Datenschutz: Unternehmen müssen jetzt handeln

Datenschutz: Unternehmen müssen jetzt handeln
Langsam wird es knapp für Unternehmen, die die Datenschutz-Grundverordnung (DSGVO) noch nicht umgesetzt haben. Und das sind einige: Selbst von den größten Onlineshops haben nur 30 Prozent die Vorgaben komplett erfüllt.

Bei vielen der insgesamt 50 überprüften Onlineshops fehlten beispielsweise Auswahloptionen, mit denen man der Nutzung von Cookies oder der Weitergabe von Daten widersprechen kann - bald ein klarer Verstoß gegen die künftig wirksame Verordnung. Das berichtete das Magazin t3n. Die Einwilligung zur Cookie-Verwendung muss zudem gespeichert werden, denn nur so können Unternehmen im Zweifel nachweisen, dass die Zustimmung tatsächlich erteilt wurde.

Wer sein Webangebot noch nicht an die Verordnung angepasst hat, dem stehen nur noch wenige Wochen zur Verfügung. Denn ab dem 25. Mai können Verstöße mit hohen Bußgeldern geahndet werden. Betroffen sind alle Unternehmen, die in der EU personenbezogene Daten erheben, speichern oder verarbeiten - sei es auch nur durch die Bereitstellung eines Kontaktformulars mit E-Mail-Angabe oder durch eine Anmeldebox zum Newsletter auf ihrer Webseite. Eine ausführliche Übersicht darüber, was sich durch die DSGVO verändert, bietet dieser Artikel des Digital Guides von Hosting-Anbieter 1&1.

Während einige Unternehmen lediglich kleinere Mängel (wie die oben genannten) ausbügeln müssen, müssen andere schleunigst eine sorgfältige Analyse durchführen, um ihre Webangebote überhaupt noch rechtzeitig an die neuen Anforderungen anpassen zu können. Die Grundlage dafür ist eine ausführliche Inventur aller Daten, die das Unternehmen ermittelt: Es muss verzeichnet werden, wer welche Daten erhebt, aus welchem Grund die Erhebung erfolgt, wie sie weiterverarbeitet und wie lange sie gespeichert werden. Dieses Verarbeitungsverzeichnis müssen Unternehmen laufend aktualisieren.

Außerdem bedarf es einer Analyse aller Verträge mit dritten Unternehmen und einer Überprüfung, was mit Daten geschieht, die an diese übermittelt werden. Das ist insbesondere dann essenziell, wenn es sich um Unternehmen außerhalb der EU handelt. Die Verträge müssen dann gegebenenfalls angepasst werden, um die Einhaltung der DSGVO zu gewährleisten.

Auch die Datenschutz-Erklärungen für Kunden und Nutzer sollten so transparent wie möglich gestaltet sein.

Zudem müssen Unternehmen überprüfen, ob für die Datenerhebung eine Zustimmung vorliegt. Das bedeutet, dass der Grund für die Datenerhebung entweder direkt in der Datenschutz-Grundverordnung als zulässiger Grund aufgeführt sein muss oder dass eine Einwilligung des Nutzers vorliegen muss. Diese Einwilligung muss zudem gesetzlich festgelegte Bedingungen erfüllen. Die Einwilligungserklärung sollte beispielsweise verständlich und unmissverständlich sein. Außerdem muss ein Unternehmen, das Daten erfasst, auch nachträglich beweisen können, dass eine freiwillige Einwilligung erfolgt ist.