DS-GVO

Datenschutz – Was ist zu tun?

Die seit dem 25. Mai 2018 geltenden Datenschutzvorschriften (Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz - "BDSG neu") lösen die bisherige EG-Datenschutzrichtlinie und die nationalen Vorschriften wie das Bundesdatenschutzgesetz in weiten Teilen ab.
Beim Datenschutz geht es um den Schutz personenbezogener Daten. Davon sind alle Informationen betroffen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der Datenschutz-Grundverordnung ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des allgemeinen Persönlichkeitsrechts einer jeden Person.
Die Datenschutz-Grundverordnung reguliert jede Verarbeitung personenbezogener Daten. „Verarbeitung“ umfasst alle Vorgänge vom Erheben, Erfassen, Organisieren, der Speicherung, der Verwendung und Übermittlung bis hin zur Löschung.
Kurz-Test zur Prüfung, ob die DS-GVO für mein Unternehmen anwendbar ist:
  • Biete ich Dienstleistungen oder Waren in Deutschland an?
  • Biete ich Dienstleistungen oder Waren in der EU an?
  • Habe ich Mitarbeiter in meinem Unternehmen?
Können Sie auch nur eine Frage mit “ja” beantworten? Dann sind Sie “Verarbeiter” von Daten und müssen die DS-GVO anwenden. „Verarbeitung“ umfasst alle Vorgänge vom Erheben, Erfassen, Organisieren, der Speicherung, der Verwendung und Übermittlung bis hin zur Löschung.

Was muss ich als Unternehmen tun? Erste Schritte…

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten enthält eine Auflistung aller Verarbeitungstätigkeiten mit personenbezogenen Daten, egal, ob sie automatisiert oder nichtautomatisiert erhoben worden sind. Es besteht die Verpflichtung, ein oder ggfs. mehrerer dieser Verzeichnisse zu führen. Das Verzeichnis ist von allen Verantwortlichen und Auftragsverarbeitern zu führen, es sei denn, sie beschäftigen weniger als 250 Mitarbeiter. Auch unter dieser Grenze ist ein Verzeichnis zu führen, wenn
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO erfolgt.

Ist Ihre Verarbeitung personenbezogener Daten rechtmäßig?

Art. 6 DS-GVO enthält einen abschließenden Katalog von Rechtsgrundlagen, nach denen eine Verarbeitung rechtmäßig ist. Wichtigste Rechtsgrundlagen sind die Einwilligung, die Erfüllung eines Vertrages, rechtliche Verpflichtungen sowie berechtigte Interessen des Verantwortlichen. Die Erfüllung einer Rechtsgrundlage ist ausreichend. Verarbeiten Sie zum Beispiel Daten ausschließlich zum Zweck der Erfüllung von Verträgen, ist eine weitere Einwilligung in der Regel nicht notwendig.
Wollen Sie personenbezogene Daten über die Vertragserfüllung hinaus z.B. für eine dauerhafte Kundenkartei, einen Online-Account oder für werbliche Zwecke verarbeiten, benötigen Sie die Einwilligung (Kurzpapier Nr. 20) der betroffenen Person. Die Einwilligung kann schriftlich oder elektronisch erfolgen und muss protokolliert werden. Eine Einwilligungserklärung könnte z.B. lauten: "Ich willige in die Verarbeitung meiner personenbezogenen Daten (zur Eröffnung eines Online-Kontos/zum Newsletter-Versand/...) ein. Diese Einwilligung kann ich jederzeit für die Zukunft widerrufen." Die Gegenleistung darf nicht an die Einwilligung gebunden werden (Kopplungsverbot).
Werden mehrere Rechtsgrundlagen erfüllt (z.B. Vertragserfüllung und rechtlich verpflichtende Aufbewahrungsfristen nach dem Steuer- und Handelsrecht) und entfällt später eine dieser Grundlagen, so ist die Verarbeitung auch auf die Erfüllung dieser Pflichten zu beschränken.

Wie erfülle ich die neuen Informationspflichten?

Werden personenbezogene Daten erhoben, ist dem Betroffenen noch vor der Verarbeitung gemäß Art. 13 DS-GVO eine Liste grundlegender Informationen zur Verfügung zu stellen. Dies gilt auch, wenn Daten von Dritten erhoben werden, Art. 14 DS-GVO.
Den Umfang der Informationspflichten können Sie dem Kurzpapier Nr. 10 entnehmen. Der Betroffene muss erfahren können, wer welche Informationen über sie zu welchem Zweck gespeichert hat, Kurzpapier Nr. 6 (Auskunftsrecht des Betroffenen).
Bei der Verarbeitung personenbezogener Daten auf Ihrer Website (z.B. per Kontaktformular, Cookies, Zugriffsprotokollierung oder Benutzerkonto) müssen Sie gegenüber dem Besucher diese Informationen noch vor der Verarbeitung erfüllen. Kostenlose Generatoren für Mustererklärungen bieten z.B. eRecht24, activeMind oder Trusted Shops an.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn eine dritte Stelle personenbezogene Daten im Auftrag (d.h. unter Weisung) des Verantwortlichen verarbeitet.  Informationen und Beispiele stellt die Landesbeauftragte für den Datenschutz bereit. Viele größere Unternehmen wie Webhoster bieten eigene Vertragsvorlagen in ihren Hilfebereichen zum Download an.

Bestellen Sie ggf. einen betrieblichen Datenschutzbeauftragten

Es müssen nur noch Betriebe einen Datenschutzbeauftragten benennen, wenn  sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Bisher lag die Grenze bei zehn Beschäftigten.
Datenschutzbeauftragte(n) online melden
Die Landesbeauftragte für den Datenschutz Niedersachsen bietet hierfür ein Meldeportal für Datenschutzbeauftragte an. Über das DSB-Meldeportal können die eigenen Meldedaten verwaltet und nach Bedarf geändert werden. Darüber hinaus besteht die Möglichkeit, eine elektronische Bestätigung der erfolgreichen Meldung bei der Aufsichtsbehörde als Nachweis für die eigene Dokumentation erhalten.

Wie finde ich externe betriebliche Datenschutzbeauftragte?

Sicherheit der Verarbeitung („TOM´s)

Technisch-organisatorischen Maßnahmen (TOM) sollen sicherstellen, dass im Rahmen einer Datenverarbeitung die Rechte und Freiheiten natürlicher Personen angemessen geschützt werden.  Die Landesbeauftragte für den Datenschutz stellt Handlungsempfehlungen und Orientierungshilfen zur Verfügung.

Datenschutz-Folgenabschätzung

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Datenpanne – und was nun?

Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme der zuständigen Aufsichtsbehörde: Meldung von Datenschutzverletzungen.

Beschäftigtendatenschutz – was ändert sich?

Die Stiftung Datenschutz hat eine Handreichung mit Fallbeispielen zum Thema Beschäftigtendatenschutz erstellt.

Hilfen für die Umsetzung der DS-GVO