DSGVO im Online-Autohandel

Ab dem 25. Mai 2018 findet die EU-Datenschutzgrundverordnung (DSGVO) in der Europäischen Union Anwendung. In Deutschland tritt zeitgleich auch die Neufassung des BDSG (BDSG-neu) in Kraft.  Unternehmen, und auch Sie als Autohändler, müssen ab dem 25. Mai 2018 die Vorgaben der DSGVO umgesetzt haben und einhalten.

Wir von Autrado nehmen das Thema Datenschutz sehr ernst und versuchen auch Sie bestmöglich dabei zu unterstützen. Mittels geeigneter technischer und organisatorischen Maßnahmen (TOM) ist es unser Ziel, uns und unsere Kunden bestmöglich abzusichern. Dazu gehören unter anderem:

  • Tägliche Sicherung Ihrer Daten (Backups)
  • Getrennte Datenbanken für jeden unserer Kunden
  • Verschlüsselung von Passwörtern
  • SSL-Verschlüsselung Ihrer Webanwendung
  • Abgestuftes Rechtemanagement: Zugriffsrechte nach dem „Need-to-know-Prinzip“, mit dem Ziel, Zugriff auf Informationen, die von einer Person nicht unmittelbar für die Erfüllung einer konkreten Aufgabe benötigt werden, einzuschränken.

Was ist Ihre Aufgabe als Automobilhändler?

Als Geschäftsführer im Automobilhandel sind Sie „Verantwortlicher“ im Sinne des Gesetzes und damit zur Einhaltung der in der DSGVO und dem BDSG (neu) aufgeführten Rechtsgrundsätze und deren Nachweis verpflichtet (sog. „Rechenschaftpflichten“).

Hierbei handelt es sich um Folgendes:

  • Rechtmäßigkeit der Verarbeitung,
  • Verarbeitung nach Treu und Glauben,
  • Transparenz,
  • Zweckmäßigkeit,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität und 
  • Vertraulichkeit

Ferner haben Sie als verantwortliche Stellen geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass sie bei ihrer Datenverarbeitung vollumfänglich die DSGVO berücksichtigt haben. Damit haben sie ergriffene Maßnahmen zu überprüfen und zu aktualisieren.

Wie sieht diese Nachweispflicht in der Praxis aus?

In der Praxis setzt man diese Pflicht idealerweise über die Beschreibung einer Verarbeitung im sog. „Verzeichnis für Verarbeitungstätigkeiten“ um und ergänzt diese um die Zwecke und die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird. (z.B. Ihr CRM System, mit dem Sie Ihre Kunden verwalten, zum Zwecke der Vertragsdurführung, auf Grundlage des § 6 Abs.1 b DSGVO).

Wie hoch können Bußgelder nach der DSGVO künftig sein?

Je nach Verstoß können Bußgelder in unterschiedlicher Höhe entstehen, die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Es richtet sich danach, welcher Wert der höhere Wert ist. Es gilt dabei der Jahresumsatz des gesamten Konzerns.

Die Datenschutzerklärung nach der DSGVO

Wir erhalten vielfach Nachfragen zum Thema DSGVO-konforme „Datenschutzerklärung für Internetauftritte“. Wir halten den Einsatz von sogenannten „Datenschutz-Generatoren“ für durchaus kritisch. Datenschutzerklärungen für Internetauftritte müssen individuell auf Sie zugeschnitten werden. Für die inhaltliche und rechtliche Richtigkeit der generierten Texte bleiben Sie in der Haftung. Nur Sie wissen beispielsweise auch, welche Tools Sie im Rahmen Ihrer Website eingebunden haben, dies kann sich entsprechend den von Ihnen vorgenommenen Einstellungen ja auch immer wieder ändern. Was davon in die Datenschutzerklärung aufgenommen werden muss, sollten Sie von einem Rechtsanwalt prüfen lassen. Die Datenschutzerklärung ist für jeden Besucher Ihrer Website einsehbar und somit auch, ob diese nach den – mittlerweile doch sehr umfangreichen Bestimmungen – ausreichend ist. Kommen Sie dieser Verpflichtung nicht oder nicht im notwendigen Umfang nach, so entsteht ein hohes Risiko für Bußgelder und Abmahnungen.

Wer braucht einen Datenschutzbeauftragten nach der EU-Datenschutz-Grundverordnung (DSGVO)?

Die nationale Regelung, § 38 Abs.1 BDSG (neu), sieht vor, dass eine Bestellpflicht dann besteht, sofern in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder unabhängig von der Anzahl der Personen,

  • wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d Art. 35 DSGVO unterliegen oder
  • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Darüber hinaus wird ein Datenschutzbeauftragter nach der DSGVO grundsätzlich auch in den Fällen in Art. 37 DSGVO benannten benötigt.

Wer kann Datenschutzbeauftragter sein?

  1. Die Funktion des Datenschutzbeauftragten kann sowohl von eigenen Mitarbeitern als auch von externen Datenschutzbeauftragten übernommen werden. Eigene Mitarbeiter die zum Datenschutzbeauftragten bestellt werden, genießen jedoch einen umfangreichen Kündigungsschutz –  § 38 Abs. 2 BDSG (neu) i.V.m. § 6 Abs.4 BDSG (neu).
  2. Auch wenn Sie nicht verpflichtet sind, einen DSB zu bestellen, sind Sie als Inhaber/Geschäftsführer (Verantwortlicher) trotzdem verpflichtet, den gesetzlich geforderten Datenschutz zu gewährleisten.

Was passiert, wenn ich dieser Verpflichtung nicht nachkomme?

Besteht eine Bestellpflicht und wird diese falsch eingeschätzt oder gar ignoriert, können nach den gesetzlichen Regelungen, Bußgelder in empfindlicher Höhe verhängt werden.

Wir unterstützen Sie!

Mit dieser komplexen Materie lassen wir Sie selbstverständlich nicht alleine! Wichtig ist, dass diese gesetzlichen Anforderung umgesetzt wird und das ist möglich – Sie müssen es nur angehen!

Sie müssen diese Umsetzungen im Sinne der DSGVO und des BDSG (neu) selbstverständlich nicht alleine durchführen. Sie profitieren von der Kooperation von Autrado mit der Rechtsanwältin und zertifizierten Datenschutzbauftragten (TÜV), Ines Kirschenhofer. In diesem Zusammenhang haben wir für unsere Kunden einen Rabatt von 10% für Sie als Autrado-Kunden ausgehandelt.

Weitere Informationen zu Leistung, wie etwa Stellung des externen Datenschutzbeauftragten oder Erstellung von Datenschutzbestimmungen für Ihre Website etc. erhalten Sie in Kürze oder direkt unter:

k-legal

 

Weitere Web-Links zum Thema:


Schreibe einen Kommentar