Skip to main content

Die DSGVO tritt am 25. Mai 2018 in Kraft

Was müssen Sie tun?

Die neue Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-Neu) treten am 25. Mai 2018 in Kraft. Betroffen hiervon sind alle Unternehmen und Vereine in der EU.

Ich empfehle die Umsetzung der DSGVO und des BDSG-Neu in 5 Schritten. Gerne unterstütze ich Sie sowohl beratend als auch aktiv bei der Implementierung und Umsetzung der verschiedenen Aufgaben und Maßnahmen.

Als geprüfter Datenschutzbeauftragter (CA) bin ich in der Lage, ihr Unternehmen oder Verein als externer Datenschutzbeauftragter zu unterstützen.

Um was geht es bei der DSGVO und dem BDSG-Neu?

Nachfolgend ein kurzer Überblick über die wichtigsten Punkte der Regelungen und die Bedeutung für Unternehmen und Vereine. Das Gesetzeswerk ist sehr Umfangreich und benötigt stets eine Individuelle Betrachtung.

Die DSGVO und das BDSG-Neu

Ab dem 25. Mai gelten in der ganzen EU die selben Regelungen zum Schutz von personenbezogenen Daten, also Daten von natürlichen Personen.

Die Verordnung und das Gesetz definieren:

  • was persönliche Daten sind
  • welche Daten eine Firma / ein Verein verarbeiten darf und auf welcher Grundlage
  • welche Rechte eine Person bezüglich ihrer Daten hat sowie
  • welche Vorkehrungen (technisch und organisatorisch) zum Schutz der persönlichen Daten zu treffen sind
  • Dokumentationspflichten des Unternehmens / des Vereins

Welche Daten sind personenbezogene Daten?

Wie bereits erwähnt handelt es sich um natürliche Personen.
Für Unternehmen sind dies üblicherweise

  1. Daten von Kunden (Endkunden oder auch Personen-Kontaktdaten bei Firmen),
  2. Daten von Lieferanten (auch Personen-Kontaktdaten von Firmen)
  3. Mitarbeiterdaten
  4. sowie andere Kontaktdaten z.B. von Mitarbeitern von Ämtern (Rathaus, Finanzamt)

Für Vereine:

  1. Mitglieder
  2. Sponsoren
  3. Lieferanten


Welche Daten dürfen verarbeitet werden?

Die 2 wichtigsten Rechtsgrundlagen zur Verarbeitung sind (es existieren noch weitere):

  1. Daten, die zur Erfüllung des Zwecks erforderlich sind
  2. Daten, für die die betroffene Person ihre Einwilligung erklärt hat

Beispiel: E-Mail Adressen sind im Einzelhandel oder bei Vereinen (also bei nicht-online Vorgängen) nicht für die Erfüllung des Zwecks notwendig und bedürfen hier der Einwilligung der Person. Das Gesetz sieht eine Kategorisierung der Daten vor, die dann einzeln betrachtet werden müssen.

Was sind die Rechte der Personen?

  • Informationspflicht (wenn Sie Daten speichern)
  • Auskunftsrecht (welche Daten Sie speichern)
  • Recht auf Berichtigung, Löschung und Datenübertragung
  • Widerspruchsrecht

Auf diese Rechte der Personen muss stets hingewiesen werden (z.B. in der Datenschutzerklärung der Webseite), ebenso müssen Prozesse implementiert werden, die die Rechte umsetzbar machen.

Welche Vorkehrungen muss ein Unternehmen / Verein treffen?

Vorkehrungen zum Schutz der Daten bedeuten nicht nur Schutz vor unbefugter Nutzung Dritter (also Vertraulichkeit), sondern auch:

  • Pseudonymisierung (Bsp: Google Analytics)
  • Verschlüsselung des Transports und der Aufbewahrung (SSL, Verschlüsselung von Festplatten, verschlüsselte E-Mails)
  • Integrität (Richtigkeit)
  • Verfügbarkeit (Backup/Restore)
  • Verfahren zur regelmäßigen Überprüfung der Maßnahmen

Auftragsverarbeitung

Wenn Sie Dienstleister nutzen (z.B. Webhoster, Webagenturen, Softwarehäuser, Marketingagenturen,..) die Zugriff auf personenbezogene Daten haben, müssen Sie mit diesen Auftragsverarbeitungsverträge abschließen. 

Verarbeitungsverzeichnis

Die Dokumentationspflichten sind vielfältig, wichtig ist zu allererst das Führen eines Verarbeitungsverzeichnis, in dem alle Verfahren mit Datenkategorien aufgelistet werden müssen, bei dem persönliche Daten verarbeitet werden, inklusive der dafür gegebenen Rechtsgrundlage.

In der DSGVO wird die Pflicht auf führen eines solchen Verzeichnisses etwas begrenzt. Nur wenn in Ihrem Unternehmen oder Verein 10 oder mehr Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind bzw. ab 250 Mitarbeiter muss ein Verarbeitungsverzeichnis erstellt und gepflegt werden.

Jedoch trifft der Datenschutzbeaufragte von Baden-Württemberg in seinem Hinweis-Dokument folgende Aussage:

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Ich empfehle Ihnen das Führen eines solchen Verzeichnisses. Technische und organisatorische Maßnahmen zu analysieren, implementiern und dokumentieren ist wesentlich einfacher mit einem solchen Verarbeitungsverzeichnis.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) ist zu bestellen, wenn in Ihrem Unternehmen oder Verein 10 oder mehr Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Wenn ein DSB für Sie verpflichtend ist, muss er der für Ihr Bundesland zuständigen Behörde gemeldet werden.

Die Kontaktinformation des DSB muss in der Datenschutzerklärung Ihrer Webseite stehen.

Wenn Sie zur Entscheidung kommen, keinen DSB bestellen zu müssen so sollten Sie dies dokumentieren.

In der Information zum DSB schreibt das Datenschutzamt von Baden-Württemberg:
Ungeachtet dessen ist die Benennung generell zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit gegebenenfalls aufsichtsbehördliche Maßnahmen zu vermeiden.

Wenn kein DSB benannt wird, müssen die Aufgaben des DSB vom "Verantwortlichen" übernommen werden.

Ich empfehle daher auf jeden Fall ein Person im Unternehmen oder im Verein als Datenschützer auszuwählen, unabhängig ob dieser dann gemeldet wird oder nicht.

Meldepflichten

Neu ist die Meldepflicht bei Verletzungen des Schutzes. Innerhalb von 72 Stunden muss dies bei der zuständigen Landesdatenschutzbehörde gemeldet werden; bei hohem Risiko auch unverzüglich der betroffenen Person.

Bußgelder

Drastisch geändert haben sich zudem die Bußgelder, diese sind nun wesentlich höher (20 Mio € oder bis zu 4% des Jahresumsatzes). 

Diese hohen Summen dienen natürlich in erster Linie auch als "Abschreckung" für größere Konzerne. Aber auch für kleinere und mittlere Unternehmen bzw. Vereine können Verstöße nun deutlich teurer werden.

Wichtig zu wissen ist im Bezug auf die Bußgelder: Konkurrenten oder Wirtschaftsverbände können Sie bei Mißachtung des Datenschutzes verklagen. Die meisten Bußgelder wurden und werden durch diesen Weg eingeleitet.

Ich empfehle daher lieber etwas zu viel Datenschutz als zuwenig.

Definitionen

Nachfolgend ein paar wichtige Definitionen der DSGVO

Was sind persönliche Daten?

Artikel 4 DSGVO Nr. 1:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Vorname, Name, Geburtsdatum sind persönliche Daten. Aber auch die IP-Adresse zählt dazu. Wenn Sie also eine Homepage betreiben und der Server die IP-Adressen loggt, speichern Sie persönliche Daten!

Welche Art von Verarbeitung ist betroffen?

Artikel 4 DSGVO Nr 2:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Verarbeitung bedeutet somit das

  1. Erfassen
  2. Bearbeiten
  3. Nutzen

von personen-bezogenen Daten

Artikel 4 DSGVO Nr. 6:

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

"Verarbeitung" und "Dateisystem" setzt daher nicht zwingendermaßen einen Computer voraus. Auch wer mit Datei-Systemen aus Papier (Karteikarten) arbeitet, muß sich an die DSGVO halten und deren Vorgaben umsetzen!

Auch geht es in der DSGVO nicht nur um Webseiten. Wenn Sie Kunden- Lieferanten- oder Mitarbeiterdaten in einer Excel-Datei führen oder ein Kundendaten in einem Rechnungsprogramm speichern - auch dann gilt die DSGVO!

Wer ist für die Umsetzung verantwortlich?

Artikel 4 Nr. 7:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Bei kleinen und mittleren Unternehmen ist also der Inhaber bzw. Geschäftsführer, bei Vereinen der Vorstand dafür verantwortlich, dass die Regelungen und Gesetze eingehalten und die entsprechenden Maßnahmen durchgeführt werden.