Jetzt starten  Sales-Team kontaktieren 
Jetzt starten  Sales-Team kontaktieren 

Datenschutz im Internet in Frankreich

Checkout
Checkout

Stripe Checkout ist ein vorgefertigtes Bezahlformular, das für einen schnellen und reibungslosen Bezahlvorgang optimiert ist. Integrieren Sie Checkout in Ihre Website oder leiten Sie Ihre Kundinnen und Kunden auf eine von Stripe gehostete Seite, um Zahlungen oder Abonnements einfach und sicher zu akzeptieren.

Mehr erfahren 
  1. Einführung
  2. Was sind personenbezogene Daten?
  3. Was ist die Verarbeitung personenbezogener Daten?
  4. Welche aktuellen Vorschriften regeln den Datenschutz?
    1. Welche Behörde ist in Frankreich für den Datenschutz zuständig?
  5. Was sind die Grundsätze der Datenschutz-Grundverordnung (DSGVO)?
  6. Welche Anforderungen legt die DSGVO fest?
    1. Einzelpersonen informieren
    2. Zustimmung einholen
    3. Gewährleistung individueller Rechte
    4. Führen schriftlicher Aufzeichnungen über Verarbeitungsaktivitäten
    5. Gewährleistung sicherer Daten
    6. Sonstige Verpflichtungen
  7. Jetzt mit Stripe starten 

Unternehmen, die personenbezogene Daten innerhalb der EU verarbeiten, müssen eine Datenschutzrichtlinie erstellen. Was sagt das Gesetz zum Datenschutz? Welche Anforderungen stellt es? Muss ein Unternehmen einen Datenschutzbeauftragten (DSB) benennen? In diesem Artikel gehen wir auf die wichtigsten Fragen zum Datenschutz ein und erklären, wie Sie Vorschriften einhalten können.

Worum geht es in diesem Artikel?

  • Was sind personenbezogene Daten?
  • Was ist die Verarbeitung personenbezogener Daten?
  • Welche aktuellen Vorschriften regeln den Datenschutz?
  • Was sind die Grundsätze der Datenschutz-Grundverordnung (DSGVO)?
  • Welche Anforderungen legt die DSGVO fest?

Was sind personenbezogene Daten?

Personenbezogene Daten – auch als „persönliche Daten“ bezeichnet – sind Informationen, die eine direkte oder indirekte Identifizierung einer Einzelperson ermöglichen. Zu den personenbezogenen Daten gehören beispielsweise Vor- oder Nachnamen, Sozialversicherungsnummern, Telefonnummern, E-Mail-Adressen oder IP-Adressen, das Internetverhalten oder Fotos. Anonymisierte Daten (d. h. Daten, die die Identifizierung einer Einzelperson unmöglich machen) gelten nicht als personenbezogene Daten. Dasselbe gilt für Daten, die sich auf eine juristische Person, wie beispielsweise ein Unternehmen, beziehen.

Was ist die Verarbeitung personenbezogener Daten?

Die Verarbeitung personenbezogener Daten bezieht sich auf verschiedene Prozesse, die auf personenbezogene Daten angewendet werden. Zu diesen Prozessen gehört das Erheben, Erfassen, Organisieren, Speichern, Ändern, Abfragen, Unterdrücken, Extrahieren, Verbreiten und Löschen von Daten. Diese Aktivitäten können computergestützt oder nicht computergestützt erfolgen.

Beispiele für Datenverarbeitung sind die Pflege von Kundenakten, das Erfassen von Kontaktinformationen potenzieller Kundinnen und Kunden und das Speichern von IP-Adressen. In den meisten Fällen beziehen sich die von Unternehmen verarbeiteten personenbezogenen Daten auf Kundinnen und Kunden, Lieferantinnen und Lieferanten, Interessentinnen und Interessenten, Mitarbeitende und Bewerber/innen.

Welche aktuellen Vorschriften regeln den Datenschutz?

Seit dem 25. Mai 2018 dient die Datenschutz-Grundverordnung (DSGVO) als Rahmen für die Erhebung und Verwaltung von Daten in der EU. Die DSGVO hat die Vorschriften für alle öffentlichen und privaten Stellen, die personenbezogene Daten innerhalb der EU verarbeiten, standardisiert. Zu den wichtigsten beteiligten Stellen gehören folgende:

  • In der EU gegründete Unternehmen wie Start-ups, kleine und mittelständische Unternehmen, große Unternehmen, Verbände, Berufsgenossenschaften und öffentliche Einrichtungen

  • Ausländische Unternehmen, die sich an europäische Bürgerinnen und Bürger richten

  • Verarbeiter, die personenbezogene Daten im Auftrag anderer Unternehmen erfassen und verwalten

Ein Unternehmen mit Sitz in China, das in Frankreich personenbezogene Daten einer Einzelperson verarbeitet, muss beispielsweise die DSGVO einhalten.

Welche Behörde ist in Frankreich für den Datenschutz zuständig?

Die Nationale Kommission für Informationstechnologie und bürgerliche Freiheiten (Commission nationale de l’informatique et des libertés, CNIL) überwacht den Schutz personenbezogener Daten, die von öffentlichen und privaten Stellen erhoben werden. Die CNIL unterstützt Unternehmen bei der Einhaltung der geltenden Vorschriften und ist dafür verantwortlich, Sanktionen gegen diejenigen zu verhängen, die die Vorschriften nicht einhalten.

Was sind die Grundsätze der Datenschutz-Grundverordnung (DSGVO)?

Die DSGVO basiert auf mehreren Grundsätzen. Die Verarbeitung personenbezogener Daten muss rechtmäßig, transparent, zeitlich befristet und sicher erfolgen und darf nur dann stattfinden, wenn dies erforderlich ist (d. h. Datensparsamkeit). Weitere Informationen zu jedem Grundsatz finden Sie hier:

  • Rechtmäßiger Zweck
    Jedes Mal, wenn personenbezogene Daten verarbeitet werden, muss es eine rechtliche Grundlage dafür geben, die dies rechtfertigt. Daher kann ein Unternehmen personenbezogene Daten nicht ohne bestimmtes und legitimes Ziel erheben.

  • Transparenz
    Alle Einzelpersonen müssen über ihre Rechte und die Erhebung ihrer Daten informiert werden. Es ist wichtig, dass Unternehmen die Umsetzung der Rechte der Einzelpersonen erleichtern.

  • Datensparsamkeit
    Ein Unternehmen sollte nur Daten erheben, die unbedingt erforderlich sind, um diese Ziele zu erreichen.

  • Begrenzte Dauer
    Die Dauer der Datenspeicherung muss ein festgelegtes Enddatum haben. Das Unternehmen muss eine klare Richtlinie zur Datenspeicherung erarbeiten.

  • Sicherheit
    Das Unternehmen muss Sicherheitsmaßnahmen ergreifen, um die erfassten personenbezogenen Daten zu schützen.

Hinweis: Auch Verarbeiter, die personenbezogene Daten im Auftrag eines Unternehmens verarbeiten, sind zur Einhaltung der DSGVO verpflichtet.

Welche Anforderungen legt die DSGVO fest?

Die DSGVO verlangt von einem Unternehmen, die Personen, deren Daten es erfasst, transparent zu informieren. Dazu müssen Unternehmen die Einwilligung der Betroffenen einholen, die Wahrnehmung von Kundenrechten erleichtern, ein Verarbeitungsverzeichnis führen und die Datensicherheit gewährleisten.

Einzelpersonen informieren

Ein Unternehmen muss alle Einzelpersonen, deren personenbezogene Daten es erfasst, über diese Erfassung informieren. Die Informationen müssen klar und deutlich kommuniziert werden und folgende Angaben enthalten:

  • Identität und Kontaktinformationen des Verarbeiters (z. B. Manager)

  • Grund für die Verarbeitung

  • Rechtliche Grundlage für die Verarbeitung (z. B. Einwilligung einer Einzelperson, Ausführung eines Vertrags, rechtliche Anforderung)

  • Obligatorischer oder optionale Datenerhebung

  • Empfänger/innen der personenbezogenen Daten

  • Dauer der Datenspeicherung

  • Kundenrechte

  • Recht auf eine Beschwerdeeinreichung bei der CNIL

  • Vorliegen einer Datenübertragung in ein Land außerhalb der EU, falls zutreffend

Fehlende Informationen können zu einer Geldbuße von bis zu 1.500 EUR für Einzelunternehmer/innen und 7.500 EUR für Unternehmen führen. Unternehmen müssen die Informationen Zeitpunkt der Datenerhebung, bei späteren Änderungen oder innerhalb einer angemessenen Frist von einem Monat (z. B. bei indirekter Datenerhebung) zur Verfügung stellen.

Zustimmung einholen

Unternehmen müssen auch die Zustimmung ihrer Kundinnen und Kunden einholen, wenn Folgendes auf sie zutrifft:

  • Sie verwenden Cookies

  • Sie versenden Werbe-E-Mails

  • Sie erfassen sensible personenbezogene Daten

  • Sie verwenden Daten für andere Zwecke wieder

Kundinnen und Kunden müssen für jeden einzelnen Zweck eine unabhängige Zustimmung erteilen können, wenn mehrere Zwecke vorliegen. Unternehmen dürfen keine standardmäßig aktivierten Kontrollkästchen verwenden.

Hinweis: Die fehlende Zustimmung kann mit einer Freiheitsstrafe von bis zu fünf Jahren und einer Geldstrafe von 300.000 € für Einzelunternehmer/innen bzw. 1,5 Millionen € für Unternehmen bestraft werden.

Gewährleistung individueller Rechte

Unternehmen sind verpflichtet, die Rechte der Einzelpersonen zu respektieren, deren Daten sie verarbeiten. Dazu gehören das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Widerspruch gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Es ist wichtig, dass Unternehmen Einzelpersonen die Ausübung ihrer Rechte so leicht wie möglich machen.

Führen schriftlicher Aufzeichnungen über Verarbeitungsaktivitäten

Die Aufzeichnung der Verarbeitungsaktivitäten kann Einblicke in alle abgeschlossenen Aktivitäten geben. Für Unternehmen mit mehr als 250 Mitarbeitenden ist die Führung von schriftlichen Aufzeichnungen verpflichtend.

Gewährleistung sicherer Daten

Für die Gewährleistung der Datensicherheit ist es wichtig, stabile Mechanismen zu schaffen. Unternehmen können die folgenden Strategien umsetzen:

  • Verpflichtende Kundenautorisierung und Zugriffsbeschränkungen

  • Tägliche Protokollierungssysteme für sicher nachvollziehbare Aktivitäten

  • Automatische Sperrmechanismen, Firewalls, Antivirensoftware und virtuelle private Netzwerke (VPNs)

  • Regelmäßige Backups und Archivierung von Daten, die nicht täglich verwendet werden

Sie können Stripe Checkout direkt in Ihre Website integrieren, um die Sicherheit der Kundendaten zu erhöhen. Checkout vereinfacht die Eingabe und Wiederverwendung von Zahlungsdaten von Kundinnen und Kunden und gewährleistet gleichzeitig die datenschutzkonforme Verwaltung sensibler Kartendaten.

Sonstige Verpflichtungen

Wenn ein Unternehmen in großem Umfang personenbezogene Daten verarbeitet, muss es womöglich einen DSB benennen. Wenn die Verarbeitungsaktivitäten eines Unternehmens ein erhöhtes Risiko für die Rechte und Freiheiten seiner Kundinnen und Kunden darstellen, wird außerdem eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) obligatorisch.

Wenn personenbezogene Daten außerhalb der EU übermittelt werden (z. B. Daten, die an eine Tochtergesellschaft in China oder einen Auftragnehmer/eine Auftragnehmerin im Ausland übermittelt werden), müssen Unternehmen die Zustimmung der Europäischen Kommission einholen. Damit das Unternehmen seine Daten übertragen kann, muss ein Angemessenheitsbeschluss gefasst werden.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Checkout

Checkout

Binden Sie Stripe Checkout in Ihre Website ein oder leiten Sie Ihre Kundschaft auf eine von Stripe gehostete Seite weiter, um einmalige Zahlungen oder Abonnements einfach und sicher zu akzeptieren.

Dokumentation zu Checkout

Erstellen Sie ein Low-Code-Zahlungsformular und integrieren Sie es auf Ihrer Website oder hosten Sie es auf Stripe.