, weiter in Kontakt treten zu dürfen.

Quelle: TEAMDREI