Die neue Datenschutzgrundverordnung - DSGVO

Die neue DatenSchutzGrundVerOrdnung ist schon längere Zeit gültig. Die letzte Übergangsfrist für alle Unternehmen endet am 24.5.2018; das bedeutet, ab dem 25. Mai 2018 müssen alle Vorgaben korrekt umgesetzt  sein. Mit dieser Seite wollen wir grundsätzliche Informationen, jedoch sehr deutlich KEINE Rechtsberatung leisten. Wir möchten Sie im Umgang mit der DSGVO sensibilisieren und bitten, die relevanten Fragen im Zusammenhang mit Ihren Websites oder Shops eingehend zu prüfen.

Antworten auf die grundlegenden DSGVO-Fragen finden Sie hier:

Die DSGVO kümmert sich um den Schutz personenbezogener Daten und ist in der gesamten EU gültig.

Es macht keinen Sinn, hier die komplette DSGVO in allen Details zu analysieren; dazu ist die "Betroffenheit" einfach für jedes Unternehmen sehr unterschiedlich.

Mit der folgenden Bitkom-Unterlage ist sicherlich ein schneller Einstieg in die Materie möglich. Das kompakte Kompendium gibt auf ca 10 Seiten einen guten, schnellen Einblick.

Aus dem Gesetz:
"Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

JA!  JEDES Unternehmen ist betroffen, wenn es mit personenbezogenen Daten umgeht.

  • Lohndaten der Mitarbeiter
  • E-Mail-Adressen der Kunden, Interessenten oder Geschäftsfreunde
  • Anfrage- und Auftragsdaten
  • Newsletter-Abonnenten
  • Bewerbungen
  • Daten aus Website- oder Shopformularen

Grundsätzlich spielt die Art der Kommunikation KEINE Rolle; auch ein Brief oder eine allgemeine Bewerbung macht betroffen.

Auch wenn Facebook tun und lassen kann, was es will: Jedes Unternehmen in Deutschland ist ein potentieller Straftäter und als solcher qua Definition schon mal Ausgangspunkt für Missbrauchsattacken gegen brave und unbescholtene Bürger.

Und weil das alles so schlimm ist, wenn man persönliche Briefe (ja die Papierform ist auch Datenverarbeitung) und Emails schreibt, muss man daher jeden Mitarbeiter, der dies tut bei der gewollten Grenze von 9 Personen berücksichtigen. Und NEIN, Azubis und Teilzeitkräfte zählen nicht anteilig. Auch sie könnten ja Daten verlieren... oder eine Email an einen falschen Adressaten senden!

Daher gilt: Ab 9 Mitarbeitern, die personenbezogene Daten IRGENDWIE nutzen, braucht es nun einen Datenschutzbeauftragten (DSB).

Die dafür i.d.R. notwendigen ~10.000€ p.A. sind ja für jedes Unternehmen kein Problem und können dazu sicherlich (das will man uns ja auch glauben machen) per Bafa - Förderantrag unterstützt werden. Also kein Problem.

 

In der Literatur (und insbesondere von Anwälten) wird diskutiert, was denn die notwendige Fachkunde ausmacht. Allen Ernstes wird diskutiert, ob denn ENTWEDER EIN Jura- ODER Informatikstudium denn überhaupt ausreichende Kenntnis vermuten lässt. Es ist spannend zu verfolgen, was dort richterlich entschieden wird. Denn: Ein unqualifizierter DSB gilt rechtlich als nicht bestellt.

 

Sorry für die Tonalität. Aber ich habe echt Probleme mit diesem Generalverdacht gegen Jeden. Gerade auch und weil die meisten Spam-Mails nunmal nicht EU-Herkunft sind und sich also mit unserer neuen Vorgehensweise in keinster Weise eindämmen lassen.

 

Und auch, weil man leider erkennen muss, dass Datenschutz nicht bedeutet, dass ich im Internet nicht mehr verfolgt werde. Die Großkonzerne á la Facebook und Google haben ALLE Möglichkeiten, uns ohne Cookies und sonstige Dinge genauestens auszuspionieren. Ich finde es blamabel, dass man denen alles glaubt (incl. anonymer Speicherung), und es dennoch möglich ist, Werbung auf Nutzergruppen mit bestimmten Vorlieben und Wünschen auszuspielen. Das wird nirgendwo unterbunden. Jetzt nicht und auch nicht in Zeiten der neuen DSGVO.

Wie gut ist ihr Unternehmen schon auf die DSGVO vorbereitet? Das bayerische Landesamt für Datenschutzaufsicht (LDA) hat dazu ein Tool entwickelt, dass Ihnen eine schnelle Bewertung Ihrer Kenntnisse und Ihres Status ermöglicht.

Hier geht es zum Online-Test

Und wenn Sie genau schauen, dann werden Sie auch den - unter allen Datenschützern der Länder abgestimmten - Fragebogen finden, der ab Ende der Übergangsfrist an die Unternehmen versandt werden wird. Gehen Sie also nicht davon aus, dass die Prüfung irgendwann mal angegangen werden wird.

Folgende Themen könnten u.a. relevant sein:

  • AV - Vertrag (Auftragsverarbeitungsvertrag)
    Grundsätzlich ist für die Nutzung von externen Datenverarbeitungen ein Auftragsverarbeitungsvertrag zu schließen, sofern dem Auftragnehmer nicht (wie z. B. bei Ihrem Steuerberater) eine eigene Gestaltung bei der Abwicklung des Auftrags zusteht.
    Da beim Hosting von Websites grundsätzlich IP-Adressen in Log-Dateien auftauchen und diese qua Rechtsprechung personenbezogene Daten sind, ist es notwendig für jedes Hosting einen entsprechenden Vertrag zu schließen. 
    Den Vertrag mit uns können Sie direkt hier laden.
  • SSL-Verschlüsselung
    Grundsätzlich ist die Übermittlung personenbezogener Daten (z.B. Email) über unverschlüsselte Formulare VERBOTEN.
    Alle Websites, bei denen kein Schloß links in der Browser-Zeile gezeigt wird, sollten also ein sog. SSL-Zertifikat installieren lassen. Hierzu erhalten alle unsere Kunden in den kommenden Tagen weitere Informationen.
  • Datenschutzbestimmungen
    Sie benötigen mit hoher Wahrscheinlichkeit neue Datenschutzbestimmungen. Bitte prüfen Sie Ihre Formulierungen auf Aktualität.
  • Formulare
    Es gilt das grundsätzliche Gebot der Datenminimierung. Daraus folgert, dass alle Formulare nur die zwingend notwendigen Daten abfragen sollten. Bitte prüfen Sie Ihre Formulare auf die Einhaltung der Vorgaben. Gehen Sie davon aus, dass jedes zusätzliche Datum (Singular von Daten) sowohl in der Datenschutzbestimmung erläutert werden sollte, als auch im grundsätzlich für jedes Unternehmen notwendige Verfahrensverzeichnis aufgenommen werden sollte.
  • Formulardaten
    Formulardaten werden u.U. längerfristig auf dem Server gespeichert. Bitte sorgen Sie nach dem Gebot der Datenminimierung dafür, dass die Daten nur so lange gespeichert bleiben, wie sie für die Verarbeitung notwendig sind. Im Falle einer direkten Übermittlung z.B. per Email an Ihr Unternehmen, könnten diese Daten kurzfristig automatisiert gelöscht werden. Bitte tragen Sie in alle Formularkonfigurationen die notwendige Speicherdauer ein, damit unsere Systeme die Daten nach Ihren Vorgaben löschen kann.
  • Online-Services
    Unter Umständen bieten Sie weitere Services auf der Website an (Bewerbungsmanagement, Konfiguratoren, Merkzettel, etc), die personenbezogene Daten beinhalten. Bitte sorgen Sie für eine adäquate Speicher-, Archivierungs- und Löschvorgehensweise sowie für eine Berücksichtigung in Datenschutzbestimmung und Verfahrensverzeichnis.
  • Newsletter
    Newslettersysteme beinhalten eine Reihe von Themen, die allesamt in den Datenschutzbestimmungen sowie auch im Opt-In erläutert werden sollten, damit sie Gültigkeit behalten.
    • Empfänger-Adressen
      Wie bisher benötigen Sie hierfür einen Opt-In-Nachweis! Dies ist bei über unsere Anmeldeformulare eingetragenen Adressen gegeben; sollten Sie die Daten importiert haben, so müssen Sie nachweisen können, dass Ihnen eine Erlaubnis für den Versand erteilt wurde.
    • Aktions-Daten
      Ein Newslettersystem erstellt häufig Statistiken zur Zustellung, trackt u.U. Aktionen eines Benutzers zur Bildung von Profilen, die dann zur Optimierung der an die Adresse zu versendenden Nachrichten dienen.

Bei Fragen zu Ihrer Website oder zu Shops wenden Sie sich gern per E-Mail an die Ihnen bekannten Ansprechpartner. Wir werden uns bemühen, Ihnen bei allen Fragen rund um das Thema DSGVO weiter zu helfen.

Sie sollten frühzeitig die Weichen für die DSVGO stellen. Die Zeit und die Rechtsprechung werden die bestehenden Interpretationsfragen sicherlich demnächst beantworten.