Datenschutzgrundverordnung-Basics

Zurzeit befinden wir uns in der Endphase der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO). Die DSGVO wurde schon im April 2014 veröffentlicht und muss bis zum 25. Mai 2018 vollständig umgesetzt sein. Da es immer noch viel Unsicherheit bei den verantwortlichen Unternehmen gibt, hier eine kurze Übersicht über die Basisfakten.

DSGVO-Fakten

Die EU-Datenschutz-Grundverordnung (DSGVO) soll die persönlichen Daten schützen, die rechtlichen Rahmenbedingungen für personenbezogene Daten in Europa harmonisieren und damit für freien Verkehr dieser Daten innerhalb der EU sorgen. So steht es im Artikel 1 der DSGVO:

Artikel 1 – Gegenstand und Ziele

(1)   Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)   Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)   Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Die DSGVO wurde am 27. April 2016 veröffentlicht, am 25. Mai 2016 in Kraft gesetzt und muss bis 25. Mai 2018 vollständig umgesetzt sein. Der Bußgeldrahmen beträgt bis zu 20 Millionen Euro oder bis 4 Prozent des weltweiten Jahresumsatzes.

Geregelt wird die Verarbeitung personenbezogener Daten.

Was sind personenbezogene Daten?

Dazu sagt Artikel 4 DSGVO folgendes:

„… personenbezogene Daten (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen …“

Beispiele für personenbezogene Daten:

• Name und Anschrift
• Ausweisnummer
• E-Mail-Adresse
• IP-Adresse
• Videoaufzeichnung

Wie ist Verarbeitung definiert?

Auch dies ist in Artikel 4 DSGVO definiert:

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang … wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Oder einfach gesagt: So ziemlich jeder vorstellbare Umgang mit personenbezogenen Daten.

Wann dürfen personenbezogene Daten verarbeitet werden?

• Mit Einwilligung der betroffenen Person (Nachteil: Widerruf möglich)
• Verarbeitung für die Erfüllung eines Vertrags mit dem Betroffenen
• Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. Rechnung), der der Verantwortliche unterliegt
• Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
• Verarbeitung für lebenswichtige Interessen der betroffenen Person
• Verarbeitung für die Wahrnehmung einer öffentlichen Aufgabe

Was ändert sich an den grundlegenden Vorgaben des Datenschutzes?

 

Der betriebliche Datenschutz besteht bildlich gesehen grundsätzlich aus 5 Grundpfeilern und einem übergeordneten Datenschutz-Managementsystem:

• Den technischen und organisatorischen Maßnahmen (TOMs)
• Dem Verarbeitungsverzeichnis
• Den Informationspflichten
• Datenschutzrechtskonformen Verträgen und Einwilligungen
• Der Beschreibung der Kernprozesse

TOMs

Zusätzlich zu den bekannten Punkten (Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennbarkeit) kommen durch die DSGVO drei neue hinzu. Die Wiederherstellbarkeit, die Zuverlässigkeit und die Datenintegrität.

Verarbeitungsverzeichnis

Neu ist, dass kein öffentliches Verfahrensverzeichnis mehr notwendig ist. Verantwortlich für das Verfahrensverzeichnis ist die Unternehmensleitung und nicht mehr der Datenschutzbeauftragte. Bei einem Datentransfer in Drittländer oder an internationale Organisationen ist eine Risikoabschätzung notwendig und es müssen Maßnahmen zur Sicherstellung eines ausreichenden Schutzniveais getroffen werden.

Informationspflichten

Bei den Informationspflichten gegenüber den betroffenen Personen ändert sich einiges. Gemäß Art. 13 und 14 DSGVO muss grundsätzlich über folgendes informiert werden:

1. Kontaktdaten des Verantwortlichen
2. Ggf. Kontaktdaten des Datenschutzbeauftragten
3. Zweck der Verarbeitung
4. Rechtsgrundlage für die Verarbeitung
5. Die berechtigten Interessen des Verantwortlichen bei Nutzung der Rechtsgrundlage gemäß Art 6 Abs. 1 lit f (Interessenabwägung)
6. Ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
7. Beabsichtigte Übermittlung an ein Drittland oder eine internationale Organisation
8. Speicherdauer
9. Auskunftsrecht
10. Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
11. Datenübertragbarkeit
12. Widerruf der Einwilligung
13. Beschwerderecht bei einer Aufsichtsbehörde
14. Ist die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich?
15. Ist die betroffene Person verpflichtet, die Daten bereitzustellen? Welche Folgen hätte die Nichtbereitstellung?
16. Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

In einigen Fällen haben Sie zusätzliche Informationspflichten, z. B. beim Direktmarketing.

Verträge und Einwilligungen

Alle Verträge, in denen der Umgang mit personenbezogenen Daten geregelt wird sollten überprüft werden, z. B.:

• Betriebsvereinbarungen
• Vorhandene Auftragsdatenverarbeitungsverträge sind grundsätzlich zu ändern
• Verpflichtung auf Vertraulichkeit für Mitarbeiter (auch externe!)
• Mit IT-Wartungsfirmen ist gemäß DSGVO grundsätzlich ein Auftragsverarbeitungsvertrag zu schließen

Datenschutz-Managementsystem

Die DSGVO macht keine konkreten Vorgaben, wie die Nachweispflicht umzusetzen ist, die Formulierung in Art. 24 DSGVO und die überwiegende Meinung legt jedoch nahe, dass ein Datenschutz-Managementsystem (DSMS) zu implementieren ist. Alle Datenschutz-Prozesse müssen regelmäßig überprüft und aktualisiert werden, dies ist ohne eine entsprechende Systematik schlichtweg nicht möglich.

Wie setze ich die Anforderungen am besten um?

Wo bekomme ich weitere Informationen und Hilfe?

Bücher

Weitergehende Informationen finden Sie in meinem E-Book „Praktische Umsetzung der DSGVO – Leitfaden für ein Datenschutzmanagement-System“.  Es ist zum Preis von 8,99 Euro als E-Book bei Amazon erhältlich.

Positivlisten zur DSFA

Die Aufsichtsbehörden der meisten Bundesländer haben endlich ihre Positivlisten veröffentlicht. In denen werden Verarbeitungen aufgelistet für die zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Hier zwei Beispiele:

• Schleswig-Holstein: Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO
• Hamburg:Liste vonVerarbeitungsvorgängennach Art. 35 Abs. 4 DSGVO

Die Listen sollten grundsätzlich in allen Bundesländern identisch sein, bitte trotzdem zur Sicherheit in anderen Bundesländern auf den Behördenseiten nachschauen, ob es dort abweichende Regelungen gibt.

Gesetze

• DSGVO (konsolidierte Fassung): http://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04
• BDSG (neu): https://dsgvo-gesetz.de/bdsg-neu/

Vereine

Gesellschaft für Datenschutz und Datensicherheit e.V.

• Ratgeber, Musterformulare: https://www.gdd.de/gdd-arbeitshilfen

Formulierungsbeispiele für ein Verarbeitungsverzeichnis

Bayrisches Landesamt für Datenschutz

• Handreichungen für kleine Unternehmen und Vereine: https://www.lda.bayern.de/de/kleine-unternehmen.html

Datenschutzkonferenz

• Hinweise und Muster zum Verzeichnis über Verarbeitungstätigkeiten: https://www.bfdi.bund.de

Rechtsanwalt Stephan Hansen-Oest

• Verarbeitungsverzeichnis (erweitert): https://www.datenschutz-guru.de/verarbeitungsverzeichnis-erweitert/

Handelskammer

IHK

• Aktuelle Rechtsthemen und Veranstaltungen IHK Schleswig-Holstein: https://www.ihk-schleswig-holstein.de/recht/aktuelle-rechtsthemen/datenschutz-grundverordnung/
• Aktuelle Veranstaltungen IHK Hamburg: https://www.hk24.de/vstSuche/

Privacy Shield

Ob ein US-amerikanischer Dienstleister im Privacy-Shield gelistet ist, können Sie das auf dieser Webseite überprüfen: https://www.privacyshield.gov/list

Datenschutzhinweis

Einen Online-Generator finden Sie hier: https://datenschutz-generator.de/

Aufgrund der Komplexität der Informationspflichten, die durch die DSGVO geregelt werden, ist es sehr schwierig alle notwendigen individuellen Angaben mit einem Generator zu erzeugen. Meine Empfehlung: Benutzen Sie einen Generator für einen ersten Überblick, formulieren Ihren indivduellen Datenschutzhinweis und lassen sie ihn durch einen Fachmann überprüfen.

Natürlich helfen auch wir Ihnen weiter, wenn es um die Umsetzung der Datenschutzgrundverordnung geht, als Berater, Trainer oder Datenschutzbeauftragter.