DS-GVO: 14 Praxis-Tipps für Online- und Multichannel-Händler

Der D-Day naht: Bis zum 25.05.2018 müssen Unternehmen fit sein für die dann europaweit geltende Datenschutzgrundverordnung (kurz: DS-GVO oder DSGVO). Rechtsanwalt Rolf Becker gibt auf neuhandeln.de in einem Gastbeitrag einen Überblick, wie Versand- und Multichannel-Händler das heiße Thema angehen sollten - inklusive 14 ganz konkreter Maßnahmen. War es bislang so, dass etwa eine Datenschutzbehörde Ihnen bei einer Beschwerde oder einem Datenunfall nachweisen musste, dass etwas im Organisationsmanagement Ihres Unternehmens nicht stimmt, ändert sich dies mit der Geltung der DS-GVO grundlegend. Können Sie dann in einem solchen Fall nicht nachweisen, dass die Daten datenschutzgerecht verarbeitet wurden, haben Sie ein Problem. Dieses Problem dokumentiert sich am wirkungsvollsten mit der Drohung von Bußgeldern von bis zu 20 Mio. Euro oder 4% des Weltumsatzes. Der Nachweis erfolgt zunächst einmal durch strikte Einhaltung der Dokumentation Ihrer Vorgehensweise. Sie müssen die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können. Personenbezogene Daten müssen

• auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
• für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
• sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Wie geht man das an? Die Vorgehensweise kann hier nur thematisch angerissen werden. Die zu behandelnden Themen sind wichtig, aber aufgrund des Umfangs nicht zwingend vollständig: 01. Bilden Sie in Ihrem Unternehmen ein Team aus den Bereichen, in denen Daten erhoben werden (z.B. Personalabteilung, Lohnbuchhaltung; Kundenservice, Versand, Werbeabteilung, IT). Ziehen Sie den Datenschutzbeauftragten von Beginn an hinzu. Binden Sie den Betriebsrat mit ein. 02. Identifizieren Sie die datenschutzrechtlich relevanten Bereiche und verabreden Sie, wie die Datenerhebungen, ihre Zwecke, die Berechtigungen und die Löschung der Daten beschrieben werden. 03. Denken Sie auch an das Bewerbermanagement, Reisekostenabrechnungssystem, die Schlüsselverwaltung, Zeiterfassungen, E-Mail-System, Lieferantenverwaltung, Lagerverwaltung, Videoüberwachung, Firewall, Social Media Policy, Kundenkartenprogramme, Trackingmaßnahmen, Direktwerbeformen, personalisierte Werbung usw. Überall dort, wo personenbezogene Daten anfallen, setzt die Dokumentationspflicht an. Das gilt auch für inoffizielle Schubladenlisten und Excel-Tabellen. 04. In diesem Zusammenhang sind so genannte "Verarbeitungsverzeichnisse" zu erstellen. Mit deren Hilfe kann man sich schon bei der Beschreibung vergewissern, ob der gesamte Prozess von der Datenerhebung bis zur Nutzung und Löschung datenschutzkonform erfolgt bzw. welche Maßnahmen getroffen werden müssen, um die Konformität sicherzustellen (Ist-Soll-Analyse). 05. Ein Verfahrensverzeichnis kann auch elektronisch geführt werden. Es gibt spezielle Software, die mit Strukturen und vorgegebenen Inhalten die Erstellung erleichtern kann. Das Verzeichnis enthält unter anderem Angaben zum Verantwortlichen, den Verarbeitungszwecken, den Kategorien der betroffenen Personen und Daten, den Kategorien der Empfänger, Angaben zu Übermittlungen außerhalb der EU (z.B. bei Trackern), Angaben zur Löschung und die Beschreibung der Sicherheitsmaßnahmen (technisch-organisatorische Maßnahmen). 06. Identifizieren Sie am besten gleich, auf welcher Rechtsbasis die jeweilige Nutzung erfolgt. Entweder sind es gesetzliche Tatbestände, wie die Durchführung des Vertrages oder es sind Einwilligungen. Dokumentieren Sie die Einwilligungstexte und die Prozesse der Einholung der Einwilligung und der Archivierung und lassen Sie diese auf Rechtskonformität prüfen. Halten Sie fest, welche Infos bei der Datenerhebung vermittelt werden und lassen Sie prüfen, ob diese ausreichen. 07. Erstellen Sie ein Überwachungskonzept: Wie, wann und mit welcher Regelmäßigkeit können zumindest stichprobenartig die Übereinstimmung von Einwilligungen und Eintragungen in Ihrer Software geprüft werden? Welche sonstigen Sicherheitsmaßnahmen werden getroffen? Sie müssen alle Maßnahmen zusammentragen, die Sie hier ergriffen haben oder noch ergreifen wollen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hier online   einige Checklisten und Formulare an. 08. Sie müssen durch Dokumentation nachweisen können, dass das Unternehmen Verfahren und Regeln aufgestellt hat (Richtlinien, Prozesse usw.), die die Informationssicherheit dauerhaft definieren, steuern, überwachen und verbessern. Nachweise für ein gesetzeskonformes Management können auch durch Zertifizierungen erbracht werden. Denken Sie frühzeitig über eine solche dann allerdings möglichst DS-GVO-konforme Zertifizierung zumindest der IT nach. 09. In besonders kritischen Bereichen müssen Sie eine sog. Datenschutzfolgenabschätzung implementieren. Das gilt, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die EU-Datenschutzgruppe (Art. 29-Gruppe) hat 10 Kriterien festgelegt bei deren Erfüllung ein solches Risiko besteht. Jede Datenverarbeitung ist vorab daraufhin zu prüfen, ob es solche Risiken birgt. Das Ergebnis sollten Sie im Verfahrensverzeichnis festhalten. 10. Schaffen Sie sich einen Reaktionsplan für Datenpannen. Jede Cyberrisk-Versicherung, deren Abschluss Sie prüfen sollten, sieht so etwas vor. Halten Sie fest, wer durch wen wann alarmiert wird, welche Sofortmaßnahmen ergriffen werden müssen, was dokumentiert werden muss und wie die Auskunfts- und Meldepflichten an die Behörden realisiert werden. 11. Klären Sie, wer bei Ihnen für die Erfüllung der Betroffenenrechte zuständig ist. Sorgen Sie für die Ausstattung mit Antwortmustern und Mitarbeiterschulungen. Legen Sie in Zusammenarbeit mit der IT-Abteilung fest, welche Datensätze wie zusammengestellt und in welcher Form zur Übermittlung dem Betroffenen auf Verlangen zur Verfügung gestellt werden. Legen Sie fest, welche Daten auf Verlangen einer eingeschränkten Verarbeitung unterliegen, gelöscht oder gesperrt werden und welche archiviert werden müssen. Prüfen Sie den Umgang mit Werbewidersprüchen und dokumentieren Sie das im Verfahrensverzeichnis. Legen Sie fest, wie Daten überprüft werden können. 12. Prüfen Sie die Auswirkungen des neuen Rechts auf Vergessenwerden. Wo werden Daten von Betroffenen bei Ihnen an Dritte weitergegeben (z.B. Pressemeldung mit Fotos und Namen von Gewinnern eines Gewinnspiels)? Wer wäre von Ihnen zu informieren, wenn der Betroffene sein Recht geltend machen will? Wie kann man das vermeiden? Gleiches gilt für das Recht auf Datenportabilität, nach dem Sie auf Wunsch des Kunden bestimmte Daten an den Wettbewerb übergeben müssen. 13. Aktualisieren Sie Ihre Verträge. Alle Verträge mit Dienstleistern, bei denen personenbezogene Daten eine Rolle spielen, müssen rechtlich auf Einhaltung der neuen Datenschutzanforderungen geprüft werden. Das Gesetz verlangt Auftragsdatenverarbeitungsabreden mit Mindestinhalten. 14. Gehen Sie schließlich die Mitarbeiterverpflichtungserklärungen zum Datengeheimnis an. Die alten stimmen nicht mehr und müssen ohnehin am besten jährlich erneuert werden. Die Mitarbeiter sollten jetzt aus Nachweisgründen auf Vertraulichkeit verpflichtet werden, auch wenn das Gesetz eine ausdrückliche Verpflichtungserklärung außerhalb des öffentlichen Sektors nicht mehr kennt. Rechtsanwalt Rolf Becker    (siehe Foto) ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. GRUR und Mitglied des ECC-Club – ein Netzwerk für E-Commerce und Cross-Channel – und ständiger Teilnehmer in der Expertenrunde Recht der Stiftung Warentest (Finanztest). Neben der Beratung im Werbe- und Wettbewerbsrecht sowie zu Urheber- und Markenrechtsfragen im Distanzhandel und dem E-Commerce liegen weitere Schwerpunkte in der Beratung zum Direktmarketing, IT-Recht und dem Datenschutzrecht. E-Mail-Kontakt: rbecker@kanzlei-wbk.de