hv-bw.de
Zurück

WDiH

Datenschutz-Management

Der HBW startet mit einem eigenem Datenschutzberatungsangebot ab April 2018 für seine Mitglieder, da wir erhebliche
Nachfragen erhielten. Wir bieten speziell auf den Handel zugeschnittene Datenschutzlösungen an, damit Sie in Ihren Betrieben die
Anforderungen aus der EU-Datenschutzgrundverordnung schnell und rechtssicher umsetzen können.
Unser Leitsatz dabei - einfache, kompetente und preiswerte Lösungen zur effizienten Umsetzung der Datenschutzgrundverordnung.

Die 9 wichtigsten Tipps & Tricks zur Umsetzung der EU-DSGVO:

To Do – EU-Datenschutzgrundverordnung

Was ist jetzt akut zu tun?
Wichtig: Denken Sie daher immer daran – Alles was von außen sichtbar ist, muss rechtssicher und abmahnfest sein!

Die größten Fallen bestehen bei:

  • Ihrer Homepage
  • Ihrem Onlineshop
  • Ihrem Auftritt in den digitalen Medien.

Tipp: Verwenden Sie eine aktuelle Datenschutzerklärung (siehe Tipp Nr. 6). Achten Sie auf eine korrekte Newsletteranmeldung. Beachten Sie die untenstehenden Tipps & Tricks um die gesetzlichen Anforderungen zu erfüllen.

1. Dokumentation der technischen und organisatorischen Maßnahmen zum Datenschutz

Der Gesetzgeber sieht vor, dass jeder Betrieb angemessene Maßnahmen zum Schutz von personenbezogenen Daten vornimmt. Technische Maßnahmen erstrecken sich über sichere Türschlösser, Videoüberwachung, Virenschutz, Firewall und Back Ups bis hin zur Sensibilisierung der Mitarbeiter, Verpflichtung der Mitarbeiter auf das Datengeheimnis oder die Regelung der Nutzung des betrieblichen Internetzugangs und Emailkontos. Sprechen Sie hier mit Ihrem IT-Dienstleister darüber.

2. Übersicht von Verfahren, mit denen personenbezogene Daten verarbeitet werden

Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist ebenfalls eine datenschutzrechtliche Pflicht. Hier werden alle Verfahren anhand eines standardisierten Vordrucks dokumentiert (und in diesem Zusammenhang auch geprüft). Es ist dabei unerheblich, ob personenbezogene Daten elektronisch oder auf Papier verarbeitet werden. Ein Muster für eine Verfahrensdokumentation ist als Anlage angefügt.

3. Schließen Sie mit allen Dienstleistern sogenannte Auftragsverarbeitungsverträge ab

Mit allen Dienstleistern, die in irgendeiner Form personenbezogene Daten in Ihrem Auftrag verarbeiten, müssen Sie eine vertragliche Regelung mit dem Namen Auftragsverarbeitung einsetzen. Nicht immer erscheint es offensichtlich, welche Dienstleister hier relevant sind. Beispiele sind etwa Steuerberater, Wirtschaftsprüfer, IT Service und Support, Software Support, Aktenvernichter, Newslettersystemanbieter, Webhoster, Websiteanalyseanbieter u.a. Gehen Sie auf Ihre Dienstleister zu, fragen Sie Ihre Dienstleister nach diesen Verträgen. Ein Mustervertrag ist angefügt.

4. Verpflichten Sie Ihre Mitarbeiter auf Verschwiegenheit

Diese organisatorische Maßnahme gehört zum absoluten Pflichtprogramm im Datenschutz. Verpflichten Sie Ihre Mitarbeiter auf das Datengeheimnis und Verschwiegenheit. Verwenden Sie dafür am besten unsere angefügte Vorlage.

5. Regeln Sie die Nutzung von Email und Internet

Aus datenschutzrechtlicher Sicht ist die einfachste Variante, die Email- und Internetnutzung zu privaten Zwecken offiziell zu untersagen. Ist die Privatnutzung erlaubt, gilt der Arbeitgeber als Telekommunikationsanbieter und hat damit weitaus strengere Auflagen, was Datenschutz und Löschfristen angeht. Sie können die Email- und/oder Internet-Nutzung auch eingeschränkt erlauben, wenn Ihre Mitarbeiter schriftlich auf die Rechte aus Telekommunikationsgesetz und dem Datenschutzrecht verzichten. Dies muss aber für jeden Mitarbeiter schriftlich dokumentiert werden.

Trick: Da beinahe jeder Mitarbeiter mittlerweile ein eigenes Smartphone besitzt und dieses zum privaten Surfen und Mailen verwenden kann, tut ein Verbot der Privatnutzung des betrieblichen Emailkontos und Internetanschlusses auch nicht weh. Verbieten Sie die Privatnutzung und erklären Sie, warum dies notwendig ist. Sprechen Sie uns gerne an, wenn Sie Hilfe bei der Ausarbeitung benötigen.

6. Machen Sie Ihre Website rechtssicher

1 Datenschutzerklärung

Achten Sie auf eine aktuelle und umfassende Datenschutzerklärung auf Ihrer Website. Ein allgemein gültiges Muster gibt es nicht. Wir verweisen auf den Konfigurator von e-Recht24 unter dem Sie sich eine Datenschutzerklärung erstellen können. Der Link dazu www.datenschutz.org oder https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

2 Verschlüsselung der Website mit SSL Zertifikat

Verschlüsseln Sie die Datenübertragung zu und von Ihrer Website mit einem SSL Zertifikat. Fast jeder Hostinganbieter stellt für einen kleinen Betrag SSL Zertifikate zur Verfügung. Zudem werden Internetseiten die verschlüsselt sind, besser von Google gerankt, als solche ohne Verschlüsselung.

3 Newsletter ausschließlich per Double Opt In Verfahren

Achten Sie darauf, dass Sie von jedem Newsletterabonnenten ein dokumentiertes Double Opt In vorweisen können. Beim Double Opt In Verfahren willigt der Nutzer zunächst in die Datenschutzerklärung und Hinweise zum Widerruf ein, das dafür vorgesehene Kontrollkästchen (beziehungsweise Checkbox) darf nicht standardmäßig vorausgewählt sein. Eine aktive Handlung des Nutzers, nämlich das Bestätigen der Checkbox, ist obligatorisch. Das wäre das erste Opt In.


A. Das erste Opt In kann etwa so aussehen:

☐ Ja, ich möchte den Newsletter regelmäßig per E-Mail erhalten. Die Datenschutzhinweise* sowie Hinweise zum Widerruf habe ich zur Kenntnis genommen und stimme diesen zu. (*hier wird auf die ausführliche Datenschutzerklärung verlinkt) Kompakt: Hinweise zum Datenschutz Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters der Firma xxx verwendet. Dieser enthält Informationen zu Produkten, saisonalen Aktionen oder Neuerscheinungen. Ihre E-Mail-Adresse wird niemals für Werbezwecke an Dritte weitergegeben und nur im Rahmen des Newsletter-Versands genutzt. Hinweise zur Widerrufbarkeit Sie können diese Einwilligung jederzeit widerrufen, indem Sie sich aus der Liste austragen. Hinweise zur Abmeldung sind in jedem Newsletter enthalten. Alternativ können Sie eine E-Mail mit dem Betreff „Newsletter abmelden“ an xxxx@xxxxxxxx.de schicken.


B. Das zweite Opt In:

Für das zweite Opt In, die Bestätigung seiner Emailadresse, erhält der Nutzer eine Email mit Bestätigungslink geschickt. Nur wenn er diesen anklickt, kann er zukünftig als Abonnent verwendet werden.
Datensparsamkeit beachten Achten Sie auch auf das Prinzip der Datensparsamkeit, das bedeutet in diesem Fall, dass nur die für den Newsletterversand notwendigen Daten erhoben werden. Wirklich notwendig ist beim Newsletter nur die Emailadresse. Andere Angaben (Name, Vorname, Geburtsdatum, Adresse) können jedoch auf freiwilliger Basis angegeben werden.
   Nur die Emailadresse sollte also ein Pflichtfeld bei der Newsletteranmeldung sein
   Andere Angaben können auf freiwilliger Basis erhoben werden

4 Kontaktformular nur verschlüsselt übertragen

Achten Sie darauf, dass die Übermittlung von Kontaktformularen auf verschlüsseltem Weg passiert. Dies lässt sich ebenfalls mittels SSL Zertifikat umsetzen, Ihr Webhoster kann Ihnen hier weiterhelfen.

5 Auf die Verwendung von Cookies hinweisen

Weisen Sie Websitebesucher auf die Verwendung von Cookies hin, auch wenn die Rechtslage zur Pflicht hier noch nicht ganz klar ist. Im Zweifelsfall fahren Sie mit einem Cookie Hinweis sicher, und mittlerweile verwendet quasi jede Website Cookies.

6 Auftragsverarbeitungsvertrag mit Websiteanalyse Anbieter

Wenn Sie beispielsweise Google Analytics oder etracker einsetzen, müssen Sie mit diesen Anbietern einen Auftragsverarbeitungsvertrag abschließen. Google bietet den Vertrag zum Download an, bisher noch unter https://www.google.com/analytics/terms/de.pdf. (bitte direkt auf diesen Link klicken)

7. Erarbeiten Sie ein Löschkonzept

Die DSGVO sieht vor, dass personenbezogene Daten nicht unbegrenzt lange gespeichert werden dürfen. In der Regel können Sie sich entweder an gesetzlichen Aufbewahrungsfristen oder der Gültigkeit von Einwilligungen zur Datenverarbeitung orientieren.

Faustregel:

  • Daten müssen gelöscht werden, wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind.
  • Daten müssen gelöscht (oder einschränkt) werden, wenn eine Einwilligung widerrufen wird.

Das Ganze sollten Sie für verschiedene Datenarten (Kundendaten, Kundenkarteninhaber, Mitarbeiterdaten, Newsletterabonnenten, Lieferanten, Systemloggingdaten, etc.) dokumentieren und dazu zur Löschungsprüfung (ein bis zwei Mal im Jahr) festlegen.

8. Umsetzung der Informationspflichten

Setzen Sie die Informationspflichten gemäß den Artikeln 12, 13, 14 und 21 um. Beispielsweise durch Aushang im Ladengeschäft. Sie können auch Ihre Datenschutzerklärung auf der Homepage um die „Offline“ Datenverarbeitungsprozesse ergänzen und auf diese verweisen.

Das muss rein:

  • Verantwortliche Stelle
  • Datenschutzbeauftragter (falls Verpflichtung zur Benennung gegeben)
  • Art der verarbeiteten Daten
  • Verarbeitungszwecke
  • Rechtsgrundlagen
  • Empfänger bzw. Kategorien von Empfängern der Daten
  • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht
  • Beschwerderecht
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren
9. Wann müssen Sie einen Datenschutzbeauftragten bestellen?

Während die Datenschutzgrundverordnung auf einem risikobasierten Ansatz die Verpflichtung zur Bestellung eines Datenschutzbeauftragten festlegt, ist der deutsche Gesetzgeber im Bundesdatenschutzgesetz – neu bei der Verpflichtung zur Bestimmung eines Datenschutzbeauftragten von der Anzahl der mit der Verarbeitung beschäftigten Personen ausgegangen (§ 38 BDSG).
Danach ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ob hierbei eine ständige Beschäftigung dann vorliegt, wenn es die Kernaufgabe des Mitarbeiters ist oder auch gelegentliche über den bloßen Einzelfall hinausgehende Tätigkeiten so ausreichend sind, ist noch nicht hinreichend geklärt.
So dürfte ein Einzelhändler, der 30 Mitarbeiter/-innen beschäftigt, von denen 5 ständig in der Personalverwaltung und Buchhaltung arbeiten und 25 auf der Fläche Verkaufstätigkeiten nachgehen, der Bestellpflicht eines Datenschutzbeauftragten nicht unterliegen, selbst wenn die 25 Mitarbeiter/-innen auf der Fläche regelmäßig Kundendaten zur Übernahme in eine Kundendatenkartei sowie zur Umsetzung eines Kundenbindungssystems in Form einer Kundenkarte erheben.


Die wichtigsten Muster und Vorlagen finden Sie in unserem Download-Bereich unter nachfolgendem Link https://www.externer-datenschutzbeauftragter-stuttgart.de/downloads/

Merkblatt

Rundschreiben: Merkblatt zu Informationspflichten nach Art. 13 DSGVO im stationären Handel

Hier geht es zum Merkblatt Informationspflichten!
als Mitglied registrieren
Sie haben eine Frage oder ein Anliegen zu diesem Thema? Schreiben Sie dem Handelsverband.
Information
Ihre Vorteile als Mitglied
HBW-Mitglieder sparen bis zu 600 Euro beim Datenschutzaudit
zu den Vorteilen scrollen
WDiH Logo

Kontaktperson(en)

Sarah Jermakewitz
Sarah Jermakewitz

Assistentin Bereichsleiter Datenschutz

0711 64864-48

0711 64864-24

https://datenschutz-im-handel.de/

Neue Weinsteige 44

70180 Stuttgart

phd Modal

Diese Website benutzt Cookies, die wir benötigen um den funktionierenden Betrieb unserer Angebote und Informationen zu gewährleisten. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von technisch notwendigen Cookies zu. Weitere Infos dazu finden Sie in unserer Datenschutzerklärung. Datenschutzerklärung