Ein kleines FAQ zur EU-DSGVO

Ein kleines FAQ zur EU-DSGVO

Das große Regelwerk, das nun in aller Munde ist, nennt sich EU Datenschutz-Grundverordnung, abgekürzt: EU-DSGVO oder nur DSGVO, manchmal auch DS-GVO. Hierbei handelt es sich um ein Recht auf europäischer Ebene, das durchaus nationalem Recht überwiegt. Das nationale Recht, das das EU-Recht hier ergänzt und erweitert, ist das Bundesdatenschutzgesetz, kurz BDSG.

Das BDSG ist eigentlich schon ein alter Bekannter - es hat nur einen Haken: Zwar wurden Pflichten genannt, aber ohne die dazugehörigen Strafen. Und das ist es im Endeffekt, was "neu" für uns ist.

Die DSGVO ist seit dem 25.05.2016 in Kraft. Nun, nach zwei Jahren, läuft am 25.05.2018 die Umsetzungsfrist ab. Zeitgleich wird auch das neue BDSG scharf geschaltet und trägt dann den Namen "BDSG (neu)".

Es geht zunächst darum, die Interessen von Menschen zu wahren und Menschen und deren Interessen zu schützen. Erst danach darf es darum gehen, nur aus einer bloßen Verpflichtung heraus einem Gesetz zu entsprechen. Eigentlich sollte jede Handlung wohlüberlegt und der Schutz unserer Mitmenschen selbstverständlich sein. Leider ist in Vergangenheit diese Selbstverständlichkeit nicht selbstverständlich genug gewesen, sodass nun ein Regelwerk diktiert und auferlegt sowie erfüllt werden muss.

Vielleicht sollte man das Pferd tatsächlich mal von hinten aufzäumen und nicht sagen: "Wann 'darf'  ich Daten verarbeiten?" sondern: "Wann 'muss'  ich überhaupt Daten verarbeiten?".

Das kann analog dem Jäger gesehen werden, also nicht: "er 'darf'  Rehe schießen, weil es ihm Spaß macht!", sondern: "Er 'muss'  Rehe schießen, um die vorgegebenen Bestände einzuhalten und das Gleichgewicht in der Natur zu wahren, weil natürliche Jäger der Rehe (Wolf, Bär...) in unserer modernen Welt nicht gerne gesehen sind." Das hat einen anderen, wesentlich sympathischeren Charakter.

Wenn man dann noch dazu bereit ist, Datenschutz nicht als Status quo zu betrachten, sondern als Prozess, an dem ständig, objektiv und interessiert weiter gearbeitet wird, "um eben, wie in allem anderen Handeln auch, so gut wie möglich und dabei möglichst noch etwas besser, als andere zu sein", ist man schon auf dem richtigen Weg, denn auch das Recht entwickelt sich immer weiter und es bedarf einer gewissen Kraft, den daraus entstehenden Pflichten Folge zu leisten.

Dieses "mehr" an Kraft wird aber nur für eine gewisse Gewöhnungsphase nötig sein. Danach geht Datenschutz in Fleisch und Blut über - und fällt bald gar nicht mehr ins Gewicht: Selbstverständlichkeit tritt ein.

Und da wollen wir hin.

Nur halt besser!

;-)

Wir haben ein Foto des "Dagen-H" zu "unserem Bild" von der Bekanntgabe und Umsetzung der EU-DSGVO gemacht. Es soll am 3. September 1967 entstanden sein, also an dem Tag, wo in Schweden von Links- auf Rechtsverkehr umgestellt wurde. Allerdings wurde beim Dagen-H umfassend, öffentlich und immer wieder informiert, was bei der DSGVO aus unserer Sicht nicht erfolgt ist.

Das Ergebnis ist aber in beiden Fällen gleich und auf dem Bild schön erkennbar: Verunsicherung und chaotische Zustände.

1718 gab es in Schweden schon mal Rechtsverkehr, der dann 1734 wieder in Linksverkehr geändert wurde. Dann machte man sich ab 1927 und alle paar Jahre später immer wieder Gedanken dazu, bis es am 03. September 1967 ernst wurde und der Straßenverkehr, sogar entgegen einer vorangegangenen Volksabstimmung, auf die rechte Fahrbahn gelegt wurde.

Was uns an dieser Geschichte gefällt:

Vorbereitend wurden an alle Haushalte Broschüren ausgeteilt und Hinweise über Rundfunksendungen ausgestrahlt. Um die Verkehrskennzeichen (Schilder waren das kleinere Problem... Ampeln werden jedoch mit Strom angesteuert! Und die "mal eben" auf die andere Straßenseite zu wuppen stellt dann doch einen gewissen Aufwand dar!) umzustellen, wurde für einige Stunden jeglicher privater Kraftverkehr unterbunden, an den Straßen wurden Hinweisschilder aufgestellt. Dann kam an einem Sonntagmorgen die Umstellung: Stopp für alle um 04:50! Langsamer Wechsel der Fahrbahn, und warten auf 05:00, dann durfte es auf der neuen Fahrbahn vorsichtig weiter gehen.

Diese Information und Umsicht bei der Einführung der EU-DSGVO fehlt unserer Meinung nach hier in der Öffentlichkeit, aber ebenso, wenn es um die Anforderungen und Umsetzungshilfen der GoBD oder des IT-Sicherheitsgesetzes geht.

Nun ja. "Wir" wissen ja jetzt davon, und dann kann ja es auch los gehen.

Das sollte es dann aber auch. Also: Aufi!

Malte Spitz, unser erster "Appetizer":

Malte Spitz - ein "Nachbarsjunge aus Telgte" - lebt in Berlin und ist Politiker des Bündnis 90/Die Grünen.

Er hat schon vor Jahren auf Missstände im Datenschutz hingewiesen und hat hier entscheidende Pionierarbeit geleistet.

Als Internet-Klassiker dient seine Odyssee mit einem Mobilfunk-Provider. Hier bei der "Zeit" nachzuschlagen:

http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

Klicken Sie dort unter der Karte auf die Play-Taste.

Auch gibt es ein Video über einen Vortrag, den er zu dem Thema gehalten hat:

https://www.ted.com/talks/malte_spitz_your_phone_company_is_watching?language=de

Es lohnt sich wirklich, Herrn Spitz zuzuhören! An dieser Stelle unser aufrichtiger Dank für seinen Mut sowie Zeit und Kraft, die er in dieses Projekt gesteckt hat - das Ding ist nicht ohne und das durchzustehen war bestimmt nicht immer einfach!

Google - unser zweiter Appetizer:

Eine andere Geschichte können Sie vielleicht selbst nachvollziehen: Haben Sie ein Android-Smartphone?

Dann rufen Sie google.de auf und loggen sich mit Ihren Zugangsdaten ein, mit denen Sie üblicherweise Apps aus Google Play installieren. Dann gehen Sie über "Mein Konto" in Ihr Profil.

Dort angekommen finden Sie mittig den Block "Persönliche Daten & Privatsphäre", wo Sie den Punkt "Google-Aktivitäten verwalten" finden. Klicken Sie darauf.

Dann finden Sie den Punkt "Meine Aktivitäten aufrufen". Auch da klicken Sie drauf.

Tja. Und dann können Sie schon nach unten scrollen. Unten angekommen dauert es eine Sekunde, dann geht es weiter nach unten. Und noch weiter. Und noch weiter.

Das, was Sie da sehen, ist mit ein Grund, warum wir personenbezogene Daten schützen müssen. Bei Apple funktioniert das allerdings ähnlich.

Die Fragen, die sich daraus ergeben, sind immer die selben:

  • Was soll das?
  • Wer hat Nutzen oder gar Vorteile davon?
  • Wer geht mit den Daten um?
  • Werden die Daten verkauft?
  • Welche Verknüpfungen werden gestrickt?
  • Welche Algorithmen stecken dahinter? Können die auch Fehler enthalten?
  • Und von wem werden diese Verknüpfungen genutzt?
  • Und wozu?

Und so weiter...

Oben auf der Webseite gibt's einen Link, um den Verlauf zu löschen, er heißt "Aktivitäten löschen nach". Geben Sie dort ein Datum weit vor dem ältesten Eintrag und ein aktuelles Datum ein, dann klicken Sie auf "löschen" und müssen danach noch eine Meldung bestätigen. Das war es dann - zumindest bis zum nächsten Mal.

Wahrscheinlich werden Sie das machen.

Und Sie sehen: Datenschutz kann tatsächlich interessant sein!

1. Ignorieren

Artikel 2 Absatz 1 der DSGVO spricht eindeutig ALLE Unternehmen innerhalb der EU an, die in irgend einer Weise personenbezogene Daten verarbeiten. Also doch wieder alle...

2. Flucht ins Ausland

Die EU Datenschutz-Grundverordnung gilt in der gesamten europäischen Union, auch, wer von außerhalb der EU mit Unternehmen innerhalb der EU handeln will, stößt irgendwann auf die DSGVO...

3. Herunterspielen

Wir sind mit unserem BDSG zwar schon ganz weit vorn, die DSGVO verlangt jedoch noch einiges mehr! Außerdem tritt am gleichen Tag das BDSG (neu) in Kraft.

4. Drücken

"Mein Datenschutzbeauftragter ist verantwortlich, mich trifft das nicht!" - falsch: Der DSB hat nur eine beratende Funktion! "Machen" und kontrollieren muss der Unternehmer schon selbst!

5. Unterschätzen

"So teuer wird das schon nicht!" - bis der Bescheid da ist. Strafen sind steuerlich nicht ansetzbar

6. Verschätzen

"Es kommt bestimmt noch eine Übergangsfrist..." - falsch: am 25. Mai 2018 läuft die gesetzte Frist bereits ab!

7. Sich kleiner machen, als man ist

"Mein Unternehmen ist so klein, da kommt bestimmt niemand!" - auch falsch: Die EU-DSGVO betrifft JEDES Unternehmen, Abmahnanwälten steht schon der Schweiß auf der Stirn: Die Serienbriefe müssen raus!

8. Sich uninteressanter glauben, als man ist

"Mir tut schon niemand was!" - ebenfalls falsch: Ungemach droht nicht nur von Abmahnanwälten, sondern auch von unzufriedenen Kunden, einem konkurrierenden Wettbewerber und weiteren.

Personenbezogene Daten sind alle Einzel-Informationen, durch die eine Person identifiziert werden kann. Die bloße Möglichkeit des Personenbezugs (auch über Umwege) reicht dabei schon aus.

Eindeutige personenbezogene Daten sind uns allen geläufig: Namen, Adressen, Geburtstage, Steuer- und Sozialversicherungsnummern etc. Das ist alles kein Problem.

Das Kennzeichen eines PKW führt bei Behörden zum Personenbezug. OK, passt! Kniffeliger herauszufinden ist, dass die Fahrgestellnummer in einem Autohaus ebenso zur Identifikation einer Person führt. Daran muss man erst mal denken.

Schwierig wird es hingegen, wenn selbst dynamisch vergebene IP-Adressen Informationen darstellen, die einen Personenbezug zumindest ermöglichen. Das hat der Europäische Gerichtshof 2016 so festgestellt.

Und das alles (vom Namen über die Mitarbeiternummer bis zur dynamischen IP eines Webseitenbesuchers) zeigt die Bandbreite auf, innerhalb der die DSGVO Anwendung findet.

Zunächst: Alles mit Ruhe und Bedacht. Und dann mit der gebotenen Umsicht und Ehrlichkeit.

Allerdings ist auch ein gewisser Druck vorhanden, immerhin läuft die Frist zur Umsetzung bald ab.

Also gilt es, systematisch vorzugehen - wenn Sie es wünschen, helfen wir Ihnen!

Zunächst gilt es, sich und sein Unternehmen aus dem Fokus zu rücken. Schnelle Treffer können hier gefunden werden:

  • Fehlende Meldung des Datenschutzbeauftragten bei der Aufsichtsbehörde (ab dem 2018-05-25)
  • Fehlende/mangelhafte Datenschutzerklärung auf der Webeseite

Weiter unten finden Sie noch ein paar Tipps für den Anfang.

Danach sollte es allerdings zügig und gesetzeskonform weiter gehen - das Ganze ist kein Spaß und gewiss nicht zu vernachlässigen!

Wir helfen Ihnen dabei - sprechen Sie uns an!

Das ist wirklich ernst gemeint:

Legen Sie einen Ordner an und nennen ihn "Datenschutz".

Dazu machen Sie ein schönes Deckblatt mit Ihrem Logo darauf.

Nach dem Deckblatt folgt das Inhaltsverzeichnis:

  • Das Unternehmen
  • Protokoll zum Datenschutz
  • Verträge
  • ...

Es folgt eine Beschreibung Ihres Unternehmens. Ein wenig Geschichte, ein wenig Unternehmens-Inhalt, wie man das so macht. Dann beschreiben Sie, dass das Unternehmen ein Bewusstsein für den Datenschutz entwickelt hat, und dass dieses Bewusstsein durch ein Regelwerk in Taten umgesetzt wird.

Dann folgt das Protokoll, in dem Sie fortlaufend alle Tätigkeiten rund um den Datenschutz eintragen.

Die ersten Einträge lauten etwa:

  • [Datum] - Informationen von der Webseite der support-st geholt
  • [Datum] - Ordner angelegt
  • [Datum] - Unternehmen beschrieben
  • [Datum] - Benennung der Ansprechpartner und deren Vertreter
  • [Datum] - Kontakt mit Webseiten-Programmierer aufgenommen, folgende Punkte abgesprochen:
    • Cookies
    • Web-Analyse
    • Datenschutzerklärung
    • ...
    • Termin zur Umsetzung abgesprochen
  • [Datum] - Kontakt mit Provider aufgenommen, folgende Punkte abgesprochen:
    • Auftragsdatenverarbeitungsvertrag, da unsere E-Mails zwischengelagert werden
  • [Datum] - Termin mit support-st vereinbart
    • erster Kontakt, möglicher externer DSB
  • [Datum] - Termin beim Steuerberater
    • Auftragsdatenverarbeitungsvertrag, da hier z.B. die Löhne erstellt werden
  • [Datum] - Termin mit support-st
    • Auftragsdatenverarbeitungsvertrag, Klärung bzgl. Fernwartung
  • [Datum] - Erstellung der IT-Richtlinie für Nutzer
  • [Datum] - Termin mit support-st, Erörterung des Datensicherungs-Konzepts
  • [Datum] - ...
  • [Datum] - Mitarbeiterversammlung: Unterweisung der Mitarbeiter in den Datenschutz
  • 2018-05-25 - Meldung des DSB an die Aufsichtsbehörde
  • [Datum] - usw. usf.

Führen Sie dieses Protokoll so auch weiter. Danach folgen dann die Dokumente dazu, die auch immer mit Versionsnummer und Herausgabedatum versehen sein sollen.

Immer, wenn Sie im Unternehmen etwas für den Datenschutz tun, tragen Sie das hier ein. Und genau das ist ein extrem wichtiger Punkt:

Sie müssen nämlich nachweisen, was Sie für den Datenschutz im Unternehmen getan haben, dass Sie kontinuierlich am Thema sind und Verbesserungen gerne vornehmen!

Verantwortlich ist immer der Unternehmer selbst - aus der Nummer kommt er nicht heraus.

Er darf zwar deligieren, tatsächlich umsetzen (bzw. die Umsetzung kontrollieren) muss er aber schon selber, wobei sich die Katze sprichwörtlich in den eigenen Schwanz beißt.

Er darf sich aber auch Hilfe holen - und hier kommt der Datenschutzbeauftragte auf den Plan. Der kann entweder intern rekrutiert, oder von extern beauftragt werden. Beachten Sie dabei, dass es Fälle gibt, in denen ein DSB benannt werden MUSS, Hinweise dazu gibt's in Tipp 2.

Aber auch dieser Datenschutzbeauftragte hat nur beratende und kontrollierende Funktion.

Es bleibt also wieder alles beim Unternehmer selbst hängen.

Doch keine Sorge: Wir helfen gerne!

Zunächst ist der Unternehmer immer selbst verantwortlich, die Anforderungen der DSGVO umzusetzen.

Er darf sich aber auch immer helfen lassen, ob nun von einem internen oder von einem externen Datenschutzbeauftragten.

Es gibt aber auch Größen, ab denen der Unternehmer verpflichtet wird, jemanden für den Posten des Datenschutzbeauftragten zu benennen.

Hier gibt es zunächst zwei Antworten aus der EU-DSGVO:

  1. Wenn mehr als 9 Personen personenbezogene Daten automatisiert bearbeiten
  2. Wenn mehr als 20 Personen personenbezogene Daten nicht-automatisiert bearbeiten

Das Bundesdatenschutzgesetz n.F. differenziert hier zusätzlich:

  1. Wenn mindestens 10 Personen personenbezogene Daten automatisiert bearbeiten
  2. Wenn die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist (Themen wären hier z.B. die Konfession oder ein Krankheitsverlauf)
  3. Wenn die Datenverarbeitung zum Zwecke der Markt- und Meinungsforschung erfolgt

Bei der Benennung des DSB muss auch darauf geachtet werden, dass er in keinen Konflikt zu seiner üblichen Aufgabe im Unternehmen gerät.

Frei nach: "Quis custodiet ipsos custodes?" - "Wer kontrolliert die Wächter?" steht fest, dass z.B. Personal- und IT-Leiter denkbar ungeeignete Kandidaten für den DSB sind.

Wenn der Verantwortliche für den Datenschutz gefunden und bestimmt wurde, melden Sie diesen ab dem 25. Mai an die zuständige Aufsichtsbehörde.

In unserem Wirkungskreis haben wir mit zwei Aufsichtsbehörden Kontakt. Das sind:

Für das Land Nordrhein-Westfalen:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
D-40213 Düsseldorf

Telefon:     +49 211 384 24-0
Fax:           +49 211 384 24-10
E-Mail:       

Für das Land Niedersachsen:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
D-30159 Hannover

Telefon:     +49 511 120 45 00
Fax:           +49 511 120 45 99
E-Mail:       

Eine Bitte: Auch in diesen Ämtern arbeiten "nur" Menschen - und auch diese Ämter haben ihre Last damit, sich in ihre neue Rolle einzufinden.

In NRW wird daher darum gebeten, Meldungen erst ab dem 2018-05-25 einzureichen, dann aber auch bis spätestens zum 2018-12-31.

In Niedersachsen wird derzeit ein Meldeformular entwickelt.

Das leichteste Einfalltor für Abmahnungen ist es, Webseiten nach ordentlichen Datenschutzerklärungen abzuklappern - also passen Sie Ihre Erklärung an und schalten Sie zumindest übergangsweise Dienste und Funktionen ab, die nach einer Abmahnung schreien.

Kurzversion - bis die Datenschutzerklärung ehrlich und transparent verfasst wurde:
  • Einen Link zur Datenschutzerklärung gleich auf die erste Seite packen
    • Nicht vor oder nach das Impressum packen! Bitte einen eigenen Link dafür vorsehen.
    • Der darf aber auch im Footer stehen, wenn die Webseite nicht wie eine Tapete immer länger wird.
  • Die Datenschutzerklärung verfassen
    • Nicht aus dem Internet rauskopieren: Eigene Prozesse ehrlich, leicht verständlich und klar beschreiben!
    • Vorsicht mit irgendwelchen Hinweisen an die Nutzer: Diese müssen unbeeinflusst frei in ihrer Entscheidung bleiben!
  • Analyse-Tools abschalten
  • Mit dem Entwickler klären, was das mit den Cookies auf sich hat
  • Beim Hoster nachfragen, ob Analysen bereit gestellt werden und ob diese weitestgehend anonymisiert sind
  • Kontaktformular deaktivieren

Damit dürften Sie erst mal aus dem direkten Fokus rücken.

Danach geht's an dieser Baustelle natürlich weiter: SSL-Verschlüsselung einrichten, Cookies prüfen und erklären, Kontaktformular erklären (was passiert bei Nutzung, was passiert mit der Mail, die daraus entsteht...), usw. usf.

Der DSB, bzw. der Unternehmer, hat die Pflicht, seine Angestellten über den Datenschutz im Unternehmen zu schulen.

Schulen Sie also und lassen Sie Ihre Angestellten unterschreiben, dass sie an dieser Schulung teilgenommen haben.

Gleichzeitig lassen Sie eine Vertraulichkeitsverpflichtung unterzeichnen.

Wenn Sie es noch nicht haben, machen hier evtl. weitere Unterschriften Sinn:

  • Richtlinien für die Nutzung der EDV
  • Richtlinien für Sicherheitsvorfälle, Benachrichtigung bei Stör- und Ausfällen
  • Richtlinie für den Umgang mit mobilen Endgeräten, mobilen Datenträgern
  • ...

Legen Sie ein Verarbeitungsverzeichnis an.

In diesem erklären Sie zunächst "quick an dirty" (weil schnell und dringend) tabellarisch:

  • Typ der personenbezogenen Daten und der Zweck dazu
  • Wer ist betroffen, und: warum? (Rechtsgrundlage)
  • Aufbewahrungsfristen
  • Wer ist verantwortlich
  • Werden die Daten weiter gegeben (Steuerberater > Lohnbuchhaltung)
  • Sind weitere Verarbeiter involviert
  • Werden Daten in Drittstaaten übertragen
  • Weitere Hinweise

 

 

Wenn die Verarbeitung personenbezogener Daten zu einem erhöhten Risiko für die Betroffenen beiträgt, muss eine DSFA, eine Datenschutzfolgenabschätzung, gemacht werden.

Im Klartext: Wenn diese oder jene Daten in fremde Hände geraten... Was kann dann passieren?

Kategorisieren Sie die Daten, die Sie verarbeiten.

Führen Sie Fälle auf, wie Daten in fremde Hände geraten könnten.

Wägen Sie das jeweilige Risiko ab.

Füllen Sie mit diesen Daten eine Tabelle.

Hackerangriff festgestellt? Notebook mit unverschlüsselten, personenbezogenen Daten verbummelt?

Regeln Sie, an wen solche Meldungen weiter gereicht werden, achten Sie dabei darauf, dass eine diesbezügliche Meldung innerhalb von 72 Stunden bei der Aufsichtsbehörde sein muss.

Ja, genau: Fangen Sie an, sich mit der DSGVO auseinander und die dort geforderten Anpassungen um zu setzen.

Schauen Sie sich Ihr Unternehmen an und dokumentieren Sie dazu:

Welche Abteilungen gibt es, wer sind die Leiter, wer sind deren Vertreter?

Wer geht wie und warum(!) mit personenbezogenen Daten um?

Werden veraltete Datenbestände gesperrt? Werden dabei trotzdem die GoBD eingehalten?

Wie steht es um die Lieferanten, wie steht es um die Kunden? Ist der Elektriker berücksichtigt? Der externe IT-ler auch?

Gibt es mit allen betroffenen Unternehmen Verträge, die den Umgang mit personenbezogenen Daten regeln?

Haben Sie an den Webhoster gedacht? Wie kommen die E-Mails an die Arbeitsplätze?

Gibt es Arbeitsanweisungen für jeden Arbeitsplatz?

Ist das Verarbeitungsverzeichnis erstellt?

Und hunderte Fragen mehr, die geklärt werden sollten...

Es gibt viel zu tun - lassen Sie uns anfangen!

Der Schutz personenbezogener Daten kann, wie auch kein anderer Teil der EDV, einen abschließenden Status erhalten.

Auch entwickelt sich das Recht immer weiter, Entscheidungen von Gerichten zu bestimmten Umständen/Einzelfällen werden demnächst immer häufiger zu erwarten sein und müssen eingepflegt und umgesetzt werden.

Es gibt immer etwas zu prüfen, zu optimieren, zu versuchen, umzusetzen, zu verwerfen oder neu zu machen.

Bleiben Sie am Ball!

Und dokumentieren Sie alles, was und wann Sie für den Datenschutz gemacht haben!