Die Datenschutz-Grundverordnung – DSGVO im Detail!

In wenigen Wochen ist es soweit: die neue Datenschutz-Grundverordnung (DSGVO) kommt. Mit der am 25. Mai 2018 in Kraft tretenden DSGVO möchte die Europäische Union einen einheitlichen Rechtsrahmen für die Speicherung und Verarbeitung personenbezogener Daten schaffen. Die neuen Regeln sind für alle verbindlich, die personenbezogene Daten von Kunden in der EU erheben. Bei Nichteinhaltung drohen drastische Sanktionen.

Es bleibt nicht mehr viel Zeit, sich auf die neuen Gegebenheiten und Regeln vorzubereiten. Dieser Artikel erklärt, worauf es jetzt ankommt. Wer sich ausführlich über die Datenschutz-Grundverordnung informieren will, kann sich hier einen kostenlosen Ratgeber zur DSGVO herunterladen oder unter diesem Link einen ausführlichen DSGVO-Guide von t3n kaufen.

Was ist die neue Datenschutz-Grundverordnung?

Bei der DSGVO handelt es sich um ein EU-Gesetz, das einen einheitlichen Rechtsrahmen in Europa schaffen soll. Unternehmen sollen damit künftig verpflichtet werden, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Insgesamt umfasst das Gesetz 99 Artikel. Aufgrund seiner Komplexität wissen viele nicht, was nun zu tun ist.

Eins steht allerdings bereits jetzt fest: Die Strafen bei Nichteinhaltung sind drastisch und können besonders kleinen Unternehmen empfindlich wehtun. Auch besteht ein hohes Risiko von Abmahnungen auf Initiative von Verbraucherschützern, Konkurrenten oder Verbänden. Es wird zwar aktuell noch nicht damit gerechnet, dass sofort nach dem Inkrafttreten der DSGVO hohe Bußgelder durch die Aufsichtsbehörde verhängt werden, doch trotzdem sollte das Thema schnell angegangen werden. Sicher wittern Abmahnanwälte bereits jetzt eine lukrative Einnahmequelle.

DSGVO
Datenschutz

Wen betrifft die DSGVO?

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind oder eine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten. Ob Großunternehmen, Online-Händler, Freelancer oder Seminarhausbetreiber – wer für seine geschäftliche Tätigkeit persönliche Daten von Kunden erhebt, ist verpflichtet, die neuen Regelungen umzusetzen.

Der Dreh- und Angelpunkt sind personenbezogene Daten. Dies sind alle Informationen, die eine Person identifizierbar machen können. Dazu zählen unter anderem:

  • Name, Adresse, Geburtstag
  • E-Mail-Adresse, Telefonnummer
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten, IP-Adressen und Cookies

Was muss für die Umsetzung der DSGVO getan werden?

Zuerst gilt es, ein detailliertes Konzept über das Vorgehen zu entwickeln und die gesamte Datenschutzorganisation einer Bestandsaufnahme zu unterziehen. Im Unternehmen sollte es einen Verantwortlichen geben, der sicherstellt, dass sensible Daten stets mit den aktuellen gesetzlichen Vorschriften konform verarbeitet werden.

Prozessanalyse

Eine detaillierte Analyse sämtlicher Datenverarbeitungsaktivitäten und Sicherheitsprozesse hilft zu ermitteln, welche Bereiche den neuen Regelungen der DSGVO unterliegen. Um festzustellen, welche Daten wann, wo und warum gespeichert werden, gilt es, sämtliche Datenverarbeitungsaktivitäten im Unternehmen zu überprüfen. Im Seminartourismus könnten das unter anderem Daten zu Anfragen und Buchungen sein.

Wichtig ist, dass nicht nur die Kundendaten erfasst und betrachtet werden müssen. Auch unternehmensinterne Datenverarbeitungsprozesse wie Lohnbuchhaltung und Personaldatenverarbeitung, Mailingsystem und der eigene Online-Auftritt sollten analysiert werden. Dabei gilt es, folgende Punkte zu beachten:

  • Welche Informationen bekommen Betroffene vor der Erhebung und Speicherung personenbezogener Daten?
  • Auf welche Art und Weise werden die Informationen erteilt? (Print-AGB, elektronisch auf der Webseite oder als Text neben einer Checkbox?)
  • Welche Daten werden zu welchem Zweck erhoben und wie werden die erhobenen Daten gegebenenfalls weiterverarbeitet?
  • Werden Daten anonymisiert bzw. pseudonymisiert?
  • Wie lange werden Daten gespeichert?
  • An wen werden Daten weitergegeben?
  • Ist das Unternehmen alleinige verantwortliche Stelle oder bestehen zusätzliche Verantwortlichkeit weiterer Unternehmen (z. B. Auftragsverarbeitung, Lohnbuchhaltungsdienstleister)?
  • Wo werden die Daten gespeichert? (hausintern auf eigenem Server, in der Cloud oder bei anderen Dienstleistern)
  • Verantwortlicher und der Auftragsverarbeiter müssen nachweisbar geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen. Deshalb ist es wichtig, alle organisatorischen und technischen Maßnahmen zu dokumentieren.

Um genau herauszufinden, in welchem Umfang welche Daten zu welchem Zweck in den jeweiligen Verantwortungsbereich erhoben und verarbeitet werden, sollte die Analyse zunächst von den jeweils in den Bereichen Verantwortlichen durchgeführt werden. Auf der Basis der Analyse kann dann ein Verzeichnis der Verarbeitungsprozesse angelegt werden.

Verzeichnis der Verarbeitungstätigkeiten

Nach Art. 30 der DSGVO muss jedes Unternehmen ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ führen. Darin wird aufgelistet, wann, wie und warum entsprechende Daten erhoben werden. Folgende Angaben sind dabei Pflicht:

  • Name und Kontaktdaten des Verantwortlichen, ggf. auch des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorie der Empfänger, die auf die Daten zugreifen sowie diese nutzen und verarbeiten
  • Kategorie der betroffenen Personen von denen Daten erhoben werden und Kategorien personenbezogener Daten
  • Informationen zur Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an internationale Organisationen
  • Infos über die Rechtsgrundlage der Verarbeitung
  • Fristen für die Löschung und Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten
  • allgemeine Beschreibung, auf welche Art und Weise die Datenerhebung und die Einwilligung der Person erfolgt.
  • Auch hier sollte die unternehmensinterne Datenerhebung wie beispielsweise Bewerber- und Mitarbeiterdaten, Lohndaten u.a. nicht vergessen werden.

Festlegung der Prozesse und Prozesshandbuch

Nun gilt es, alle mit der Datenverarbeitung verbundenen Prozesse zu dokumentieren. Dokumentiert werden sollten folgende Informationen:

  • Art und Weise, in der Kunden über die Verarbeitung ihrer Daten informiert werden
  • Wie sollten Mitarbeiter reagieren, falls Kunden wissen möchten, welche Daten über sie gespeichert wurden?
  • Welcher Prozess wird ausgelöst, wenn Kunden die Löschung ihrer Daten verlangen? Wer ist dafür verantwortlich?
  • Wie ist der Prozess der Datenlöschung organisiert, wenn das Ziel der Datenspeicherung erreicht ist?
  • Was passiert, falls es zu einem Datenleck kommt und Kundendaten in falsche Hände gelangen können?
  • Wie werden die Mitarbeiter geschult?

Datenschutz-Folgenabschätzung

Unternehmen, die mit sensiblen Daten arbeiten, sind verpflichtet, besonders umsichtig mit den erhobenen Daten umzugehen. Betroffen sind Unternehmen, deren erhobene Personendaten eine Identifizierung und Kategorisierung von Personen etwa nach Sexualität, Krankheiten, Finanzen oder politischer Gesinnung ermöglichen. Dies könnte beispielsweise in Arztpraxen, Pflege- und Gesundheitseinrichtungen oder im Versicherungsgewerbe der Fall sein. Solche Unternehmen können unter Umständen verpflichtet sein, gegebenenfalls zusammen mit dem Datenschutzbeauftragten, eine so genannte Datenschutz-Folgeabschätzung durchzuführen. Diese muss mindestens folgende Angaben enthalten:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Zwecke der Verarbeitung.
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz personenbezogener Daten sicherstellen

Die Landesdatenschutzbehörden geben hier gern in beratender Funktion Hilfestellung. Sofern ein Datenschutzbeauftragter benannt wurde, ist dieser grundsätzlich in die Durchführung einer Datenschutz-Folgenabschätzung einzubeziehen (Art. 35 Abs. 2 DSGVO).

Dokumentationspflicht

Die Dokumentationspflicht ist ein zentrales Thema bei der Umsetzung der Datenschutz-Grundverordnung. Jede Anpassung muss dokumentiert werde und alle genannten Dokumente sind stets aktuell zu halten. Darüber hinaus sind auch die Anstrengungen festzuhalten, die unternommen werden, um alle Vorgaben zu erfüllen. Beispielsweise ist zu dokumentieren:

  • Schulungen und Seminare zur Fortbildung des Datenschutzbeauftragten
  • Welche Firewall wurde wann installiert und aktualisiert?
  • Welche Verträge wurden mit Dienstleistern geschlossen?

Eine gute Dokumentation, die auf Anfrage unverzüglich vorgelegt werden kann, ist das sicherste Mittel, um selbst im Falle einer tatsächlichen Datenpanne ohne drastische Strafen davonzukommen.

Bildquelle: Pixabay.com

Leave a Reply

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert