Navigation path

Wissenswertes zur Einhaltung der Datenschutzvorschriften

Wissenswertes zur Einhaltung der Datenschutzvorschriften

Ihre Online-Kunden stellen Ihnen möglicherweise bedenkenlos Name, Adresse, Bank- oder Kreditkartendaten bereit, doch Sie als Online-Händler müssen deren personenbezogene Daten vor Missbrauch schützen und bei der Verarbeitung das Recht auf Privatsphäre Ihrer Kunden achten. 

Personenbezogene Daten beziehen sich auf eine bestimmte oder bestimmbare natürliche Person („die betroffene Person”, im deutschen Bundesdatenschutzgesetz auch „Betroffener“ genannt). 

Personenbezogene Daten, mit denen ein Individuum identifiziert werden kann, sind beispielsweise: Name, Geschlecht, ein Kennzeichen, Kreditkartennummer, Kontaktinformationen (Adresse, Telefonnummer, E-Mail-Adresse usw.), Alter und Geburtsdatum, Sozialversicherungsnummer, Steuernummer, Sprachkenntnisse und biometrische Daten (z. B. Fingerabdrücke oder DNS).
Manche Typen von personenbezogenen Daten werden als sensible Daten klassifiziert. Sie geben Auskunft über Rasse, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Sie dürfen sensible Daten nur verarbeiten, wenn Ihnen die ausdrückliche Zustimmung der betroffenen Person vorliegt (sog. „Opt-in“). 

„Verarbeitung" ist jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, auch durch automatisierte Mittel, wie z. B. Erhebung, Erfassung, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Zusammenführung, Einschränkung, Löschung oder Zerstörung.

Datenschutzbestimmungen im Hinblick auf Datensammelstellen einhalten

Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten, die eine wichtige Reform der EU-Datenschutzvorschriften darstellt und die Datenschutzrichtlinie 95/46 wirksam aktualisiert. Alles Wissenswerte über die Regeln für Unternehmen und Organisationen finden Sie auf der Website der Europäischen Kommission zur Reform der EU-Datenschutzvorschriften.

Die Vorschriften der DSGVO gelten nicht nur, wenn Sie in der EU ansässig oder innerhalb der EU tätig sind, sondern auch, wenn Sie außerhalb der EU personenbezogene Daten von betroffenen Personen in der EU verarbeiten.

Gemäß den Datenschutzbestimmungen der EU gelten Sie als Verantwortlicher, wenn Sie die Person sind, die (allein oder gemeinsam mit anderen) festlegt, warum (d. h. zu welchem Zweck) und wie (d. h. mit welchen Mitteln) die personenbezogenen Daten Ihrer Kunden verarbeitet werden. 

Wenn Sie die Person sind, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z. B. als Cloud-Provider, Marktforschungsunternehmen oder Lohnunternehmen), gelten Sie als Auftragsverarbeiter. 

Neben dem Herstellen einer Vertrauensbasis zu Ihren Kunden haften die Daten sammelnden Rechtsträger dafür:
•    dass Daten in einer ehrlichen und transparenten Art und Weise erhoben werden und dass Kunden angemessen darüber informiert werden, welche Art der Datenerfassung Sie anwenden;
•    dass personenbezogene Daten nur erfasst und verarbeitet werden, wenn der Zweck legitim ist, (d. h. wenn sie beispielsweise für einen Vertragsabschluss erforderlich sind).
•    dass bei der Verarbeitung personenbezogener Daten bestimmte Verpflichtungen eingehalten werden. Sie dürfen beispielsweise personenbezogene Daten nur dann im Auftrag eines Verantwortlichen erfassen, wenn ein schriftlicher Vertrag besteht, der dem Auftragsverarbeiter eine Reihe von verbindlichen Bedingungen auferlegt, wie sie in der DSGVO festgelegt sind. Der Auftragsverarbeiter muss auch Aufzeichnungen über die Datenverarbeitungsaktivitäten führen und diese der Aufsichtsbehörde auf Verlangen vorlegen. Sie müssen sicherstellen, dass die betroffenen Personen auf eigene Daten zugreifen, diese korrigieren, entfernen oder fehlerhafte Daten sperren können und dass personenbezogene Daten nicht länger als unbedingt erforderlich gespeichert werden;
•    dass Sie eingegangenen Beschwerden zu Datenverarbeitungsvorgängen nachgehen;
•    dass Sie mit den nationalen Datenschutzbehörden, die für die Überwachung der Einhaltung der nationalen Datenschutzgesetze verantwortlich sind, zusammenarbeiten und Forderungen von betroffenen Personen anhören, die die Verarbeitung ihrer personenbezogenen Daten betreffen.

Beachten Sie, dass Sie auch rechtlich verantwortlich sind, sollte eine Person, die für Sie arbeitet, personenbezogene Daten offenlegen und gegen das Datenschutzrecht verstoßen.

Ihre Kunden benachrichtigen

Wenn Sie personenbezogene Daten verarbeiten, sind Sie verpflichtet, Ihre Kunden zu informieren. Zu diesem Zweck sollten Sie einen „verständlichen, eindeutigen und einfach formulierten“ Datenschutzhinweis auf Ihrer Website veröffentlichen.

Als Daten sammelnder Rechtsträger sollten Sie mindestens folgende Angaben machen:
•    den vollständigen Namen Ihres Unternehmens, der Unternehmenseinheit oder von Ihnen selbst (als für die Verarbeitung Verantwortlicher);
•    Ihre Kontaktinformationen;
•    eine Beschreibung der Zwecke, für die die Daten verwendet werden;
•    den Ort des Verarbeitungsvorgangs;
•    eine Beschreibung der Person, der Behörde, Dienststelle oder anderer Einrichtungen, denen gegenüber die Daten offengelegt werden können;
•    wie Einzelpersonen ihre personenbezogenen Daten einsehen und ihre diesbezüglichen Rechte ausüben können (z. B. Zugriff, Korrektur und Löschen personenbezogener Daten) und wie sie der

Verwendung ihrer Daten für Direkt-Marketing-Maßnahmen widersprechen können.

Ein Datenschutzhinweis kann auch weitere Details enthalten, z. B. Angaben, wie lange personenbezogene Daten aufbewahrt und wie sie gesichert werden usw.

Österreich Geben Sie die Meldung über die Website der Österreichische Datenschutzbehörde ein, bevor Sie mit der Verarbeitung der Daten beginnen.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Deutschland Geben Sie die Meldung über die Website des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ein, bevor Sie mit der Verarbeitung der Daten beginnen. 
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxemburg Geben Sie die Meldung über die Website „Commission nationale pour la protection des données“ ein, bevor Sie mit der Verarbeitung der Daten beginnen.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Informationsquellen

Zur Erfüllung der Anforderungen der Datenschutzbestimmungen
•    Agentur der Europäischen Union für Grundrechte & Europarat (2014) ,Handbuch zum europäischen Datenschutzrecht
•    EU-Datenschutzrichtlinie (Richtlinie 95/46/EG)
•    Datenschutz: https://ec.europa.eu/info/law/law-topic/data-protection_de 
•    EG Recht (2014), Schutz personenbezogener Daten, erhältlich unter: http://ec.europa.eu/justice/data-protection/index_de.htm 
•    EG Recht, Artikel 29 Arbeitsgruppe, verfügbar unter: http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Meldung gegenüber der nationalen Behörde
•    EU-Datenschutzrichtlinie (Richtlinie 95/46/EG)

Benachrichtigung Ihrer Kunden
•    Agentur der Europäischen Union für Grundrechte & Europarat (2014) ,Handbuch zum europäischen Datenschutzrecht
•    EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) – Artikel 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?