DSGVO

Am 25. Mai 2018 tritt das neue Datenschutzgesetz in Kraft.
Hier erhalten Sie einen Überblick über die Neuerungen und notwendigen Schritte.

Die DSGVO

Das neue Datenschutzgesetz im Überblick

Worum geht's?

Die neue Datenschutz-Grundverordnung (kurz: DSGVO) regelt, wie Unternehmen mit personenbezogenen Daten umgehen. Durch das neue Gesetz soll der Umgang mit dem Thema Datenschutz EU-weit professionalisiert werden.

Wen betrifft die DSGVO?

Jeden, der personenbezogene Daten verarbeitet. Unabhängig davon, ob es sich um Unternehmen, Vereine oder Behörden handelt. 

Was sind personenbezogene Daten?

Personenbezogene Daten sind Daten, die sich auf eine (theoretisch identifizierbare) Person beziehen (z.B. Kunden, Mitarbeiter, Bewerber…). Auch die IP-Adresse zählt zu den personenbezogenen Daten, da eine Person mit relativ geringem Aufwand anhand ihrer IP-Adresse identifiziert werden kann. Das heißt: Sobald Sie ein Analyse-Tool (z.B. Google Analytics) verwenden oder Ihr Server Zugriffe protokolliert, verarbeiten Sie personenbezogene Daten. 

Kann ich das Thema einfach ignorieren?

Natürlich ;). Obwohl wir das nicht empfehlen: Bei einem Strafmaß von bis zu 2% (bzw. bis zu 4%) des Jahresumsatzes können Datenschutzvergehen sehr teuer werden. Deshalb lieber Augen zu und durch – einmal begonnen, entpuppt sich die Umsetzung der DSGVO meist als halb so schlimm. 

Keine Panik :)
DSGVO für Unternehmen: Keine Angst vor der der Datenschutzverordnung

DSGVO im Unternehmen

Das bedeutet die neue Verordnung für Ihr Unternehmen

Das Verzeichnis der Verarbeitungstätigkeiten

Ein Verzeichnis der Verarbeitungstätigkeiten benötigen Sie, wenn Sie regelmäßig personenbezogene Daten verarbeiten. Dazu reicht es schon aus, Kontaktdaten per Software zu verwalten oder die Zugriff auf Ihre Website mittels Google Analytics zu erfassen.

In dem Verzeichnis listen Sie auf, wie Ihr Unternehmen mit personenbezogenen Daten umgeht und welche Sicherheitsmaßnahmen Sie zum Schutz dieser Daten treffen.



Inhalt des Verzeichnisses

1
Grundangaben zum Unternehmen

Dieser Teil ist schnell erledigt und besteht aus allgemeinen Angaben wie Firmenname, Kontaktdaten, Firmenbuchnumer, Name des Datenschutzbeauftragten etc.

2
Angabe der Verarbeitungstätigkeiten

Anschließend listen Sie auf, wessen Daten Sie auf welche Art und Weise erfassen, an wen Sie die Daten weitergeben und wie lang Sie diese aufbewahren.

3
Technischen und organisatorische Maßnahmen

In dieser Sektion geben Sie an, wie Sie Ihre Daten vor Verlust und unberechtigtem Zugriff schützen, z.B. durch Backups, Verschlüsselungen, Zutrittskontrollen etc.



Links & Beispiele

  • Informationen zum Verzeichnis der Verarbeitungstätigkeiten
    mehr erfahren

  • Muster-Verzeichnis der WKO
    Download PDF

  • Informationen für Deutschland
    (mit konkretem Beispiel ab Seite 29)
    Download PDF


Auftragsverarbeitungsverträge anfordern


Um personenbezogene Daten rechtssicher an Ihre Dienstleister weitergeben zu können, müssen Sie mit diesen einen Auftragsverarbeitungsvertrag ("Data Processing Agreement") abschließen. Dadurch stellen Sie sicher, dass Ihre Daten lückenlos geschützt sind und rechtskonform verarbeitet werden.

Einen Auftragverarbeitungsvertrag müssen Sie mit allen Firmen abschließen, an die Sie personenbezogene Daten weitergeben: Von der externen Lohnverrechnung über ihren Hosting-Provider bis zu Google & sternpunkt ;). In letzterem Fall schreiben Sie uns bitte an support@sternpunkt.at – wir senden Ihnen gerne unser Data Processing Agreement zu.




Der Datenschutzbeauftragte

Benötige ich einen Datenschutzbeauftragten?

In Österreich benötigen Sie nur dann einen Datenschutzbeauftragten, wenn die Kerntätigkeit Ihres Unternehmens in der regelmäßigen Überwachung von Personen besteht (z.B. bei Banken oder Versicherungen) oder wenn Sie u.a. sensible Daten (Gesundheitsdaten, genetische oder biometrische Daten, Daten von Straftätern etc.) verarbeiten.

In Deutschland müssen Sie schon dann einen Datenschutzbeauftragten bestellen, wenn mehr als 10 Ihrer Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten betraut sind.

Wer kann das übernehmen?

Bei dem Datenschutzbeauftragten kann es sich entweder um einen Mitarbeiter oder einen externen Dienstleister handeln. Sie können einen Datenschutzbeauftragten auch freiwillig bestellen. Dieser unterstützt Sie in allen Bereichen zum Thema Datenschutz und hilft Ihnen bei der Umsetzung der notwendigen Maßnahmen.

Aber Achtung: Ein freiwillig bestellter Datenschutzbeauftragten kann nicht ohne weiteres wieder "deinstalliert" werden.

Tipp: Um herauszufinden, ob Sie einen Datenschutzbeauftragten benötigen, reicht oft ein Anruf bei der WKO oder –  für deutsche Unternehmen – bei Ihrer zuständigen Handelskammer.




Los geht's!
Standort der Internetagentur sternpunkt: Mondsee in Oberösterreich

DSGVO für Website & Online Shop

So wird Ihre Onlineauftritt fit für die DSGVO

Ob Website oder Online Shop: Durch die DSGVO sind ein paar Änderungen an Ihrem Webauftritt notwendig. Zur ersten Orientierung listen wir hier die häufigsten Punkte für Sie auf:

Datenschutzerklärung

Die Datenschutzerklärung muss den neuen Kriterien der DSGVO entsprechen: Informieren sie den User über sein Recht auf Auskunft, Berichtigung, Löschung & Widerspruch und erklären Sie, wofür Sie die erhobenen Daten verwenden.

Cookie Notice

Nahezu jede moderne Website verwendet Cookies. Informieren Sie Ihre Besucher über deren Verwendung mit Hilfe eines Cookie-Banners. In der Datenschutzerklärung gehen Sie anschließend näher auf die mittels Cookies erfassten Daten ein.

Formulare

Mit in Kraft treten der DSGVO dürfen Sie nur noch Daten erheben, die Sie auch tatsächlich benötigt. Überprüfen Sie deshalb, welche Eingaben verpflichtend notwendig sind und Verweisen Sie in Ihren Formularen auf die Datenschutzerklärung. Dort erklären Sie, wie Sie die eingeforderten Daten verwenden.

Newsletter

Um die Anmeldung zu Ihrem Newsletter rechtskonform zu gestalten, empfiehlt sich ein Double-Opt-In-Verfahren. Im Anmeldeformular weisen Sie auf den Inhalt des Newsletters und Ihre Datenschutzerklärung hin. Und falls Sie zum Versand Drittanbieter wie Mailchimp oder CleaverReach verwenden: Diese Info gehört in die Datenschutzerklärung, auch benötigen Sie ein Data Processing Agreement von Ihrem Anbieter.

Google Analytics

Um Google Analytics DSGVO-konform zu verwenden, anonymisieren Sie die erfassten IP-Adressen. Auch benötigen Sie einen Auftragsverarbeitungsvertrag mit Google. Die Datenschutzerklärung ergänzen Sie um Informationen zur Datenerhebung mittels Analytics und bieten Opt-Out-Möglichkeiten an.

Facebook Pixel

Wie schon bei AdSense & DoubleClick informieren Sie Ihre Besucher in der Datenschutzerklärung über die Verwendung des Facebook Pixels und bieten Opt-Out-Möglichkeiten an. Falls Sie einen erweiterten Abgleich (Custom Audience, Look-Alike-Audience) einsetzen, muss der User der Datenverwendung in diesem Fall sogar aktiv zustimmen.

Google DoubleClick, AdSense & Co.

Auch die Verwendung dieser Tools sollten Sie Ihren Besuchen nicht verschweigen. Informieren Sie in der Datenschutzerklärung und bieten Sie Opt-Out-Möglichkeiten an. Falls Sie personalisierte Werbung verwenden, ergänzen Sie Ihren Cookie-Banner um einen entsprechenden Hinweis.

Social Sharing Buttons

Ob "gefällt mir", "teilen" oder "retweet": Um Social Sharing Buttons datenschutzkonform zu verwenden, implementieren Sie eine 2-Click-Lösung (z.B. Shariff).

Plugins von Drittanbietern

Google Maps, Google Fonts oder Instagram Plugin? Sobald personenbezogene Daten an Drittanbieter weitergegeben werden, gehört diese Information in Ihre Datenschutzerklärung. Falls möglich, empfiehlt es sich auch hier, Ihren Besucher darauf hinzuweisen, wie die Datenerfassung verhindert werden kann.

Weitere Informationen

Weiterführende Links zur DSGVO

Für Unternehmen aus Österreich:

Weitere Informationen, Mustertexte und eine praktische Checkliste finden Sie auf der Website der WKO: www.wko.at

Eine Übersicht über alle Serviceangebote wie Webinare oder Beratungsmöglichkeiten zum Thema Datenschutz der WKO finden Sie hier.

Für Unternehmen aus Deutschland:

Wenn Sie tiefer in das Thema Datenschutz eintauchen möchten, empfehlen wir Ihnen den T3N-Ratgeber. Hier erhalten Sie einen für Nicht-Juristen leicht verständlichen Überblick sowie zahlreiche praktische Muster & Vorlagen: t3n.de

Sie haben Fragen?

Kein Problem! Schreiben Sie uns, wir helfen Ihnen gerne weiter!

support@sternpunkt.at

Das Kleingedruckte:
Die hier angeführten Informationen wurden nach bestem Wissen und Gewissen für Sie zusammen gestellt. Sie beziehen sich – sofern nicht anders erwähnt – auf Österreich. Wir können kein Gewähr für die Richtigkeit und Vollständigkeit der Angaben übernehmen. Bei Fragen bitten wir Sie, sich an einen zertifizierten Datenschutzbeauftragten oder einen spezialisierten Anwalt zu wenden.