Fit für die EU-DSGVO - Die wichtigsten Änderungen im Überblick
Aktualisiert am 11.06.2018
Lesedauer: 14 min

Die Übergangsfrist bis zum 25. Mai 2018 ist vorüber. Die zwei Jahre seit Inkrafttreten der EU-DSGVO sind somit vergangen und daher stellt sich die Frage: Grund zur Panik oder viel Wirbel um Nichts? Wir haben die wichtigsten Pflichten & Änderungen für Sie auf das Wesentliche reduziert und spezifische Handlungsempfehlungen für verschiedene Use-Cases entworfen.
Wozu überhaupt die neue EU-DSGVO?
Für den perfekten Start in das neue Datenschutzgesetz, haben wir einen kompakten Guide mit Handlungsempfehlungen für Sie verfasst und uns auf die wesentlichen Aussagen der DSGVO fokussiert. Was genau Sie vor allem an der Datenschutzerklärung ändern müssen und was die DSGVO sonst noch für Sie bedeutet, erfahren Sie anhand unserer Checklisten.
Am 11.06.18 hat das letzte Update des Artikels stattgefunden. Besonders der Themenbereich Cookies, sowie die Erläuterungen zum berechtigten Interesse wurden anhand aktueller News aktualisiert.
Heruntergebrochen soll die EU-DSGVO in erster Linie folgende drei Dinge mit sich bringen:
- Ein einheitliches Datenschutzrecht in der EU, um grenzüberschreitenden Handel anzutreiben
- Das Datenschutzrecht bzgl. moderne Technologien wie Cloud Computing aktuell zu halten
- Der Verbraucher soll seine Grundrechte & Grundfreiheiten zurückerlangen, indem er bestimmt, ob und an wen er seine persönliche Daten weitergibt
Weiterführender Link:
- Alles zu den Zielen der die DSGVO (Seite 2)
Handlungsempfehlungen zur neuen EU-DSGVO
Bevor wir auf Änderungen bzgl. der konkreten Tools eingehen, gibt es vorweg einige allgemeingültige Informationen zur Datenverarbeitung zu beachten. In vielen Anwendungsgebieten der Datenverarbeitung gilt tendenziell, dass sobald Daten verarbeitet werden, die in einer gewissen Form auf eine explizite Person zurückzuführen sind, keine gesonderte Einwilligung erforderlich ist. Vielmehr erfolgt das Ganze indirekt durch ein berechtigtes Interesse des Online Händlers, um zielgerichtete Werbung zu schalten. Der Verweis auf das Widerspruchsrecht der Kunden, sowie die Benennung des berechtigten Interesses stehen somit anstelle einer Einwilligung.
Wie schon bisher dürfen personenbezogene Daten bspw. in Form von aufsummierten Statistiken, solange sie anonymisiert sind, verarbeitet werden. Gleiches gilt für erforderliche Daten, die zur Erfüllung eines Vertrages bzw. vorvertraglicher Anfragen mit der betroffenen Person nötig sind. Auch das Recht auf Berichtigung, Löschung oder Sperrung der Daten bleibt erhalten, aber wird insofern erweitert, dass Verantwortliche Mechanismen dafür bereitstellen, verlangte Daten auszuhändigen, zu berichtigen und zu löschen.
Was muss immer in jedem Fall gemacht werden?
Folgende allgemeine Informationspflichten müssen gesondert für jedes Tool, das mit Datenverarbeitung zu tun hat, in der Datenschutzerklärung genannt werden. Des Weiteren müssen die Nutzer zukünftig über diverse Rechte unterrichtet werden.
- Beschreiben Sie die Funktionsweise und den Umfang der Datenverarbeitung.
- Erwähnen Sie die Rechtsgrundlage (Seite 118) für die Verarbeitung, inklusive Nennung des berechtigten Interesses, falls dies als Grundlage genannt wird.
- Nennen Sie den Zweck (Seite 117) der Datennutzung.
- Nennen Sie den die Dauer (Seite 117) Seite der Datennutzung.
- Weisen Sie auf das Widerspruchsrecht betroffener Personen hin.
Was ist sonst zu beachten?
- Spezifische Handlungsempfehlungen und Sonderfälle, welche die meistverbreitesten Tools betreffen (haben wir unter Tracking-Und Analyse-Tools gesondert aufgelistet)
- Auskunftsrecht: Das Recht, eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden.
- Recht auf Berichtigung (Seite 140): Das Recht auf Berichtigung von unrichtigen personenbezogenen Daten.
- Recht auf Einschränkung der Verarbeitung (Seite 142): Die betroffene Person hat das Recht, die Einschränkung der Verarbeitung zu verlangen.
- Recht auf Löschung: Die betroffene Person hat das Recht, die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
- Recht auf Datenübertragbarkeit: Die betroffene Person hat das Recht, die sie betreffende personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht: Die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, Widerspruch einzulegen.
- Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Seite 122): Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Seite 239): Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde.
Weiterführender Link:
Tracking- und Analyse -Tools
Nutzen Sie Tracking Tools, um für verschiedene Zwecke das Verhalten der Website-Nutzer zu analysieren, so bedeutet das im Hinblick auf die DSGVO, dass Sie je nach Anwendung unterschiedliche Maßnahmen treffen müssen. Für alle gilt, dass Sie die Informationspflichten gesondert erweitern und eine Opt-Out Möglichkeit bereitstellen müssen. Im Folgenden haben wir die Handlungsmaßnahmen für die gängigsten Tools aufgeführt:
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Google Analytics Tracking.
- Stellen Sie einen Link zum Opt-Out aus dem Google Analytics Tracking in der Datenschutzerklärung bereit.
- Stimmen Sie dem Datenschutzzusatz in Ihrem Analytics Konto unter Verwaltung > Kontoeinstellungen zu.
Was ist sonst zu beachten?
- Google Analytics bietet die Möglichkeit IPs beim Tracking via "anonymize-Ip" zu anonymisieren. Dies bedeutet, dass keine personenbezogenen Daten gespeichert werden, was unbedingt umgesetzt werden sollte. Es ist dabei zu beachten, dass die Anonymisierung vor der Request aktiviert werden muss. Anbei finden Sie ein hilfreiche Informationen: Anonymize-Ip.
- Seit April 2018 gibt es die Möglichkeit einzustellen, wie lange nutzerbezogene Daten von Google Analytics gespeichert werden (wenn Sie diese Option nicht anpassen, wird automatisch die Standardeinstellung 26 Monate angewendet). Dies sollte intern definiert und dann in der Datenschutzerklärung transparent dargestellt werden.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Google Ads Conversion Tracking.
- Verweisen Sie auf die Möglichkeit, dass Nutzer das Cookie des Conversion Trackings via Internet-Browser unter den Nutzereinstellungen deaktivieren können. Beispiele dafür finden Sie bereits im Internet: Zahlreiche Websites verwenden nahezu identische Formulierungen.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Google Ads Remarketing.
- Verweisen Sie auf die Möglichkeit, dass Nutzer personalisierte Werbung via Remarketing in Ihrem Google Konto deaktivieren können. Beispiele dafür finden Sie bereits im Internet: Zahlreiche Websites verwenden nahezu identische Formulierungen.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Google Tag Manager.
- Stimmen Sie dem Datenschutzzusatz in der Oberfläche Ihres Google Tag Manager Kontos unter Verwaltung > Kontoeinstellungen zu.
- Hinterlegen Sie Ihre Kontaktdaten in den Organisationseinstellungen Ihrer G Suite unter Zusatz zur Datenverarbeitung – Details.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Facebook Pixel.
- Erklären Sie in der Datenschutzerklärung den Nutzern, wie Sie Facebook Tracking deaktivieren können. Ein selbstprogrammiertes Script, um einen Opt-Out Link zur Verfügung zu stellen finden Sie hier.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Social Media Plugins.
- Stellen Sie eine Möglichkeit zur Verfügung, das Tracking von Social Media Plugins zu deaktivieren. Eine gute Lösung sind die Shariff Social Media Buttons. Eine gute Anleitung um diese zu implementieren finden Sie hier.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Hotjar.
- Stellen Sie einen Link zum Opt-Out aus dem Hotjar Tracking in der Datenschutzerklärung bereit.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Bing UET.
- Verweisen Sie auf die Möglichkeit, dass Nutzer das Setzen von Cookies via Internet-Browser unter den Nutzereinstellungen deaktivieren können. Hilfreiche Beispiele, wie Texte aussehen können finden Sie bei Google.
Weiterführender Link:
E-Mail Marketing
Beim E-Mail Marketing sollten zukünftig drei Prinzipien immer im Vordergrund stehen: Double-Opt in, also die zweifache Bestätigung durch den Nutzer; das Kopplungsverbot, welches verhindert, dass die Anmeldung erzwungen wird und die Möglichkeit zur einfachen Abmeldung, das Simplizitätsgebot. In Deutschland waren diese Grundsätze prinzipiell schon lange Voraussetzung. Die DSGVO ist daher die perfekte Gelegenheit, Ihr Setup noch einmal zu kontrollieren.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) zum Newsletter Marketing.
- Stellen Sie eine Möglichkeit zur Einwilligung über Double-Opt-In Verfahren bereit. Anbei finden Sie einen hilfreichen Artikel zur Funktionsweise von Double-Opt-In.
Was ist sonst zu beachten?
- Beachten Sie das Kopplungsverbot im Anmeldevorgang. Das bedeutet, dass die Anmeldung nicht an weitere vertragliche Vereinbarungen gebunden werden darf, auch nicht durch ein zusätzliches, vorausgewähltes Häkchen.
- Vergewissern Sie sich, dass eine Abmeldung von jedlichen Email-Marketingmaßnahmen einfach möglich ist (Simplizitätsgebot).
- Falls Sie noch Nutzer in Ihren Listen haben, die nicht per Double-Opt zugestimmt haben, sollten Sie diese Datensätze entfernen, oder sich die Einwilligung nachträglich einholen. Einverständniserklärungen, die vor dem 25.05. erhoben wurden, bleiben bestehen.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) zum Newsletter Marketing.
- Stellen Sie eine Möglichkeit zur Einwilligung über Double-Opt-In Verfahren bereit. Anbei finden Sie einen hilfreichen Artikel zur Funktionsweise.
Was ist sonst zu beachten?
- Vergewissern Sie sich, dass eine Abmeldung von jeglichen Email-Marketingmaßnahmen einfach möglich ist (Simplizitätsgebot).
Cookies
Die Rechtsgrundlage für technisch notwendige Cookies sollte per berechtigtem Interesse abgedeckt sein. Darunter fallen bspw. die Speicherung von Spracheinstellungen, Artikeln im Warenkorb etc.. Auch hier sollten jedoch die allgemeinen Informationspflichten innerhalb der Datenschutzerklärung eingehalten werden.
Handelt es sich um technisch nicht notwendige Cookies in Form von Analysezwecken wie eingegebene Suchbegriffe oder die Häufigkeit von Seitenaufrufen, wird zumindest ein expliziter Verweis benötigt, der den Nutzer darüber informiert, dass bei weiterer Nutzung der Website von einer Einwilligung seinerseits ausgegangen wird. In der Datenschutzerklärung sollten Sie auf die Option zur Deaktivierung von Cookies innerhalb des Browsers verweisen.
- Ergänzen Sie die Datenschutzerklärung um allgemeine Informationspflichten (Seite 131) über die Analyse via Cookies.
- Weisen Sie via Cookie-Leiste darauf hin, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers ausgegangen wird.
- Verweisen Sie auf die Verhinderungsmöglichkeit zur Speicherung dieser Cookies in den Einstellungen des Browsers, wie hier im Beispiel von Mozilla Firefox.
Beispiele für Cookie Leisten können wie folgt aussehen:
Variante 1: Accept/Decline Variante
Eine eher nutzerorienterte Variante ist die Leiste mit einem Hinweis zur Nutzung von Cookies inklusive dem Zweck dieser (in gekürzter Version - ähnlich wie in der Datenschutzerklärung), welche zwei Buttons enthält. Ein Button zum Einverständnis für die Verarbeitung von Daten via Cookies und ein Button zur Ablehnung der Speicherung von Cookies. Die Texte sind exemplarisch und müssen je nach Use-Case entsprechend angepasst werden.
Variante 2: Accept/View Variante
Eine andere Variante beinhaltet den Hinweis auf die Nutzung von Cookies mit nur einem Button zum Akzeptieren der Cookie- und Tracking-Richtlinien. Statt eines Ablehnen-Buttons wird zusätzlich ein Link auf die Datenschutzerklärung angefügt, auf dem der Nutzer sich über die Möglichkeiten zum Abmelden informieren kann. Diese Variante verringert die Chance eines Opt-Outs und erhöht damit die Wahrscheinlichkeit, die Nutzerdaten weiterhin für Analysezwecke nutzen zu können.
Weiterführender Link:
Häufige Fragen
Was ändert sich an Verträgen mit Dienstleistern?
Im Hinblick auf die Auftragsverarbeitung (vorher Auftragsdatenverarbeitung) ändert sich nichts an der Tatsache, dass sobald im Auftrag eines Verantwortlichen (bspw. Google oder Facebook) Daten verarbeitet werden, ein Vertrag mit diesem abgeschlossen werden muss. Was sich allerdings ändert, ist die Möglichkeit, Verträge nun auch auf elektronischem Wege abzuschließen. Dies war durch das Bundesdatenschutzgesetz ausschließlich per Papier möglich.
Beispiel eines Vertragsschlusses in Google Analytics unter Verwaltung (Zahnrad) und Kontoeinstellungen:
Nutzen Sie den Google Tag Manager, Google Optimize, Google Attribution oder Google Data Studio, muss dies für jedes einzelne Tool erfolgen. Gleiches gilt nach aktuellem Stand z.B. auch für Agenturen.
Weiterführender Link:
- Alles zur Auftragsverarbeitung unter der DSGVO (Seite 154)
Benötige ich einen Datenschutzbeauftragten?
Kurz zusammengefasst lässt sich sagen, dass ein Unternehmen einen Datenschutzbeauftragten benötigt, sobald mehr als 10 Personen an der Verarbeitung personenbezogener Daten beteiligt sind. Nach der Benennung müssen die Kontaktdaten der Person veröffentlicht werden. Es reicht aus, diese in der Datenschutzerklärung aufzuführen. Genaueres zur Bestimmung eines Beauftragten, sowie zu seinen Aufgabenbereichen finden Sie hier.
Weiterführender Link:
Was ist eine Datenschutz-Folgenabschätzung und benötige ich diese?
Die Datenschutz-Folgenabschätzung dient als schriftliche Einschätzung des Risikos beim Verarbeiten personenbezogener Daten. Unternehmen, die zum Beispiel aufgrund neuer Technologien ein hohes Risiko für die Rechte des Verbrauchers mit sich bringen, müssen die vorgesehenen Arbeitsvorgänge zum Schutz personenbezogener Daten dokumentieren. In welchen Einzelfällen eine solche Folgenabschätzung angelegt werden muss und was diese enthalten muss, finden Sie im Folgenden:
Weiterführender Link:
Was bedeutet die Dokumentationspflicht von Verarbeitungsvorgängen?
Für alle Online Händler und fast jeden Werbetreibenden gilt außerdem die Rechenschaftspflicht nachzuweisen, dass man die Datenschutzgesetze einhält. Dazu müssen Dokumentationen und Datenverarbeitungsvorgänge jederzeit den Behörden ausgehändigt werden können. Die entsprechenden Daten sollten möglichst mit der jeweiligen Verarbeitungsart (Vertrag, Opt-in etc.) in beliebiger Form aufgelistet werden. Es bietet sich daher an, die Einhaltung der Rechenschaftspflicht an das Verzeichnis der angewandten Verarbeitungstätigkeiten zu knüpfen, da diese Informationen ohnehin in diesem Verzeichnis gelistet werden müssen. Dies betrifft nur Unternehmen, die regelmäßig personenbezogene Daten verarbeiten oder Unternehmen, die mehr als 250 Personen beschäftigen.
Weiterführender Link:
- Alles zur Dokumentationspflicht unter der DSGVO (Seite 158)
Welche Folgen kann ein Verstoß bedeuten?
Verstöße können im Groben zwei verschiedene Ursachen und Folgen haben. Dabei kann man zwischen Geldbußen und Schadensersatz unterscheiden:
1. Geldbußen
Realistisch betrachtet wird dieser Fall nur überschaubar oft vorkommen, da den Behörden die man-power fehlt, um großflächige Kontrollen durchzuführen. So zeigte es zumindest die Vergangenheit. Geldbußen wurden in der neuen DSGVO bewusst als Abschreckung formuliert. Gesprochen wird hier von Sanktionen in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Größeres Risiko besteht in erster Linie darin, dass einzelne Verbraucher sich auf ihr Recht berufen. Womit wir beim Thema Schadensersatz wären.
2. Schadensersatz
Der Verbraucher ist je nach Unternehmen und Schwere der Rechtsverletzungen dazu berechtigt, den Verantwortlichen zu verklagen. Dazu muss der Betroffene keine unmittelbaren ökonomischen Nachteile erlitten haben. Da keine Erlaubnis zur Datenverarbeitung erteilt wurde, handelt es sich vielmehr um einen seelisch erlittenen Schaden. Somit besteht ein gewisses Risiko, dass Verbraucher Interessensgemeinschaften gründen, um möglichst viele vermeintlich geschädigte Verbraucher zu vereinen. Anschließend wäre es nicht ausgeschlossen, dass die Behörden auf betroffene Unternehmen aufmerksam werden und ggf. genannte Geldbußen drohen. Wie hoch die Beträge für welchen Schweregrad letztendlich werden, hängt von den zuständigen Gerichten ab und wird sich erst noch zeigen.
Weiterführender Link:
- Alles zu Verstößen gegen die DSGVO (Seite 244)
Glossar zur neuen DSGVO
Was sind Beispiele für personenbezogene Daten?
- Name, Adresse und eindeutige Kennnummern wie Sozialversicherungsnummern
- Demografische Daten wie Alter, Geschlecht, Einkommen oder sexuelle Orientierung
- Verhaltensdaten wie Suchanfragen, Einkaufshistorie usw.
- Soziale Daten aus Netzwerken, E-Mails usw.
- Sensordaten aus der Biometrik, von Fitness Trackern usw.
- Benutzergenerierte Daten wie Fotos, Videos, Blogs oder Kommentare.
Weiterführender Link:
- Alles zu personenbezogenen Daten nach der DSGVO (Seite 111)
Was ist das Recht auf Vergessenwerden / Datenübertragbarkeit?
Eine neue besondere Ausformung des Löschungsrechts ist das Recht auf Vergessenwerdens, welches vor allem personenbezogene Daten in Suchmaschinen betrifft. Unternehmen sind dadurch verpflichtet, jegliche gewünschte Links und Kopien solcher Daten zu löschen. Auch das Recht auf Datenübertragbarkeit ist neu und besagt, dass der Verbraucher Daten, die das Unternehmen über ihn gespeichert hat, verlangen kann. Dazu zählt bspw. auch die Bestellhistorie. Die Aushändigung muss als gängiges, maschinenlesbares Format wie einer CSV-Datei vorliegen.
Weiterführende Links:
- Alles zum Recht auf Vergessenwerden (Seite 140)
- Alles zum Recht auf Datenübertragbarkeit (Seite 144)
Was versteht man unter berechtigtem Interesse?
Für gegenwärtig verarbeitete Daten gilt:
Durch berechtigtes Interesse der Verantwortlichen kann die Verarbeitung personenbezogener Daten begründet sein, solange die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Darunter können bspw. rechtliche, wirtschaftliche oder auch ideele Interessen fallen. Die Gewichtung ist aktuell noch schwer einzuschätzen und lässt sich nicht aus der DSGVO heraus bestimmen. Eine Gleichgewichtung der Interessen beider Parteien bedeutet allerdings, dass Unternehmen weiterhin die Daten der Nutzer verarbeiten dürfen.
Im Folgenden finden Sie einige Beispiele für berechtigte Interessen sowie Voraussetzungen, die für die Verarbeitung personenbezogener Daten unter dem Vorwand des berechtigten Interesses sprechen:
Voraussetzungen für berechtigte Interessen | Beispiele für berechtige Interessen |
---|---|
|
|
Weiterführende Links:
Was ist das Kopplungsverbot / Simplizitätsgebot?
Kopplungsverbot
Das neu verordnete Kopplungsverbot bedeutet, dass das Einverständnis des Nutzers nicht an eine Vertragsabwicklung gebunden sein darf und ein Newsletter kein Pflichtfeld mehr sein darf. Für alte Einwilligungen gilt es lediglich, den Aspekt der Freiwilligkeit und der Altersgrenze von 16 Jahren einzuhalten. Anderenfalls sind die alten Einwilligungen nicht mehr gültig. Ausgenommen von diesem Verbot sind kostenlose Dienstleister wie z.B. Freemail oder Gewinnspiele.
Simplizitätsgebot
Ebenfalls neu ist das Simplizitätsgebot, welches dafür da ist, dass eine Einwilligung genau so leicht widerrufen werden können muss, wie sie eingewilligt werden konnte. Am naheliegendsten ist hier die Lösung eines "Unsubscribe Buttons".
Hilfreicher Link:
Was versteht man unter einer Einwilligung zur Datenverarbeitung?
Eine Einwilligung wird nach der neuen Definition als freiwillige Willensbekundung verstanden, welche von einer einwilligungsfähigen Person (älter als 16 Jahre) erteilt oder verneint werden kann. Die dbzgl. Erklärung muss dabei zwangsläufig darüber aufklären, zu welchem Zweck und von wem die personenbezogenen Daten verarbeitet werden und somit eine informierte Entscheidung ermöglichen. Das Zustimmen an sich kann abschließend bestenfalls mit dem Zeitpunkt ("timestamp"), einer gekürzten IP-Adresse und über Double-Opt-In, bestätigt und in einer Datenbank protokolliert werden. Für alte Einwilligungen gelten keine neuen Bestimmungen, allerdings müssen die Altersgrenze und der Aspekt der Freiwilligkeit abgedeckt werden.
Weiterführender Link:
- Alles zum Thema Einwilligung unter der DSGVO (Seite 113)
Was besagt das Widerspruchsrecht?
Betroffene Verbraucher sind jederzeit dazu berechtigt, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen. Als Konsequenz muss die Verarbeitung dieser Daten eingestellt werden - es sei denn, es können schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die die Interessen, Rechte und Freiheiten der Person überwiegen. Wichtig hierbei ist, dass die betroffene Person in separater und verständlicher Form darüber unterrichtet werden muss.
Weiterführender Link:
- Alles zum Widerspruchsrecht unter der DSGVO (Seite 145)
Was sind Opt-Out Links zur Verhinderung der Datenverarbeitung?
Ein Opt-Out Link steht im Zusammenhang mit einer besonderen Form des Einwilligungsverfahrens. Wird ein solcher Link bereitgestellt, so wird davon ausgegangen, dass der Nutzer damit einverstanden ist, dass er mittels Web-Analyse Tools erfasst wird. Der beigefügte Link soll die Option bieten, die entsprechenden Dienste zu deaktivieren.
Weiterführender Link:
Welche neuen Informationspflichten gehören in die Datenschutzerklärung?
Kurz und knapp muss die Datenschutzerklärung in erster Linie vor allem um neue Informationspflichten erweitert werden. Wie bereits in den Handlungsempfehlungen erwähnt, müssen einige Aspekte gesondert für jede Anwendung genannt werden. Ebenso muss, falls vorhanden, der Datenschutzbeauftragte inklusive Kontaktdaten genannt werden. Die wichtigsten Aspekte finden Sie in den Checklisten unter den jeweiligen Tools oder dem Punkt "Was muss immer in jedem Fall gemacht werden?".
Weiterführender Link:
Welche neuen Auskunftspflichten müssen eingehalten werden?
Außerdem hat der einzelne Verbraucher das Recht, personenbezogene Daten eines Unternehmens, sofern diese erhoben werden, zu verlangen. Mit der DSGVO wurden die anzugebenen Informationen verschärft und weiter ausgebaut. Wichtig ist, dass die Auskunft in solch einem Fall innerhalb eines Monats erfolgt sein muss.
Weiterführender Link:
- Alles zur Auskunftspflicht unter der DSGVO (Seite 138)
Disclaimer
Wir sind keine Rechtsberatung und auch keine Datenschutzbeauftragten. Wir stellen für Sie Informationen zur DSGVO nach bestem Wissen und Gewissen zusammen, die wir an verschiedenen Stellen gefunden haben (z.B. offizielle DSGVO-Richtlinie, IT-Rechts-Websites, etc.). Außerdem fokussieren wir uns vor allem auf digitale Berührungspunkte, bzw. das, was öffentlich sichtbar ist. Insbesondere größere Organisationen müssen auch noch einige zusätzliche Maßnahmen beachten, um künftig DSGVO-konform aufgestellt zu sein.

Sprechen Sie uns unverbindlich an und lassen Sie sich von uns beraten.
Kommentieren Sie diesen Artikel!
Schreiben Sie einen Kommentar und Sie bekommen zeitnah eine Rückmeldung von uns.