Dopo il GDPR arriva il regolamento e-Privacy

Nach der DSGVO kommt jetzt die ePrivacy-Verordnung

Falls du dich schon gefreut hast, dass du dich ausruhen kannst, weil dein Datenschutzkonzept erfolgreich eingeführt wurde, dann war das leider verfrüht. Denn es wartet schon die nächste Überraschung auf dich: Die ePrivacy Verordnung steht nämlich bereits in den Startlöchern.

Foto: Pixabay.com, copyright by TBIT, 1203603, CC0 1.0

Warum eine weitere Verordnung?

Die geplante ePrivacy Verordnung ist keine ganz neue Idee, sie rückt aber aufgrund der zunehmenden Digitalisierung wieder stärker in den Vordergrund. Diese Verordnung ist nämlich mehr oder weniger eine Spezialverordnung zu einem bestimmten Bereich der DSGVO, nämlich der elektronischen Kommunikation. Daher hätten eigentlich beide Regelungen ursprünglich gleichzeitig in Kraft treten sollen. Nur leider hinken die Entwürfe und der Zeitplan ein wenig hinterher. Dieser Bereich war bisher im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) vom 12. Juli 2002 schon geregelt und sollte jetzt durch die e-Privacy-Verordnung neu geregelt werden.

Worum geht es in der ePrivacy-Verordnung?

Grundsätzlich soll mit dieser Verordnung europaweit auf EU-Ebene ein spezieller Schutz der Kommunikationsdaten von öffentlich zugänglichen Kommunikationsdiensten erreicht werden. Sie soll viele Regelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) ablösen.

Die Verordnung soll dann, genau wie die DSGVO, in allen Mitgliedstaaten der EU unmittelbar gelten, aber ebenfalls über Öffnungsklauseln individuell ausgestaltet werden können. E-Privacy soll sich auch nicht nur auf die Verarbeitung personenbezogener, sondern auch auf die nicht personenbezogenen Daten beziehen und sowohl natürliche als auch juristische Personen schützen.

Welche elektronischen Kommunikationsformen zählen dazu?

Dabei geht es vor allem um Tracking und Targeting, Messaging-Dienste, Freemail-Dienste, Cookies oder andere Kommunikationen via Internet. Betroffen sind also zunächst der Internetzugang samt Internettelefonie und vor allem die Sozialen Medien. Außerdem Personal Messaging, Instant-Messaging-Dienste und webgestützte E-Mail-Dienste.

Inwiefern sind die Unternehmen davon betroffen?

Dein Unternehmen ist in besonders hohem Maße von der neuen Regelung betroffen, wenn du mit Online-Marketing oder Direktwerbung arbeitest. Denn sobald die neue Regelung in Kraft getreten ist, musst du verstärkt auf eine regelkonforme Umsetzung deiner Werbung in den Nachrichtendiensten achten. Es ist wichtig, dass deine Cookies und dein Tracking legal und korrekt ausgeführt werden, um Strafen zu vermeiden. Zudem ist natürlich deine komplette E-Mail-Kommunikation davon betroffen.

Die wichtigsten Inhalte

Bisher ist noch keine endgültige Regelung verabschiedet und es liegen unterschiedliche Entwürfe vor. Dennoch werden einige Punkte ganz besonders wichtig werden. Darunter das Recht auf Vergessenwerden, sodass die Nutzer ihre Einwilligung zur Datennutzung jederzeit widerrufen und aus der Datenbank der Unternehmen entfernt werden können.

Dazu kommt, dass das Kopplungsverbot weiter ausformuliert werden wird. Denn bereits jetzt dürfen Unternehmen auf ihren Webseiten nicht die Sichtbarkeit der Inhalte davon abhängig machen, ob der Besucher einwilligt oder nicht. Vor allem für Direktwerbungen der Unternehmen wird die Situation schwieriger. Privatpersonen dürfen nicht mehr mit Werbung belästigt werden, da diese als „unerbetene Kommunikation“ gilt. Auch Kunden müssen die Möglichkeit haben, der Werbung zu widersprechen.

Auch die Privatsphären-Einstellungen müssen optimiert werden. Der Browser muss aber trotzdem leicht zugänglich sein. Dafür ist ein verstärkter Schutz gegen unbefugte Zugriffe notwendig. Im Bereich der Telefonie wird die Rufnummernunterdrückung eingeführt. Sie wird nur noch angezeigt und im Telefonbuch eingetragen, wenn der Anschlussinhaber ausdrücklich zustimmt.

Spezialfall: Cookies

Die Verarbeitung und Speicherung von Nutzerdaten beim Tracking und Targeting sowie bei Cookies, also beispielsweise mit dem beliebten Google Analytics, ist für Firmen verboten, wenn der Nutzer nicht ausdrücklich einwilligt. Das ist ein großes Problem für die Marketing-Abteilungen jeder Firma, die auf die Internetwerbung angewiesen ist.

Es werden aber Ausnahmen erlaubt. Denn die Seitenbetreiber dürfen noch solche Cookies erfassen, die sie dringend benötigen, damit die wesentlichen Funktionen der Webseite ordnungsgemäß funktionieren. Schon jetzt gibt es dafür die bekannte Opt-out-Lösung, bei der der Nutzer darüber informiert wird, dass der Seitenbetreiber einige Daten sammeln möchte. An dieser Stelle kann dann der Nutzer entscheiden, ob er den Cookies zustimmt oder sie ablehnt.

Doch in der verschärften Vorschrift der e-Privacy-Verordnung (Artikel 8) sieht der momentane Vorschlag so aus, dass jede Datenerhebung vom Gerät des Endnutzer und jegliche Verarbeitung und Speicherung verboten ist. Dazu kommt, dass auch die Informationserhebung über das genutzte Endgerät unzulässig ist.

Kritik am Konzept

Für die Nutzer ist der verstärkte Datenschutz zu begrüßen. Da von diesem Thema besonders das Marketing der Firmen in Gefahr ist, ist die geplante Verordnung den Großkonzernen ein Dorn im Auge. Sie will nämlich unter anderem erreichen, dass die Nutzer ihre Zustimmung zu dieser werblichen Verwendung geben müssen, damit sie legal ist. Und wer möchte sich schon pausenlos mit Werbung verfolgen lassen?

Verständlicherweise sind die großen Konzerne daher nicht besonders erfreut über geplante Einschränkungen. Datenschützer und Verbraucherschützer freuen sich jedoch und setzen sich für einen hohen Schutz sowie strenge Regelungen ein.

Verzögerung bei der Umsetzung

Mittlerweile liegen in Brüssel daher bereits viele unterschiedliche Entwürfe für die e-Privacy-Verordnung vor, von denen sich jedoch noch keiner durchgesetzt hat. Nach aktuellem Stand ist auch vor Ende des Jahres 2019 noch nicht damit zu rechnen, dass ein endgültiger Entwurf vorliegen wird.

E-Privacy nicht auf die leichte Schulter nehmen

Die Verordnung wird unweigerlich kommen und mit ihr eine verschärfte Umsetzung des Datenschutzes, der gut geplant werden sollte. Denn bei der Nichteinhaltung der Vorschriften droht hier ein ebenso hoher Schadensersatz und ein Bußgeld wie bei der DSGVO. Das kann teuer werden, denn für die Bußgelder werden ebenfalls bis zu 20 Millionen Euro vorgesehen sein.

Vorbereitung mit professioneller Unterstützung

Noch ist unklar, ab wann die ePrivacy-Verordnung kommt. Doch genau wie bei der DSGVO ist eine gut geplante und vorbereitete Umsetzung wichtig. Und da dies erfahrungsgemäß längere Zeit in Anspruch nimmt und für jeden Betrieb eine völlig neue Herausforderung darstellt, ist es hilfreich, einen Experten zu Rate zu ziehen. Und das vor allem rechtzeitig, um später nicht unter Druck die Umsetzung vorzunehmen.

Foto: Pixabay.com, copyright by geralt, 571157, CC0 1.0

Besonders Händler oder Online-Shops sollten sich jetzt schon Gedanken machen, wie sie die verschärften Regelungen umsetzen wollen. Aber auch Firmen, die bereits mit Tracking-Methoden und Online-Marketing arbeiten, sollten bereits jetzt aktiv werden.

WB Trade-IT steht dir hierfür mit seinem Expertenteam gerne zur Verfügung. Aufgrund langjähriger Erfahrung in unterschiedlichen Firmenbereichen und vor allem mit der DSGVO stehen wir dir gerne mit Rat und Tat zur Seite und begleiten dich bei der Vorbereitung, Umsetzung und später bei der notwendigen regelmäßigen Anpassung und Aktualisierung.

DSGVO – einmal umgesetzt, alles erledigt?

Wenn du dein Unternehmen mehr oder weniger pünktlich den Erfordernissen der DSGVO angepasst hast, dann ist jetzt alles in Ordnung – oder nicht? Das ist leider ein Trugschluss. Selbstverständlich waren die umfassenden Änderungen ungewohnt, anstrengend oder für einige Unternehmen schwierig, zeitaufwendig oder lästig.

Foto: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Dennoch handelt es sich um eine gesetzliche Vorschrift, die nicht umgangen werden kann. Doch nach erfolgreicher Umstellung kann man sich leider nicht auf den Lorbeeren ausruhen, sondern muss weiter am Ball bleiben. Warum das so ist und was du beachten musst, erklären wir dir hier.

Datenschutz muss laufend angepasst werden

Wenn du die ersten Umsetzungen und Anpassungen hinter dir hast, dann bist du zunächst eine Zeitlang auf der sicheren Seite. Doch deine Firma wächst und mit zunehmender Größe werden auch die Anforderungen an den Datenschutz anspruchsvoller. Es sind mehr Daten und mehr Kunden und Lieferanten mit einzubeziehen, eventuell brauchst du neue Prozesse oder mehr Mitarbeiter, die sich um alles kümmern.

Dazu kommt, dass die Technik sich laufend weiterentwickelt. Deine IT-Systeme und Software müssen daher ebenfalls ständig angepasst werden. Dazu kommen eventuell neue Computer oder Server und natürlich stets aktuelle Virenprogramme und Schutzmaßnahmen, um Sicherheitslücken abzudecken.

Das alles musst du bereits bei der ersten Anpassung an die DSGVO mit berücksichtigen oder wenigstens ab sofort organisieren. Daher bist du gut beraten, wenn du von Anfang an mit einer professionellen Dienstleistungsfirma zusammenarbeitest, die darauf spezialisiert ist. Sie kann dich laufend beraten und notwendige Anpassungen rechtzeitig empfehlen und mit dir gemeinsam umsetzen.

Hintergrund der Anpassung: Artikel 25 DSGVO

Der Grund dafür, dass du stets auf dem neusten Stand sein musst, ist eigentlich selbsterklärend, weil du nur so effektiv arbeiten kannst. Zudem wird es aber explizit in der DSGVO vorgeschrieben und zwar in Artikel 25. Dort geht es um den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“.

Dort wird unter anderem vorgeschrieben, dass „unter Berücksichtigung des Stands der Technik“ die DSGVO wirksam umzusetzen ist, um die betroffenen Personen zu schützen und den Anforderungen der DSGVO zu genügen.

Der Stand der Technik verändert sich natürlich im Laufe der Zeit und somit muss auch die Technik in deiner Firma sich laufend dem aktuellen Stand anpassen und durch geeignete neue Systeme oder neue Software und Updates angepasst werden.

Auch die Organisation muss angepasst werden

Der Punkt sieht aber auch vor, dass nicht nur die Technik, sondern auch die „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ ergriffen werden müssen.

Das ist der Grund dafür, dass du auch notfalls deine Prozesse verändern und anpassen oder die Mitarbeiter neu schulen musst. Denn nicht nur die Erneuerung deines EDV-Systems, sondern auch der Ablauf der Verarbeitung sowie die Kenntnisse der Mitarbeiter spielen eine Rolle dabei, ob der Datenschutz regelmäßig berücksichtig wird.

Artikel 25 DSGVO verpflichtet dich also, laufend die geeigneten technischen und organisatorischen Maßnahmen zu treffen, damit die Verarbeitung der Vorschrift entspricht. 

Welche Anpassungsmaßnahmen werden vorgeschrieben?

Leider erwähnt das Gesetz nicht, welche Maßnahmen du treffen musst. Im „Erwägungsgrund 78 – Geeignete technische und organisatorische Maßnahmen“ bekommst du zumindest Beispiele dafür. Konkret erwähnt wird die Pseudonymisierung, die auch in Artikel 4 der DSGVO näher bestimmt wird.

Im Erwägungsgrund 78 wird erwähnt, dass die Verantwortlichen dabei ganz besonders auf die Grundsätze des „Datenschutzes durch Technik (data protection by design)“ und „datenschutzfreundliche Voreinstellungen (data protection by default)“ achten müssen. Was ist das genau?

Data protection by design and by default

Data Protection by design – Datenschutz durch Technikgestaltung

Der Datenschutz durch Technikgestaltung bedeutet, dass er am besten eingehalten werden kann, wenn er von Anfang an bereits technisch integriert ist. Das heißt, dass du bei bereits bei der Umsetzung der DSGVO oder bei der Auswahl deiner Systeme, Software und Hardware, Anwendungen und so weiter auf die Erfüllung der Datenschutzziele achtest.

Du musst also schon während der Entwicklung deines Datenschutzkonzepts die Maßnahmen berücksichtigen und einplanen. Auch dabei kann dir ein professioneller Dienstleister wie WB Trade-IT tatkräftig zur Seite stehen, denn er hat die notwendige Erfahrung in diesem Bereich, die dir bei der ersten Erstellung möglicherweise noch fehlt.

Data Protection by default

Der Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet, dass deine Grundeinstellungen (oder in der IT auch Werkseinstellungen) schon im Moment der Entwicklung, Gestaltung, Auswahl und Nutzung der Produkte, Dienste oder Anwendungen das Recht auf Datenschutz berücksichtigen und sicherstellen. Dies soll die Verarbeitung der Daten im Sinne der DSGVO erleichtern und somit auch weniger technisch versierten Nutzern eine nutzerfreundliche und leicht verständliche Anwendung ermöglichen.

Welche Maßnahmen kannst du also ergreifen?

Da der Gesetzgeber dich im Unklaren darüber lässt, was du genau zu tun hast, bist du auf Tipps und Erfahrungen anderer Firmen angewiesen. Dass der Gesetzgeber dir aber einen Spielraum zur Ausführung der Maßnahmen lässt, ist auch ein Vorteil. Denn jede Firma hat einen individuellen Hintergrund. Und als Kleinunternehmen musst du beispielsweise andere Maßnahmen ergreifen als ein weit verzweigter Großkonzern.

Erwägungsgrund 78 schlägt beispielsweise vor:

  • Pseudonymisierung personenbezogener Daten
  • Transparenz in Bezug auf Funktionen und Verarbeitung personenbezogener Daten
  • Dass die Entwickler von Produkten, die bei der Verarbeitung personenbezogener Daten zum Einsatz kommen, bereits den Stand der Technik berücksichtigen, damit die späteren Anwender ihren Datenschutzpflichten nachkommen können.
  • Bei öffentlichen Ausschreibungen soll bereits auf die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen geachtet werden.

Weitere mögliche Maßnahmen

Die weiteren Möglichkeiten können von deiner individuellen Situation abhängen, du kannst aber über folgende nachdenken:

  • Neben der vorgeschlagenen Pseudonymisierung noch eine zusätzliche Anonymisierung der Daten vornehmen.
  • Bei gekaufter Software darauf achten, ob der Hersteller und Entwickler deine Erfordernisse schon berücksichtigt hat, wie es Erwägungsgrund 78 vorschlägt.
  • Eine Nutzerauthentifizierung einführen.
  • Das Widerspruchsrecht nach Art. 21 DSGVO technisch umsetzen und ausgestalten.
  • Zusätzliche Anregungen aus anderen Standards heranziehen, beispielsweise dem IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnologie (BSI) oder aus verschiedenen ISO-Normen.
Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0

Bei all den vorgeschlagenen Maßnahmen musst du zudem berücksichtigen, dass Art. 25 DSGVO auch möchte, dass du die Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigst. Diese musst du in Relation setzen zu den möglichen Risiken und deren Schwere und Eintrittswahrscheinlichkeit und danach die passenden Maßnahmen festlegen.

Die Risikoabschätzung ist ein sehr wichtiger Teil des Datenschutzkonzeptes, vor allem weil eine falsche Einschätzung in falschen Maßnahmen resultieren könnte, die letztlich keinen richtigen Schutz bieten können.

Daher stehen wir dir gerne mit unserem langjährigen Wissen und unserer Kompetenz beratend zur Seite. Melde dich gerne zur Vereinbarung eines Beratungstermins.

Sommer-Sonne-Datenschutz: Der Datenschutz macht keine Ferien

Jede Firma, die nach den Vorschriften der DSGVO dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, muss auch daran denken, was passiert, wenn dieser krank ist oder Urlaub hat. Denn der Datenschutz macht keine Ferien. Doch was ist in diesen Fällen zu tun? Und warum ist es so wichtig, dass jemand erreichbar sein muss?

Regelung der Urlaubsvertretung

Bei jedem Arbeitsplatz wird grundsätzlich darauf geachtet, dass während des Urlaubs eine Vertretung rechtzeitig über die aktuell offenen Fälle oder wichtigen Termine informiert wird. Dann erfolgt eine offizielle Übergabe. Diese kann in jedem Betrieb, abhängig von der Größe anders aussehen. Normalerweise können sich zwei Sachbearbeiter in derselben Abteilung leicht vertreten. Sie bekommen meist die laufenden Fälle des jeweiligen Gegenübers ohnehin mit und sind im Team über Schwierigkeiten informiert. Viele Firmen handhaben es so, dass jeder Sachbearbeiter im Urlaub- und Krankheitsfall eine feste Vertretung hat, sodass der Betrieb flüssig weiterlaufen kann. Dies ist auch im Fall des Datenschutzbeauftragten ratsam.

Vertretung des Datenschutzbeauftragten

Der Datenschutzbeauftragte kann leider nicht so leicht durch einen beliebigen Kollegen ersetzt werden, denn für diesen Posten dürfen nur Personen mit dem notwendigen Fachwissen bestellt werden.

Laut Art. 37 Abs. 5 DSGVO muss der Datenschutzbeauftragte einige wichtige Eigenschaften besitzen, damit er für die Aufgabe bestellt werden kann. Er braucht die berufliche Qualifikation, das notwendige Fachwissen im Datenschutzrecht sowie in der Datenschutzpraxis und er muss die notwendigen Fähigkeiten zur Erfüllung aller ihm zugedachten Aufgaben mitbringen.

Der Stellvertreter muss also über exakt dasselbe Profil verfügen. In vielen Firmen, besonders in kleinen Firmen, ist es schwer, bei nur wenigen Mitarbeitern gleich zwei zu finden, die über ein derartiges Fachwissen verfügen, daher greifen diese Firmen häufig darauf zurück, einen externen Datenschutzbeauftragten einzustellen. Diese professionellen Unternehmen verfügen über eine Vielzahl kompetenter Mitarbeiter und können einen solchen Urlaubs- oder Krankheitsausfall schnell abfangen.

Warum nicht das Problem erst nach dem Urlaub regeln?

Im Falle einer Beschwerde, weil ein Betroffener erkennt, dass mit seinen Daten etwas nicht stimmt, steht ihm das Recht auf eine unverzügliche Abhilfe durch den Verantwortlichen zu. Jeder Betroffene muss also den Datenschutzbeauftragten sofort erreichen können, um sein Problem vorzutragen und es regeln zu lassen. Dazu gehören beispielsweise:

  • Artikel 16 – Recht auf Berichtigung von unrichtigen personenbezogenen Daten
  • Artikel 17 – Recht auf Löschung personenbezogener Daten

Außerdem haben die Betroffenen nach Artikel 77 auch das Recht auf Beschwerde bei einer Aufsichtsbehörde. Viele werden aber nicht mit Kanonen auf Spatzen schießen und zunächst versuchen, das Problem direkt zu klären. Es wäre daher ungünstig, wenn in der Firma niemand erreichbar ist und die Betroffenen direkt über die Behörden vorgehen. Die Beschwerde kann nämlich problemlos über die zuständigen Behörden des jeweiligen Bundeslandes online veranlasst werden.

Was ist zu tun, wenn es zu einer Beschwerde kommt?

Da Beschwerden sofort bearbeitet werden müssen und die Daten unverzüglich zu berichtigen oder zu löschen sind, wenn sich die betroffene Person meldet, ist ein Stellvertreter unumgänglich. Nach Eingang der Beschwerde zeigt sich die Kompetenz in der Abwicklung und die ist unter Umständen während der Urlaubszeit erschwert. Denn wenn eine Firma nur halb besetzt ist oder möglicherweise sogar während der Betriebsferien komplett geschlossen ist, sind andere relevante Stellen, beispielsweise in der IT, auch nicht wie gewohnt erreichbar. Für solche Fälle muss im Betrieb daher ein Ablaufplan vorliegen, aus dem der Prozess ersichtlich ist, nach dem die Firma vorgehen muss. Für die Urlaubszeit muss in den Prozessablauf der Vertretungsplan integriert sein. So ist klar, wer zu kontaktieren ist, wenn Daten auf dem Server gelöscht oder berichtigt werden müssen oder in welchem Archiv welche Backups geprüft und gelöscht werden sollen.

Mangels gesetzlicher Vorschrift: Handlungstipps für die Praxis

In der DSGVO ist kein genauer Ablauf vorgeschrieben und es ist nicht geregelt, wie ein Unternehmen den Urlaubs- oder Krankenausfall zu regeln hat. Doch in der Praxis haben sich hierfür verschiedene hilfreiche Vorgehensweisen herauskristallisiert. Auch wenn ein Stellvertreter nicht im Gesetz vorgeschrieben ist, ist er die einfachste und naheliegendste Lösung. Entweder muss die Firma den Datenschutzbeauftragten und den Stellvertreter gleichermaßen schulen oder beide extern von einem qualifizierten Dienstleistungsunternehmen oder den eines Zweigwerkes rekrutieren. Ein Stellvertreter aus einem Zweigwerk hat den Vorteil, dass er sich im Unternehmen und dem verwendeten Computersystem sowie in vielen Abläufen bereits auskennt. Dadurch lassen sich Kosten bei der Einarbeitung reduzieren. Außerdem werden interne und vertrauliche Infos viel lieber an eigene Konzernangehörige weitergegeben als an Fremde. Andererseits kann nicht einfach ausgerechnet in der Urlaubszeit ein Datenschutzbeauftragter aus einem anderen Werk abgezogen werden. Zudem könnte dieses Zweigwerk auch weit entfernt sein und dieser Stellvertreter hat gar nicht die Möglichkeit, flexibel an mehreren Orten gleichzeitig nach dem Rechten zu sehen.

Wie gehst du am besten bei einer Beschwerde vor?

Der wichtigste Punkt für dich ist, dass du auf eine Beschwerde umgehend antworten musst. Wenn also eine Beschwerde eingeht, dann gibt dem Beschwerdeführer bitte sofort Bescheid, dass du seine Nachricht erhalten hast und du oder eine zuständige Person sich sofort um sein Anliegen kümmern wird. Weitere Informationen brauchst du zu diesem Zeitpunkt noch nicht übermitteln. Wenn die Beschwerde bei einer Urlaubsvertretung eingeht, die sich nicht gut mit dem Thema auskennt, dann ist es wichtig, dass sie zumindest verantwortungsbewusst und vertrauenswürdig ist und sich mit den Unterlagen des Datenschutzbeauftragten auskennt. Das bedeutet, dass sie regelmäßig seine Post und E-Mails prüft und weiß, wie sie im Notfall schnell an alle relevanten Informationen kommt und wo sich beispielsweise eine Liste für die wichtigen Ansprechpartner befindet.

Bearbeitungszeit

Gemäß Art. 12 Abs. 3 DSGVO hast du einen ganzen Monat Zeit, um den Betroffenen zu benachrichtigen. Das hört sich recht lange an. Aber da die Beschwerde einen ordentlichen Ablauf erfordert und viele Informationen bereitgestellt oder überprüft werden müssen sowie Löschungen oder Korrekturen vorzunehmen sind, ist sie durchaus angemessen. Und wenn eine Vertretungskraft es erledigen muss, die sich eigentlich nicht oder nicht gut auskennt, dann ist diese Zeitspanne genaugenommen zu kurz bemessen.

Öffentliche Information der Betroffenen

Wenn die Beschwerde nicht einen Einzelfall betrifft, sondern einen massiven Datenverlust, der mit großen Risiken verbunden ist – also beispielsweise einen unbefugten Zugang oder unbefugte Veröffentlichungen – dann musst du die Betroffenen sogar öffentlich über die Presse oder auf andere geeignete Weise informieren.

Die Aufsichtsbehörde einschalten

Außerdem musst du dann sofort der Aufsichtsbehörde Bescheid geben. Da kannst du aber nicht nur sagen, dass es einen Vorfall gegeben hat, sondern du musst die Behörde ausführlich über den Fall informieren. Dazu gehört auch, dass du die Hintergründe erläuterst und die Gegenmaßnahmen erklärst. Auch dafür benötigst du im Normalfall wegen der Vielzahl der notwendigen Daten Zeit. Und die wenigsten Unternehmen sind auf einen solchen massiven Problemfall vorbereitet, schon gar nicht eine Urlaubsvertretung, die ansonsten wenig mit dem Thema zu tun hat.

Auch deshalb ist es ein großer Vorteil, wenn du dich von einem externen Dienstleister unterstützen lässt, der große Erfahrung in diesem Bereich mitbringt und genau weiß, was zu tun ist. Diese Vorteile erklären wir dir im nächsten Abschnitt ausführlicher.

Vorteile externer Unterstützung

Damit gewährleistet ist, dass das ganze Jahr über ein kompetenter Ansprechpartner zur Verfügung steht, der Beschwerden umgehend korrekt bearbeitet, hat sich ein externer Dienstleister als beste Lösung herauskristallisiert. Besonders während der Urlaubszeit zeigt diese Lösung ihre Stärken. Und Urlaubszeit ist nicht nur im Sommer, sondern auch an Feiertagen wie Ostern oder natürlich an Weihnachten.

Spezialisten vertreten Spezialisten

Gerade wir bei WB Trade-IT haben Spezialisten auf jedem Gebiet, die in allen Unternehmensbereichen eingesetzt werden können. Eine vertrauensvolle und langfristig angelegte Zusammenarbeit ergibt das notwendige Fachwissen auf dem Gebiet und wichtige Kenntnisse der Strukturen innerhalb der zu betreuenden Firma.

DSGVO ist Routine

Während in einem Industriebetrieb die neuen Anforderungen der DSGVO noch ungewohnt sind und eventuell Schwierigkeiten bei der Umsetzung auftreten können, ist es für WB Trade-IT tägliche Routine.

Ständige Erreichbarkeit

Auch wir und unsere Experten brauchen einmal Urlaub. Doch während der Urlaubszeit kommt es zu keinerlei Einschränkungen oder Verzögerungen, da alle Experten auf demselben Stand sind und durch routinierte Prozesse und durchdachte Vertretungspläne jederzeit erreichbar sind.

Detaillierte Absprache mit dem Kunden

Unsere Leistungen und Vertretungsmöglichkeiten sowie die notwendige Bestellung legen wir im Einzelfall nach den individuellen Bedürfnissen des Kunden fest. Denn je nach Firmengröße und Branche oder eventuellen Sonderwünschen sollten unterschiedliche Punkte auch im Sinne der Endkunden besprochen werden.

Individuelle Beratung

Gerne erklären wir dir in einem persönlichen Gespräch alle unsere Möglichkeiten. Und selbstverständlich unterstützen wir unsere Kunden nicht nur bei allen Fragen rund um die Einführung der DSGVO, sondern auch in allen anderen Unternehmensbereichen.

Datenschutz online - offline

Datenschutz online und offline

Wer nicht unbedingt auf seine Webseite angewiesen ist oder meint, auf eine verzichten zu können, der hat vor lauter Panik vor der DSGVO möglicherweise zum Äußersten gegriffen und die Webseite lahmgelegt. Aus Angst dem Datenschutz sowohl online als auch offline nicht gerecht zu werden. Aber ist das die Lösung?

Nein, und zwar schon deshalb nicht, weil der Datenschutz nicht nur online, sondern auf offline gilt. Denn es sind auch Papierdaten betroffen und Akten, die bei dir im Unternehmen oder Kleinbetrieb liegen. Was musst du sowohl mit als auch ohne Online-Betrieb beachten?

Datenschutzkonzept

Da jeder Verantwortliche einen anderen Hintergrund besitzt, muss er auch mit seinem Datenschutz an verschiedenen Ecken ansetzen. Dazu solltest du dir unbedingt einmal deine Tätigkeiten notieren und jeweils eine oder mehrere Sicherungsmaßnahmen dafür festsetzen. Nur mit solch einem Datenschutzkonzept so bist du auf der sicheren Seite. Hier beschreibst Du im Detail wie du den Datenschutz online und offline umsetzt, welche Maßnahmen du ergreifst um die Daten zu schützen und wie die Vorgehensweisen sind.

Backup

Datenschutz online - offline

Datenschutz online – offline

Damit Daten nicht verloren gehen oder versehentlich gelöscht werden und vor allem, damit du auch deine Nachweise gegenüber Kunden, Auftraggebern und dem Finanzamt nicht verlierst und deine Aufbewahrungspflichten einhältst, benötigst du ein regelmäßiges Backup.

Was ist wichtig beim Backup?

Deine Daten zu sichern ist auch privat notwendig, damit du sie notfalls nach einem Computerabsturz wiederherstellen kannst. Backups sind ein wichtiger Schutz gegen „Ransomware“. Doch die Hacker haben auch dazu gelernt und greifen zuerst die Backups an, bevor sie sich daran machen, deine Daten zu klauen oder zu zerstören. Daher ist eine Offline-Datensicherung eine gute Möglichkeit, dies zu verhindern.

Ein wichtiges Stichwort beim Backup ist außerdem das „Desaster Recovery“, also die Wiederherstellung nach einem Notfall.

Dafür solltest du oder deine IT-Abteilung im Rahmen der technischen und organisatorischen Maßnahmen einen Plan entwerfen. Nach diesem Plan gehst du im Ernstfall vor, damit du sofort wieder an deine Daten kommst, um deine Firma und die täglichen Geschäfte am Laufen zu halten.

Daneben gehört auch eine „Data Discovery“ dazu. Das klingt ähnlich, bedeutet aber etwas anders. Wenn du von allen Daten ein regelmäßiges Backup machst und archivierst, dann lagern personenbezogene Daten auch in deinen Archiven. Wenn nun ein Betroffener von seinem Recht Gebrauch macht, seine Daten verändern oder löschen zu wollen, dann ist es wichtig, dass du ganz genau weißt, wo sich die Daten befinden, damit du sie auch sicher, zuverlässig und vollständig löschen kannst.

Achte beim Backup auf die Aufbewahrungsfristen. Diese liegen meist bei ungefähr 5 Wochen. Die Daten können aber in bestimmten Fällen auch länger aufbewahrt werden. Dann musst du ganz genau organisieren, wie du mit der Aufbewahrung und Sicherung umgehst, um das „Recht auf Vergessenwerden“ und die automatische Löschung der Daten nach Beendigung des Speicherungsgrundes (in den meisten Fällen der Bearbeitung eines Auftrags) umgehst, um auch nicht versehentlich (wegen Nichtbeachtung) gegen die DSGVO zu verstoßen.

Antiviren-Programme

Einmal online und zack – einen Virus oder Trojaner gefangen, der deine Daten ausliest oder vernichtet. Um das zu verhindern, benötigst du in jedem Fall einen funktionstüchtige Virensoftware, die du regelmäßig auf dem neusten Stand halten musst.

Daten-Verschlüsselung und sicherer Datenversand

Die Daten-Verschlüsselung ist auf Webseiten oder bei E-Mails über SSL ohnehin vorgeschrieben. Zertifikate kannst du sogar über Gratissoftware im Internet erstellen.

Der sichere Versand muss auch über Software oder Verschlüsselung sichergestellt werden. E-Mail-Programme haben oft eine eigene Verschlüsselung. Achte auch bei Daten in der Cloud oder beim Versand über Programme wie WeTransfer darauf.

Arbeit in der Cloud

Moderne Systeme und Programme arbeiten Cloudbasiert. Wenn du lieber keine Datenträger bei dir herumliegen haben möchtest, kannst du deine Datensicherung auch in der Cloud vornehmen und dort ein Back-up machen. Beachte dabei unbedingt, dass dein Anbieter beziehungsweise der Cloud-Server in der EU steht und damit der DSGVO unterliegt. Alle Daten, die du in die Cloud schickst, verschlüsselst du sowohl bei der Übertragung als auch bei der Archivierung.

Zugangskonzept für Zugriffe

Innerhalb des Unternehmens ist festzulegen, wer auf welche Daten Zugriff benötigt und auch bekommt. Das schließt verschiedene Maßnahmen ein:

  • Zugangscode für Gebäude oder Räume und sogar Schränke darin
  • Zugangsberechtigung für bestimmte PCs, darin Zugriff auf bestimmte Programme und notwendige Daten
  • Zugriff über Passwörter zu Programmen, die für den jeweiligen Arbeitsplatz notwendig sind.

Auch wenn du nur ein kleines Büro besitzt oder als Freelancer von Zuhause aus arbeitest, musst du unbedingt an diesen Schutz denken!

Deinen Rechner oder Laptop sowie dein Smartphone mit Kalender- und Adressdaten musst du auf jeden Fall mit einer Antivirensoftware ausrüsten und außerdem mit einem Passwort schützen.

Auch in deinem Haus oder deiner Wohnung, könnten Familienmitglieder, Besucher oder Einbrecher Einsicht in deine Akten nehmen. Um das zu verhindern, musst du auf jeden Fall den Zutritt beschränken. Je nach Räumlichkeiten elektronisch oder zu zumindest mit einem guten Schloss. Aktenschränke und Archive für Ordner und Datenträger musst du auch Zuhause zusätzlich abschließen. Du siehst, der Datenschutz online und offline ist auch im alltäglichen Umgang mit Daten nicht zu unterschätzen.

Sichere Korrespondenz – Vorsicht vor dem Mail-Verteiler

Gern übersehen und schnell passiert: Eine E-Mail geht an mehrere Personen und jeder Empfänger kann Name und E-Mail-Adresse der anderen Empfänger einsehen. Solche offenen Verteiler sind extrem gefährlich. Wie wir in unserem Artikel über Bußgelder schon erwähnt haben, wurde aus diesem Grund bereits ein Mann mit hohen Bußgeldern belegt! Achte also immer darauf, in Mails, die an verschiedene Personen gehen, alle nur in BCC zu setzen.

Sichere Lagerung

Wenn du Backup-Disketten oder andere Sicherungsmedien aufbewahrst, dann müssen diese ebenso sicher gelagert werden wie Papierdokumente. Niemand darf ohne Weiteres Zutritt zu ihnen erhalten und sie müssen auch vor Diebstahl und Verlust, also auch Hackern und Einbrechern, aber auch vor Feuer- oder Wasserschaden gesichert sein.

Sichere Vernichtung

Foto: Pixabay.com, copyright by kalhh, 979598, CC0 1.0

Wenn du Daten nicht mehr verwenden möchtest, egal ob Datenträger oder Papier, dann müssen diese auch so sicher vernichtet werden, dass die Informationen darauf nicht wiederherstellbar sind. Dafür gibt es sowohl Softwareprogramme als auch (für Papier) Reißwölfe und spezielle Entsorgungsfirmen.

Aufbewahrungspflicht beachten

Nicht nur für große Firmen, sondern auch für kleine Unternehmen oder Freelancer gilt, dass Daten (digital und Papier) nach Zweckablauf vernichtet werden müssen. Dabei musst du allerdings auf die gesetzlichen Aufbewahrungsfristen achten, die maximal 10 Jahre dauern, je nach Art der Unterlagen.

Dafür kann es nötig sein, Daten in deinem Archiv, Backup oder der Cloud länger gespeichert zu halten. Das Recht auf Vergessenwerden kollidiert hier ab und zu mit der Aufbewahrungspflicht. Aber in dem Fall geht das Steuerrecht vor.

Sind dennoch Fragen oder Zweifel übrig geblieben? Wir helfen dir gerne weiter. Unser qualifiziertes Fachpersonal steht dir telefonisch oder per E-mail für eine kostenlose Erstberatung zur Verfügung https://wbtradeit.com/rpd-responsabile-per-la-protezione-dei-dati-draft/?lang=de

Datenschutz und Marketing

Marketingmaßnahmen sind für Unternehmen wichtig zur Kundengewinnung. Am häufigsten setzen Firmen dazu zunächst die Akquise und die Werbung ein. Bei verschiedenen Anbietern kann deine Firma zu diesem Zweck sogar Adressen kaufen. Doch inwiefern kollidiert dies mit dem neuen Datenschutzgesetz und was ist dabei zu beachten? Wie bekommst du Datenschutz und Marketing unter einen Hut?

Viele Regelungen gelten genau wie zuvor im Bundesdatenschutzgesetz

Foto: Pixabay.com, Copyright by TheDigitalArtist, CCo 1.0, 1971623

Auch vor dem Inkrafttreten der DSGVO waren die deutschen Daten bereits durch das Bundesdatenschutzgesetz (BDSG) gesichert und so ist die Regelung, dass du Kundendaten nur nach Einwilligung nutzen darfst, nicht neu. Auch öffentlich verfügbare Daten (Adressen aus Telefonbüchern oder dem Impressum von Webseiten) kannst du also nicht einfach zu Werbezwecken verwenden!

Listenprivileg des § 28 Abs.3 S.2 BDSG entfällt

Bisher konntest du deine Werbesendung auch ohne vorherige Zustimmung per Post an potenzielle Kunden senden. Dafür war eine deutliche Absenderangabe erforderlich, damit der Kunde, wenn er keine weiteren Briefe bekommen wollte, gleich widersprechen konnte. Dieses Listenprivileg ist in der DSGVO nicht mehr enthalten.

Adresskauf

Der Adresskauf ist nach dem Wegfall des Listenprivilegs nicht mehr erlaubt, aber es gibt andere Schlupflöcher. Wie Dr. Conrad Lienhardt auf seiner Webseite anmerkt, können Firmen, die ihre Adressen gekauft haben, diese auch nach dem Inkrafttreten der DSGVO verwenden. Den Firmen ist im Rahmen der DSGVO die personalisierte Werbung zum Zwecke der Neukundengewinnung erlaubt. Die Erlaubnis dafür ist aus dem Erwägungsgrund ErwG 47 abgeleitet. Satz 7 besagt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Die Verarbeitung der Daten ist nämlich bei einem berechtigten Interesse des Verantwortlichen rechtmäßig, solange die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Einwilligungserklärung

Eine Bremse stellt beim Marketing die Einwilligungserklärung zum Datenschutz dar. Dabei ist es für dich wichtig, zu beachten, dass man unter einer Einwilligung eine „vorherige Zustimmung“ versteht. Also muss der Kunde dir erlaubt haben, seine Daten zu nutzen, bevor du ihm Werbematerial schickst. (Im Gegenzug dazu nennt man die nachträgliche Zustimmung „Genehmigung“).

Ohne vorherige Einwilligung wäre die Verarbeitung der Daten also rechtswidrig.

Mögliche Lösung für verschiedene Werbeoptionen

Deshalb ist es wichtig, dass du deine Abläufe so generierst, dass du sie auf diese Einwilligung auslegst. Beispielsweise kannst du es auf deiner Webseite so einrichten, dass Interessenten sich für Newsletter eintragen oder Werbematerial ausdrücklich anfordern können. Du kannst dort auch eine telefonische Beratung anbieten, die der Kunde aktivieren und damit deinen Rückruf auslösen kann. Denn die Einwilligung muss auch für Telefonwerbung zuvor gegeben werden! Dasselbe gilt übrigens auch für Gewinnspiele. Auch hier kannst du online einen Button verwenden, bei dem die Kunden ihre Zusage für die Teilnahme an einem (Online-) Gewinnspiel aktivieren können.

Natürlich bietest du alles kostenlos, unverbindlich und ohne weitere Verpflichtung an. Damit sparst du dir eine Menge Ärger und kannst Kunden ganz freiwillig zu dir kommen lassen. Gleichzeitig hast du die beliebtesten Varianten abgedeckt und kannst im Zweifelsfall für alle Maßnahmen (Werbebriefe, E-Mails, Newsletter, Telefonate, Gewinnspiele) die notwendige Einwilligung vorweisen. Du siehst, der Datenschutz ist im Marketing überall anzutreffen.

Nicht nur einwilligen auch widersprechen muss möglich sein

Du bekommst Probleme, wenn du unerwünscht Werbung versendest. Schließlich dürfen die Betroffenen der Verwendung widersprechen und verlangen, dass ihre Daten gelöscht werden. Oder anders formuliert: Sie können sich verbitten, mit unerwünschter Werbung bombardiert zu werden und müssen auf Wunsch aus dem Post- oder E-Mail-Verteiler gelöscht werden. Dazu droht dir noch ein Bußgeld.

Datenschutzerklärung anpassen, Widerspruch und Abbestellen verlinken

Zu diesem Zweck müssen sie auf der Webseite deines Unternehmens an die Datenschutzinformationen gelangen können. Wie wir dir bereits in unserem Artikel über die notwendigen Anpassungen der Webseite erklärt haben, musst du dort deine Datenschutzerklärung verlinken und dem Kunden erklären, was du mit seinen Daten machst. Dazu kommt, dass du ihm seine Rechte erklärst und wie und wo er sich von der Werbung oder den Newslettern wieder abmelden kann. Am besten sind diese Datenschutz- Information ebenfalls übersichtlich und leicht auffindbar zu verlinken. Bei allen Maßnahmen musst du immer darauf achten, dem Kunden leicht verständlich und gut auffindbar zu erklären, worauf er sich einlässt (welche Daten wo von wem wofür verwendet, gespeichert oder weitergegeben werden und an wen).

An welche Dinge musst du sonst noch denken?

Auch beim Marketing musst du darauf achten, dass du Daten anonymisiert oder pseudonymisierst, alle Cookies, Tools, Plug-Ins und Social-Media-Verlinkungen zu allen Drittanbietern dem Nutzer ausdrücklich erläuterst und in der Datenschutzerklärung aufnimmst. Wichtig ist das sogenannte Opt-in und Opt-out-Verfahren. Dahinter verstecken sich die Einwilligung (Opt-in), die wir oben erläutert haben und der Widerspruch (Opt-out). Des Weiteren ist es wichtig, dass du die Werbung auch ausdrücklich als solche kennzeichnest. Prüfe auch, ob du dem Seitenbesucher alle Schritte transparent und deutlich erklärt hast. Speichere nur so viele Daten, wie unbedingt notwendig sind (Datensparsamkeit). Ein komplettes Profiling ist verboten. Dazu kommt auch das Kopplungsverbot (also eine Bindung an einen Kauf, Art. 7 Abs. 4 DSGVO).

Was musst du bei häufig genutzten Plugins und Tools beachten?

Foto: Pixabay.com, copyright by typographyimages, CC0 1.0, 1914950

Häufig verwendet wird Google Analytics, was problematisch ist, wenn du die Daten nicht zusätzlich anonymisierst. Dafür kannst du mit Google einen sogenannten „Vertrag zur Auftragsdatenverarbeitung“ abschließen, der die IP-Anonymisierung auslöst. Daneben kommt oft Google AdSense zum Einsatz, welches den Kunden Werbebanner anzeigt. Darauf musst du deine Kunden hinweisen. In dem Fall wird Google dich seinerseits dazu auffordern, einen Cookie-Hinweis anzubringen. Sicherlich ist dein Unternehmen auch auf Twitter, Instagram, YouTube, Facebook oder in anderen sozialen Medien vertreten. Denk daran, dass hier überall eine Impressumspflicht für Geschäftsprofile besteht. Das ist im Schadensfall wichtig, um den Verursacher und Verantwortlichen kontaktieren zu können.

Es ist werbetechnisch wichtig, dass du überall vertreten und erreichbar bist, damit deine Firma auch gesehen wird. Die Verlinkung auf deiner Webseite zu den einzelnen Unterseiten in den sozialen Medien ist allerdings schwierig, weil du dadurch deine Kunden auf Seiten weiterleitest, die die IP-Adressen der Zugreifer speichern. Darauf musst du deine Kunden unbedingt ausdrücklich hinweisen! Falls du Facebook-Reaktionen auf deiner Webseite einbindest (Posts/Widgets), dann achte darauf, dass du nur öffentlich einsehbare Meldungen zeigst. Veröffentlichst du Beiträge, die aus einer geschlossenen Gruppe oder einem begrenzten Nutzerkreis stammen, hast du eindeutig gegen den Datenschutz verstoßen!

Hilfe im Zweifelsfall

Professionelle Datenschutzbeauftragte renommierter Firmen können dich bei Fragen jederzeit beraten. 

Besuche unsere Internetseite www.wbtradeit.com oder kontaktiere uns. Wir beraten dich gern und unverbindlich.

Requisiti per un sito internet

Anforderungen an eine Internetseite

Jeder, der eine Webseite betreibt, muss diese gemäß den Bestimmungen der DSGVO anpassen. Hier gibt es zum einen verbindliche Vorgaben durch die neue DSGVO, zum anderen jedoch noch einige Unsicherheiten, da bisher parallel noch das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) heranzuziehen sind.

Welche Webseiten sind betroffen?

Der Datenschutz gilt für die Verarbeitung von personenbezogenen Daten. Trotzdem sind fast alle Seiten – außer die rein privaten und persönlichen Seiten, die beispielsweise Urlaubsfotos zeigen – betroffen, auch wenn keine Nutzerdaten abgefragt werden. Grund: Jeder Besucher der Seite überträgt dadurch seine IP-Adresse und das sind personenbezogene Daten.

Welche Maßnahmen musst du ergreifen?

Du musst auf jeden Fall dem Kunden erklären, was du mit seinen Daten vorhast. Dann musst du seine Einwilligung einholen (beispielsweise bei Cookies oder Newslettern) und du musst dafür sorgen, dass die Daten technisch sicher sind (durch geeignete Verschlüsselung) und ebenfalls durch organisatorische Maßnahmen wie Zugriffsberechtigungen, Brandschutz etc. gesichert werden. Doch der Reihe nach.

Das Wichtigste ist die Datenschutzerklärung

Nach Art. 12 DSGVO musst du alle geeigneten Maßnahmen treffen, um dem Nutzer deiner Seite leicht zugänglich und gut verständlich zu erklären (Datenschutzerklärung), was du mit seinen Daten vorhast. Dazu musst du ihm auch erklären, welche Drittanbieter (Social Media, Cookies, Plugins, Apps) Zugriff auf seine Daten haben. Außerdem muss er muss über seine Rechte informiert werden, wie und wo er Widerspruch einlegen und die Daten korrigieren oder löschen lassen kann.

Woher bekommst du die notwendige Datenschutzerklärung?

Nach dem BDSG und TMG musst du die Nutzer aufklären, welche Daten du verwendest und speicherst und warum und dem Betroffenen auch sagen, wie du mit seinen Daten umgehen wirst. Eine solche Datenschutzerklärung kannst du als kostenloses Muster im Internet finden, allerdings vergiss nicht, die Muster auf deine individuelle Situation anzupassen. Denn wenn du ein Unternehmer bist, musst du andere Dinge beachten, als der Betreiber einer Liebhaberseite. Wichtig ist, dass du Drittanbieter erwähnst, die die Nutzerdaten ebenfalls erhalten oder einsehen können, beispielsweise wenn die Webseite bei Facebook mit eingebunden wird.

Darf die Erklärung im Impressum stehen?

Wichtig ist, dass die Nutzer jederzeit Zugriff auf die Datenschutzerklärung haben. Sie müssen diese also leicht finden können. Dazu ist es notwendig, dass du sie auf deiner Seite mit einem gesonderten Punkt unterbringst, die auch „Datenschutzerklärung“ heißt. Du darfst sie also nicht einfach im Impressum „verstecken“ und dort verlinken. Du kannst aber den Unterpunkt „Impressum und Datenschutzerklärung“ nennen. Innerhalb dieses Abschnitts musst du dann die beiden Punkte nochmals trennen. In der Praxis wird das mit einem sogenannten Hyperlink im Footer gelöst, so dass der Nutzer auch alle vorgeschriebenen Angaben nach dem Telemediengesetz (TMG) findet.

Wichtig: dem Nutzer auch seine Rechte erläutern

In der Datenschutzerklärung ist ebenfalls erwähnen, welche Rechte der Kunde (nach Art. 12-33 DSGVO) hat. Beispielsweise, dass der Kunde die Einwilligung jederzeit widerrufen kann. Erklär ihm auch, wo er das kann (über einen Link, eine E-Mail-Adresse oder Ähnliches) und dass er das Recht hat, seine Daten wieder löschen zu lassen. 

Du brauchst die Einwilligung des Kunden zur Datenverarbeitung

Ausserdem solltest du dem Kunden erklären, dass du mit Cookies arbeitest und er sich durch die Nutzung deiner Seite damit einverstanden erklärt. So kann er beispielsweise einen Bestätigungs-Button drücken oder ablehnen. Es gibt dabei unterschiedliche Cookies, die dafür sorgen, dass die Nutzer auch bei abgelehnter Datenspeicherung den Seiteninhalt sehen können. Andere blockieren ohne Cookie-Erlaubnis komplett den Zugriff. Diese Differenzierung musst du dem Nutzer zusätzlich erläutern. Ähnlich wie Cookies ist auch Google Analytics ein Tracking-System, das die Nutzerdaten abgreift. Auch darüber musst du deine Webseitenbesucher aufklären. Deine Statistik-Tools, die die IP-Adressen auswerten, kannst du allerdings auch anonymisieren und trotzdem verwenden. Dazu brauchst du aber noch einen „Vertrag zur Auftragsbearbeitung“ mit Google.

Du teilst die Daten mit anderen?

Falls du für deine Kommentarfunktionen Google Captcha benutzt, können die Daten ebenfalls von Dritten gelesen werden. Daher musst du alle Drittanbieter, die durch die Einbindung auf deiner Webseite an Kundendaten gelangen können, explizit aufführen, damit der Nutzer Bescheid weiß und ausdrücklich seine Zustimmung erteilen kann! Dasselbe ist bei Social Media Plugins zu beachten. Wenn du diese Buttons auf deiner Webseite anbietest, damit die Nutzer deine Facebookseiten von der Webseite aus erreichen können, musst du sie ebenfalls in der Datenschutzerklärung darauf hinweisen. Denn die sozialen Medien wie Facebook oder auch Twitter stellen ebenfalls Verbindungen zwischen dem Nutzerbrowser und den Servern der Medienkonzerne her. Die Nutzerdaten können also von dort aus ebenfalls gesehen und gespeichert werden! Dasselbe gilt für die Einbindung von Videos (YouTube, Vimeo oder Ähnliche).

Und falls du Newsletter anbietest, dann musst du darauf verweisen, dass du die Kundendaten speicherst (du musst ihm ja den Newsletter an seine E-Mail-Adresse senden).

Technische Maßnahmen – du musst deine Webseite verschlüsseln

Die Webseiten, auf denen empfindliche personenbezogene Daten erhoben werden, sind grundsätzlich zu verschlüsseln. Vor allem dann, wenn die Nutzer Kontaktformulare ausfüllen oder sich für Newsletter anmelden können. Verschlüsselte Seiten beginnen üblicherweise mit „https“, manche zeigen auch ein kleines Schlüsselsymbol an. Verschlüsselungen regelst du über ein SSL-Zertifikat, das es teilweise sogar kostenlos im Internet gibt.

Checkliste

Prüfe also vorrangig folgende Punkte auf deiner Seite

  • Datenschutzerklärung
  • Formulare, Kommentare
  • Newsletter
  • Statistik-Tools
  • Cookies
  • Drittanbieter, Plugins

Folge der Nichtbeachtung: Abmahnung

Foto: Pixabay.com, copyright by MIH83, CC0 1.0, 1213043

Die oben genannten Punkte solltest du in Angriff nehmen, damit du dir keine Abmahnung für deine Homepage einhandelst und eine saftige Strafe bezahlen musst. Für private Homepagebetreiber droht zunächst noch weniger Gefahr, da sich die Verbraucherverbände hauptsächlich um die Großkonzerne kümmern. Dennoch bedeutet das nicht, dass man sich daher in Sicherheit wiegen kann.

Aussicht: Weitere Verschärfungen geplant durch ePrivacy-Verordnung 

Um die DSGVO und das TMG anzugleichen, die Vorschriften des Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) zu verschärfen, und außerdem Betreiber von privaten Webseiten ebenfalls in die Pflicht zu nehmen, ist die ePrivacy-Verordnung geplant, die bereits zeitgleich zur DSGVO hätte in Kraft treten sollen. Dennoch hat sich bis Mai 2019  noch nichts getan, die endgültige Einsetzung kann sich noch bis 2020 hinziehen und sogar eine Übergangsfrist bis 2022 beinhalten. In dieser Verordnung sollen die notwendigen Einwilligungen zur Datenverarbeitung nach Artikel  6 und 7 DSGVO detaillierter geregelt werden, so dass es noch wichtiger wird deine Internetseite genau unter die Lupe zu nehmen.

Wenn du noch Fragen hast oder weitere Informationen benötigst, dann kontaktiere uns gern. In einer kostenlosen Erstberatung klären wir all deine Fragen und besprechen alle Notwendigkeiten.

DSGVO

Die Grundbegriffe der DSGVO

Seit die DSGVO am 25. Mai 2018 endgültig in Kraft getreten ist, sorgt das Thema immer noch für Furore. Einige Punkte scheinen nach wie vor unklar zu sein oder sorgen für Unsicherheit. Daher haben wir für dich kurz und kompakt nochmal die wichtigsten Punkte hier zusammengestellt.

Die Geschichte der DSGVO

DSGVO

Foto: Pixabay.com, copyright by JanBaby, 2168234, CCO 1.0

Der Datenschutz ist kein neues Thema, weder für Deutschland noch für die EU. Bereits seit 1995 existiert die EU-Datenschutz-Richtlinie, die allerdings in jedem Staat auf andere Weise interpretiert wurde. Daher gab es 2012 eine erste Reform (EU-Datenschutzreform).

Weitere jährliche Änderungen und Reformen wurden notwendig (besonders 2016), bevor die EU-DSGVO 2018 endgültig in Kraft getreten ist. Im Internet sind alle Verordnungen und Richtlinien in deutscher und englischer Sprache nachzulesen. Auch eine Timeline der Einführung gibt es auf der Seite „Der Europäische Datenschutzbeauftragte“.

Sinn und Zweck des Datenschutzes

Genaugenommen werden durch die DSGVO nicht vorrangig die Daten geschützt, sondern die Personen und deren Privatsphäre. Ganz konkret schützt sie laut Artikel 1 DSGVO die natürlichen Personen, deren Grundrechte, Grundfreiheiten und deren Recht auf Schutz personenbezogener Daten. (Personenbezogene Daten sind weiter unten näher erläutert).

Wer muss Daten schützen

Jeder, der mit personenbezogenen Daten zu tun hat, weil er sie verarbeitet oder speichert, also jedes Unternehmen, das Kundenstammdaten speichert, unterliegt der DSGVO. Deswegen legt Artikel 2 DSGVO fest, dass jeder, der personenbezogene Daten ganz oder teilweise verarbeitet oder speichert, die DSGVO beachten muss. Für die Bearbeitung sind die Grundsätze von Artikel 5 – 11 einzuhalten. Dazu mehr im nächsten Unterpunkt.

Was ist zu tun

Die Verordnung erklärt ganz konkret, was du beachten und ab jetzt einführen musst. Beispielsweise notwendige Hinweise auf der Webseite (hierzu haben wir einen separaten Artikel für dich!) und die Einführung eines Datenschutzbeauftragten (dazu unten mehr). Hilfe dazu gibt es auf den Seiten der IHK oder des jeweiligen Landesbeauftragten für Datenschutz.

Wichtig ist, die Grundsätze für die Verarbeitung gemäß Artikel 5 DSGVO einzuhalten und sicherzustellen.

  • Du musst die Daten beispielsweise rechtmäßig, nachvollziehbar, transparent und nach Treu und Glauben verarbeiten.
  • Außerdem darfst du sie nur für festgelegte und eindeutige, legitime Zwecke verwenden. Die Daten sind dabei auf das angemessene, notwendige Maß zu beschränken.
  • Zudem musst du darauf achten, dass sie sachlich richtig und auf dem neusten Stand sind.
  • Speichern darfst du die Daten anschließend nur so lange, wie du sie brauchst, beispielsweise für die Abwicklung eines Auftrages.
  • Und zuletzt sind die Daten so zu verarbeiten, dass sie vor unrechtmäßiger Verarbeitung, unbefugtem Zugriff oder Verlust oder Schädigung geschützt sind. Dafür musst du die notwendigen organisatorischen oder technischen Maßnahmen bereitstellen (siehe weiter unten).
  • Dazu kommt, dass der Verantwortliche für diese Verarbeitung die Einhaltung der Vorschrift nachweisen und Rechenschaft darüber ablegen kann.

Was sind personenbezogene Daten

Artikel 4 DSGVO erklärt genau, was unter den personenbezogenen Daten zu verstehen ist. Das sind alle Informationen, die sich auf eine natürliche Person beziehen und sich ihr zuordnen lassen. Also Daten, die eine konkrete Identifizierung ermöglichen. Beispielsweise durch Name, Kennnummer, Standortdaten, Online-Kennung, besonderen Merkmalen oder Bildaufnahmen. Dazu gehören auch die nicht im Gesetz explizit aufgezählten Infos wie Adresse, Cookies oder Passwörter im Internet, Kfz-Kennzeichen oder die Telefonnummer.

Wer ist der Datenschutzbeauftragte

In Artikel 37, 38 und 39 der DSGVO wird festgelegt, wann ein Datenschutzbeauftragter benannt werden muss und welche Stellung und Aufgaben er hat. Der Datenschutzbeauftragte kann ein interner Mitarbeiter oder ein externer Berater sein, der über die notwendige Qualifikation und das Fachwissen verfügt.

Er sorgt dafür, dass die Datenschutzbestimmungen im Unternehmen eingehalten werden. Dabei arbeitet er mit der Aufsichtsbehörde zusammen und macht notfalls Meldung über einen Verstoß. Außerdem berät er die Verantwortlichen in Sachen Datenschutz.

Was ist die Datenschutz-Folgenabschätzung

Die Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO muss erstellt werden, wenn eine Datenverarbeitung, beispielsweise bei der Einführung neuer Technologien oder wegen ihrer Art oder ihres Umfangs oder hinsichtlich des Zwecks ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt.

Dabei wird die Bearbeitung systematisch beschrieben und das Risiko abgeschätzt sowie Abhilfemaßnahmen festgesetzt. Checklisten und Hilfen dazu gibt es beispielsweise auf den Seiten der IHK.

Was sind technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt, dass du die Daten nach dem neusten Stand der Technik verarbeitest. Dazu musst du alle geeigneten Maßnahmen ergreifen, die dafür sorgen, dass die Daten sicher verarbeitet werden können.

Da du zuvor in der Datenschutz-Folgenabschätzung die Verarbeitung beschrieben, das Risiko eingeschätzt und Abhilfemaßnahmen festgelegt hast, musst du diese Maßnahmen nun umsetzen. Dafür findest du auch Vorlagen und Tipps auf verschiedenen Seiten seriöser Anbieter im Internet.

Die technische Seite wird durch deine IT unterstützt (Serversicherheit, Zugangssicherung, Verschlüsselung, Antivirus, etc.), die organisatorische Seite (Umgang mit den Daten, Dokumentation, Lagerung und Vernichtung), kannst du verwaltungsseitig anstoßen.

Beispiele:

  • Daten pseudonymisieren und verschlüsseln
  • Systemprüfung auf Belastbarkeit (Datenmenge sichern und verarbeiten)
  • Sicherstellung der Wiederherstellung von versehentlich gelöschten Daten
  • Zutrittsregelungen zum Serverraum, Zugang zum PC, Zugriff auf die Daten im Programm
  • Sicherheitscheck: Einbruch, Wasserschaden, Feuer, Hacker-Angriff

Nutzen des aktiven Datenschutzes

Der Nutzen des Datenschutzes liegt ganz klar darin, dass jeder Bürger entscheiden darf, ob seine Daten verarbeitet werden sollen oder nicht. Denn Art. 6 DSGVO fordert, dass die Betroffenen ihre Einwilligung zur Verarbeitung geben müssen.  Und ergänzend bestimmt Art. 7 DSGVO, dass die Einwilligung freiwillig vonstattengehen muss. Zudem hat der Verarbeiter diese Einwilligung auch noch nachzuweisen.

Dazu kommt, dass die Betroffenen sehr viele Rechte zugestanden bekommen haben (Art. 12 bis 23 DSGVO). Das macht die Verarbeitung transparent. Sie können auf Informationen und Auskünfte zur Verarbeitung bestehen, aber auch auf Berichtigung, Löschung und Einschränkung der Verarbeitung. Zusätzlich darf die betroffene Person auch die verarbeiteten Daten in maschinenlesbarer Form anfordern (Recht auf Datenübertragbarkeit) und der Verarbeitung widersprechen.

Kontrolle und Selbstkontrolle (Aufsichtsbehörde und Audit)

Foto: Pixabay.com, Copyright by skylarvision, 3344455, CCO 1.0

Innerhalb deines Unternehmens sorgen die Verantwortlichen mit dem Datenschutzbeauftragten dafür, dass alle Regeln umgesetzt und eingehalten werden. Die Verantwortlichen arbeiten mit den Aufsichtsbehörden zusammen und müssen dort notfalls Meldung machen bei einem Verstoß gegen das DSGVO. Die unabhängigen Aufsichtsbehörden und ihre Aufgaben werden in Kapitel 6 (Art. 51-59 DSGVO) genau beschrieben. Es können freiwillige Zertifizierungen durchgeführt werden, die bestätigen, dass dein Unternehmen DSGVO-konform agiert. Aber das Zertifikat entbindet dich nicht von deiner laufenden Verantwortung für die Einhaltung dieser Regelungen. Viele Firmen bieten eine solche erste Zertifizierung und ein DSGVO-Audit an.

Achtung: Eine Zertifizierung nach Artikel 42 DSGVO wird durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde erteilt. Die Zertifizierungsstellen, die eine DSGVO-konforme Zertifizierung durchführen, müssen zunächst akkreditiert werden, um solche Zertifizierungen erteilen zu dürfen. Das geschieht, indem sie der zuständigen Aufsichtsbehörde gegenüber den Nachweis erbringen, dass sie unabhängig sind, das nötige Fachwissen besitzen und keinem Interessenskonflikt ausgesetzt sind.

Benötigst du noch weitere Informationen? Kontaktieren uns. Deine Erstberatung ist kostenlos und unverbindlich.

Datenschutzbeaufttragter

5 Mythen rund um den Datenschutzbeauftragten

Die Bestellung eines Datenschutzbeauftragten sorgt in den Unternehmen regelmäßig für Verwirrung. Obwohl es in Kapitel 4 der DSGVO konkret geregelt ist, kommen hier sogar ganz konträre Ansichten zustande. Entweder „Jeder braucht einen Datenschutzbeauftragten“ oder „Niemand braucht einen Datenschutzbeauftragten“ – im Sinne von: „Also, ich brauch schon mal keinen.“ Doch was ist richtig und welche Mythen gibt es sonst noch zu dem Thema? Datenschutzbeauftragter ja oder nein?

1. Jeder braucht einen vs. Niemand braucht einen Datenschutzbeauftragten

Datenschutzbeaufttragter

Foto: Pixabay, copyright by Free-Photos, 690084, CC0 1.0

Ganz klar können nicht beide Ansichten stimmen, aber die Wahrheit ist, dass keine von beiden richtig ist. Tatsächlich liegt die Lösung nämlich irgendwo in der Mitte. Einige sind der Ansicht, dass der Datenschutzbeauftragte erst ab einer gewissen Unternehmensgröße notwendig wird, andere machen es ausschließlich an der Mitarbeiterzahl fest. Hier liegt der Irrtum.

Fakt ist, dass jedes Unternehmen einen Datenschutzbeauftragten stellen muss, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ befasst sind. Jede öffentliche Stelle oder Behörde ist dazu verpflichtet. Außerdem brauchst du einen Datenschutzbeauftragten, wenn dein Unternehmen besonders sensible Daten verarbeitet (Art. 9 DSGVO) , wie zum Beispiel die sexuelle Orientierung, die religiöse oder politische Orientierung, Krankendaten oder andere ähnlich private Informationen. Und natürlich ist eine Datenschutzbeauftragter notwendig, wenn die Rechte der Betroffenen einem erhöhten Risiko ausgesetzt sind. Das wäre beispielsweise der Fall, wenn extrem in die Privatsphäre eingegriffen wird wie bei einer regelmäßigen und systematischen Überwachung der Mitarbeiter durch Videoüberwachung, Ortungssysteme, Anwesenheitsüberwachung etc. (Diese Begründung ergibt sich aus Art. 37 DSGVO und § 38 BSDSG).

2. Wir sind nicht verpflichtet einen Datenschutzbeauftragten zu bestellen, also brauchen wir auch keinen Datenschutz umzusetzen

Das ist falsch und natürlich eine Milchmädchenrechnung. Der Datenschutz gilt Europaweit für jeden, der personenbezogene Daten gewerblich verarbeitet. Die Umsetzung der DSGVO hängt also nicht von der Bestellung oder Notwendigkeit eines Datenschutzbeauftragten ab. Eine Abwägung, ob eine Umsetzung der DSGVO notwendig ist oder nicht, hängt davon ab, wo sich meine Firma befindet, wer die Betroffenen sind und wo diese sich aufhalten. Außerdem muss beachtet werden, wie und wozu die Daten verarbeitet werden. Der Datenschutzbeauftragte ist immer dann notwendig, wenn eine Behörde oder öffentliche Stelle die Daten verarbeitet, eine systematische Überwachung stattfindet, es sich um besonders „delikate“ Daten handelt oder mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogenen Daten beschäftigt sind.

3. Einen Datenschutzbeauftragten brauchen wir nicht, das machen wir alles allein

Verbreitet ist in dem Zusammenhang auch die Meinung, dass ein Unternehmen überhaupt keinen Datenschutzbeauftragten braucht, sondern alle diese Aufgaben selbst irgendwie übernehmen kann. Auch das ist allerdings falsch. Wenn die Voraussetzungen vorliegen, muss ein Unternehmen einen Datenschutzbeauftragten bestellten, und ihn laut Art.37 Abs.7 DSGVO bei der Aufsichtsbehörde formlos melden. Wird kein DSB beauftragt, drohen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes als Bußgeld.

4. Der Datenschutzbeauftragte muss aus dem Unternehmen kommen vs. Der Datenschutzbeauftragte darf keinesfalls aus dem eigenen Unternehmen kommen

Beides sind interessante Irrtümer und beide sind falsch. Es stimmt weder noch. Stattdessen handelt es sich um eine „Kann“-Vorschrift. Denn du darfst einen eigenen, fähigen Mitarbeiter aus deinem Unternehmen zum Datenschutzbeauftragten bestellen. Der muss nach seiner Qualifikation ausgewählt werden. Es ist aber erlaubt, einen externen Mitarbeiter dafür zu verpflichten. Das ist ebenfalls sinnvoll, wenn in kleinen Firmen kein Mitarbeiter die notwendigen Vorkenntnisse besitzt. Dafür gibt es gute Datenschutzunternehmen, die dir einen zertifizierten Mitarbeiter zur Verfügung stellen. Irrtümlich wird in dem Zusammenhang auch angenommen, dass jedes Unternehmen innerhalb eines Konzerns einen eigenen Datenschutzbeauftragten braucht. Das ist aber nicht der Fall. Nach Art. 37 Abs. 2 DSGVO darfst du problemlos einen gemeinsamen Datenschutzbeauftragten für alle deine Unternehmen einsetzen.

Das ist sogar gut, denn dieser hat dann einen umfassenden Überblick über alle Konzernrelevanten Informationen. Wichtig ist aber, dass er von jeder Niederlassung problemlos erreichbar ist. Außerdem gewährst du somit nur einer Person Einsicht in alle wichtigen Vorgänge.

5. Datenschutzbeauftrage sind reine Geldmacherei. Alle Datenschutzbeauftragte tun das Gleiche. Da suche ich mir den billigsten 

Datenschutzbeauftragter

Foto: Pixabay.com, copyright by rawpixel, 3748708, CC0 1.0

Das ist eine schlechte Idee. Es spricht nichts dagegen, dass du dir einen guten Datenschutzbeauftragten zu einem günstigen Preis auswählst oder dir eine Person aus deinem Unternehmen aussuchst, deren Gehalt du selbst steuern kannst. Allerdings darfst du nach Artikel 37 (5) DSGVO deinen ausgewählten Datenschutzbeauftragten nur nach bestimmten Kriterien auswählen: 

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ 

Das bedeutet, dass du nicht nach Preis, sondern nach Leistung und Qualifikation wählen musst. Immerhin hat der Datenschutzbeauftragte auch eine wichtige Position zu bekleiden. Und als Unternehmer haftest DU bei der Verletzung der Vorschriften. Also auch für Fehler des von dir ausgewählten billigen Datenschutzbeauftragten, der deshalb so günstig ist, weil er wenig Erfahrung hat und dich nicht angemessen unterstützen kann. Das kann dich also nachträglich noch teuer zu stehen kommen. 

Fazit

Der Datenschutzbeauftragte hat eine wichtige Position im Unternehmen und daher solltest du ihn sorgfältig auswählen. Falls es ein Angestellter deiner Firma ist, dann gib ihm vor allem die Möglichkeit, alle relevanten Schulungen zu besuchen, sich ständig auf dem Laufenden zu halten und gewährleiste, dass er den Stellenwert in der Firma hat, den diese Position erfordert. Das wird dein Unternehmen insgesamt voranbringen und dich vor Geldstrafen und Imageschäden bewahren. Vor allem dann, wenn du mit extrem vielen oder delikaten Daten zu tun hast.

Weitere nützliche Informationen findest du auf unserer Internetseite www.wbtradeit.com

Irrtümer DSGVO

5 Irrtümer zur Einführung der DSGVO

Die DSGVO hat für viele Verwirrungen und Spekulationen gesorgt. Dabei ist der Datenschutz nicht erst seit gestern ein Thema, sondern war zuvor bereits im Bundesdatenschutzgesetz verankert. Allerdings bist du, genau wie viele andere, von der Fülle der Informationen und Vorschriften erschlagen, die jetzt umzusetzen sind.

Wozu DSGVO?

Manche fragen sich, wozu das Ganze überhaupt gut sein soll. Wenn du dir aber vor Augen führst, wo deine persönlichen Daten überall herumschwirren, ist dir als Betroffener klar, warum niemand möchte, dass diese Daten in die falschen Hände geraten. Der Aufwand ist also völlig gerechtfertigt.

5 Irrtümer und Mythen rund um die Einführung der DSGVO

Mit der Umsetzung der DSGVO wird man völlig allein gelassen – oder? Und damit sind wir schon mitten drin in den häufigsten Irrtümern rund um die DSGVO.

1. Niemand erklärt mir genau, was ich jetzt machen muss

Irrtümer DSGVO

Foto: Pixabay.com, copyright by TheDigitalArtist, 3233754, CC0 1.0

Nun, ganz so ist es natürlich nicht. Denn das Gesetz erklärt, wenn auch recht trocken und in Beamtendeutsch, wer betroffen ist und was getan werden muss. Alle Pflichten der Verantwortlichen und alle Rechte der Betroffenen sind in der DSGVO genau verankert. Darüber hinaus gibt es viele Informationsseiten im Internet, auf denen du von Datenschutzbeauftragten, den zuständigen Aufsichtsbehörden oder vom Bund selbst, Hilfestellungen bekommst. Außerdem findest du auf den Seiten der IHK umfangreiche Infos und Checklisten und Ansprechpartner, an die du dich wenden kannst, wenn du überhaupt nicht weiter weißt. Viele Firmen sind auf den Datenschutz spezialisiert und können dir einen externen Spezialisten zur Verfügung stellen.

2. Mich betrifft die DSGVO nicht, das geht nur große Unternehmen etwas an

Gleich nach dem Vorwurf der mangelnden Hilfestellung kommt das Abwinken. Viele denken, dass nur große Firmen, aber nicht Kleinunternehmer oder Freelancer von den Regelungen betroffen sind. Das ist leider falsch. Denn auf die Größe des Unternehmens kommt es gar nicht an. Wer in der EU sitzt, hier eine Zweigniederlassung hat oder aus dem Ausland die personenbezogenen Daten von EU-Bürgern verarbeitet, der muss sich an die DSGVO halten. Die Größe des Unternehmens spielt dabei überhaupt keine Rolle.

Falls du denkst, dass kleine Unternehmen nicht so schnell auffliegen: falsch gedacht, denn jeder Bürger kann bei dir das Recht auf Auskunft, Berichtigung oder Löschung der Daten verlangen. Oder auf eine eingeschränkte Verarbeitung. Und er kann sich über dich beschweren, wenn du deine Pflichten zu Schutz der Daten verletzt hast. Das ist ebenfalls völlig unabhängig von der Größe deiner Firma. Es kommt außerdem auch vor, dass bei anders gelagerten Firmenprüfungen ganz „zufällig“ auffällt, dass die DSGVO Vorschriften nicht eingehalten werden und es wird ein Prüfverfahren eingeleitet oder direkt abgemahnt oder gestraft.

3. Ich habe ja nur eine Autowerkstatt, da verarbeite ich keine personenbezogenen Daten

Auch das ist leider falsch. Viele sind sich nicht im darüber im Klaren, dass auch das passive Abspeichern von Kundendaten eine Verarbeitung im Sinne des Gesetzes darstellt. Und die Daten sind auch in einer Autowerkstatt personenbezogen. Immerhin werden Name, Adresse, Geburtsdatum, manchmal der Führerschein und Fahrzeugschein oder Ausweis in Kopie hinterlegt. Dazu Telefonnummer und Autonummer. Und eventuell sogar die Bankverbindung. Bei all diesen Daten handelt es sich um personenbezogene Daten, die unter die DSGVO fallen. Vergessen wir nicht, auch die personenbezogenen Daten der Mitarbeiter werden verarbeitet, gespeichert, bearbeitet …

4. Ach was, wenn wir regelmäßig Backups machen, haben wir unsere Pflicht erfüllt

Das ist gut; aber es reicht nicht aus! Nach Artikel 5 DSGVO umfasst der Datenschutz nicht nur die unrechtmäßige Verarbeitung der personenbezogenen Daten, sondern auch den Verlust, die Zerstörung und Schädigung. Das bedeutet, dass ein Backup alleine nicht die gesamten Pflichten der DSGVO abdeckt. Das Backup hilft nur bei richtiger Ausführung gegen den Datenverlust. Du bist also durch ein Backup noch nicht aus dem Schneider. Und du musst dafür sorgen, dass du das Backup korrekt durchführst. Auch diese Dateien dürfen nicht von Unbefugten ausgelesen werden und du musst auch darauf achten, dass alle Endgeräte ein solches Backup bekommen.

Denn sonst könnten die Daten einiger Computer trotzdem verloren gehen. Und vor allem dürfen die personenbezogenen Daten auch nur so lange im Backup gespeichert bleiben, wie du sie für den Zweck benötigst, für den du sie ursprünglich gespeichert hast. Und wie sieht es aus mit Daten, die offen in unserem Büro herumliegen? Datenschutz bezieht sich auch auf Papier-Dokumente, E-Mail, Fax. Auf die ordnungsmäßige Aufbewahrung und letztendlich Vernichtung von Datenträgern

5. Sollte uns jemand kontrollieren, können wir immer noch reagieren

Irrtümer DSGVO

Foto: Pixabay.com, copyright by TheDigitalArtist, 4084714, CC0 1.0

Die Aufsichtsbehörden können jederzeit die Betriebe vor Ort kontrollieren, um zu prüfen, wie die Vorschriften umgesetzt wurden. Art. 51-59 DSGVO erklärt genau die Aufgaben, die die Behörden haben. In Deutschland sind die Landesdatenschutzbeauftragten für die privaten Stellen und die Bundesdatenschutzbeauftragten für die Überwachung der öffentlichen Stellen zuständig. Wenn du abwartest, bis eine Kontrolle ins Haus kommt, ist das eine schlechte Idee. Denn bei Verstößen drohen hohe Bußgelder. Und wenn du noch keine Maßnahmen eingerichtet hast, ist der Verstoß ziemlich schwerwiegend. Ein Bußgeld darf laut Artikel 83 DSGVO bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Vorjahresumsatzes betragen. Dieses Risiko solltest du nicht eingehen!

Nicht nur, wer zuletzt kommt, bekommt das was übrig bleibt … Auf die Schnelle einen fachkompetenten Partner für die Umsetzung der DSGVO zu finden, kann unter Zeitdruck noch schwerer sein, als es eh schon ist. Also lieber vorsorgen als heilen.

Fazit:

Trotz zweijähriger Vorlaufzeit und vielen Informationen der Behörden, kommt es immer noch zu derartigen Missverständnissen. Doch dabei handelt es sich nur um die Spitze des Eisbergs. Denn dies sind bei Weitem nicht die einzigen Fehleinschätzungen, denen die Firmen unterliegen, wenn es um die Einführung der DSGVO im Unternehmen geht. Große Mythen ranken sich auch um den Datenschutzbeauftragten, den die Unternehmen bestellen müssen. Dazu erfährst du mehr in unserem Teil 2: Mythen rund um den Datenschutzbeauftragten. 

Zur Klärung allen weiteren Fragen stehen wir gerne zur Verfügung.

wen geht die dsgvo etwas an

Wen geht die DSGVO etwas an?

Die DSGVO wurde zu dem Zweck eingeführt, alle natürlichen Personen zu schützen, sodass deine personenbezogenen Daten auf eine Weise verarbeitet werden, die deine Grundrechte und Grundfreiheiten nicht verletzen (Art. 1 DSGVO). Trotzdem soll dabei der freie Datenverkehr innerhalb der EU nicht eingeschränkt oder verboten werden.

Aber was bedeutet das genau und wer muss sich danach richten? Anders gefragt: Wen geht die DSGVO etwas an und wer muss dafür sorgen, dass deine personenbezogenen Daten nicht in die falschen Hände geraten?

(Gesetzesinfo: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung))

Jeder Unternehmer oder Webseitenbetreiber ist grundsätzlich betroffen

wen geht die dsgvo etwas an

Foto: Pixabay.com, copyright by methodshop, 2964100, CC0 1.0

Die Information, dass quasi jeder Firmeninhaber oder Webseitenbetreiber von der stressigen Umsetzung der Vorschriften betroffen ist, führte zunächst zu einem Schock und Unverständnis. Doch das ist nur die naheliegende Konsequenz. Immerhin soll jeder Nutzer oder Kunde sicher sein, dass seine Daten, egal, wo er sie hinterlässt, geschützt sind. Wenn du dich für einen kostenlosen Newsletter anmeldest, musst du dazu deine Daten preisgeben. Auch Einkäufe in beliebten großen Online-Shops oder bei Anmeldungen zu Online-Spielen enthalten persönliche Daten, von denen du nicht willst, dass sie von dem Seitenbetreiber für unbekannte Zwecke genutzt oder weitergegeben werden. Daher müssen sich alle Unternehmen, Behörden, Onlineshops, Dienstleister, Freiberufler, Vereine und andere  EU-weit an diese Regeln halten. Warum ist das so?

Sachlicher und räumlicher Anwendungsbereich

Ob die Verarbeitung deiner Daten unter die DSGVO fällt, ergibt sich aus dem sachlichen Anwendungsbereich (Art. 2 DSGVO), also zu welchem Zweck, von wem und wie deine Daten verwendet werden, und dem räumlichen Anwendungsbereich (Art. 3 DSGVO), das heißt wo der Verantwortliche zur Datenverarbeitung seinen Sitz hat bzw. wo der Betroffene ansässig ist. Daraus ergibt sich, wer die DSGVO einhalten muss und warum es sich dabei praktisch um alle in Europa ansässigen oder tätigen Unternehmen handelt.

Welche Daten müssen durch die DSGVO geschützt werden?

Bei dem Schutz geht es immer um personenbezogene Daten nach Art. 4 DSGVO und deren automatisierte und nichtautomatisierte Verarbeitung. Was bedeutet das?

Diese personenbezogenen Daten sind alle Informationen über natürliche Personen wie dich, die man dir direkt oder indirekt zuordnen kann, um dich zu identifizieren. Dazu zählen beispielsweise natürlich dein Name und deine Adresse, aber auch deine E-Mail-Adresse, Telefon- oder Handynummer, dein Geburtsdatum, dein Foto oder Video, deine Bankverbindung und Kontodaten, deine Versicherungsnummern, dein Auto- oder Motorradkennzeichen, aber auch deine IP-Adresse oder Cookies.

Wer muss diese Daten schützen und welche Ausnahmen gibt es?

Jeder, der diese Daten weiterverarbeitet (aktiv) oder speichert (passiv), muss sie im Rahmen der DSGVO schützen. Die DSGVO gilt aber beispielsweise nicht, wenn Daten „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, verarbeitet werden. Oder wenn Personen diese nur aus persönlichen oder familiären Gründen verarbeiten oder wenn zuständige Behörden bei der Strafverfolgung diese Daten verwenden müssen.

Für die Organe, Einrichtungen, Ämter und Agenturen der Union gilt übrigens die Verordnung (EG) Nr. 45/2001.

In welchem Bereich gilt das Gesetz?

Es gilt natürlich in der gesamten EU (Art. 3 DSGVO). Das bedeutet, dass auf jede Datenverarbeitung, die in der Verantwortung eines EU-Angehörigen stattfindet, das Gesetz anzuwenden ist, auch wenn die eigentliche Verarbeitung außerhalb der EU stattfindet. Gerade im Bereich der Warenlieferungen und Dienstleistungen ist die DSGVO anzuwenden, wenn EU-Kunden hier etwas bestellen, die Daten aber außerhalb der EU verarbeitet werden müssen. Beispielsweise wenn Unternehmen Service-Hotlines oder die Buchhaltung in Billiglohnländer übertragen. Oder bei der Arbeit mit den Cloud-Servern deutscher Anbieter, die aber im Ausland stehen und dort auch gewartet und betreut werden.

Zwischenfazit:

Wenn du also entweder ein Unternehmen mit Sitz in der EU oder eine Zweigstelle/Niederlassung in der EU hast oder im Ausland die personenbezogenen Daten von EU-Bürgern bearbeitest, gilt die DSGVO auch für dich!

Beispiele dafür

Was sich vielleicht ziemlich trocken und theoretisch anhört, wird mit einigen Beispielen, die du bereits aus der täglichen Anwendung kennst, noch klarer.

Blogs, Webseiten

Wenn du Blogs verfolgst, hast du schon gesehen, dass WordPress deine Nutzer- und ID-Daten speichert, damit du für die nächsten Kommentare schon eingeloggt bist und Name, E-Mail und Passwort bereits voreingestellt und gespeichert sind.  Damit werden also personenbezogene Daten verarbeitet und der Anbieter muss sich DSGVO-konform verhalten.

Online-Shops oder Online-Banking

Dass du bei der Anmeldung in Online-Shops und beim Bezug von kostenlosen Newslettern deine kompletten Adressdaten und deine Bankverbindung preisgibst, ist dir natürlich bewusst.

Apps, Online-Spiele, Soziale Medien

DSGVO

Foto: Pixabay.com, copyright by succo, 628703, CC0 1.0

Du erledigst online deine Steuer bei diversen Anbietern, die dir Unterstützung versprechen? Dann hast du besonders empfindliche Daten ins Netz gestellt, die nicht für jedermann gedacht sind! Dasselbe ist es mit deinen WhatsApp-Daten, deinem Google-Store und deinem Facebook-, Snapchat- oder Tinder Konto oder wo auch immer du dich angemeldet hast. Seit Einführung der DSGVO sind solche Online-Dienste nur noch für Nutzer ab 16 Jahren erlaubt. Ansonsten müssen sie die Erlaubnis der Eltern oder Erziehungsberechtigten vorweisen. Vielleicht spielst du auch online Lotto oder bist in einem Online-Casino angemeldet? Dann sind deine Daten, dein Standort und dein Bankkonto dem Seitenbetreiber bekannt und müssen geschützt werden. Und selbst Google verfolgt dich und kennt deine Suchergebnisse!

Nachrichten, Zeitschriften

Auch viele Nachrichtenseiten verlangen aufgrund der DSGVO und um Cookies zu setzen, dass du dich damit einverstanden erklärst. Auch internationale Zeitungen müssen im Anschluss die Regeln der DSGVO beachten, weil sie deine Daten, also die Daten eines EU-Bürgers verarbeiten. Vielen ist das zu umständlich und so bekommst du hin und wieder die Info, dass dir „in deinem Land der Inhalt dieser Seite nicht angezeigt werden kann“. Die Anbieter schließen dich zu ihrem eigenen Schutz von der Nutzung aus, damit sie selbst weniger Scherereien haben.

Papierakten

Was oft ins Hintertreffen gerät, sind die personenbezogenen Daten, die einem Unternehmen in Papierform vorliegen. Denn der Datenschutz betrifft alle personenbezogenen Daten, egal in welcher Form sie existieren. Damit ist also nicht nur der Schutz digitaler Daten, sondern auch Daten in Papierform gemeint. Dazu zählen beispielsweise handschriftliche Notizen, Briefe oder Verträge, Formulare, aber auch Bilder und Karteikarten. Sogar Visitenkarten und natürlich Telefonregister, Rechnungen, Personalakten, Versicherungsnachweise und Lohnabrechnungen sind betroffen. Im Gesundheitswesen auch die Aufnahmeformulare und Krankenakten.

Fazit

Wie du siehst, wird oft viel zu blauäugig mit den Daten umgegangen. Oft bleibt nichts anderes übrig, wenn man sich informiert halten oder Zeit sparen will, als sich in den sozialen Medien oder über digitale Tools zu behelfen. Der Preis dafür ist aber das Einstellen der persönlichen Daten. Als Nutzer erwartest du, dass dein Gegenüber diese vertraulich behandelt. Als Unternehmer weißt du, wie schwer das ist und worauf du achten musst. Egal ob Unternehmenschef, Blogger, Autor oder Online-Shop-Betreiber: die DSGVO geht dich in jedem Fall etwas an. Schütz die Daten der anderen so, wie du es auch von ihnen erwarten würdest, wenn es um deine Daten geht!