AVG steht für General Data Protection Regulation und gilt ab dem 25. Mai 2018. Vielleicht haben Sie es auch schon unter der Abkürzung GDPR gehört, was die Abkürzung der englischen Überschriften General Data Protection Regulation ist. In jedem Fall: Es wird unser Gesetz zum Schutz personenbezogener Daten ersetzen. Ja, es wird wahrscheinlich ein neues niederländisches Gesetz geben, das auf dem AVG basiert, aber das wird einige Zeit dauern. Was sollten Sie bis dahin tun, um Bußgelder zu vermeiden?
Seien wir ehrlich, AVG ist nicht neu
Sehen Sie, tun wir nicht so, als würde die DSGVO plötzlich viele neue Anforderungen stellen. Wir mussten die Privatsphäre unserer Kunden und anderer Personen bereits sorgfältig behandeln. Aber nicht jeder ist sich dessen bewusst. Da die DSGVO jetzt in den Nachrichten ist, viele Websites darüber schreiben und man viel darüber lesen kann, geraten viele Menschen in Panik. Das ist absolut unnötig! Ich helfe Ihnen bei den notwendigen Anpassungen.
Aktualisieren Sie Ihre Datenschutzerklärung
In allen Fällen war, ist und wird es wichtig sein, dass Sie die Menschen klar darüber informieren, was Sie mit ihren personenbezogenen Daten tun. Das war schon nötig, nur die Datenschutzerklärung müsste viel umfangreicher werden. Je nachdem, wie Ihr Unternehmen aufgestellt ist, welche Daten Sie sammeln und was Sie damit machen, sollten Sie mindestens 11, vielleicht aber auch mehr Dinge abfragen. Zum Beispiel, welche Daten Sie sammeln, zu welchem Zweck Sie dies tun, wie lange Sie sie aufbewahren (unendlich ist hier keine Option), wer die Empfänger der personenbezogenen Daten sind (z Sie), gegen die Verarbeitung sein können, dass Personen das Recht haben, ihre Daten einzusehen und zu ändern, und dass sie sich bei der niederländischen Datenschutzbehörde beschweren können. Lesen Sie mehr über alle 11 Pflichten in diesem Blogbeitrag „ Sie brauchen vor dem 25. Mai 2018 eine neue Datenschutzerklärung “.
Datenübertragbarkeit?
Datenübertragbarkeit. Die DSGVO gibt Einzelpersonen das Recht auf Datenübertragbarkeit. Oder das Recht, ihre Daten bei einem Unternehmen anzufordern, um sie problemlos an ein anderes Unternehmen weitergeben zu können. Dies muss mit einer neutralen Technik geschehen, damit jedes Unternehmen etwas damit anfangen kann. Das läuft schnell auf so etwas wie eine Excel-Datei oder eine kommagetrennte Datei hinaus. Ihr Kunde muss also problemlos seine Daten bei Ihnen anfordern und an ein anderes Unternehmen weitergeben können. Wird das oft vorkommen? Noch nicht, schon gar nicht bei Webshops, wo es wirklich nur um Adressdaten geht. Also Unternehmen, die viel mehr und andere Daten sammeln, von denen es für die Menschen lästig wird, sie immer wieder neu eingeben zu müssen, wird es viel wichtiger sein, etwas mit diesem Recht zu tun. Kurz gesagt: Gut zu wissen, dass dieses Recht besteht und vor allem prüfen, wie einfach Sie technisch neutrale Daten aus Ihrer Datenbank extrahieren können, um sie Ihren Kunden zu geben und gegebenenfalls Maßnahmen zu ergreifen, um dies zu ermöglichen.
Verarbeitungsvereinbarung
Sie speichern Daten auf einem Server. Dafür beauftragt man ein Unternehmen: den Hoster. Wenn Sie mit einem Fulfillment-Unternehmen zusammenarbeiten, benötigt dieses die Kundendaten, um Produkte versenden zu können. Beispielsweise gibt es mehr Unternehmen, denen Sie Daten Ihrer Kunden zur Verfügung stellen müssen, um Ihre Dienstleistungen und Produkte anbieten zu können. Auch das ist möglich. Sie müssen nur sicherstellen, dass sie genauso sorgfältig mit den Daten umgehen wie Sie. Deshalb schließen Sie mit ihnen einen sogenannten Verarbeitungsvertrag ab, in dem beispielsweise steht, wie sie die Daten schützen, was sie mit den Daten tun dürfen, wann sie sie wieder löschen und wie schnell sie Sie gegebenenfalls darüber informieren stellt ein Problem dar. sog. Data Breach, wodurch personenbezogene Daten (möglicherweise) auf der Straße landen.
Datensicherheit
Gehen Sie stets sorgsam mit den Daten um, die Sie erhalten. Sammeln Sie sie über eine sichere Verbindung (stellen Sie ein SSL-Zertifikat für Ihre Website bereit), arbeiten Sie nur mit Parteien zusammen, die sorgfältig mit den Daten umgehen, stellen Sie sicher, dass die Server, auf denen die Daten gespeichert sind, ausreichend gesichert sind. Das bedeutet, dass Sie innerhalb Ihres Unternehmens auch gut regeln müssen, wer auf diese Daten zugreifen kann und wer nicht, dass die Dateien ausreichend gesichert sind und dass nicht alle Mitarbeiter und schon gar keine Fremden einfach auf die Daten zugreifen können.
Übrigens müssen Sie der niederländischen Datenschutzbehörde jederzeit nachweisen können, wie Sie die Sicherheit der Daten geregelt haben. Das ist die sogenannte Rechenschaftspflicht.
Was brauchst du NICHT?
Sie benötigen keine Registrierungsbearbeitungsaktivitäten!
Wenn Sie weniger als 250 Mitarbeiter beschäftigen und keine sensiblen personenbezogenen Daten verarbeiten, müssen Sie kein Register oder Protokoll darüber führen, wie die Sicherheit der personenbezogenen Daten geregelt ist und wer zu welchem Zeitpunkt auf diese Daten zugreifen könnte. Das spart viel Arbeit!
Voraussetzung ist, dass Sie mit erhobenen Daten keine Kundenprofile erstellen, keine großen Mengen personenbezogener Daten verarbeiten und personenbezogene Daten nicht strukturell verarbeiten. Speichern Sie daher die Daten Ihrer Kunden nicht länger als nötig!
Keine Datenschutzerklärung erforderlich
Die Datenschutzerklärung oder Datenschutzerklärung ist für kleine Organisationen, die keine besonderen personenbezogenen Daten erheben, nicht verpflichtend. In der Datenschutzerklärung würden Sie normalerweise aufschreiben, wie Sie sicherstellen, dass Sie die DSGVO einhalten, wer auf die Daten zugreifen kann und ähnliches. Da Sie den Rechenschaftspflichten nachkommen müssen, mit denen Sie nachweisen können, dass Sie die DSGVO einhalten, kann es sinnvoll sein, eine Datenschutzerklärung zu erstellen.
Kein FG/DSB erforderlich!
Wenn Sie nur einen Webshop haben und keine besonderen personenbezogenen Daten erheben und Personen nicht systematisch beobachten, brauchen Sie keinen Datenschutzbeauftragten.
Das klingt alles sehr viel und streng, aber es kommt darauf an, dass Sie die persönlichen Daten, die Sie erhalten, ordnungsgemäß sichern, gegenüber den Personen, von denen Sie die Daten sammeln, transparent darüber sind und dass Sie daher auch das, was Sie sammeln, ordnungsgemäß registrieren müssen und einen Plan dafür haben.
Weiterlesen?
Lesen Sie hier den Blog-Beitrag „ Kein DSGVO/AVG-Gesetzesstress “.
Lesen Sie hier den Blog-Beitrag „ Kostenlose AVG-Checkliste (pdf) – machen Sie Ihren Webshop AVG bereit “
Vielen Dank!
Vielen Dank an Charlotte Meindersma von Charlotte's Law für diesen super informativen Gastblog. Möchten Sie mehr über die Rechte und Pflichten als Webshop-Inhaber erfahren? Gehen Sie zu www.charlotteslaw.nl
Bildquelle: Muhammad Zaqy Al Fattah auf Unsplash
