So machen Sie Ihre Website DSGVO-konform

Viele unserer Nutzer haben uns nach der DSGVO gefragt: Was bedeutet das? Für wen und für was gilt es? Wie wirkt sich das auf mich als Unternehmen aus? Wir wissen, dass zwar viele Informationen im Netz zirkulieren, ein Teil dieser Informationen jedoch unvollständig, falsch oder irreführend sein kann.

Aus diesem Grund haben wir mit Fladgate, einer der führenden britischen Anwaltskanzleien, Kontakt aufgenommen, eine auf geistiges Eigentum spezialisierte Kanzlei. Sie waren so freundlich, vollständige und professionelle Antworten zu diesem Thema anzubieten, die in diesem Beitrag enthalten sind.

Nachfolgend finden Sie lesbare und leicht verständliche Richtlinien für die DSGVO, die sich auf Themen beziehen, die für Elementor-Site-Ersteller relevant sind. Es ist in juristischer Schrift verfasst, unterscheidet sich also ein wenig von unserer üblichen Blogsprache, aber wir glauben, dass es der beste (und einzige) Weg ist, die DSGVO-Regeln klar zu verstehen. Wir möchten Eddie Powell von Fladgate danken, dass er diese ausführlichen und umfassenden Richtlinien für unsere Community verfasst und erklärt hat.

Die in diesem Beitrag beantworteten Fragen umfassen:

Was ist die DSGVO und warum ist sie wichtig?

Was sind die Grundregeln der DSGVO?

Welche personenbezogenen Daten kann ich verwenden und wie können sie verwendet werden?

Kann ich personenbezogene Daten an Dritte übertragen?

Welche Rechte haben Einzelpersonen gegenüber Unternehmen?

Wie sollte ich als Unternehmer personenbezogene Daten auf meiner Website schützen?

Die DSGVO steht für Datenschutz-Grundverordnung. Dabei handelt es sich um das neue, von der EU formulierte Regelwerk, das regelt, wie Unternehmen personenbezogene Daten von Einzelpersonen aufbewahren und verwenden.

Die meisten Menschen haben von den Geldbußen gehört, die gegen Unternehmen verhängt werden können, die gegen die Regeln verstoßen. Diese können bis zu 20 Millionen Euro oder für besonders große Unternehmensgruppen 4 % des weltweiten Konzernumsatzes betragen, was eine enorme Summe sein kann.

Noch wichtiger ist jedoch, dass die Öffentlichkeit, die mit der Nichteinhaltung der Datenschutzvorschriften verbunden ist, den Ruf eines Unternehmens erheblich schädigen und dazu führen kann, dass Kunden und Lieferanten ihm nicht vertrauen. Darüber hinaus wird das Neugeschäft beeinträchtigt, wenn Kunden dem Unternehmen die Informationen nicht anvertrauen und es einen hohen Datenschutzstandard einhält. Kunden möchten die Kontrolle über ihre persönlichen Daten haben.

Die Regeln gelten für „personenbezogene Daten“. Personenbezogene Daten umfassen offensichtliche Dinge wie Namen, Adressen und Kontaktdaten usw. Sie enthalten auch eine Liste von E-Mail-Adressen, mit denen Sie die Person anhand ihrer Adresse identifizieren können (z. B. [email protected] – Sie können erkennen, dass Bob Smith bei Universal arbeitet Widgets) und IP-Adressen. Informationen werden aufhören, personenbezogene Daten zu sein, wenn Sie sie anonymisieren, so dass Sie niemals aus den Informationen herausfinden können, wer eine Person ist.

Die DSGVO besagt, dass Sie diese personenbezogenen Daten nicht einfach erheben, speichern, verwenden und übertragen können (alles wird als „Verarbeitung“ bezeichnet), nur weil sie auf dem System Ihres Unternehmens gespeichert sind. Sie müssen sich überlegen, was Sie tun möchten, und die Regeln anwenden.

Sie müssen einen von 6 Gründen haben, die die DSGVO vorgibt. Die wichtigsten für unsere Zwecke sind:

• Erfüllung eines Vertrags mit der Person oder Verwendung der Informationen, um einen Vertrag abzuschließen;
• Erfüllung einer rechtlichen Verpflichtung (kein Vertrag mit einem anderen Unternehmen), der das Unternehmen unterliegt – wie zum Beispiel die Einhaltung der Vorschriften zur Bekämpfung der Geldwäsche oder die Verhinderung von Kriminalität;
• wenn die Person ihre Einwilligung (die spezifisch, informiert und eindeutig sein muss) gegeben hat, was Sie mit ihren Informationen tun möchten; und
• wenn die von Ihnen gewünschte Verarbeitung für das berechtigte Interesse des Unternehmens erforderlich ist, jedoch gegen die Rechte und Interessen der betroffenen Person, die an ihrer Privatsphäre interessiert ist, abgewogen wird.

Beim Umgang mit Kindern gelten besondere Regeln, bei denen Sie deren Einwilligung mit den Eltern überprüfen müssen. Es gibt auch besondere Regeln für den Umgang mit Informationen über strafrechtliche Verurteilungen von Personen und für die vom Gesetz so genannten „besonderen Kategorien“, die Informationen umfassen über:

• Gesundheit
• Ethnizität
• Sexuelle Orientierung
• Politische Ansichten
• Religion
• Gewerkschaftsmitgliedschaft
• Genetische und biometrische Daten.

Denken Sie auch daran, dass es für E-Mail- und SMS-Marketing besondere Regeln (nicht Teil der DSGVO) gibt. Gehen Sie nicht davon aus, dass Sie aufgrund der E-Mail-Adresse oder Kontaktdaten einer Person in Ordnung sind, Marketingmitteilungen über diese Kanäle an diese zu senden. Sie müssen ihnen beim Sammeln der Informationen die Möglichkeit gegeben haben, sich von diesen Mitteilungen abzumelden, und ihnen immer die Möglichkeit einräumen, sich von zukünftigen Marketingmitteilungen abzumelden.

Wenn Sie personenbezogene Daten für etwas verwenden möchten, z. B. für eine neue Softwareimplementierung, ein neues Datenbankprojekt oder um Kunden einen persönlicheren Service zu bieten, ist es wirklich wichtig, nicht einfach davon auszugehen, dass es in Ordnung ist, vorhandene personenbezogene Daten zu verwenden auf den Systemen des Unternehmens und verwenden Sie es. Sie müssen über die oben diskutierten Grundlagen nachdenken und insbesondere darüber nachdenken, ob möglicherweise spezielle Kategoriedaten enthalten sind, da die Regeln dafür so viel strenger sind.

Wenn Sie zu Ihrem angegebenen Zweck weitere Informationen sammeln, stellen Sie sicher, dass Sie nur das sammeln, was Sie tatsächlich benötigen. Fordern Sie von Einzelpersonen nicht mehr als erforderlich ist, um den Zweck zu erreichen, über den sie informiert wurden.

Die Person muss in sehr klaren Worten darüber informiert werden, was mit ihren personenbezogenen Daten passiert. Das beinhaltet:

• Ihre Firmendaten und Kontaktdaten;
• was ist der Zweck der Datenverarbeitung;
• an wen Sie die Daten senden werden;
• ob Sie beabsichtigen, die Daten in ein anderes Land zu exportieren;
• wie lange Sie die Daten aufbewahren; und
• Informationen über Widerrufsrechte und sonstige Rechte aus der DSGVO.

Diese Informationen müssen gemäß der DSGVO bei der Erhebung der Informationen oder (bei indirektem Erhalt der Informationen) innerhalb eines Monats nach Erhalt bereitgestellt werden. Ihr Unternehmen sollte über Standardformulare verfügen, die es Ihnen ermöglichen, diese Informationen zu geben – sie sollten immer verwendet werden, wenn neue personenbezogene Daten erhoben werden.

Wenn Sie die oben genannten Punkte erfüllt haben, führen Sie Ihr geplantes Projekt durch, halten Sie sich jedoch daran und löschen Sie alle personenbezogenen Daten, die nicht benötigt werden oder nicht rechtmäßig aufbewahrt werden könnten. Denken Sie daran, dass Sie die Schritte noch einmal durchgehen und die Übung wiederholen müssen, wenn Sie Ihre Pläne ändern oder sich entscheiden, etwas anderes mit den personenbezogenen Daten zu tun.

Seien Sie besonders vorsichtig bei der Verwendung personenbezogener Daten, die für Ihr Unternehmen erhoben wurden und die Sie nun an Dritte weitergeben möchten.

Sie müssen über die oben genannten grundlegenden Compliance-Schritte nachdenken und sicherstellen, dass Sie die Rechtsgrundlage für die Verarbeitung erfüllt haben und der Person alle erforderlichen Informationen darüber gegeben wurden.

Wenn der Empfänger auf Ihre Anweisung eine Arbeit für Sie ausführt (z. B. ein Lohnabrechnungsdienstleister), ist er Ihr „Auftragsverarbeiter“ und Sie müssen einen schriftlichen Vertrag mit ihm haben, der bestimmte Garantien für Sicherheit und Compliance enthält.

Es ist sehr unwahrscheinlich, dass Sie „besondere Kategorien“ von Daten empfangen oder übertragen können, und wenn dies erforderlich ist, sollten Sie sich an das Compliance-Team Ihres Unternehmens wenden.

Es gibt auch besondere Regeln, wenn Sie Informationen in ein Land außerhalb der EU übertragen möchten, in dem die Gesetze zum Schutz personenbezogener Daten möglicherweise nicht so streng sind. Möglicherweise müssen Sie Standardverträge mit dem Unternehmen oder der Organisation verwenden, die die personenbezogenen Daten erhält, oder andere Vorkehrungen treffen, um sicherzustellen, dass die Rechte des Einzelnen gewahrt werden.

Die DSGVO räumt Einzelpersonen eine Reihe von Rechten gegenüber Unternehmen ein, die ihre personenbezogenen Daten besitzen. Diese beinhalten

• Berichtigung – Fehler oder Ungenauigkeiten müssen korrigiert werden;
• Zugriff – eine Kopie der Daten und Angaben zu ihrer Verwendung müssen bereitgestellt werden;
• Einstellung der Verarbeitung – Stoppen Sie jegliche Nutzung der personenbezogenen Daten einer Person
• Löschung (Recht auf Vergessenwerden) – Löschung aller Aufzeichnungen über die Person
• Portabilität - Übermittlung personenbezogener Daten , die in einem maschinenlesbaren Format an den einzelnen oder zu einem anderen Anbieter.

Die DSGVO legt keine Sicherheitsstufen fest; es besagt nur, dass Unternehmen über ein angemessenes Maß an technologischer und organisatorischer Sicherheit verfügen müssen, sodass Ihr Unternehmen über Sicherheitsverfahren verfügt, die Ihnen helfen, diese Anforderung zu erfüllen. Befolgen Sie sie immer.

Denken Sie daran, dass nicht nur groß angelegte Cyberangriffe eine Verletzung der Sicherheit personenbezogener Daten darstellen können. Oft sind es die kleinen Dinge, die die größten Probleme verursachen, wie zum Beispiel persönliche Daten, die auf mobilen Geräten gespeichert sind, die verloren gehen oder unverschlüsselte Laptops, die in öffentlichen Bereichen liegen bleiben. Eine der Hauptursachen für den Verlust personenbezogener Daten sind E-Mails, die aufgrund der automatischen Vervollständigung der falschen E-Mail-Adresse verloren gehen.

Die DSGVO verpflichtet Unternehmen, die Behörden über Sicherheitsverstöße zu informieren, und Ihr Unternehmen ist verpflichtet, alle noch so geringfügigen Verstöße aufzuzeichnen, damit das Management entscheiden kann, was gemeldet werden muss . Stellen Sie sicher, dass jeder Verlust von personenbezogenen Daten, auch wenn dieser schnell korrigiert wird oder voraussichtlich keinen Schaden verursacht, gemäß den Richtlinien Ihres Unternehmens gemeldet wird.

Eddie Powell ist Partner im Commercial Sport and IP Team bei Fladgate LLP Solicitors in London. Weitere Informationen finden Sie unter https://www.fladgate.com/lawyer/eddie-powell/

Welche Schritte haben Sie unternommen, um Ihre Website DSGVO-konform zu machen? Lass es uns in den Kommentaren unten wissen.