INTERNET WORLD Business





DSGVO: Die Zeit drängt

In 18 Monaten tritt die EU-Datenschutz-Grundverordnung in Kraft

„Die verschärften Sanktionen sehen Bußgelder bis zu 20 Millionen Euro vor“

Dr. Hajo Rauschhofer Rechtsanwalt und Fachanwalt für IT-Recht www.rechtsanwalt.de

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25.05.2018 als vorrangiges Recht und verdrängt unmittelbar das Bundesdatenschutzgesetz (BDSG). Da die Anforderungen hier weit über die Vorgaben des BDSG hinausgehen, insbesondere zahlreiche neue Prozesse in Unternehmen implementiert werden müssen, ist es ratsam, ein entsprechendes Projekt frühzeitig anzugehen.

Die verschärften Sanktionen sehen nicht nur Bußgelder bis 20 Millionen Euro, sondern auch eine Gewinnabschöpfung bis zu 4 Prozent vom unternehmensweiten Jahresumsatz vor. Alle Details der DSGVO zu nennen würde an dieser Stelle den Rahmen sprengen. Es kann daher nur ein kurzer Leitfaden zum Aufsetzen eines solchen Projekts an die Hand gegeben werden.

Demnach haben Unternehmen ein „den Risiken der verarbeiteten Daten entsprechendes Datenschutzmanagementsystem“ (DMS) einzuführen. Nach der Risikoanalyse (Risikoidentifikation / Eintrittswahrscheinlichkeit / Soll – Ist) bedarf es einer präzisen Bestimmung der Ziele für das Design der Datenschutzprozesse und der Festschreibung eines Maßnahmenkatalogs zur Umsetzung. Das Ausmaß nachteiliger Folgen ist ebenso zu beschreiben wie die Möglichkeiten zur Risikovermeidung (Art. 32 DSGVO). Genauso ist den Anforderungen zum Beispiel an Datenübertragbarkeit, Reaktionsmechanismen auf Datenverletzung, Informationspflichten bei der Datenerhebung und das umfassendere Auskunftsrecht der Betroffenen (Art. 15 DSGVO) Rechnung zu tragen. Ebenso sind Konzepte zur Löschung von Daten und allem voran Verarbeitungsverzeichnisse zu etablieren.

Ein Projektteam aus IT, Personal, Recht, Revision und Compliance muss zusammen mit dem Datenschutzbeauftragten die Implementierung der Abläufe steuern, damit der Grundsatz „Privacy by Design and by Default“ (Datenschutz durch Technik) durch datenschutzfreundliche Voreinstellungen sichergestellt wird.

Die Umsetzung all dieser Anforderungen ist komplex und benötigt Zeit. Unternehmen sollten sich frühzeitig mit den Themenkomplexen auseinandersetzen und nicht aus den Augen verlieren, dass das Projekt IT-Ressourcen bindet.

Dr. Hajo Rauschhofer


Rechtssichere Gestaltung eines B2B-Shops

Sabine Heukrodt-Bauer, LL.M. Rechts- und Fachanwältin für Informationstechnologierecht in Mainz www.res-media.net

Ein B2B-Online-Shop erfordert einen klaren und transparenten Hinweis darauf, dass sich das Angebot nicht an Verbraucher richtet. Bestellungen von Verbrauchern müssen weitgehend ausgeschlossen werden (Urteil des Oberlandesgerichts Hamm vom 16.11.2016, Az.: 12 U 52/16).

Auf der Startseite und den Unterseiten eines B2B-Shops war ein Texthinweis auf die Beschränkung auf gewerbliche Kunden platziert. Im Anmeldeformular wurden Name und Adresse als Pflichtfelder abgefragt, das Feld „Firma“ war optional. Über dem Absende-Button befand sich der Hinweis, „Ich akzeptiere die AGB und bestätige ausdrücklich meinen gewerblichen Nutzungsstatus“.

Das Gericht hielt diese Maßnahmen nicht für ausreichend. Die Erklärung zu den AGB könne von Verbrauchern leicht überlesen werden. Der Hinweis auf den Ausschluss von Verbrauchern sei nicht deutlich hervorgehoben. Die Firmenangaben würden nicht verpflichtend abgefragt.

B2B-Shops erfordern grafisch hervorgehobene Hinweise auf den Ausschluss von Verbrauchern, entsprechende Pflichtabfragen im Bestellformular sowie deutliche Hinweise auf den Geltungsbereich der AGB.


Das müssen Sie beachten

• Die Anforderungen der EU-DSGVO gehen weit über das hinaus, was das bisherige Datenschutzgesetz fordert.

• Mit der Umsetzung aller Prozesse sollten Unternehmen rechtzeitig beginnen.

Weitere Bilder
comments powered by Disqus