• IT
  • DE
  • EN
Direkt zum Seiteninhalt

DSGVO: Was ist das? Was ändert sich? Was ist zu tun?

Blog
Veröffentlicht von Incomedia in Management & Gesetz · Montag 24 Dez 2018
Die DSGVO ist die neue europäische Datenschutzverordnung, die für europäische Bürger und Unternehmen gilt. Sind Sie gut vorbereitet? Finden Sie heraus, was Sie tun müssen.

Wenn es um Datenschutz geht, geht es um die DSGVO, also die neue Datenschutz-Grundverordnung. Diese europäische Norm, Verordnung (EU) 2016/679 vom 27. April 2016 ist am 25. Mai 2018 in Kraft getreten.

„Betrifft mich die Verordnung? Betrifft sie nur Großunternehmen oder auch kleine? Betrifft sie Freiberufler?
Betrifft sie mich, wenn ich nur einen Blog veröffentliche?“ Möglicherweise haben Sie sich diese Fragen bereits gestellt. Die GSDVO betrifft alle, die personenbezogene Daten verarbeiten. Das bedeutet, wenn Sie einen Onlineshop betreiben, eine Website haben, über die E-Mail-Adressen für den Newsletter erfasst werden, oder auch, wenn Sie im Rahmen Ihres Kundendienstes nach Telefonnummern fragen, sind Sie von dieser Verordnung betroffen.

In diesem Beitrag erfahren Sie mehr über die Regelung, darüber, was zu tun ist und wo Sie offizielle und nützliche Quellen zum Thema finden.

Darum geht es:

    Viel Spaß beim Lesen!

    Betrachten wir zuerst den Sinn der DSGVO

    Für jedes Gesetz gibt es einen Grund, dieser wird in der juristischen Fachsprache als Ratio des Gesetzes bezeichnet. Diesen Hauptgedanken zu verstehen, ist nützlich, um alle Änderungen und Verbesserungen, die von Ihnen erwartet werden, aus der richtigen Perspektive zu betrachten und diese ohne Unsicherheiten anzugehen.

    Das „Statut der Datenwirtschaft“

    Die Ratio des Gesetzes, in diesem Fall also der DSGVO, ist in Kürze folgende: Daten sind und werden immer mehr zum „Rohstoff“ einer neuen Wirtschaft, die auf einer erweiterten Datennutzung beruht, und sind ein strategisches Element für die Bereitstellung innovativer Produkte und Dienstleistungen.
    Die DSGVO ist das Statut dieser neuen Datenwirtschaft. Ziel der DSGVO ist es, die juristischen Barrieren zwischen den einzelnen Nationen zu beseitigen und europaweit ein gemeinsames Regelwerk für die Verarbeitung personenbezogener Daten zu schaffen. Diese Regeln gelten für alle, die in Europa Daten verarbeiten (auch für die amerikanischen Giganten wie Google oder Facebook).

    Von der formellen Erfüllung zum Unternehmensprozess

    Bis zum Beschluss der DSGVO wurde Datenschutz eher als Nebeneffekt und rein formelle Pflicht betrachtet („um Bußgelder von Aufsichtsbehörden zu vermeiden“). Mit der DSGVO hingegen wird der Datenschutz in jeder Hinsicht zum Unternehmensprozess, integriert in die Tätigkeit aller Unternehmen, ob Großbetriebe, Mittelstand, Klein- oder Mikrounternehmen.

    Das Prinzip der Datenminimierung

    So wenig Daten wie möglich und nur relevante. Es dürfen nur die Daten erfasst werden, für deren Verarbeitung explizit die Genehmigung eingeholt wird. Ein „man weiß ja nie, vielleicht kann ich sie später noch gebrauchen“, ist nicht mehr zulässig. Denken Sie daran, wenn Sie die Felder für Ihr Kontaktformular auswählen, aber auch an allen anderen Stellen der Website, an denen Besucher Daten eingeben können.

    Privacy by Design

    Der Schutz personenbezogener Daten muss von der Planung der Tätigkeit über deren gesamten Zyklus der Datenverwaltung gewährleistet sein.

    Privacy by Default

    Datenschutz ist nicht länger ein Zubehör, sondern wird zur Voraussetzung, also zum Standard für die Verarbeitung von Informationen. Dies erfordert eine Reihe technischer Vorkehrungen zum Schutz der Daten, wie die Pseudonymisierung, die verhindert, dass von verarbeiteten Daten Rückschlüsse auf eine bestimmte Person gezogen werden können.

    Was also ist konkret zu tun, um mit der DSGVO konform zu sein?

    Nach der einleitenden Erklärung des Kontextes hier also eine Zusammenfassung der Änderungen, die im Hinblick auf die Verwaltung personenbezogener Daten bestehender und potenzieller Kunden mit mit der DSGVO in Kraft treten.

    Kurze, prägnante und leicht verständliche Datenschutzerklärungen

    Auch die Information über den Datenschutz ist nicht mehr nur eine formelle Vorschrift. Sie soll vielmehr der betreffenden Person konkret bewusst machen, welche Daten verarbeitet werden und worum es dabei im Allgemeinen geht. Darum muss diese Erklärung kurz, transparent, stets zugänglich und für alle, auch Minderjährige, verständlich sein. Die Ausdrucksweise muss klar und prägnant sein.

    Die betreffende Person kann auch mündlich informiert werden (aber nur, wenn sie dies ausdrücklich verlangt wird und ihre Identität bekannt ist) und die Informationen können auch stufenweise nacheinander bereitgestellt werden (stufenweise Information). Neben Text können Standardsymbole verwendet werden, um die Verständlichkeit zu erhöhen.

    Einverständnis: Ein bewusstes Ja

    Die Zustimmung muss positiv und unmissverständlich erklärt werden, es gibt kein passives oder stillschweigendes Einverständnis mehr. Außerdem muss das Einverständnis spezifisch für jeden Zweck der Datenverarbeitung gegeben werden. Wenn Sie zum Beispiel Daten wie Vorname, Nachname und E-Mail-Adresse erfassen, um einen Kostenvoranschlag zu erstellen, ist dies die erste Serviceebene, für die Sie die Zustimmung benötigen.

    Ebenso, wenn diese Daten in einer Datenbank für die kommerzielle Nutzung gespeichert werden – zum Beispiel, um Personen über eine Weihnachtsaktion zu informieren – ist dies schon eine zweite Ebene der Datenverarbeitung, die Sie in Ihrer Datenschutzerklärung explizit nennen müssen.

    Eine positive und unmissverständliche Aktion kann zum Beispiel darin bestehen, dass der Nutzer weiter durch die Website navigiert, nachdem er das Banner mit den Informationen über die Verwendung von Cookies angesehen hat.

    Datenschutzrisiken verwalten: Datenschutz-Folgenabschätzung (DSFA)

    Mit Inkrafttreten der DSGVO wird auch die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) obligatorisch. Dies ist ein Dokument, in dem die Auswirkungen des Datenschutzes bewertet werden. Mit der DSFA wird die Verwaltung des Datenschutzes zum festen Bestandteil der Unternehmensverwaltung und überschneidet sich auch mit dem Sicherheitsmanagement, dessen Grundpfeiler der Begriff des Risikos und das vorbeugende Risikomanagement sind.

    Der Prozess des Risikomanagements in Bezug auf den Datenschutz, der durch die DSFA definiert ist, gliedert sich in drei Phasen:
    • Analyse des Datenschutzrisikos
    • Auflistung der kritischen Aspekte der aktuellen Verwaltung in Bezug auf die Risiken (Gap-Analyse)
    • Erstellung eines Maßnahmenplans zur Minimierung der Risiken (Aktionsplan).

    • Was tun bei Datenpannen: die Data Breach Notification

      Im Fall einer Datenschutzverletzung (Data Breach), also einer so genannten Datenpanne oder Sicherheitslücke, aufgrund der Daten verloren gehen, vernichtet, verändert, verbreitet oder unberechtigten Personen zugänglich gemacht werden können, besteht eine Meldepflicht (Data Breach Notification), gegenüber den betroffenen Personen sofort sowie gegenüber der Datenschutzbehörde innerhalb von 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt wurde.

      Diese Meldung muss folgende Informationen enthalten:
      • Name und Kontaktdaten des Data Protection Officers (DPO) oder der Person, die Auskunft geben kann
      • Beschreibung der Verletzung
      • Beschreibung der Maßnahmen, die eingeleitet wurden oder werden, um die Datenschutzverletzung zu beheben, sowie der potenziellen Konsequenzen für die betroffenen Personen.

      • Die Meldung an die Datenschutzbehörde gibt es nicht mehr. Neu hinzugekommen hingegen ist das Verzeichnis von Verarbeitungstätigkeiten.

        Die Nachweispflicht gegenüber der Datenschutzbehörde (die für bestimmte Unternehmen und Datentypen galt) mit dem bisherigen Verfahrensverzeichnis wurde aufgehoben und durch das Verzeichnis von Verarbeitungstätigkeiten ersetzt.

        Im Prinzip ist dies Phase 2 der Datenschutzverwaltung, die der Bewertung der Auswirkungen folgt und als Planungsinstrument verwendet wird. Unternehmen mit weniger als 250 Angestellten sind von der Führung des Verzeichnisses befreit, sofern „die Verarbeitungen von personenbezogenen Daten:
        • kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
        • nur gelegentlich erfolgen oder
        • keine besonderen Datenkategorien (so genannte sensible Daten) oder
        • Daten über strafrechtliche Verurteilungen und Straftaten (so genannte juristische Daten) betreffen.“

        • Auch dieses Dokument muss verschiedene Angaben enthalten. Am Ende dieses Beitrags finden Sie den Link zu einem Dienst, mit dem Sie das Verzeichnis von Verarbeitungstätigkeiten erstellen können.

          Die neue Rolle des DPO (Data Privacy Officer)

          Die Umsetzung der DSGVO beinhaltet nicht nur die Bereitstellung der Dokumente, sondern auch das Vorhandensein entsprechender Rollen im Unternehmen. Diesbezüglich ist die GDPR sehr eindeutig: Die bisherigen Rollen, also die des Dateneigners, des Verantwortlichen und des Datenschutzbeauftragten bleiben weiterhin bestehen.

          Hinzu kommt der Verantwortliche für die Verarbeitung personenbezogener Daten, der Data Privacy Officer oder auch DPO. Dies ist ein unabhängiger interner Prüfer, der juristische und EDV-Kenntnisse haben muss sowie Ausgabenautonomie und Entscheidungsbefugnisse besitzt. Ebenso wie bei der Führung des Verzeichnisses müssen auch hier nicht alle einen DPO beauftragen, sondern nur Behörden sowie Unternehmen, die regelmäßig besonders viele personenbezogene Daten bzw. sensible oder juristische Daten verarbeiten.

          Was geschieht bei Verstößen gegen die DSGVO?

          Die Bußgelder sind verhältnismäßig streng und können in Höhe von bis zu 4% des Umsatzes bei einem Höchstbetrag von 20 Millionen Euro verhängt werden.

          Was tun? Die ToDo-Liste für die DSGVO in fünf Punkten

          Punkt 1: Prüfen Sie die aktuelle Datenschutzerklärung Ihrer Website.

          Prüfen Sie, ob alle erforderlichen Elemente enthalten sind (unten finden Sie ein Tool, das Sie bei der Verwaltung unterstützt). Lesen Sie Ihre Datenschutzerklärung gründlich oder lassen Sie sie von einer zweiten Person lesen und fragen Sie: Ist der Text verständlich? Was ist nicht klar?

          Punkt 2: Erstellen Sie eine Übersicht aller Punkte, an denen Sie Nutzerdaten erfassen.

          Dazu zählen Kontaktformulare, das Formular für die Anmeldung zum Newsletter, das Registrierungsformular u.a. Prüfen Sie, ob die Formulare den oben genannten Vorgaben entsprechen.

          Punkt 3: Beschreiben Sie Ihre konkrete Vorgehensweise der Datenverarbeitung.

          Beginnen Sie bei der Erfassung bis hin zu den Speichermethoden. Hier einige Fragen zur Orientierung:
          • Welches Tool oder welchen Dienst nutzen Sie für die Erfassung von E-Mai-Adressen? Wie werden die Daten dort verarbeitet? Was geschieht mit den Daten nach ihrer Erfassung?
          • Wo werden die Daten, die Sie erfassen, gespeichert? Welche Art von Datenbank verwenden Sie zum Speichern? Auf welchem Server liegt diese Datenbank? Ist der Dienstanbieter konform mit der DSGVO? Und anderes.
          • Wer analysiert die Daten (z.B. für die Auswahl der E-Mail-Adressen, an die Aktionsangebote gesendet werden)?

          • Punkt 4: Verfassen Sie mit all diesen Informationen die Datenschutz-Folgenabschätzung (DSFA), also die Analyse der Risikoauswirkungen.

            Auf der Website der Datenschutzbehörde finden Sie eine Software, die Sie bei der Erstellung unterstützt. Sollten Sie Zweifel haben, wenden Sie sich an einen Experten.

            Punkt 5: Prüfen Sie Ihre Dokumentation und ändern bzw. ergänzen Sie sie nach Bedarf.

            Prüfen Sie, ebenfalls mit Unterstützung eines Experten, Ihre Datenschutzerklärung und alle Stellen Ihrer Website, an denen Sie Daten erfassen. Überprüfen Sie den Prozess der Datenverarbeitung und die Anbieter der von Ihnen genutzten Dienste. Besprechen Sie mit dem Experten, ob eventuell andere Dienste genutzt werden sollten.

            Prüfen Sie gemeinsam mit dem Experten, ob Sie gemäß DSGVO zu der Kategorie von Unternehmen zählen, die einen DPO haben und ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Beginnen Sie dann mit der Implementierung.

            Ein zusätzlicher Tipp

            Sind Sie auf der Suche nach einfachen Tools, mit denen Sie Ihre Datenschutzaktivitäten dokumentieren, den internen Datenschutz verwalten und die Zustimmungsnachweise speichern können? Probieren Sie die zwei neuen Lösungen Internal Privacy Management und Consent Solution von Iubenda aus.

            Nützliche Ressourcen

            Ihre erste Quelle sollte die Website der Datenschutzbehörde sein. Dort finden Sie Informationen und Tools für Unternehmen aller Größen und Freiberufler.

            Hier finden Sie den > Wortlaut der DSGVO

            Hier finden Sie einen Leitfaden zur praktischen Anwendung der DSGVO: > Leitfaden der Datenschutzbehörde

            Hier finden Sie eine Sammlung von Regelwerken verschiedener europäischer Länder: > The General Data Protection Regulation (GDPR)

            Hier finden Sie eine Software mit Anleitung zum Verfassen der DSFA. Die Software wird von der französischen Regierung angeboten, ist aber in mehreren Sprachen verfügbar: > Software zur Erstellung der DSFA

            Auf der Website der britischen Datenschutzbehörde ICO – Information Commissioner’s Office – finden Sie einige Checklisten, mit denen Sie sich einen Überblick verschaffen können, wo Sie stehen und was noch zu tun ist: > Data Protection Self Assessment

            Um zu erfahren, ob Sie zu einer der in der DSGVO genannten Kategorien gehören, aber auch, um allgemein zu verstehen, wie Sie Compliance erzielen können, ist es empfehlenswert, wenn nicht gar notwendig, sich an einen Datenschutzexperten zu wenden. Dieser Beitrag fasst lediglich zusammen, wie Sie sich informieren und verantwortungsbewusst handeln, damit Sie dem Experten, an den Sie sich wenden, gezielte und eindeutige Fragen stellen können


            Zurück zum Seiteninhalt
            www.websitex5.com