1. eTrusted
  2. Legal Services
  3. DSGVO-Manager: Verarbeitungsverzeichnis erstellen

Die 6 wichtigsten Datenschutz-Tipps

Datenschutz kostet viel Zeit und Nerven. Bereits das Herausfiltern der wirklich wichtigen Pflichten ist für dich als Online-Händler oder Online-Händlerin ein großer Arbeitsaufwand, der dir alles andere als leicht von der Hand geht? Noch dazu willst du natürlich die Erwartungen deiner Kundschaft erfüllen. Und das ohne juristische Vorkenntnisse? Ganz schön kompliziert!

Wir helfen dir, dir einen Überblick zu verschaffen, welche gesetzlichen Anforderungen du auf jeden Fall erfüllen musst. Außerdem unterstützen unsere Rechtsexperten und Rechtsexpertinnen dich mit wertvollen Praxistipps bei der Umsetzung.

Als Nutzer oder Nutzerin eines unserer Legal Produkte findest du in deinem Legal Account regelmäßig weitere Tipps zu Rechtsthemen im E-Commerce, aktuelle Whitepaper, Mustervorlagen sowie Checklisten.

1. Datenschutzerklärung

Eine der wesentlichsten Pflichten, die du erfüllen musst, ist die Erstellung einer Datenschutzerklärung – und das nicht nur in deinem Online-Shop, sondern auch bei eBay oder Amazon. Denn wenn du personenbezogene Daten verarbeitest, musst du laut Art. 13 bzw. 14 DSGVO hierüber aufklären. Dies soll die Datenverarbeitung für deine Shopbesucher und Shopbesucherinnen transparent machen und erfolgt bei Internetpräsenzen über die Datenschutzerklärung. Was dort neben Art, Umfang und Zweck jedes Verarbeitungsvorgangs genannt werden muss, ist im Einzelnen:

  1. Name und Kontaktdaten des Verantwortlichen, ggf. dessen Vertretung und ggf. eines Datenschutzbeauftragten
  2. Rechtsgrundlagen gem. Art. 6 DSGVO, aufgrund derer die Verarbeitungen erfolgen (z. B. Einwilligung des Betroffenen oder Vertrag mit diesem) sowie ggf. die berechtigten Interessen
  3. Empfänger (Kategorien) der personenbezogenen Daten; bei Empfängern in Drittländern zudem Informationen zu geeigneten Garantien
  4. Speicherdauer bzw. Kriterien für deren Festlegung
  5. Hinweis auf die verschiedenen Rechte des Betroffenen nach der DSGVO (Auskunft, Berichtigung, Löschung oder Einschränkung, Widerspruch, Datenübertragbarkeit)
  6. Hinweis auf das Recht des Betroffenen, eine erteilte Einwilligung jederzeit zu widerrufen, ohne dass dies die Rechtmäßigkeit der Verarbeitung bis zu diesem Zeitpunkt berührt
  7. Hinweis auf das Beschwerderecht des Betroffenen bei einer Aufsichtsbehörde Vorliegen einer automatisierten Entscheidungsfindung (inkl. Profi- ling) sowie deren Logik, Tragweite und angestrebte Auswirkung auf den Betroffenen

Gemäß Art. 12 Abs.1 S.1 DSGVO musst du zudem alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Darüber hinaus müssen die Informationen leicht auffindbar sein.

Mach es dir noch einfacher! Mit unserem Rechtstexter kannst du deine Datenschutzerklärung ganz leicht selbst erstellen. Mit wenigen Klicks und ohne juristische Vorkenntnisse. Natürlich ist deine Datenschutzerklärung individuell und DSGVO-konform. Ganz egal ob B2B oder B2C, ob für deinen Online-Shop, eBay oder Amazon. Und das ist noch nicht alles: Dank unseres Update-Services hältst du deine Texte immer auf dem aktuellen Stand. Über 560.000 Mal wurde unser Rechtstexter schon durchlaufen. Qualität, der man vertrauen kann: die von uns erstellten Rechtstexte wurden noch nie erfolgreich abgemahnt.

2. Verarbeitungsverzeichnis

Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, nachzuweisen, dass sie die Vorschriften zum Datenschutz einhalten. Aus diesem Grund müssen Unternehmen zum Zweck der Dokumentation gemäß Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses musst du auf Verlangen den Aufsichtsbehörden (z. B. bei einer Prüfung) jederzeit aushändigen können – natürlich immer auf dem aktuellen Stand. Das Verzeichnis muss folgende Angaben beinhalten:

  • Name und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten
  • Kategorien der Datenempfänger
  • Angaben zur Übermittlung in Drittländer und angemessenen Garantien
  • Löschfristen für die verschiedenen Datenkategorien
  • Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, die du zur Absicherung der Daten eingerichtet hast

Hierfür haben wir in unserem Produkten Legal Premium, Legal Enterprise, Legal Ultimate eine Lösung für dich eingebaut, die du ganz ohne juristische Vorkenntnisse nutzen kannst. Erstelle als Kunde oder Kundin ganz einfach dein individuelles Verzeichnis und passe es immer dann an, wenn sich Änderungen bei dir ergeben. Damit du bei dieser komplizierten Datenschutz-Anforderung nicht den Überblick verlierst, führt dich unsere Software in klar strukturierten Schritten zum Ziel. Zudem stellen wir dir über 150 bereits vordefinierte Verfahren zur Verfügung (z.B. Google Analytics, DHL oder PayPal).

3. Datenschutz-Unterweisungen

Aus Art. 24 Abs. 1 i. V.m. Art. 32 Abs. 1 DSGVO ergibt sich, dass du alle Mitarbeiter und Mitarbeiterinnen in deinem Unternehmen schulen (unterweisen) solltest, die an der Verarbeitung von „personenbezogenen Daten" beteiligt sind oder Zugang zu diesen haben. Personenbezogene Daten verbergen sich fast überall: In Personalakten, Nutzerkonten des Online-Shops, Webanalysetools, E-Mails etc.

Schulungen im Datenschutz sind übrigens nicht nur deshalb wichtig, weil sie zu einem erfolgreichen Datenschutzmanagement innerhalb der Unternehmensorga- nisation beitragen.. Vielmehr zeigt auch die praktische Erfahrung, dass zahlreiche Datenpannen direkt oder indirekt durch eine fehlende Sensibilisierung der Mitarbeiter und Mitarbeiterinnen verursacht werden. Durch Datenschutz-Unterweisungen können die interne „Schwachstellen" somit präventiv erkannt und abgestellt werden.

Datenschutz-Unterweisungen bedeuten erhöhten Aufwand für dich. Schließlich musst du diese Schulungen entweder selber durchführen oder aber durch eine fachkundige Person durchführen lassen. Mit uns kannst du diesen Punkt ganz einfach abhaken. Unsere erfahrenen Juristen und Juristinnen schulen dich und dein Personal in einem einstündigen Online-Webinar im Umgang mit Daten von Mitarbeitenden, Kunden und Partnern und darin, wie du vertrauliche Daten vor dem Zugriff Dritter schützt. Die Teilnahme bestätigen wir dir mit einem Zertifikat. Aktuelle Schulungstermine findest du als Kunde oder Kundin regelmäßig in deinem Legal Account unter dem Reiter "Schulungen".

4. Auftragsverarbeitungsverträge

Sofern du personenbezogene Daten von anderen Dienstleistern verarbeiten lässt, liegt oftmals eine sog. Auftragsverarbeitung vor. Um DSGVO-konform zu handeln, musst du hierfür Verträge zur Auftragsverarbeitung schließen (Art. 28 Abs. 3 DSGVO), sogenannte AV-Verträge. In diesen musst du insbesondere folgende Punkte regeln:

  • Weisungsgebundenheit des Auftragsverarbeiters
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Bedingungen für den Einsatz von Unterauftragnehmern

Egal ob Serverhosting, Newsletterversand oder Trackingsoftware - unser Muster AV-Vertrag in drei verschiedenen Sprachen (Deutsch, Englisch und Französisch) bietet dir eine rechtssichere Grundlage. Kommentare unserer Rechtsexperten und -expertinnen an den wichtigen Stellen erleichtern dir die individuelle Anpassung. So kommst du schnell an dein Ziel.

5. Antwortschreiben an deine Kundschaft

Das Gesetz räumt deinen Kunden und Kundinnen umfassende Rechte ein. Beispielsweise können sie von dir gemäß Art. 15 DSGVO Auskunft über die zu ihrer Person gespeicherten Daten sowie Löschung der Daten nach Art. 17 DSGVO verlangen.

Das Auskunftsrecht deiner Kunden und Kundinnen umfasst dabei die folgenden Informationen:

  • Ob personenbezogene Daten verarbeitet werden
  • Sofern ja, dann
    • Die Verarbeitungszwecke
    • Die Kategorien der verarbeiteten Daten
    • Die Empfänger der personenbezogenen Daten bzw. die Empfängerkategorien
    • Falls möglich die Speicherdauer der Daten oder, wenn dies nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer Das Gesetz räumt deinen Kunden umfassende Rechte ein. Bei- spielsweise können sie von dir gemäß Art. 15 DSGVO Aus- kunft über die zu ihrer Person gespeicherten Daten sowie Löschung der Daten nach Art. 17 DSGVO verlangen.
    • Das Bestehen anderer Betroffenenrechte, nämlich auf Berichtigung und Löschung, auf Einschränkung der Verarbeitung und auf Widerspruch
    • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
    • Bei personenbezogenen Daten, die nicht beim Betroffenen erhoben wurden, alle verfügbaren Informationen über ihre Herkunft
    • Ggf. das Bestehen einer automatisierten Entscheidungsfindung, inkl. Profiling sowie aussagekräftige Informationen über die diesen Vorgängen zugrundeliegende Logik und über die Tragweite und angestrebte Auswirkung einer solchen Verarbeitung für Betroffenene

Das bedeutet, dass du jederzeit über eine schnell zugreifbare und detaillierte Übersicht der erforderlichen Angaben verfügen musst, was bei einer erheblichen Anzahl verarbeiteter Daten und einem ggf. komplizierten Verarbeitungsprozess ein beträchtlicher Aufwand ist.

Du hast ein Auskunftsersuchen zu verarbeiteten Daten eines Kunden oder einer Kundin erhalten und musst schnell reagieren? Als Nutzer oder Nutzerin unseres DSGVO-Managers hast du mit unseren Muster-Schreiben immer die rechtssichere und passende Antwort griffbereit – auch für die praxisrelevanten Ausnahmen oder besondere Konstellationen. Einfach ausfüllen und genau so zurücksenden. Fertig.

6. Was ist bei einer Datenpanne zu tun?

Auch wenn etwas schiefgeht, ist es wichtig, dass du planvoll vorgehst und die kurzen Fristen kennst, die für den Umgang mit Datenschutzverletzungen gelten. Durch interne Sensibilisierung und Prozesse solltest du Datenschutzpannen oder negative Aufmerksamkeit der Aufsichtsbehörden von Vornherein vermeiden. Sollte es aber dennoch mal zu einem solchen Vorfall kommen, musst du bestimmte Regeln beachten.

„Datenschutzpanne“ kann heißen, dass eine besonders große Menge von Daten oder besonders sensible Daten verloren gegangen sind, z. B. weil Server angegriffen wurden. Aber auch andere, weniger schwere Fälle können Behörden als solche ein- stufen, z. B. wenn von deinen angebotene Dienste oder eingesetzte Tools in Bezug auf die Verarbeitung von Daten fehlerhaft agiert haben.

So gehst du am besten vor:

  • Ruhe bewahren, keine kurzfristigen Maßnahmen wie Mailing an Betroffene, Löschen von irgendwelchen Verläufen etc.
  • Dokumentieren: Was genau ist passiert? Welche Daten sind betroffen? Wurden wirklich personenbezogene Daten verletzt? Welche Personen (kaufende Personen, Mitarbeitende,...) sind betroffen?
  • Zeitnah handeln: bei meldepflichtigen Vorfällen hast du bis zur Meldung an die Datenschutzbehörde nur 72 Stunden Zeit
  • Sofern vorhanden: Datenschutzbeauftragten frühzeitig mit einbeziehen. Er kann dir beratend zur Seite stehen, Informationen zu sammeln, das bestehende Risiko der Datenpanne zu bewerten und auf dieser Grundlage anschließend zu entscheiden, was unternommen werden muss.

Alle beteiligten Stellen Ihres Unternehmens sollten gemeinsam die Auswirkungen des Sachverhalts auf Prozesse, Produkte und Compliance zusammentragen. Ist die Auswertung abgeschlossen, werden gemeinsam Maßnahmen festgelegt, die für den konkreten Fall unternommen werden müssen.

0 von 0 fanden dies hilfreich

Verwandte Beiträge