DSGVO und die Kre|H|tiven

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Ein Datum, dem Unternehmen mit einem ähnlichen Unwohlsein entgegenblicken werden dürften, wie einst Y2K. Schließlich zielt die DSGVO darauf ab, den Datenschutz deutlich zu erhöhen. Damit einher gehen umfassende Dokumentations-, Informations- und Rechenschaftspflichten, die entsprechenden Handlungsbedarf für jede/n Unternehmer/in erfordern.

Denn vor der DSVGO sind alle gleich: jede/r Blogger/in, jede/r Freelancer/in, jeder Verein, jedes mittelständische Unternehmen und jeder Weltkonzern. Für sie alle gelten die gleichen Vorgaben – und die gleichen drakonischen Strafen, die bei Nichtbeachtung verhängt werden. Konkret sind Bußgelder bis zu 20.000.000 Euro bzw. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs angedroht – je nachdem, welcher der Beträge höher ist.

Zudem ist zu befürchten, dass mit Inkrafttreten der DSGVO eine Abmahnwelle von Konkurrenten, Verbraucherschutz- und Wettbewerbsverbänden, aber auch von Privatpersonen, über das Land schwappt.

Sprich: Wer es bis dato noch nicht getan hat, sollte sich schnellsten mit der DSGVO beschäftigen und diese in seine relevanten (Geschäfts-)Prozesse einfließen lassen.

Dieser Blogartikel soll dabei helfen. Aber: Bei den auf dieser Seite veröffentlichten Informationen handelt es sich nicht um eine Rechtsberatung. Eine Haftung wird ausgeschlossen.
 

Was ist die DSGVO eigentlich?

Mit der europäischen Datenschutz-Grundverordnung ist ein EU-Gesetz, mit dem die EU in ihren Mitgliedsstaaten einen einheitlichen Rechtsrahmen in Bezug auf den Datenschutz schafft, verabschiedet worden. Die DSGVO ist bereits in Kraft, wird jedoch erst zum Stichtag 25. Mai 2018 wirksam.

In der DSGVO werden Datenverarbeitungsprozesse für personenbezogene Daten geregelt, die für die Verarbeitung von Daten aller EU-Bürger gelten. Damit gilt die DSGVO auch für Unternehmen, die nicht in der EU sitzen, jedoch mit Daten von EU-Bürgern arbeiten.
 

Die Grundprinzipien der DSVGO

Im Art 5 der DSGVO sind einige Grundprinzipien definiert, die die Speicherung und Verarbeitung von personenbezogene Daten regeln.

1. Rechtmäßigkeit
Die Daten müssen im Einklang mit geltendem Recht gewonnen und verarbeitet werden. Die Einwilligung zur Speicherung und Verarbeitung muss freiwillig erfolgen sowie spezifisch und eindeutig sein. 

2. Transparenz
Im Vorfeld der Einwilligung zur Speicherung und Verarbeitung von personenbezogenen Daten müssen die betroffenen Personen umfassend und verständlich über die Nutzung informiert werden.
Tipp: Überprüfe z.B. die Datenschutzerklärung deiner Webseite auf Vollständigkeit und Verständlichkeit.

3. Verbot mit Erlaubnisvorbehalt
Heißt: Alles, was nicht explizit im Gesetz erlaubt ist, ist verboten.

4. Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Nutzung/Weiterverarbeitung für Zwecke, die über das vereinbarte Maß hinausgehen, ist ohne eine erneute Einwilligung nicht erlaubt.
Tipp: Mach dir schon vor der Datenerhebung ausführliche Gedanken dazu, was du mit den Daten anfangen willst.

5. Datenminimierung
Die Erhebung, Speicherung und Weiterverarbeitung von personenbezogenen Daten müssen auf das notwendige Maß beschränkt werden. Daten, die nicht zur Erfüllung des vereinbarten Zwecks benötigt werden, dürfen nicht gespeichert werden.
Tipp: Erhebst du bei z.B. der Newsletter-Registrierung auch das Geburtsdatum? Überprüfe, ob du dieses benötigst … und entferne die Frage im Zweifel aus dem Registrierungsformular. 

6. Speicherbegrenzung
Die Speicherung der Daten ist nur so lange erlaubt, wie dies für den vereinbarten Zweck bzw. für die beauftragte Weiterverarbeitung nötig ist. Ausgenommen davon sind im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke sowie statistische Zwecke.
Tipp: Lösche alte Daten, die du nicht mehr benötigst. Vergiss auch nicht, diese Daten aus BackUps und Sicherungskopien zu entfernen.

7. Richtigkeit
Daten müssen sachlich richtig gespeichert und auf einem aktuellen Stand gehalten werden. Daten, die im Hinblick auf die Zweckbindung nicht korrekt sind, müssen unverzüglich gelöscht oder berichtigt werden. 

8. Integrität und Vertraulichkeit
Die Speicherung der Daten hat so zu erfolgen, dass diese vor dem Zugriff durch unautorisierte Personen, vor unbefugter oder unrechtmäßiger Verarbeitung, Manipulationen, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sind.
Tipp: Deine Webseite benötigt eine Verschlüsselung, ebenso dein Rechner, alle mobilen Devices und Datenträger wie USB-Sticks, externe Festplatten etc. pp. Rechner, Datenträger usw. müssen in jeder Hinsicht sicher aufbewahrt werden.

9. Rechenschaftspflicht
Verantwortlich für die Einhaltung dieser Prinzipien ist der/die Verantwortliche (= „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“). Diese/r muss dessen Einhaltung nachweisen können.
Tipp: Du musst deine Prozesse, bei denen du mit personenbezogenen Daten arbeitest – ganz gleich, ob es sich um Recruitingmaßnahmen, Lohnbuchhaltung oder Marketing handelt – umfassend in einem sogenannten „Verarbeitungsverzeichnis“ dokumentieren. Diese Dokumentation musst du auf Anforderungen vorlegen können. Starte also am besten so früh wie möglich. Eine entsprechende Vorlage findest du z.B. im DSGVO-Guide (kostenpflichtig) von t3n.

Was sind eigentlich personenbezogene Daten?

Art 4. der DSGVO bezeichnet Daten immer dann als personenbezogen, wenn diese „auf eine identifizierte oder identifizierbare natürliche Person“ referenzieren. Heißt: Kann direkt oder indirekt eine konkrete Person den Informationen zugeordnet werden, handelt es sich um personenbezogene Daten.

Dazu zählen also Anschriften und E-Mail-Adressen, aber auch Kontonummern, IP-Adressen, Altersangaben, Daten aus der Lohnbuchhaltung, Geburtsdaten und sogar ausgedachte Nutzernamen, soweit diese nicht verlässlich anonymisiert worden sind. Übrigens: Auch Bilder gehören zu den personenbezogenen Daten. Was das bedeutet, beleuchten wir in Kürze im zweiten Teil unseres DSGVO-Artikels.

Personenbezogene Daten werden als besonders schützenswertes Gut betrachtet, deren Weitergabe an oder Verarbeitung durch Dritte nur mit einer entsprechenden rechtlichen Grundlage erfolgen darf: einer „Vereinbarung zur Auftragsverarbeitung“.
 

Die Vereinbarung zur Auftragsverarbeitung

In § 11 Abs. 2 BDSG werden 10 Punkte explizit genannt, die in einer Vereinbarung zur Auftragsdatenvereinbarung enthalten sein müssen. Abweichende Erklärungen, auch wenn diese zu einem früheren Zeitpunkt geschlossen worden sind, seitens des Auftragnehmers zur Einhaltung des Datenschutzes sind nicht ausreichend.

Folgende Inhalte müssen in der Vereinbarung zur Auftragsverarbeitung geregelt sein
1.    der Gegenstand und die Dauer des Auftrags,
2.    der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3.    die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4.    die Berichtigung, Löschung und Sperrung von Daten,
5.    die nach [§11] Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6.    die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7.    die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8.    mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9.    der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10.    die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Leider sind Standardvereinbarungen (z.B. als Bestandteil der AGB) nicht zulässig. Der Gesetzgeber sieht ausdrücklich eigenständige Vereinbarungen je Auftragsdatenverarbeitung vor. Grund hierfür ist, dass so sichergestellt werden soll, dass Vereinbarungen zu Auftragsdetails wie beispielsweise durchzuführende Arbeiten und Durchführungszeitraum auftragsbezogen getroffen werden.

Es ist jedoch möglich, einen Standardvertrag zu nutzen, in dem die relevanten Punkte individuell vereinbart werden. Für gleichartige Arbeiten, die regelmäßig durchgeführt werden, kann zudem ein Dauerauftragsverhältnis geschlossen werden.
 

Mit wem muss eine Vereinbarung zur Auftragsverarbeitung geschlossen werden?

Wenn man einen Blick darauf wirft, was alles zu den personenbezogenen Daten zählt, wird deutlich: Der Umgang mit diesen Daten ist geschäftlicher Alltag. Entsprechend müssen Vereinbarungen beispielsweise mit

•    Lettershops (Aussendungen von Kundenmailings),
•    Call-Centern (Kundenbetreuung),
•    Newsletter-Versandspezialisten wie z.B. MailChimp,
•    Lohnabrechnungsservices,
•    Cloud-Services wie z.B. Google Drive,
•    Hostern wie z.B. Deutsche Telekom,
•    Dienstleistern für die Aktenvernichtung,
•    Dienstleistern für Webanalyse wie z.B. Google,
•    Anbietern von Messenger-Diensten wie z.B. Facebook,
•    Anbietern von Chat-Software wie z.B. Slack,
•    Veranstaltungsdienstleister wie z.B. Eventbrite
•    und vielen weiteren
getroffen werden.

Viele Dienstleister (auch aus dem nicht europäischen Ausland) bieten bereits entsprechende Vereinbarungen an, die Online abgeschlossen werden können. Andere Unternehmen wie z.B. Facebook arbeiten zurzeit noch daran, wollen aber spätestens zum 25. Mai 2018 entsprechende Dokumente bereitstellen.

Zudem sollte der 25. Mai 2018 vielleicht auch zum Anlass genommen werden, zu überprüfen, welche Services, PlugIns und Dienstleister in die unterschiedlichen Geschäftsprozesse eingebunden sind und an welcher Stelle eventuell eine Verschlankung stattfinden kann.
 

Weitere Blogartikel

EDC/Musik

Der Berliner, der Hannoveraner, Eure erste Schallplatte [20]

Hättest du es gewusst? – Die Schallplatte wurde von einem Hannoveraner erfunden und feiert ihren 120. Geburtstag! Erfahre mehr über Emil Berliner,...

Mehr erfahren
EDC/Musik

Der Berliner, der Hannoveraner, Eure erste Schallplatte [19]

Hättest du es gewusst? – Die Schallplatte wurde von einem Hannoveraner erfunden und feiert ihren 120. Geburtstag! Erfahre mehr über Emil Berliner,...

Mehr erfahren

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können der Verwendung von Cookies widersprechen. Näheres hierzu entnehmen Sie bitte unserer Datenschutzerklärung.