Die neue Datenschutzgrundverordnung (DSVGO)

Am 25. Mai 2018 ist es soweit. Die EU-Datenschutzgrundverordnung (DSGVO) gilt ab diesem Datum für alle Unter- nehmen in Deutschland verbindlich. Was bft-Mitglieder bei der neuen Verordnung berücksichtigen müssen, zeigen wir in diesem Beitrag auf.

Dem Gesetzgeber geht es darum, für alle Unternehmen ver- bindlich ein einheitliches Datenschutzrecht zu verwirklichen. Das Datenschutzrecht soll an die technische Entwicklung angeglichen werden und für ein einheitliches Datenschutzniveau innerhalb der europäischen Union sorgen. Schutzobjekt sind vor allem natürliche Personen und deren Schutz vor Datenmiss-brauch durch die zunehmende Digitalisierung und den wachsenden E-Commerce. Insbesondere personenbezogene Daten wie Name, Geburtsdatum oder IP-Adresse sind geschützt. Verarbeitet werden dürfen sie nur nach Einwilligung (oder im Falle des öffentlichen Datenschutzes durch gesetzliche Grundlagen).

Grundsatz ist danach: Ab dem 25. Mai 2018 sind Unternehmer / Unternehmen in der Beweispflicht. Das bedeutet, dass nicht mehr wie bisher die Datenschutzbehörden einen Verstoß nachweisen müssen, sondern dass ab dem 25. Mai 2018 der Unternehmer nachweisen muss, dass er sich an die Datenschutzvorschriften hält (Art. 5 Abs. 2 DSGVO). Wer die Einhaltung der Vorschrif- ten nicht nachweisen kann, dem drohen Bußgelder.

Umfangreiche Dokumentationspflichten

Da der Unternehmer jetzt nachzuweisen hat, dass er datenschutzkonform arbeitet, muss er Folgendes anlegen:

  • Verzeichnis von Verarbeitungstätigkeiten

  • Interessensabwägungen

  • Einwilligung

  • Datenschutzerklärung

  • Reaktionsplan bei Datenschutzverletzungen

  • Klärung, ob ein Datenschutzbeauftragter bestellt werden muss

  • ggfs. Datenschutz-Folgeabschätzungen

  • Vorbereitungen auf Geltendmachung von Rechten der Betroffenen

    1. Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis)

    Die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten anzu- legen, betrifft Unternehmen mit über 250 Mitarbeitern (Art 30 Abs. 5 DSGVO) und solche Unternehmen, die personenbezo- gene Daten so verarbeiten, dass sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Scoring und Überwachungsmaßnahmen) oder solche Unternehmen, welche Daten nicht nur gelegentlich erheben (z. B. die regelmäßige Verarbeitung von Kunden- und Beschäftigtendaten). Im Rahmen der Verarbeitung von Kundendaten (Monatstanker) werden auch Bonitätsprüfungen durchgeführt. Kundenkarten und Bonusprogramme führen ebenfalls zu regelmäßigen Verarbeitungstätigkeiten. Daher sind hier entsprechende Verarbeitungs- tätigkeiten zu dokumentieren, auch wenn weniger Mitarbei- tern aktiv sind.
     

Form und Inhalt
 

Das Verarbeitungsverzeichnis kann schriftlich oder elektronisch erstellt werden und sollte folgende Punkte beinhalten:

• Namen und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

• Zweck der Verarbeitung
• Kategorien der betroffenen Personen und der personenbezogenen Daten
• Kategorien der Datenempfänger
• Angaben zu Übermittlungen in ein Drittland
• Löschfristen
• technische und organisatorische Schutzmaßnahmen

Muster für Verfahrensverzeichnisse gibt es auf zahlreichen Internetseiten zum Download.



2. Interessenabwägung – Rechtmäßigkeit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist rechtmäßig,

• wenn eine Einwilligung der betroffenen Person vorliegt,
• zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen
• zur Erfüllung einer rechtlichen Verpflichtung
• zum Schutze lebenswichtiger Interessen,
• zur Wahrnehmung einer Aufgabe, die im öffentlichen

Interesse liegt oder
• in Ausübung öffentlicher Gewalt oder
• aufgrund einer Interessenabwägung erforderlich ist.

Einer der o. g. Tatbestände muss vorliegen, damit eine rechtmäßige Verarbeitung gegeben ist. Dies folgt aus Art. 6 der Datenschutzgrundverordnung. Für Handelsbetriebe oder Tankstellen ist im Regelfalle eine Verarbeitung aufgrund einer Einwilligung des Kunden notwendig.

 

3. Einwilligung

Die Einwilligung muss freiwillig in Kenntnis aller maßgebenden Umstände der Verarbeitung erteilt werden. Im Regelfall soll sie schriftlich vorliegen (§ 4a Abs. 1 Bundesdatenschutzgesetz). Die DSGVO verlangt durch Art. 7 Nr. 1 DSGVO allerdings nur noch die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Eine konkrete Formvorschrift wird nicht genannt. Sie kann daher auch elektronisch erteilt werden. Das Häkchen für die Verarbeitung darf nicht automatisch gesetzt werden oder über Kopplungsangebote erreicht werden.


4. Datenschutzerklärung

Wenn Sie über eine Internetseite personenbezogene Daten erhalten, müssen Sie den Nutzer über alle Vorgänge aufklären, bei denen Sie dessen personenbezogene Daten verarbeiten. Personenbezogen sind alle Angaben, die Rückschlüsse auf eine konkrete Person erlauben (Namen, IP-Adresse, E-Mail-Adresse, o. ä.). Sie müssen dem Nutzer den Zweck der Datenverarbeitung, die Rechtsgrundlage der Datenverarbeitung, ggf. die Übermitt- lung von Daten an Dritte, ggf. situationsabhängige Informa- tionen und die Dauer der Speicherung mitteilen. Außerdem müssen Sie eine Aufklärung über Cookies und – falls noch nicht vorhanden – ein Webformular für eine Einwilligungserklärung anbieten.
 

5. Wie darf man Cookies in Zukunft einsetzen?

Cookies sind kleine gespeicherte Datensätze, die es ermöglichen, den Nutzer und seine Rechnereinstellungen wiederzuer- kennen, sein Nutzungsverhalten zu analysieren und ggf. darauf zu reagieren. Während Cookies bisher relativ sorglos platziert werden konnten, gibt es jetzt sehr strenge Regeln. Dafür sind drei Fragen zu beantworten:

  • Gibt es ein berechtigtes Interesse des (Online-)Händlers?

  • Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies zur Wahrung dieses Interesses erforderlich?

  • Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten gegenüber dem Interesse des Online-Händlers?

    Kommen Sie zu einem positiven Ergebnis, dürfen Sie Cookies verwenden. Sie müssen in der Datenschutzerklärung auf die Verwendung von Cookies hinweisen und (!) diese müssen de- aktiviert werden können.

    In einem Beitrag zum Thema DSGVO haben wir einen wichtigen Tipp gelesen, den wir an dieser Stelle weitergeben wollen: Ein Cookie-Banner ist rechtlich (noch) nicht notwendig. Vor allem lauert hier eine Abmahnfalle. Überlagert das Cookie-Banner z. B. den Link auf das Impressum, droht sogar ein Bußgeld von bis zu 50000 Euro. Das Impressum muss leicht erkennbar, un- mittelbar erreichbar und ständig verfügbar sein!

Social Media Plugins sind unter datenschutzrechtlichen Gesichtspunkten ausgesprochen problematisch und sollten unseres Erachtens nur eingeschränkt verwendet werden.

Für Online-Formulare gilt der Grundsatz der Vertraulichkeit und Integrität. Danach müssen

• personenbezogene Daten sicher erhoben und verarbeitet werden

• Zugriffe auf diese Daten durch Dritte ausgeschlossen sein • alle Formulare sollten verschlüsselt sein

Pflichtfelder müssen gekennzeichnet werden. In der Daten- schutzerklärung muss stehen, was mit den Daten, die über solche Formulare erhoben werden, passiert („zur Vertragsabwicklung“, „zur Beantwortung Ihrer Frage“, Speicherdauer etc.).

Auch für Einwilligungen auf Webseiten gilt das oben bereits Erwähnte. Im Regelfall geht nichts ohne Einwilligung. Besonders beim Versand von Werbung per E-Mail oder Newsletter ist die Einwilligung des Kunden zwingend notwendig. Jede Form der Kommunikation, die (un)mittelbar der Absatzförderung oder der Imagepflege eines Unternehmens dient, ist Werbung.

Nur bei einer unmissverständlich abgegebenen Willenser- klärung, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist, darf Werbung per E-Mail versendet werden. Einwilligungen von Kindern unter 16 Jahren sind durch die neue DSGVO nicht mehr erlaubt. Es besteht außerdem ein Kopplungsverbot. Einwilligungen dürfen nicht in Zusammenhang mit etwas anderem bestehen. Auch hier gilt das oben bereits Gesagte: Der Versender von Werbung muss das Vorliegen der Einwilligung nachweisen (Art. 7 Abs. 1 DSGVO)! Am besten ist es, die Einwilligung des Kunden genau zu protokollieren.

Am 25. Mai entsteht die Welt nicht neu. Deswegen bleiben auch alte Einwilligungen nach diesem Datum wirksam. Sie müssen nur schon nach den Bedingungen der DSGVO erteilt worden sein. Das heißt: Sie müssen freiwillig (Kopplungsverbot beachten) erteilt worden sein. Einwilligungen von unter 16-Jährigen müssen in jedem Falle neu erteilt werden.

 

6. Datenschutzpanne

Sollte es doch einmal zu einer Datenpanne (z. B. durch einen Hackerangriff oder Verlust eines Datenträgers) kommen, so muss die Datenschutzverletzung „unverzüglich und binnen 72 Stunden, nachdem die Verletzung bekannt wurde“ der Aufsichtsbehörde gemeldet werden. Die Meldung muss folgende Punkte beinhalten:

  • Beschreibung der Art der Datenschutzverletzung

  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle

  • Beschreibung der wahrscheinlichen Verletzungsfolgen

  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

  • und ggf. Abmilderung ihrer möglichen Auswirkungen

    Achtung: Es muss nicht mehr auf jedem Mobiltelefon oder jedem Tablet eine Zugangsmöglichkeit in Ihr internes Netz gespeichert sein. Prüfen Sie auch, ob sich hier „unerlaubte“ Datensammlungen angesammelt haben, die Ihnen im Zweifelsfalle zugerechnet werden. Dazu ein Beispiel von einem Heizölhändler: Dort hatten sich die Fahrer eine Sammlung von Fotos von Häusern und den Befüllstutzen angelegt und sich damit gegenseitig geholfen. Diese Datensammlung war weder geneh- migt noch zulässig.
     

    7. Datenschutzbeauftragter

    Sollten im Unternehmen mindestens 10 Personen mit der Verarbeitung von personenbezogenen Daten betraut sein, ist ein Datenschutzbeauftragter zu bestellen. Inhaber und Geschäftsführer dürfen nicht zum Datenschutzbeauftragten ernannt werden. Muss eine Datenschutz-Folgenabschätzung durchgeführt werden, müssen auch Unternehmen, bei denen weniger als zehn Personen mit der Datenverarbeitung zu tun haben, einen Datenschutzbeauftragten bestellen.

    Der Datenschutzbeauftragte nach der DSGVO hat drei wesent- liche Funktionen. Als interne Aufgabe im Unternehmen klärt er verbindlich Datenschutzangelegenheiten. Er ist Ansprechpartner für die Aufsichtsbehörde bei Datenschutzfragen und ist Anlauf- stelle für von der Speicherung betroffene Personen.

    Der Datenschutzbeauftragte wird über Datenschutzfragen im Unternehmen von den jeweils Verantwortlichen unterrichtet und überwacht auch, das Datenschutzfragen gesetzeskonform geregelt werden. Hier hat der Datenschutzbeauftragte eine echte Überwachungsfunktion. Hinzu kommen die Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen. Die DSGVO verlangt auch, ihn frühzeitig in Entscheidungen über Speicherung etc. einzubinden.

Gegenüber Dritten, insbesondere gegenüber der Datenschutzbehörde, ist er der alleinige Ansprechpartner. Name und Anschrift des Datenschutzbeauftragten müssen nicht veröffentlicht werden. Dies kann intern gehalten werden. Er muss aber über eine eigene Postanschrift und eine eigene spezielle Telefonnummer verfügen.
 

8. Rechte Betroffener beachten

Eigentlich selbstverständlich, denn Datenschutz ist ja kein Selbst- zweck. Die von Datenspeicherung betroffenen Personen haben Ihnen gegenüber auch Rechte. Diese sind in Art.15 DSGVO konkret aufgelistet. Das Recht auf Auskunft umfasst danach:

1. die Kategorien personenbezogener Daten, die verarbeitet werden;

2. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

3. falls möglich die geplante Dauer, für die die personen- bezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

4. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

5. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

6. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

7. das Bestehen einer automatisierten Entscheidungsfindung

Die Auskünfte sind ausschließlich schriftlich – Vorsicht Falle: KEINE AUSKÜNFTE AM TELEFON! – zu erteilen. Der Betroffene hat das Recht auf eine Kopie seiner personen- bezogenen Daten, die Gegenstand der Verarbeitung sind.

Betroffene können einer Speicherung widersprechen und haben dann ggf. Löschungsrechte. Betroffen sind für diesen Anspruch diejenigen Daten, die zur Durchführung der Aufgaben nicht benötigt werden oder bei denen eine Einwilligung zurückgezogen wurde. Beachten Sie aber auch, dass handels- und steuerrechtlich notwendige Daten insoweit nicht betroffen sind. Diese dürfen Sie selbstverständlich speichern und verarbeiten.
 

Recht auf Löschung von personenbezogenen Daten (Vergessenwerden)

Der Kunde hat das Recht, dass personenbezogene Daten unverzüglich vom verantwortlichen Unternehmen gelöscht werden, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Widerruft die betroffene Person ihre Einwilligung und fehlt es an einer anderweitigen Rechtsgrundlage für die Verarbeitung, ist der Löschungsanspruch unverzüglich umzusetzen.
 

9. Weitere Pflichten im Rahmen der DSGVO

Teilweise sind Verantwortliche in der Pflicht, eine Datenschutz-Folgenabschätzung (Art. 35 Abs.1 DSGVO) durchzuführen. In der Datenschutzerklärung muss dann über die Tragweite und angestrebte Auswirkung der Datenverarbeitung informiert werden. Dies gilt beispielsweise dann, wenn Sie sich direkt mit Scoring, Profiling (z. B. Bonitätsprüfung), automatisierten Entscheidungen oder ähnlichem beschäftigen.

 

Das sollten Sie jetzt schnell umsetzen

Prüfen Sie umfassend, wo Sie welche Daten verarbeiten. Verschaffen Sie sich eine umfassende Übersicht. Klären Sie, ob diese Datensammlungen weiterhin notwendig sind. Dies erfordert einiges an Arbeit. Legen Sie für die erlaubten Verarbeitungsvorgänge das Verfahrensverzeichnis an. Erstellen oder passen Sie die Datenschutzerklärung für Ihre Website an. Wer hier bis zum 25. Mai nichts unternimmt, zeigt auch im Unter- nehmen offene Flanken und wird leicht Opfer von spezialisierten Abmahnkanzleien, die jetzt schon auf ihre Opfer warten. Bestellen Sie einen Datenschutzbeauftragten falls notwendig. Der Datenschutzbeauftragte kann extern oder intern bestellt werden. Prüfen Sie die vorhandenen Einwilligungen darauf, ob sie Bestand haben oder nicht.

Nutzen Sie weitere Informationsmöglichkeiten über andere Verbände, Kammern oder über Ihre Berater. Nutzen Sie auch Broschüren- und Veranstaltungsangebote der IHKs, die in diesen Tagen angeboten werden.

Einen Ratschlag, den wir vor kurzem auf einer bft-Tagung gehört haben, geben wir ebenfalls gerne weiter: Verfallen Sie nicht in Panik. Auch der Datenschutz ist kein Buch mit sieben Siegeln.

Für Rückfragen stehen auch wir Ihnen gerne zur Verfügung.

bft / Stephan Zieger

Zum Anfang