Vor einem Jahr, am 25.5.2018 ist die neue Datenschutzgrundverordnung in Kraft getreten. Informationen zur DSGVO und ihrer Anwendung finden sich im Internet ohne Ende. Da die DSGVO zwar viele Vorschriften macht, aber vieles auch nicht näher erklärt, ist sie auch Nährboden für Unverständnis, Missverständnis, Fehlinterpretationen und Laien Meinungen, insbesondere in sozialen Netzwerken.

Fakt ist, die DSGVO gilt in den Gebieten der Mitgliedsstaaten der EU  und seit dem 20. Juli 2018 auch in den Staaten des Europäischen Wirtschaftsraums (EWR)  Norwegen, Island und Lichtenstein. Das hat Wirkung für den KMU mit Geschäft im WWW in und außerhalb der EU.  

Bei gesetzwidriger Datenverwaltung dürfen nach der Verordnung Höchststrafen und Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens von zuständigen Datenschutzbehörden verhängt werden. Einzelne Bußgelder an Big Data Unternehmen sind auch schon seit Inkrafttreten von den Datenschutzbehörden verhängt worden, allerdings ist für den KMU das Risiko einer Anzeige bei der Behörde durch einen enttäuschten Kunden oder eine Abmahnung wegen gesetzwidriger Datenverwaltung bei der Verarbeitung von Kundendaten durch einen Konkurrenten derzeit wesentlich höher als die Ahndung eines Datenvergehens durch die Datenschutzbehörde.  

Daher hier nochmal ein Blick in die Verordnung über den Umgang mit Nutzerdaten bei der Verarbeitung von personenbezogenen Daten.

Geltungsbereich und Definitionen

Wenn Sie personenbezogene Daten von natürlichen Personen (z.B. Verbraucher, Endkunden) mit Wohnsitz oder Aufenthalt in der EU oder den Staaten, die dem Europäischen Wirtschaftsraum angehören, verarbeiten oder diesen Personen Waren oder Dienstleistungen anbieten, unterliegen Sie den Vorschriften der DSGVO, auch wenn sich ihr Standort oder ihre Niederlassung außerhalb des Gebiets der EU oder des EWR befindet.

Die DSGVO definiert eine Reihe von Begriffen ausführlich. Im Folgenden sind einige der häufig gebrauchten Begriffe und deren Definitionen nach Artikel 4 DSGVO aufgeführt:

Personenbezogene Daten – Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen, die direkt oder indirekt identifiziert werden kann. Namen und E-Mail-Adressen sind selbstverständlich personenbezogene Daten. Ortsinformationen, ethnische Zugehörigkeit, Geschlecht, biometrische Daten, religiöse Überzeugungen, Web-Cookies und politische Meinungen können auch personenbezogene Daten sein. Pseudonyme Daten können ebenfalls unter die Definition fallen, wenn es relativ einfach ist, jemanden dadurch zu identifizieren.

Datenverarbeitung – Jeder mithilfe von Computern ausgeführter Vorgang, ob automatisiert oder manuell. Die im Gesetz zitierten Beispiele umfassen das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Verwenden, Löschen… also im Grunde alles.

Betroffene Person – Die Person, deren Daten verarbeitet werden. Dies sind vor allem Ihre Kunden, Nutzer, Follower oder Site-Besucher.

Verantwortlicher – Die Person, die entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Wenn ein Mitarbeiter ihres Unternehmens Daten erhebt und speichert, sind Sie – als Inhaber des Unternehmens Verantwortlicher im Sinne des Gesetzes anzusehen (d.h. sie haften für Gesetzwidrigkeiten ihrer Mitarbeiter).

Auftragsverarbeiter – Eine natürliche Person, ein Unternehmen, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie Clouddienste und Cloudserver.

Grundsätze des Datenschutzes

Wenn Sie als Unternehmer für die Datenverarbeitung verantwortlich sind, dann sind Sie verpflichtet, personenbezogene Daten nach den Grundsätzen zum Schutz persönlicher Daten gemäß Artikel 5 Absatz 1 lit. a) bis f) DSGVO vorzunehmen und -das ist das Entscheidende an der Sache seit einem Jahr-, ebenso die Pflicht, die Grundsätze bei der Verarbeitung einzuhalten und deren Einhaltung nachweisen zu können (“Rechenschaftspflicht”, Artikel 5 Absatz 2 DSGVO). Die Einhaltung folgender Grundsätze wird vorausgesetzt und ist nachzuweisen:

Grundsatz der Rechtmäßigkeit, des Treu und Glaubens und der Transparenz

Die Verarbeitung der Daten der betroffenen Person darf von Ihnen nur vorgenommen werden, wenn sie rechtmäßig, nach Treu und Glauben und transparent erfolgt. Treu und Glauben ist ein in der Rechtsprechung und Lehre herrschender Grundsatz nach § 242 BGB. Er bezeichnet das Verhalten eines redlich und anständig handelnden Menschen. Das heißt, sie dürfen die Daten nur für die Prozessabläufe verarbeiten, für deren Zweck sie sie auch erhoben haben.

Grundsatz der Zweckbindung

Sie dürfen Daten der betroffenen Person (Nutzers) nur zu den ihr mitgeteilten, im Zeitpunkt der Erhebung und Erfassung der personenbezogenen Daten zu festgelegten, eindeutigen und legitimen Zwecken verarbeiten.

Grundsatz der Datenminimierung

Sie dürfen nur so viele Daten sammeln und verarbeiten, wie es zu den angegebenen Zwecken erforderlich ist.

Grundsatz der Richtigkeit

Sie sind verpflichtet, die (gesammelten) persönlichen Daten der betroffenen Person sachlich richtig zu erfassen und ggf. zu aktualisieren.

Grundsatz der Speicherbegrenzung

Sie dürfen personenbezogene Daten nur so lange speichern, wie dies für den angegebenen Zweck erforderlich ist.

Grundsatz der Integrität und Vertraulichkeit

Die Verarbeitung muss so erfolgen, dass angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet wird (z. B. durch Verschlüsselung).

Grundsatz der Rechenschaftspflicht

Der für die Datenverarbeitung Verantwortliche hat sämtlich Grundsätze zum Schutz personenbezogener Daten einzuhalten und die Einhaltung der Grundsätze auch nachzuweisen.

Rechenschaftspflicht

Seit Einführung der DSGVO besteht die Rechenschaftspflicht des datenverarbeitenden Unternehmens. Dies ist ein zentrales Anliegen der Verordnung. Jeder datenverarbeitende Unternehmer hat Rechenschaft über die Verarbeitung personenbezogener Daten abzulegen. Dies kann durch nachfolgende Aktionen geschehen:

  • Beschäftigen Sie ein Team, das für bestimmte Verarbeitungstätigkeiten zuständig ist.
  • Führen Sie detaillierte Verzeichnisse über die gesammelten Daten: wann sie erhoben wurden, wie sie verwendet wurden und wo sie gespeichert worden sind und welcher Beschäftigter dafür zuständig war, usw,
  • Veranstalten Sie Schulungen Ihre Mitarbeiter über die Umsetzung erforderlicher technischer und organisatorischer Sicherheitsmaßnahmen,
  • Schließen Sie schriftliche Verträge mit Auftragsverarbeiter,
  • Ernennen Sie freiwillig einen Datenschutzbeauftragten (nach dem Gesetz ist die Beauftragung eines Datenschutzbeauftragten für den KMU in der Regel nicht zwingend vorgesehen).

Datensicherheit

Sie haben bei der Verarbeitung der Daten ein angemessenes Sicherheitsniveau zu gewährleisten, indem Sie “geeignete technische und organisatorische Maßnahmen” nach Artikel 32 DSGVO ergreifen.

Technische Maßnahmen reichen von der Verpflichtung Ihrer Beschäftigten zur Zwei-Faktor-Authentifizierung für einen Kontozugang, in denen personenbezogene Daten gespeichert sind, bis zum Abschluss eines Vertrags mit Cloud-Anbietern, die End-to-End-Verschlüsselung verwenden.

Organisatorische Maßnahmen sind beispielsweise Mitarbeiterschulungen, das Hinzufügen einer Datenschutzrichtlinie zu Ihrem Unternehmenshandbuch oder Leitlinien oder die Einschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Beschäftigten ihres Unternehmens, die für die Bearbeitung bestimmter personenbezogener Daten zuständig sind.

Wenn eine Datenpanne dennoch passiert, dann haben Sie in der Regel 72 Stunden Zeit, die betroffenen Personen zu informieren, andernfalls drohen Strafen und Bußgelder. Auf die Informationspflicht kann nur dann ganz verzichtet werden, wenn Sie technische Sicherheitsvorkehrungen wie die Verschlüsselung implementiert haben, die die geklauten Daten für einen Hacker unbrauchbar machen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Einstellungen

Jede Nutzung und Verwendung von Daten in ihrem Unternehmen ist nach Art und Weise auf Datenschutzkonformität zu überprüfen, Artikel 25 DSGVO. In der Praxis bedeutet das, dass Sie die Grundsätze des Datenschutzes bei jeder (technisch indizierten) Tätigkeit oder (technischen) Gestaltung beachten müssen.

Angenommen, Sie installieren eine neue Anwendung für interne Abläufe in ihrem Unternehmen, wie z.B. Licht ein- oder ausschalten über eine App, dann müssen sie sich überlegen, welche personenbezogenen Daten der Benutzer von der App gesammelt werden, und dann überlegen, wie Sie die Datenmenge minimieren und wie sie das mit der neuesten Technologie sicherstellen können.

Wann sie Daten verarbeiten dürfen

Artikel 6 DSGVO bestimmt, wann die Verarbeitung persönlicher Daten erlaubt ist. Sie dürfen grundsätzlich die persönlichen Daten einer Person nicht nutzen oder verwenden, insbesondere nicht erheben, nicht speichern und schon gar nicht an Werbetreibende verkaufen – es sei denn, eine der folgenden Voraussetzungen sind gegeben:

  1. Die betroffene Person hat ausdrücklich und eindeutig darin eingewilligt, ihre Daten zu verarbeiten. (z. B. Sie haben sich für Ihre Marketing-E-Mail-Liste angemeldet).
  2. Die Verarbeitung ist erforderlich, um einen Vertrag abzuschließen oder vorzubereiten, bei dem die betroffene Person Partei ist. (Sie haben beispielsweise eine Bonitätsprüfung durchzuführen, bevor Sie ein Objekt an einen potenziellen Mieter vermieten).
  3. Sie sind verpflichtet die Daten zu verarbeiten, um eine behördliche oder gerichtliche Verfügung zu erfüllen.
  4. Sie sind verpflichtet die Daten zu verarbeiten, um jemandem das Leben zu retten.
  5. Die Verarbeitung ist erforderlich, um eine im öffentlichen Interesse liegende Aufgabe zu erfüllen oder eine hoheitliche Aufgabe (Beleihung) auszuüben. (z. B. Sie sind ein Entsorgungsunternehmen, das im Auftrag der Stadt handelt).
  6. Sie haben ein berechtigtes Interesse daran, die personenbezogenen Daten einer Person zu verarbeiten. Dies ist die flexibelste rechtliche Grundlage, obwohl die “Grundrechte und -freiheiten der betroffenen Person” immer Ihre (berechtigten) Interessen außer Kraft setzen, insbesondere wenn es sich um persönliche Daten von Minderjährigen handelt. (Das berechtigte Interesse ist Einzelfallprüfung).

Nur wenn und soweit Sie eine rechtmäßige, gesetzliche Grundlage für Ihre Datenverarbeitung haben, dürfen sie die personenbezogenen Daten der betroffenen Person auch für ihre Zwecke benutzen (wie z.B. E-Mail-Marketing). Wichtig auch hier die Nachweispflicht: Einwilligungen der betroffenen Personen sind beispielsweise zu dokumentieren, im Zweifel müssen sie der betroffenen Person darüber Auskunft geben können, auch darüber ob und wann die Einwilligung bereits von der betroffenen Person widerrufen worden ist (Grundsatz der Transparenz!).

Einwilligung

Nach der DSGVO ist nicht jede erteilte Einwilligung auch datenschutzkonform – die Einwilligung einer betroffenen Person muss vielmehr einer datenschutzrechtlichen Einwilligung gemäß der DSGVO entsprechen. Eine solche liegt vor, wenn

  • die Einwilligung der betroffenen Person freiwillig, für den bestimmten Fall, in informierter Weise und eindeutig abgegeben worden ist,
  • die Einverständniserklärung gemäß Artikel 7 Absatz 2 DSGVO “klar von den anderen Sachverhalten zu unterscheiden” und in einer “klaren und einfachen Sprache” ersucht worden ist,
  • die betroffenen Personen ihre zuvor erteilte Einwilligung jederzeit und einfach widerrufen können. Sie müssen den Widerruf dann vorbehaltslos anerkennen. Sie dürfen dann künftig nicht mehr die Daten dieser betroffenen Person verwenden, auch nicht unter dem Vorwand einer geänderten Rechtsgrundlage!
  • Die Verarbeitung von Daten von Kindern unter 16 Jahren bedarf zu ihrer Zulässigkeit der Zustimmung der Eltern. Ein minderjähriges Kind unter 16 Jahren kann grundsätzlich keine Einwilligung im Sinne der Datenschutzgrundverordnung erteilen.

Wie schon gesagt sind alle erteilten Einwilligungen zu dokumentieren und im Zweifel ihr Bestand zu beweisen.  

Datenschutzbeauftragte

Entgegen der weit verbreiteten Meinung ist nicht jeder, für die Verarbeitung Verantwortliche verpflichtet, einen Datenschutzbeauftragten ernennen. Es gibt aber drei Fälle nach Artikel 37 DSGVO, die die Ernennung eines Datenschutzbeauftragten erforderlich machen.

  1. Die Verarbeitung der Daten wird von einer Behörde oder öffentlichen Stelle durchgeführt.
  2. Sie sind ein großes, datenverarbeitendes Internet-oder Softwareunternehmen (z. B. SAP, Google, Facebook etc.)
  3. Sie haben als Unternehmen regelmäßig die Aufgabe, besondere Kategorien personenbezogener Daten, wie religiöse Weltanschauung, ethnische Herkunft der betroffenen Personen gemäß Artikel 9 der DSGVO oder strafrechtliche Verurteilungen und Straftaten der betroffenen Person gemäß Artikel 10 zu verarbeiten.

Sie können auch freiwillig einen Datenschutzbeauftragten ernennen. Die Vorteile liegen auf der Hand. Ein Datenschutzbeauftragter im Unternehmen ist vornehmlich für die Einhaltung datenschutzrechtlicher Vorschriften zuständig und kümmert sich um die gesetzmäßige Anwendung und Ausführung durch den KMU, wie Schulung und Compliance bei der Datenverarbeitung von Mitarbeitern und Angestellten sowie um den Schriftverkehr mit Aufsichtsbehörden. Bei Abmahnungen beauftragen Sie direkt die Rechtsanwältin, die sie gegen die Abmahnung auch gerichtlich verteidigen kann.

Rechte der Betroffenen

Ein weiterer sehr zentraler Punkt in der DSGVO ist die Kontrolle des Nutzers im Internet darüber, was mit seinen hinterlegten Daten geschieht und wie sie verarbeitet und verwendet werden. Insbesondere soll verhindert werden, dass persönliche Daten des Nutzers ohne seine Zustimmung und ohne gesetzliche Grundlage vom datenverarbeitenden Unternehmen an Dritte übermittelt oder zur Verarbeitung zugänglich gemacht werden. Die Datenschutzgrundverordnung reguliert damit einerseits nicht nur die Kundendaten des Unternehmers, sondern schützt auch die persönlichen Daten eines Inhabers oder Geschäftsführers, der ja andererseits auch Nutzer im Internet ist. Die Kontrolle wird durch die gesetzliche Einräumung von Rechten des Nutzers gegen das datenverarbeitende Unternehmen gewährleistet. Andererseits hat der Unternehmer gegenüber dem Nutzer die Pflicht über die Verarbeitung der Daten rechtzeitig zu informieren und auch die Pflicht, bei Ausübung der Rechte, zu handeln.

Der betroffene Nutzer hat nach der Verordnung:

  • Das Recht auf Auskunft über und Zugang zu seinen verarbeitenden Daten einschließlich des Rechts auf Auskunft in Bezug auf automatisierte Entscheidungsfindung und Profiling
  • das Recht auf Berichtigung seiner Daten,
  • das Recht auf Löschung seiner Daten,
  • das Recht, die Einschränkung der Verarbeitung der Daten zu verlangen,
  • das Recht auf Datenübertragbarkeit,
  • das Recht eine einmal erteilte Einwilligung jederzeit zu widerrufen,
  • das Beschwerderecht und
  • das Widerspruchsrecht.

Fazit

Das sind im Prinzip alle wichtigen Punkte der DSGVO in etwas mehr als 2.000 Wörtern. Die Verordnung selbst (ohne die dazugehörigen Richtlinien) umfasst 88 Seiten. Die ben dargestellten Leitlinien dienen nur zu Informationszwecken. Wenn Sie Fragen zur DSGVO haben oder eine Überprüfung ihrer Datenschutzpraxis innerhalb ihres Unternehmens wünschen oder einfach nur sicherstellen wollen, ob ihr Betrieb datenschutzkomform ist, dann treten sie mit mir in Kontakt oder vereinbaren Sie einen Termin.

Leave a Comment