GDPR-Konformität für Unternehmen: Schritt-für-Schritt-Anleitung

Was jedes einzelne Online-Unternehmen für die DSGVO-Konformität tun muss

Unabhängig davon, in welchem ​​Stadium sich Ihr Online-Unternehmen befindet, müssen Sie:

• Bestimmen, warum Sie personenbezogene Daten benötigen
• Bestimmen Sie die Kategorien der Daten, die Sie benötigen
• Bestimmen Sie, wie Sie solche Daten erhalten werden
• Bestimmen Sie, wie lange Sie die Daten aufbewahren werden
• Überprüfen Sie die Cookies, die Ihre Website bereits verwendet (und von denen Sie möglicherweise nichts wissen)
• Haben Sie eine Datenschutzrichtlinie
• Erhalten Sie ausdrückliche Zustimmung für die Erhebung und/oder Verarbeitung von Daten
• Führen Sie Aufzeichnungen über Einwilligungen und Datenverarbeitung
• Reagieren Sie auf Anfragen von Betroffenen
• Stellen Sie die Rechtmäßigkeit Ihrer Datenübertragungen sicher
• Planen Sie Benachrichtigungen bei Datenverletzungen

Jetzt geht es um jeden einzelnen Punkt:

1. Bestimmen Sie, warum Sie personenbezogene Daten benötigen

Sie müssen Gründe haben, um Daten von Benutzern zu verarbeiten. Für die meisten Unternehmen sind die Gründe:

• Marketingzwecke – Wenn Sie das Verhalten von Benutzern verfolgen möchten, um Daten zu sammeln, die Sie zur Segmentierung verwenden und sie mit einer maßgeschneiderten Nachricht ansprechen können
• Verbesserung der Benutzererfahrung auf Ihrer Website
• Analysezwecke – Um Daten darüber zu sammeln, wie Website-Besucher die Website nutzen.

Die Bestimmung des „Warums“ hinter der Datenverarbeitung ist der erste Schritt, bevor Sie mit den Kategorien der Daten fortfahren, die Sie benötigen.

2. Bestimmen Sie die Daten, die Sie benötigen

Wenn Sie wissen, warum Sie personenbezogene Daten verarbeiten müssen, müssen Sie bestimmen, welche Datenkategorien Ihnen dabei helfen werden.

Datenkategorien sind die Arten von personenbezogenen Daten wie Namen, E-Mail-Adressen, Hausadressen, Sozialversicherungsnummern, politische Ansichten, biometrische Daten usw.

Also, wenn Sie Benutzerdaten für Marketingzwecke verarbeiten müssen, benötigen Sie möglicherweise E-Mail-Adressen, um Newsletter zu versenden, oder Online-Identifikatoren, mit denen Sie erneut ausrichten können.

Sie können Google Analytics installieren und deren IP-Adressen für Analysezwecke erhalten.

Sie benötigen ihren vollständigen Namen, Adresse und Postleitzahl, um ein Produkt zu senden, das von Ihrem E-Commerce-Shop bestellt wurde. Um Kundenunterstützung zu bieten, benötigen Sie möglicherweise deren Telefonnummer.

Denken Sie daran, dass Sie für jeden Zweck die minimale Menge an Daten verarbeiten müssen. Die Datensparsamkeit ist eines der grundlegenden GDPR-Prinzipien und erlaubt keine Verarbeitung von mehr Daten als notwendig für Ihr Ziel.

3. Bestimmen Sie, wie Sie solche Daten erhalten werden.

Hier bestimmen Sie die Tools zur Sammlung und Verarbeitung personenbezogener Daten.

Im Allgemeinen gibt es zwei Möglichkeiten, personenbezogene Daten zu sammeln:

• Daten, die Benutzer freiwillig geben
• Daten, die Sie durch Cookies und andere Tracking-Technologien sammeln.

Benutzer werden Ihnen Daten für die Ausführung von Verträgen wie Warenlieferung oder das Erhalten eines Gratisprodukts geben.

Sie müssen Tracking-Mechanismen für Daten verwenden, die keinen Austausch erfordern. Dazu gehören Cookies, Pixel, Fingerprinting und andere Methoden. Stellen Sie sicher, dass Sie sie alle zu diesem Zeitpunkt bestimmen.

4. Bestimmen Sie, wie lange Sie die Daten aufbewahren möchten

Sie sollten die Daten so lange aufbewahren, wie dies erforderlich ist, aber nicht länger.

Nicht nur, weil es Sie verpflichtet, personenbezogene Daten zu löschen, die Sie nicht benötigen, sondern auch, weil es Risiken ohne Vorteile mit sich bringt. Warum sollten Sie die Daten einer anderen Person aufbewahren, die Sie nicht benötigen und die gehackt werden können? Es ist nicht klug und es ist gegen das Gesetz.

Bestimmen Sie also eine Aufbewahrungsfrist für jede Kategorie personenbezogener Daten, die Sie sammeln und verarbeiten. Es sollte mit dem Verarbeitungszweck übereinstimmen. Wenn Sie diese Daten nicht mehr benötigen, werden Sie sie los.

5. Überprüfen Sie die Cookies, die Ihre Website verwendet

Ihre Website wartet möglicherweise darauf, Cookies ohne Zustimmung der Benutzer und ohne Ihr Wissen in deren Geräte zu injizieren. Social-Plugins, Widgets und andere Tools verwenden häufig Cookies, aber die Websitebesitzer sind sich dessen nicht bewusst.

Wenn Sie sich diesbezüglich nicht sicher sind, scannen Sie Ihre Website mit einem Cookie-Scanner. 2gdpr-Scanner liefert gute Ergebnisse sowie grundlegende Anleitungen zur Cookie-Compliance. Überprüfen Sie Ihre Website und handeln Sie entsprechend den Ergebnissen.

6. Haben Sie eine Datenschutzrichtlinie

Die Datenschutzrichtlinie ist ein Dokument, das Benutzer über Ihre Datenschutzpraktiken informiert.

Wenn Sie die oben genannten Fragen beantwortet und bestimmt haben, was, warum und wie Sie es tun werden, wird das Erstellen einer Datenschutzrichtlinie ein Kinderspiel sein.

Eine Datenschutzrichtlinie, die der GDPR entspricht, enthält die wesentlichen Elemente, die von der Verordnung vorgeschrieben sind. Diese Elemente sind nicht explizit definiert, aber sind trotzdem eine Anforderung, und sind im Text der GDPR verstreut.

In jedem Fall benötigen Sie eine Datenschutzrichtlinie mit den folgenden Elementen:

• Ihre Identität. Sie sind der Datenkontrolleur, und Benutzer (auch Datenprobanden genannt) haben das Recht zu wissen, wer ihre Daten kontrolliert. Geben Sie Ihren Firmennamen und zumindest eine E-Mail-Adresse für den Kontakt an. Für eine bessere Transparenz geben Sie eine Telefonnummer und eine physische Adresse an, wenn Ihr Unternehmen eine hat.
• Die Zwecke der Datensammlung und/oder -verarbeitung. Teilen Sie Ihren Benutzern mit, warum Sie ihre Daten benötigen.
• Wie Sie personenbezogene Daten sammeln und/oder verarbeiten. Sie müssen die Benutzer über die Methoden informieren, die Sie zur Sammlung ihrer Daten verwenden. Im Allgemeinen gibt es drei Möglichkeiten zur Datensammlung:
  • Benutzer geben Ihnen ihre Daten selbst (z.B. indem sie eine E-Mail-Adresse angeben, um Marketingaktionen, Rabatte, kostenlose E-Books usw. zu erhalten) oder
  • Sie sammeln ihre Daten durch Cookies und Tracking-Technologien (einschließlich Google Remarketing, Facebook Pixel usw.).
  • Sie sammeln Daten von anderen Parteien wie Ihren Tochterunternehmen usw.
• Die Kategorien der von Ihnen gesammelten Daten. Sie sollten jede Datengruppe benennen, die Sie sammeln, wie z.B. Name, E-Mail-Adresse, Wohnadresse, Telefonnummer, IP-Adresse, Sozialversicherungsnummer oder jede andere persönliche Information.
• Mit wem Sie ihre Daten teilen. Das sind die Drittanbieter-Tools, die Sie zur Datenverarbeitung verwenden. Sie teilen Benutzerdaten mit ihnen, damit sie Ihnen Einblicke auf der Grundlage dieser Daten liefern können. Sie teilen beispielsweise Daten mit Google, um Einblicke aus Google Analytics zu erhalten.
• Rechte der betroffenen Person. Die GDPR gewährt Benutzern die folgenden Rechte:
  • Informationen über die Datenverarbeitung zu erhalten
  • Zugang zu ihren Daten zu erhalten
  • die Verarbeitung ihrer Daten einzuschränken und/oder zu widersprechen
  • ihre Daten löschen zu lassen
  • ungenaue Daten zu korrigieren
  • Daten an einen anderen Datenkontrolleur zu übertragen
  • zu erfahren, ob ihre Daten Teil einer automatisierten Datenverarbeitung sind, einschließlich Profiling, und dagegen zu widersprechen
• Wie Benutzer ihre Rechte ausüben können. Benutzer haben Rechte, aber Sie müssen ihnen mitteilen, wie sie sie ausüben können. Stellen Sie als Minimum sicher, dass Sie eine E-Mail-Adresse für die Kontaktaufnahme haben.
  Es ist noch besser, ein dediziertes Kontaktformular für die Einreichung von Anfragen von betroffenen Personen zu haben. Es gibt SAAS-Lösungen auf dem Markt, mit denen Sie diese Anfragen sammeln, sortieren und schnell beantworten können.
• Aufbewahrungsfrist für Daten. Teilen Sie Ihren Benutzern mit, wie lange Sie ihre Daten aufbewahren werden.
• Daten von Kindern. Wenn Sie wissentlich Daten von Kindern sammeln, sollten Sie Benutzer informieren und die Zustimmung ihrer Eltern einholen. Wenn Sie dies nicht tun, ist dies Ihre Chance, einen Haftungsausschluss zu platzieren und sich selbst von der Verantwortung freizuhalten.
• Datenschutzbeauftragter (DSB) oder rechtlicher Vertreter. Einige Organisationen sind verpflichtet, einen DSB zu haben, während diejenigen, die außerhalb der EU registriert sind, einen rechtlichen Vertreter haben sollten. Wenn Sie einen von diesen haben, fügen Sie deren Namen und Kontaktdaten in die Datenschutzerklärung ein.
• Updates und das Datum des Inkrafttretens der Datenschutzrichtlinie. Schließlich sollten Sie Ihre Datenschutzrichtlinie mit den Methoden für die Benachrichtigung von Benutzern über Updates und dem Datum, ab dem die aktuelle Version der Datenschutzrichtlinie wirksam ist, abschließen.

7. Einholung der expliziten Einwilligung zur Erhebung und Verarbeitung von Daten

Viele Online-Geschäftsinhaber denken, dass das Veröffentlichen einer Datenschutzerklärung auf ihrer Website ausreicht, um den Datenschutzgesetzen zu entsprechen, aber das könnte nicht weiter von der Wahrheit entfernt sein.

Wenn Benutzer Ihnen ihre Daten geben, ist die rechtliche Grundlage in der Regel die Durchführung eines Vertrags zwischen Ihrem Unternehmen und dem Benutzer.

Aber wenn Sie ihre Daten mithilfe von Tools von Drittanbietern sammeln, müssen Sie sie zuerst fragen, ob es ihnen recht ist. Die DSGVO erlaubt keine Datenerhebung ohne ausdrückliche Einwilligung der Benutzer, daher müssen Sie sie einholen, bevor Sie Tracking-Technologien verwenden.

Der praktischste Weg, um die Einwilligung der Benutzer einzuholen, besteht darin, ihnen ein Cookie-Banner anzuzeigen. Aber nicht irgendein Banner. Nur diejenigen, die den Anforderungen der DSGVO entsprechen, sind rechtmäßig.

Das Cookie-Banner ist rechtmäßig, solange die Einwilligung des Benutzers:

• Freiwillig gegeben. Das bedeutet, dass Sie dem Nutzer die Wahl zwischen Akzeptanz und Ablehnung von Cookies geben müssen. Zudem darf die Akzeptanz von Cookies keine Bedingung für den Zugang zu Website-Inhalten sein.
• Informiert. Der Nutzer muss über Ihre Datenschutzaktivitäten informiert werden, wenn er um Zustimmung gebeten wird. Aus diesem Grund enthalten Cookie-Banner oft einen Link zur Datenschutzrichtlinie. Die Datenschutzrichtlinie informiert den Nutzer über die Datenschutzpraktiken des Unternehmens, und wenn der Nutzer damit kein Problem hat, kann er seine Zustimmung zur Datensammlung und -verarbeitung geben.
• Spezifisch. Ihre Datenschutzrichtlinie enthält die Zwecke der Datenverarbeitung. Sie müssen für jeden spezifischen Zweck eine separate Zustimmung einholen. Das bedeutet, dass Sie, wenn Sie eine Zustimmung für Analysezwecke erhalten haben, dieselben Daten nicht für Marketingzwecke verarbeiten dürfen. Sie benötigen dafür eine zusätzliche Zustimmung.
• Eindeutig. Die Zustimmung wird nur dann rechtmäßig eingeholt, wenn der Nutzer eine positive Handlung zur Zustimmung unternommen hat, wie beispielsweise das Klicken auf einen AKZEPTIEREN-Button.
  Es ist gegen die DSGVO anzunehmen, dass sie durch das Verweilen auf der Website oder die Annahme Ihrer Nutzungsbedingungen der Verwendung von Cookies zustimmen.
  Außerdem dürfen Sie die Kästchen oder Schaltflächen nicht vorab auswählen. Der Nutzer muss eine bestimmte Aktion ergreifen, um seine Zustimmung für Cookies zu bestätigen.
• Leicht widerruflich. Sie müssen den Nutzern die Möglichkeit bieten, ihre Zustimmung genauso einfach zurückzuziehen, wie sie sie gegeben haben. Wenn der Nutzer seine Zustimmung einfach durch Klicken auf einen AKZEPTIEREN-Button gegeben hat, dürfen Sie ihn nicht auffordern, ein langes Widerrufsformular per E-Mail auszufüllen und an Sie zu senden. Sie müssen es dem Nutzer leicht machen.

Das bedeutet, dass Sie nicht auf hinterhältige Weise Cookies auf den Geräten Ihrer Nutzer senden dürfen, wie wir es zuvor besprochen haben:

• Keine vorab ausgewählten Kästchen.
• Keine Cookie-Wände.
• Keine Bündelung der Cookie-Zustimmung mit den Nutzungsbedingungen.
• Keine Annahmen, dass der Nutzer durch das Durchsuchen der Website die Cookies akzeptiert.

8. Halten Sie Aufzeichnungen über die eingeholte Zustimmung und Verarbeitungsaktivitäten

Die DSGVO verpflichtet Unternehmen, Aufzeichnungen über ihre Verarbeitungsaktivitäten zu führen und diese auf Anfrage den Behörden zur Verfügung zu stellen. Die Aufzeichnungen sollten zumindest Folgendes enthalten:

• Deine Kontaktdetails
• der Zweck der Datenverarbeitung
• die Beschreibung der betroffenen Personen,
• die Kategorien der verarbeiteten Daten
• die Empfänger der personenbezogenen Daten
• Einzelheiten zu Datenübertragungen, falls vorhanden
• die Aufbewahrungsfrist der Daten, falls vorhanden
• sowie eine allgemeine Beschreibung der Datenschutzmaßnahmen, falls zutreffend

Neben den Verarbeitungsaktivitäten ist es unerlässlich, Aufzeichnungen über jede von einem Benutzer erteilte Einwilligung zu führen.

Früher oder später wirst du eine Anfrage von einer betroffenen Person erhalten, die wissen möchte, wie du mit ihren Daten umgehst. Du musst auch nachweisen, dass du ihre Einwilligung zur Datenverarbeitung erhalten hast, wenn es soweit ist. Wenn du das nicht nachweisen kannst, gerätst du mit dem Gesetz in Konflikt.

Viele Online-Unternehmen wählen billige Einwilligungsmanagement-Lösungen, die keine Aufzeichnungen über erteilte Einwilligungen führen. Diese Lösungen, meistens WordPress-Plugins, präsentieren dem Benutzer einen Cookie-Banner und einen Link zur Datenschutzerklärung, aber das ist auch schon alles. Wenn der Benutzer deine Cookies akzeptiert, reagieren sie nicht. Sie nehmen nichts auf, also entsprechen sie nicht den Vorschriften der DSGVO.

Es gibt gute kostenpflichtige Tools auf dem Markt, die du für das Einwilligungsmanagement verwenden könntest.

Some of them include OneTrust, Secure Privacy, Cookiebot, and Iubenda.

Einige von ihnen sind OneTrust, Secure Privacy, Cookiebot, und Iubenda.

9. Reagiere auf Anfragen von betroffenen Personen

Betroffene Personen sind deine Website-Besucher im DSGVO-Vokabular.

Rechte der betroffenen Person

Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten. Dazu gehören das Recht auf:

• Information über die Verarbeitung zu erhalten
• Zugang zu ihren Daten in deiner Kontrolle zu erhalten
• Widerspruch gegen die Datenverarbeitung zu erheben
• Einschränkung der Verarbeitung zu verlangen
• Berichtigung der Daten zu verlangen
• Übertragung ihrer Daten an einen anderen Verantwortlichen zu verlangen
• Löschung ihrer Daten zu verlangen
• Zu wissen, dass sie automatisierten Entscheidungsprozessen unterworfen wurden, einschließlich Profiling

Einreichung von Anfragen

Betroffene Personen, d.h. deine Benutzer, können diese Rechte ausüben, indem sie eine Anfrage von betroffenen Personen an dich senden. Das Gesetz schreibt kein vorgeschriebenes Formular vor. Es kann alles von einer einfachen Nachricht wie „Sag mir, welche Daten du von mir gesammelt hast“ oder „Bitte lösche alle meine Daten“ bis hin zu einem formellen Antrag sein.

Sie können eine Methode für die Einreichung von Anfragen der betroffenen Person bestimmen, wie beispielsweise eine E-Mail-Adresse oder ein Formular auf Ihrer Website. Die betroffenen Personen sind jedoch nicht verpflichtet, die Anfragen auf diese Weise zu senden. Sie können es auf jede beliebige Art und Weise tun, und Sie sind verpflichtet zu antworten.

Eine schnelle Lösung für die Verwaltung von Anfragen zu haben, ist eine ausgezeichnete Praxis. Viele Anbieter für Einwilligungsmanagement bieten auch Lösungen für die Verwaltung von Anfragen der betroffenen Person an, die ein guter Ausgangspunkt sind. Sie kommen in der Regel mit einem Dashboard mit allen Anfragen, Erinnerungen zur Antwort und anderen Funktionen.

Antworten auf Anfragen:

Sie müssen innerhalb von 30 Tagen nach Erhalt der Anfrage auf die Anfrage der betroffenen Person antworten. Sie können die Lieferung um weitere 30 Tage verzögern, falls es sich um eine komplexe Anfrage handelt, die viel Arbeit auf Ihrer Seite erfordert. Lassen Sie den Benutzer einfach darüber wissen.

Sicherstellen, dass Sie der richtigen Person antworten:

Manchmal müssen Sie die Identität der Person überprüfen, die die Anfrage stellt. Sie können keine Datei mit personenbezogenen Informationen an jeden senden, der dies über das Internet anfordert, da dies von einigen Personen missbraucht werden kann, die Daten für andere Personen anfordern.

Wenn Sie daran zweifeln, dass dies der Fall sein könnte, müssen Sie die Identität der Person überprüfen, die die Anfrage stellt. Wenn beispielsweise ein E-Mail-Abonnent auf seine Daten zugreifen möchte, möchten Sie möglicherweise nachweisen, dass er die E-Mail-Adresse besitzt, indem Sie ihm einen Code per E-Mail senden. Oder im Fall der Datenverarbeitung von Website-Mitgliedern könnten Sie ihre Identität durch 2-Faktor-Authentifizierung oder auf ähnliche Weise überprüfen.

Nichtbeantwortung:

Sie können möglicherweise nicht angemessen antworten oder überhaupt nicht antworten. In beiden Fällen wird die betroffene Person nicht zufrieden sein und zusätzliche Anfragen stellen oder direkt an die Datenschutzbehörde gehen und ein Verfahren gegen Sie einleiten.

Sie möchten rechtliche Probleme vermeiden, stellen Sie also sicher, dass Sie dem Benutzer rechtzeitig und auf eine Weise antworten, die sie zufriedenstellt.

10. Planen von Benachrichtigungen bei Datenschutzverletzungen:

Datenverletzungen sind keine alltäglichen Ereignisse, aber es gibt kein Online-Unternehmen, das Hacks vermeiden kann. Microsoft, Facebook und Twitter sind nur einige Namen, die gehackt wurden und Datenverletzungen hatten.

Es gibt zwei Möglichkeiten, wie Sie von Datenverletzungen betroffen sein können:

• Ihre Website wird gehackt oder
• Einer Ihrer Datenverarbeiter wird gehackt.

Vergessen Sie nicht, dass Sie für die Daten verantwortlich sind, die Sie kontrollieren, auch wenn sie von einem Dritten verarbeitet werden. Ihre Auftragsverarbeiter sind Ihnen gegenüber verantwortlich, aber Sie haften gegenüber den Benutzern. Sie sind es, die gegenüber Ihren Benutzern haften.

In beiden Fällen haben Sie Pflichten gegenüber Ihren betroffenen Personen. Die DSGVO verpflichtet Sie:

• Die relevante Datenschutzbehörde spätestens 72 Stunden nach Kenntnisnahme über den Verstoß zu informieren (wenn Sie dies verzögern, benötigen Sie eine gute Erklärung dafür und sind einem Risiko von Strafen ausgesetzt).
• Wenn der Verstoß die Rechte der betroffenen Personen gefährdet, müssen Sie sie ebenfalls informieren. Eine Bedrohung würde die Weitergabe von persönlichen Informationen wie Sozialversicherungsnummern, Gesundheitsdaten, sexueller Orientierung und anderen Daten sein, die in der aktuellen Situation ein Risiko darstellen könnten.

Sie können die Datenschutzbehörde und die Benutzer auf jede Weise informieren, die Sie für angemessen halten, solange es sich um eine auf den Verstoß ausgerichtete Kommunikation handelt. Sie können Benutzer z. B. nicht in einem regulären Newsletter voller Gutscheine und anderer Marketingmaterialien über den Verstoß informieren.

Sie können also einen Anruf bei der Behörde tätigen und ihnen sagen, was passiert ist. Dann werden sie Sie durch den folgenden Prozess führen.

Einige von ihnen haben auf ihren Websites Formulare für Datenverletzungen, die Sie verwenden können. Die Vorlage des UK ICO finden Sie unter diesem Link, nur um Ihnen eine Vorstellung davon zu geben, wie es aussehen könnte.

Es ist wichtig zu beachten, dass das Schlimmste, was Sie im Falle einer Verletzung tun können, ist, zu versuchen, sie zu verbergen. Denken Sie daran, dass nicht alle Verstöße auf Fehler der Website-Besitzer zurückzuführen sind, sodass Sie am Ende möglicherweise eine Strafe vermeiden können. Wenn Sie jedoch über die Verletzung schweigen, werden Sie keine Strafen vermeiden. Die DSGVO-Strafen können deshalb höher sein.

Für mühelose Einhaltung stellen Sie sicher, dass Sie Vorsichtsmaßnahmen getroffen haben, um Datenverletzungen zu vermeiden, falls es dazu kommt.

11. Stellen Sie die Legalität Ihrer Datenübertragungen sicher

Die EU und die DSGVO möchten, dass alle Daten innerhalb der EU oder eines dritten sicheren Landes verarbeitet werden. Deshalb sind Datenübertragungen ins Ausland so heikel.

Sie können Daten außerhalb der EU auf der Grundlage der Rechtsinstrumente in Kapitel V der DSGVO übertragen, d. h. auf der Grundlage von:

• Angemessenheitsbeschluss. Die Europäische Kommission hat eine Liste von Ländern, die nach der DSGVO angemessenen Datenschutz bieten. Für jedes dieser Länder hat die EU einen guten Beschluss gefasst. Auf der Grundlage dieser Entscheidung können Sie Daten frei an diese Länder übertragen, ohne jemanden zu fragen, als ob Sie die Daten innerhalb der EU bewegen würden.
• Standardvertragsklauseln (SCCs). Die SCCs sind Klauseln, die Teil der Vereinbarung zur Datenverarbeitung sind. Der Datenverantwortliche und der Datenverarbeiter einigen sich auf die Sicherheitsmaßnahmen zum Schutz der Daten. Dies ist die häufigste rechtliche Grundlage für Datenübertragungen in Abwesenheit einer Angemessenheitsentscheidung.
• Einwilligung der betroffenen Person. Selbsterklärend. Sie können die Übertragung durchführen, wenn die betroffene Person ausdrücklich der Übertragung zustimmt. Wenn Sie ein Nicht-EU-Unternehmen sind, können Sie dies in der Datenschutzrichtlinie aufnehmen und die Einwilligung zusammen mit der Einwilligung zur Datenverarbeitung einholen.
• Erfüllung des Vertrags. Wenn die Übertragung der Daten zur Erbringung der von Ihnen angebotenen Dienstleistungen und Produkte erforderlich ist, können Sie die Daten übertragen. Es ist jedoch besser, eine andere Grundlage zu wählen, da dies ein schwieriger Bereich ist. Verwenden Sie diese als letztes Mittel.
• Öffentliches Interesse oder Interesse der betroffenen Person oder die Übertragung ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Selbsterklärend.

Bei den meisten internationalen Datenübertragungen geht es um die Übertragung von Daten an US-amerikanische Unternehmen. Schließlich operieren die besten Technologieunternehmen der Welt in den USA. Übertragungen in die USA unterliegen jedoch aufgrund der US-Überwachungsgesetze zusätzlichen Sicherheitsmaßnahmen.

Weitere Dinge, die Sie benötigen können

Je nach den Besonderheiten Ihres Unternehmens müssen Sie möglicherweise mehr tun, um vollständig mit der DSGVO konform zu sein. Hier ist, was Sie auch benötigen können:

1. Vereinbarung zur Datenverarbeitung (DPA)

Datenverantwortliche können die Dienste von Drittanbieter-Datenverarbeitern zur Verarbeitung der von ihnen kontrollierten Daten nutzen, jedoch nur auf der Grundlage schriftlicher Anweisungen. Diese schriftlichen Anweisungen sind oft Bestandteil einer Vereinbarung zur Datenverarbeitung oder eines Zusatzes zur Datenverarbeitung zu den Allgemeinen Geschäftsbedingungen oder dem Master Agreement.

Der Inhalt dieses Vertrags ist in der DSGVO vorgeschrieben. Er muss mindestens enthalten:

• Die Kategorien der zu verarbeitenden Daten
• der Zweck der Verarbeitung
• die Dauer der Verarbeitung
• die Kategorien der betroffenen Personen
• die Rechte und Pflichten des Verantwortlichen
• dass der Datenverarbeiter Daten nur auf schriftliche Anweisung verarbeitet, also nur auf Basis des DPA
• Bestimmungen zur Vertraulichkeit der verarbeiteten Daten
• The security measures for the processing
• Provisions on the sub-processors, if any
• That the processor would help the controller to comply with the law if needed
• die Sicherheitsmaßnahmen für die Verarbeitung, Bestimmungen über Unterauftragsverarbeiter, falls vorhanden, dass der Verarbeiter dem Verantwortlichen bei Bedarf bei der Einhaltung des Gesetzes hilft
• dass der Verarbeiter auf Wunsch des Verantwortlichen alle Daten des Verantwortlichen zurückgibt oder löscht und dass der Verarbeiter alle für die Einhaltung erforderlichen Informationen, einschließlich Prüfungen und Inspektionen, dem Verantwortlichen zur Verfügung stellt.

Wenn Sie einen Dritten als Datenverarbeiter beauftragen, wie Facebook, Quora, Google, Convertkit oder ähnliche Dienste, stellen Sie sicher, dass sie Daten gemäß Ihren schriftlichen Anweisungen verarbeiten. Andernfalls ist die Datenverarbeitung rechtswidrig und Sie riskieren eine Geldstrafe.

Die oben genannten Unternehmen sind wichtige und ernsthafte Datenverarbeiter mit ihren DPAs. In den meisten Fällen haben SAAS-Unternehmen, die im Auftrag anderer Unternehmen Daten verarbeiten, diese Vereinbarungen entweder als eigenständiges Dokument oder als Ergänzung zu den Nutzungsbedingungen oder dem Mastervertrag bereit.

Einige kleine Unternehmen, die sich nicht zu sehr um die Einhaltung des Datenschutzes kümmern, haben jedoch möglicherweise keine solchen Vereinbarungen. Auf diese Weise können Sie rechtliche Probleme bekommen. Lesen Sie daher beim Abschluss eines Vertrags mit einem neuen Datenverarbeiter immer zuerst dessen DPA.

Einige Unternehmen haben DPAs als gute Praxis zur Rationalisierung ihres Geschäfts, aber ohne jegliche rechtliche Verpflichtung. Wenn sie keine DPAs haben, können Sie als Datenverantwortlicher eine sichern. Schließlich müssen Sie ihnen schriftliche Anweisungen zur Verarbeitung geben.

Nicht alle Unternehmen benötigen einen Datenschutzbeauftragten (DPO) oder einen gesetzlichen Vertreter. Aber wenn Sie einen benötigen und keinen ernennen, riskieren Sie eine Geldstrafe.

2. Ein DPO ist für Unternehmen erforderlich, die:

Nicht alle Unternehmen benötigen einen Datenschutzbeauftragten (DSB) oder einen rechtlichen Vertreter. Aber wenn Sie einen benötigen und keinen ernennen, riskieren Sie eine Geldstrafe.

Ein DSB ist für Unternehmen erforderlich, die:

• große Mengen an sensiblen persönlichen Daten verarbeiten
• personenbezogene Daten verarbeiten, die regelmäßig, systematisch und in großem Umfang überwacht werden müssen (denken Sie an Unternehmen wie Google und Facebook)

Ein rechtlicher Vertreter in der Union ist für Nicht-EU-Unternehmen erforderlich, die regelmäßig große Mengen an Daten von EU-Benutzern verarbeiten.

Wenn Sie einen DSB und einen rechtlichen Vertreter benötigen, stellen Sie sicher, dass Sie einen haben. Wenn Sie keinen haben, sollten Sie dies in Betracht ziehen, um sich um die Daten Ihrer Benutzer zu kümmern.

3. Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess zur Bewertung von Risiken bei der Datenverarbeitung. Es handelt sich dabei um einen proaktiven Ansatz zur Risikominderung bei der Datenverarbeitung.

Eine DSFA ist für Unternehmen verpflichtend, die:

• Daten verarbeiten, bei denen wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Personen besteht
• automatisierte Verarbeitung durchführen, einschließlich Profiling
• große Mengen an sensiblen persönlichen Daten verarbeiten oder
• öffentliche Bereiche systematisch überwachen.

Eine DSFA ist für alle anderen nicht verpflichtend, aber eine gute Praxis.

Eine DSFA hilft Ihrem Unternehmen, den Datenfluss von dem Zeitpunkt zu kartieren, an dem sie in Ihre Hände gelangen, bis Sie die Daten an die Datenverarbeiter weitergeben und löschen. Sie hilft Ihnen auch zu verstehen, wie die Daten anderer Personen durch Ihre Hände gehen, und informiert Sie über etwaige Compliance-Lücken, die Sie angehen müssen.

Obwohl es nicht verpflichtend ist, wissen Sie, wie nützlich es für jedes Online-Unternehmen ist.

4. Sicherheitsmaßnahmen

Als Datenverantwortlicher sind Sie dafür verantwortlich, die Datensicherheit von betroffenen Personen zu gewährleisten. Dazu gehören auch Datensicherheitsmaßnahmen.

Sie müssen darüber nachdenken, welche Datensicherheitsmaßnahmen Sie implementieren, wenn Sie Daten auf Ihren Servern speichern oder verarbeiten.

Für die meisten kleinen und mittleren Unternehmen ist das aufgrund der Preise nicht erreichbar, es gibt jedoch viele erschwingliche Alternativen auf dem Markt.

Das bedeutet, dass Ihre Datenverarbeiter Ihre Daten speichern und verarbeiten werden. Sie müssen die bestmöglichen Sicherheitsmaßnahmen implementieren, um Ihre Daten zu schützen.

Unternehmen wie AWS, Google, Facebook und andere implementieren modernste Sicherheitsmaßnahmen. Sie bieten das Beste, was es gibt. Ja, sie werden manchmal gehackt, aber kein Sicherheitssystem ist undurchdringlich.

Aber nehmen Sie nichts als selbstverständlich hin. Überprüfen Sie die Sicherheitsmaßnahmen Ihrer Datenverarbeiter und Unterauftragnehmer mit den von Ihnen verwendeten Tools. Immerhin geht es um die Datensicherheit Ihrer Benutzer und die Einhaltung der DSGVO.

5. Privacy by Design

Privacy by Design ist ein Konzept, das die DSGVO eingeführt hat. Es bedeutet, angemessene technische und organisatorische Maßnahmen zur Datenschutz zu implementieren, d.h. Datenschutz bei allem zu berücksichtigen, was Sie tun.

In der Praxis bedeutet dies, über den Datenschutz nachzudenken, wenn:

• Sie Ihre Datenschutzpraktiken bestimmen
• Neue Services entwerfen
• Neue Apps oder andere Produkte entwerfen usw.

Sie verstehen das Prinzip. Die Möglichkeiten für Privacy by Design sind endlos. Wenn Sie jedoch die grundlegenden DSGVO-Prinzipien zum Datenschutz implementieren, werden Sie höchstwahrscheinlich Privacy by Design implementieren.

Fazit

Zusammenfassend lässt sich sagen, dass die Befolgung der DSGVO durchaus Aufwand bedeutet, jedoch keineswegs unerreichbar ist. Es ist entscheidend, einen vorausschauenden Ansatz zu verfolgen. Die DSGVO verlangt nicht nach nachträglichen Korrekturen, sondern nach vorbeugenden Maßnahmen. Diese sind weder schwierig umzusetzen noch stellen sie für Kleinunternehmen eine kostspielige Angelegenheit dar.

Marktverfügbare SAAS-Lösungen könnten Ihr Unternehmen für weniger als ein paar hundert Dollar jährlich konform machen. Das ist ein kleiner Preis für den Schutz der Daten Ihrer Nutzer und wird Ihr Unternehmensbudget kaum belasten.

Andernfalls riskieren Sie, gegen das Gesetz zu verstoßen und Probleme zu bekommen – was sowohl Ihre Finanzen als auch Ihren Ruf beeinträchtigen könnte.

Jetzt, wo Sie wissen, wie Sie konform werden können, zögern Sie nicht und setzen Sie um, was nötig ist.