Welche Auswirkungen hat die DSGVO auf mein Unternehmen?
Was ist die DSGVO?
Bei der Datenschutz-Grundverordnung (DSGVO) handelt es sich um ein Datenschutzgesetz der Europäischen Union (EU) für alle Bürger und Einwohner der EU. Die DSGVO regelt die Verarbeitung personenbezogener Daten von Einzelpersonen in der EU durch Unternehmen und gilt somit auch für GoDaddy. Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Ausführlichere Informationen zur DSGVO und zur DSGVO-Konformität von GoDaddy finden Sie in den Informationen zu unserem Datenschutzcenter.
GoDaddy ist keine Kanzlei.
Mit diesem Dokument möchten wir einen Überblick darüber geben, was die DSGVO ist und was sie ggf. für Sie bedeutet. GoDaddy ist allerdings keine Rechtsberatung und dieses Dokument ist kein umfassender DSGVO-Leitfaden. Jedes Unternehmen ist anders und die DSGVO als Gesetz äußerst komplex. Spezifische Fragen zu Ihren geschäftlichen Abläufen und zu möglichen Auswirkungen der DSGVO (und anderen ggf. geltenden Datenschutzgesetzen) sollten Sie unbedingt mit einem Anwalt klären.
Wir sind nicht im Detail mit Ihrem Unternehmen vertraut.
Leider ist es uns schlicht nicht möglich, Ihnen eine explizite Anleitung für Ihre DSGVO-Konformität zur Verfügung zu stellen. Jedes Unternehmen ist anders und hat seine eigenen Richtlinien, Protokolle, Mitarbeiter, Standorte usw. Wir möchten Ihnen daher einen Überblick über die Sichtweise von GoDaddy auf die DSGVO geben. Die gesetzlichen Bestimmungen weisen jedoch mehrere (in diesem Dokument hervorgehobene) Feinheiten auf, die Sie auf der Grundlage Ihrer individuellen Situation für sich selbst bewerten müssen.
Was macht die DSGVO so besonders?
Die DSGVO unterscheidet sich gar nicht so sehr von anderen Datenschutzgesetzen auf der ganzen Welt. Ihren hohen Bekanntheitsgrad verdankt die DSGVO der Tatsache, dass sie über die EU-Grenzen hinaus jedes Unternehmen betrifft, das personenbezogene Daten über Einzelpersonen in der EU verarbeitet, und dass Verstöße mit empfindlichen Strafen (bis zu 20 Millionen EUR oder vier Prozent des weltweiten Jahresumsatzes) geahndet werden. Mehr Länder, höhere Strafen und ein größerer Geltungsbereich bedeuten mehr Berichterstattung in den Medien. Das soll aber nicht heißen, dass es keine Unterschiede gibt: Die DSGVO verpflichtet betroffene Unternehmen, ihren Kunden bestimmte Rechte einzuräumen (etwa das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit) und bestimmte Maßnahmen zur Regelkonformität im Unternehmen zu ergreifen.
Hat das Auswirkungen auf mein Unternehmen?
Ihr Unternehmen kann aus verschiedenen Gründen betroffen sein. Wenn sich Ihr Unternehmen im Europäischen Wirtschaftsraum (EWR) befindet oder beim Verkauf von Waren oder Dienstleistungen eine Geschäftsbeziehung mit Kunden im EWR eingeht, lesen Sie bitte weiter. Wenn Sie in dieser Region nicht geschäftlich tätig sind und Einzelpersonen in der EU nicht zu Ihrer Zielgruppe gehören, müssen Sie wahrscheinlich nichts weiter unternehmen. (Lassen Sie sich das aber trotzdem besser noch einmal von Ihrer Rechtsberatung bestätigen.)
Erfüllen meine Produkte und Services von GoDaddy die Anforderungen der DSGVO?
Kein Produkt oder Service ist für sich genommen DSGVO-konform. Bei ordnungsgemäßer Konfiguration für Ihre individuellen geschäftlichen Anforderungen und in Kombination mit anderen Maßnahmen, Richtlinien und Verfahren, die Sie nach Bedarf für Ihr individuelles Unternehmen umsetzen (siehe Beispiele weiter unten), können sie jedoch auf DSGVO-konforme Weise verwendet werden. Niemand kennt Ihr Unternehmen so gut wie Sie. GoDaddy unterstützt Sie gerne mit Tools und Ressourcen bei der Einhaltung der DSGVO und steht Ihnen beratend zur Seite, es ist uns aber leider nicht möglich, die Konformität mit jeglichen für Ihr Unternehmen geltenden Gesetzen zu gewährleisten.
Was bedeutet DSGVO-Konformität?
Bei der DSGVO steht der Schutz personenbezogener Daten im Vordergrund. Kurz gesagt geht es darum, dass die personenbezogenen Daten Ihrer Kunden angemessen geschützt und genutzt werden müssen. Bevor wir ins Detail gehen, finden Sie im Anschluss einige wichtige Definitionen aus dem Gesetz, die uns dabei helfen, die jeweiligen Aufgaben im Zusammenhang mit personenbezogenen Daten zu definieren:
- Betroffene Person: Die Person, die personenbezogene Daten bereitstellt. Hierbei kann es sich um einen Kunden, um einen Mitarbeiter oder um einen Besucher Ihrer Website handeln. (Letzterer Fall gilt, wenn Sie Informationen zu der Person mithilfe von „Cookies und ähnlichen Technologien“ sammeln.)
- Datenverantwortlicher: Die Partei, die über die Verarbeitungszwecke und -methoden für personenbezogene Daten entscheidet
- Datenverarbeiter: Die Partei, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
- Verarbeitung: Jeglicher Vorgang, der für personenbezogene Daten ausgeführt wird (automatisch oder auf andere Weise). Hierzu zählen etwa Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Übernahme oder Änderung, Abruf, Abfrage, Offenlegung durch Übertragung, Verbreitung oder sonstige Verfügbarmachung, Anpassung oder Kombination, Einschränkung, Löschung oder Vernichtung.
- Personenbezogene Daten: Die DSGVO gilt nur für personenbezogene Daten – also für jegliche Information, die sich auf eine identifizierbare Person bezieht, die direkt oder indirekt identifiziert werden kann (insbesondere durch Bezugnahme auf ein identifizierendes Merkmal). Diese Definition personenbezogener Daten deckt ein breites Spektrum an persönlich identifizierenden Merkmalen (einschließlich Name, Kennnummer, Standortdaten oder Online-ID) ab und spiegelt technologische Veränderungen sowie die Vorgehensweise wider, mit der Organisationen personenbezogene Informationen sammeln. Grundsätzlich gilt: Wenn die Daten dazu geeignet sind, einen Benutzer, einen Kunden oder eine andere Person zu identifizieren, handelt es sich um personenbezogene Daten.
Was bedeuten diese Definitionen für mich?
Wenn wir von Ihnen Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer und Kreditkartendaten erfassen, um Ihnen unsere Produkte und Services zu verkaufen, sind wir der Datenverantwortliche in unserer Beziehung. In anderen Fällen fungieren wir aber auch als Datenverarbeiter und Sie sind der Datenverantwortliche – etwa, wenn Sie unsere gehosteten Services für Ihre geschäftlichen Zwecke nutzen und Informationen an unsere Server übermittelt werden, damit wir die Services für Sie bereitstellen, verwalten und pflegen können. (Weitere Informationen hierzu finden Sie weiter unten.)
Wie sehen die gesetzlichen Vorgaben genau aus?
Die offizielle Version der DSGVO umfasst 261 Seiten mit 173 Erwägungsgründen und 99 Paragrafen. Sie ist wie bereits erwähnt komplex und oftmals allgemein, vage und nicht gerade eindeutig. Daher beschränken wir uns hier auf einige der wichtigsten Prinzipien:
Transparenz
Welche Daten sammeln Sie und wie werden sie verwendet? Die Beantwortung dieser Frage in einer für Kunden leicht verständlichen Sprache ist ein wichtiges Prinzip jedes Datenschutzgesetzes. Die DSGVO ist da keine Ausnahme.
Wahrscheinlich haben auch Sie in letzter Zeit unzählige E-Mails mit einem Betreff wie „Wir haben unsere Datenschutzbestimmungen aktualisiert“ erhalten. Das ist kein Zufall. Die DSGVO fordert von Unternehmen mehr Transparenz und Klarheit hinsichtlich der Sammlung und Verwendung von Kundeninformationen – oder anders gesagt: mehr Benutzerfreundlichkeit. Transparenz erreichen Sie mithilfe von Datenschutzbestimmungen, in denen Sie Ihren Kunden deutlich und in leicht verständlicher Sprache erklären, wie Sie ihre personenbezogenen Daten sammeln und verwenden und wie Kunden Sie erreichen oder ihre Rechte geltend machen können, über die sie ggf. verfügen.
GoDaddy stellt Tools bereit, die es Ihnen ermöglichen, Datenschutzbestimmungen in Ihre Websites zu integrieren. Gegebenenfalls werden auch Vorlagen bereitgestellt, die Sie als Grundlage verwenden können. Da wir jedoch nicht mit Ihren geschäftlichen Abläufen vertraut sind, können wir Ihnen keine vollständig konformen Datenschutzbestimmungen zur Verfügung stellen.
Kontrollmöglichkeiten für Kunden und Zustimmungsverwaltung
Transparenz ist ein guter Anfang. Wenn Sie jedoch mehr Informationen von Ihren Kunden nutzen (oder sammeln) als Sie streng genommen zur Bereitstellung der von Ihnen verkauften Waren und Dienstleistungen benötigen, müssen Sie Kunden die Möglichkeit geben, der zusätzlichen Nutzung zuzustimmen, und es ihnen ermöglichen, diese Zustimmung später zu widerrufen.
Das naheliegendste Beispiel ist die Nutzung gesammelter E-Mail-Adressen oder Telefonnummern für die Kundenkommunikation. (Solche Kommunikationswege/Abonnements bringen wir für gewöhnlich mit An-/Abmeldungen in Verbindung.) Diese Angabe wird von Ihren Kunden ggf. im Zuge einer Kontoerstellung oder beim Erwerb Ihrer Produkte oder Services gemacht. Dazu gehört jedoch auch das Sammeln von Informationen zu Besuchern Ihrer Website mithilfe von Tools, die gemeinhin als „Cookies“ bekannt sind (sowie mit ähnlichen Technologien wie Pixeln, Skripts oder Ähnlichem). Sie haben bestimmt schon einmal Cookie-bezogene Banner auf Websites gesehen. Diese Banner sorgen ähnlich wie die Verwendung von Datenschutzbestimmungen für mehr Transparenz. Die Anzeige eines Cookie-Banners gibt Einzelpersonen die Möglichkeit, mehr über die Tools zu erfahren, mit denen Informationen zu ihrer Person gesammelt werden. Darüber hinaus können sie dieser Nutzung zustimmen oder ihr widersprechen bzw. präzise steuern, welche Cookies für sie akzeptabel sind.
Im Rahmen der DSGVO muss Ihren Kunden Gelegenheit gegeben werden, einer solchen Sammlung (und der späteren Nutzung) zuzustimmen. Zur Einholung dieser Zustimmung muss eine Option bereitgestellt werden, über die Kunden ihre Zustimmung auf leicht verständliche Weise, spezifisch (auf den bestimmten Zweck bezogen) und explizit erteilen können. Vorab aktivierte Kontrollkästchen, stillschweigendes Einverständnis oder Untätigkeit dürfen nicht zur Erteilung oder Ableitung der Zustimmung Ihres Kunden verwendet werden. Wenn sich auf Ihrer Website also beispielsweise ein Kontrollkästchen mit dem Hinweis „Ihre Daten werden an externe Werbetreibende weitergegeben.“ befindet, darf dieses nicht vorab aktiviert sein, um das Einverständnis betroffener Personen zur Verarbeitung ihrer Daten zu signalisieren. Das Kontrollkästchen muss für betroffene Personen im EWR deaktiviert bleiben, bis sie sich bewusst für die Teilnahme entscheiden oder ihr Einverständnis zu einer solchen Verarbeitung erklären.
Letztendlich müssen Sie sicherstellen, dass Ihre Kunden die Kontrolle über die Verwendung ihrer personenbezogenen Daten, über ihre Kommunikation und über ihre Zustimmung haben. Dazu gehört auch das Recht, diese Zustimmung zu widerrufen.
Recht auf Vergessenwerden
Die DSGVO ähnelt zwar wie erwähnt sehr stark anderen Datenschutzgesetzen auf der ganzen Welt, dieses Kundenrecht ist jedoch eine Besonderheit der DSGVO. Im Rahmen der DSGVO haben Einzelpersonen das „Recht auf Vergessenwerden“ (sprich: einen gesetzlichen Anspruch auf Löschung). Kunden können also fordern, dass ihre personenbezogenen Daten gelöscht (und somit „vergessen“) werden, wenn die personenbezogenen Daten nicht mehr für den Zweck erforderlich sind, für den sie gesammelt oder verarbeitet wurden.
Wenn dieser Anspruch besteht, müssen Sie die personenbezogenen Daten der betroffenen Person aus Ihren Systemen löschen – es sei denn, die Daten müssen aus berechtigten geschäftlichen oder rechtlichen Gründen aufbewahrt werden (etwa für die Finanzberichterstattung oder zur Erfüllung gesetzlich vorgeschriebener Aufbewahrungspflichten).
Wenn ein Kunde beispielsweise die Geschäftsbeziehung mit Ihnen beendet, möchte er unter Umständen nicht, dass Sie die zuvor gesammelten und gespeicherten Informationen über ihn weiter aufbewahren. Für dieses Recht gelten zwar gewisse Einschränkungen (mit Ausnahmen und komplizierten Details), Sie müssen sich allerdings überlegen, wie Sie es im Falle einer solchen Anfrage umsetzen können.
GoDaddy wird – wie hier beschrieben und in Übereinstimmung mit unserem Zusatz zur Datenverarbeitung – der Aufforderung zur Entfernung der Informationen Ihres Kunden aus unseren Systemen nachkommen, wenn wir von Ihnen (dem Datenverantwortlichen) eine entsprechende Anfrage erhalten.
Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit ist eine weitere Besonderheit der DSGVO. Es gibt Einzelpersonen das Recht, ihre personenbezogenen Daten anzufordern und für ihre eigenen Zwecke in verschiedenen Services zu nutzen. So können sie personenbezogene Daten komfortabel, sicher und ohne Abstriche bei der Nutzbarkeit zwischen IT-Umgebungen verschieben, kopieren oder übertragen.
Ein Beispiel: Angenommen, Sie arbeiten als Veranstaltungsplaner. Ein Kunde hat Ihnen alle seine Kontaktdetails und relevanten persönlichen Präferenzen mitgeteilt, sich dann aber doch für einen anderen Veranstaltungsplaner entschieden. Im EWR hat der Kunde Anspruch auf eine elektronische Kopie seiner personenbezogenen Daten, die er ganz einfach an einen neuen Veranstaltungsplaner weitergeben kann. GoDaddy unterstützt Sie bei solchen Anfragen, soweit sich die personenbezogenen Daten Ihres Kunden in von uns bereitgestellten Produkten oder Services befinden und daraus exportiert werden können.
Privacy by Design
„Privacy by Design“ (bzw. „Privacy by Default“) bedeutet im Grunde Folgendes: Wenn Sie personenbezogene Daten erhalten, verarbeiten, speichern oder nutzen, werden die nötigen Schutzmaßnahmen bestimmt und umgesetzt. Dazu sind keine besonderen Überlegungen oder weiteren Schritte erforderlich. Es werden nur so viele Daten gesammelt wie unbedingt nötig. Die Daten werden sicher empfangen (beispielsweise mittels Verschlüsselung) und an einem sicheren Ort gespeichert. Außerdem können nur Personen auf die Daten zugreifen, die die Daten wirklich benötigen und angemessen geschult sind. Zu diesen Maßnahmen gehört auch, sich zu vergewissern, dass Dritte ebenfalls über geeignete Schutzmaßnahmen verfügen, bevor Sie ihnen die personenbezogenen Daten Ihrer Kunden senden.
Es ist im Grunde ähnlich wie bei einem Arztbesuch: Als Patient erwarten Sie, dass Ihre Krankenakte sowie die Aufzeichnungen des Arztes und der ärztliche Rat, den Sie erhalten, sicher aufbewahrt und vertraulich behandelt werden. Übertragen Sie diese Umsicht auf betroffene Personen und Sie sind auf einem guten Weg.
Bei jeder Untersuchung Ihrer geschäftlichen Abläufe sollten Sie auch prüfen, wie die Produkte und Services von GoDaddy unter Datenschutzaspekten verwendet werden können. Natürlich hoffen wir, dass sich unsere Produkte und Services so konfigurieren lassen, dass sie Ihre individuellen Anforderungen erfüllen. Die Entscheidung, ob die Nutzung unserer Services mit den für Sie geltenden Datenschutz- und Datensicherheitsgesetzen in Einklang steht, liegt jedoch letztlich allein bei Ihnen.
Benachrichtigung bei Verletzung des Schutzes von Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten sind Unternehmen verpflichtet, binnen 72 Stunden nach Kenntnis der Verletzung ohne unangemessene Verzögerung die zuständige Aufsichtsbehörde zu informieren. Ausführlichere Informationen zur Offenlegung sowie zu den erforderlichen Schritten erhalten Sie von Ihrer Rechtsberatung.
Und was heißt das nun für uns?
Wie bereits erwähnt fungiert GoDaddy überwiegend als Ihr Datenverarbeiter. Wir verarbeiten Daten nur, soweit dies erforderlich ist, um die von uns erworbenen Services für Sie bereitzustellen, sowie in Übereinstimmung mit ggf. anderslautenden Anweisungen. Sie nutzen unsere Services, um Daten zu sammeln, die Sie für den Verkauf Ihrer Waren benötigen, oder um Termininformationen oder Vertriebsleads zu erfassen? Kein Problem. Wir stellen sicher, dass die Daten in Ihrem Auftrag sicher verarbeitet werden.
Als Datenverantwortlicher bestimmen Sie, wie die Daten verwendet und gespeichert werden, und wir verarbeiten sie nur gemäß den Bedingungen unseres zur Datenverarbeitung in Bezug auf die Bereitstellung und Aufrechterhaltung der Dienste in Ihrem Namen. Das bedeutet, dass Sie Ihre internen Richtlinien und den Zugriff Ihrer Mitarbeiter auf Datensätze genau beobachten müssen. Dazu gehört auch, wie Sie Daten an Dritte weitergeben und wie leicht jemand auf die Informationen der betroffenen Person zugreifen kann.
Wie anhand der obigen Punkte zu sehen soll die DSGVO (ebenso wie andere Datenschutzgesetze) in erster Linie sicherstellen, dass die Daten, die wir zu geschäftlichen Zwecken sammeln und nutzen, angemessen geschützt und abgesichert sind.