Die DS-GVO kommt – Stichtag 25. Mai 2018

Die neue DS-GVO – Stichtag 25. Mai!

Dieser Satz ist wohl derzeit in aller Munde. Den ab dem 25. Mai 2018 gilt in der Europäischen Union ein einheitliches Datenschutzrecht. Es ist in der Datenschutz-Grundverordnung (DS-GVO) enthalten. Für manch einen mag dies eine schreckliche Vorstellung sein, wenn man daran denkt, was in Zukunft alles auf einen zukommt. 

Eins sei vorab gesagt: Die Datenschutzbestimmungen gab es auch schon vor diesem Tag und der 25. Mai markiert eigentlich nur das Ende einer zweijährigen Übergangsfrist. Wer sich also bereits in der Vergangenheit mit diesem Thema auseinandergesetzt hat, hat jetzt nur einen weiteren, kleinen Schritt zu machen. Denn die inhaltlichen Anforderungen ähneln vielfach dem derzeit geltenden Recht. 

Gleichwohl bringt es eine ganze Reihe neuer Anforderungen mit sich, die für die Praxis wichtig sind. Beginnst Du allerdings erst jetzt, Dich überhaupt mit dem Thema Datenschutz auseinanderzusetzen, wird es ein sehr langer und steiniger Weg. 

In diesem Artikel möchte ich Dir erst einmal einen allgemeinen Überblick geben, was alles in Zukunft im Rahmen der DS-GVO auf Dich zukommt. Daher werden wir einen kleinen Blick in die folgende drei Bereiche werfen:

• Organisation im Innenverhältnis
• Organisation im Außenverhältnis
• Technische und organisatorische Maßnahmen (TOM)

Eins möchte ich gleich voranstellen: Dieser informative Beitrag stellen keine Rechtsberatung dar! Im Rahmen meiner Arbeit als Designer und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DS-GVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Ich werde an dieser Stelle nicht auf alle erforderlichen Maßnahmen eingehen, welche die neue DS-GVO mit sich bringt. Insofern kommen nur die Punkte zur Sprache, die direkt oder indirekt mit Deiner Website zu tun haben.

Organisation im Innenverhältnis

Das Verarbeitungsverzeichnis (VV)

Das Verarbeitungsverzeichnis ist ein handschriftliches oder elektronisches Dokument aller erhobenen Daten und deren Verwendung. In diesem Zusammenhang solltest Du Dir die folgenden Fragen stellen:

Was sollte in dieses Verzeichnis aufgelistet sein?

• Welche Daten erhebe ich? (Name, Anschrift, Telefon etc.)
• Habe ich die Erlaubnis, diese Daten zu erheben? (nachweisliche Notwendigkeit, 
  z. Bsp. die E-Mail-Adresse bei einer Kontaktaufnahmen – Einwilligung) oder eine gesetzliche Grundlage (z. Bsp. die persönlichen Daten eines Angestellten – Arbeitsvertrag)
• Wie habe ich diese Daten erlangt? (Kundenkontakt, Mitarbeitereinstellung, Auftragsbestellung, etc.)
• Welche Programme in meinem Unternehmen verarbeiten diese Daten? (Kundendatenbank, Rechnungssoftware, Schnittstelle zum Steuerberater, etc.)
• Wer hat Zugriff auf diese Daten? (an dieser Stelle kann man in Gruppen definieren! z. Bsp. Rechnungswesen – Kreditohrenabteilung)
• Wohin werden diese Daten ggf. weitergeleitet? (gebe ich Daten an Drittanbieter weiter, z. Bsp. eine Rechnung mit Kundenadresse an den Steuerberater)
• Wann werden diese Daten gelöscht? (gibt es eine automatische Löschung nach 
  x Tagen oder verbleiben die Daten auf Deiner Festplatte)
• Erhebe ich u.U. sensible Daten? (Bankdaten, Gesundheitsdaten, Religionszugehörigkeit, Rasse, Gewerkschaftsangehörigkeit, etc.)

Auf alle diese Fragen solltest Du in Zukunft eine Antwort haben. Derzeitige VV, die als Grundlage dienen könnten, fallen sehr umfangreicher aus. In diesem Zusammenhang ist seitens der neuen DS-GVO auch noch keine einheitliche Reglung herausgegeben worden. 

An dieser Stelle zwei VV-Vorlagen, die als Basis dienen können. Die Mustervorlage der aktivMind AG ist, nach meiner Meinung, etwas einfacher und übersichtlicher aufgebaut!
Die Verarbeitungsverzeichnisvorlage von der activeMind.AG – Download
Das Muster-Verzeichnis der WKO mit Ausfüllhilfe – Download
Auch in der o.g. Broschüre befindet sich ein verständliches Verzeichnis.

Eindeutig ist nur, dass eine Firma ab 250 Mitarbeitern eine ausführliche Dokumentation anlegen muss. Wie sich das in kleine Firmen oder bei „Einzelkämpfern“ verhält, ist derzeit unklar. An dieser Stelle herrscht die Devise: Lieber ein schlechtes und unvollständiges Verzeichnis als gar keins!

Datenschutzabfolge

Datenerhebung und Speicherung kann in Zukunft, ob nun bewusst oder unbewusst, eine Menge Arbeit nach sich ziehen. Die neue DS-GVO predigt den Grundsatz der Notwenigkeit und Minimierung. Das heisst: Mache Dir im Vorfeld bereits Gedanken, welche Daten Du erhebst. Mache eine Vorabkontrolle und, damit verbunden, eine Risikoeinschätzung bei neu erhobenen Daten. Und dokumentiere dies in Deine VV.

Datenschutzbeauftragter

Firmen, die mindesten oder mehr als 9 Mitarbeitern beschäftigen, haben einen Datenschutzbeauftragten zu bestellen. An dieser Stelle kommt eine erste Überlegung auf Dich zu! 

Intern oder Extern? 

Intern stellst Du einen Mitarbeiter ab, der neben seiner normalen Aufgabe auch noch die Datenschutzaufgaben übernimmt. Vorteil, der Mitarbeiter kennt sich mit der Gegebenheit in der Firma aus und kann einige Entscheidungen u. U. leichter erfüllen. Nachteil ist der Mehraufwand des Mitarbeiters.

Externe Beauftragte haben den Vorteil der Zeit. Sie befassen sich ausschließlich mit diesem Thema, haben Zugang zu externe Quellen und greifen auf Erfahrungen aus anderen Firmen zurück. Nachteil, eine weitere, für Dich fremde Person, greift auf Deine Daten zu. An dieser Stelle heißt es Vor- und Nachteile abzuwägen und ggf. auf Seriosität zu prüfen!

Aufgaben eines Datenschutzbeauftragten:

• Wirkt auf die Geschäftsführung ein, berät, klärt auf und informiert über Neuerungen
• Datenschutzfolgeabschätzungen (Welche Folgen zieht eine Datenerhebung nach sich?)
• Gibt Auskunft an Betroffene
• leitet alle angemessene Maßnahmen in Zusammenhang mit dem Datenschutzrecht, gibt Schulungen zum Datenschutzgesetz

Wo erhebe ich eigentlich Daten auf meiner Website?

Bei der Frage “Wo erhebe ich überall persönliche Daten?” kommt unweigerlich auch deine Website ins Spiel. Deine Seite enthält, im geringsten Fall, ein Formular zur Kontaktaufnahme. Name und E-Mail-Adresse zählen bereits laut neuer DS-GVO zu den persönlichen Daten. Auch Analysetool wie “Google Analystics” erheben Daten der Besucher deiner Seite.

Organisation im Außenverhältnis

Die Auftragsdatenverarbeitung (ADV)

Auftragsdatenverarbeitung bedeute nichts anderes als dass Du in Zukunft mit jedem einen Vertrag schließen musst, an den Du Daten im Sinne des Datenschutzgesetzes weitergibst. Das führt zur ersten Überlegung: Welche Daten gibst Du an Drittanbieter weiter? (z. Bsp. die Adressen Deines Mitarbeiters an Deine Druckerei, um Weihnachtskarten zu drucken oder die monatliche Abrechnung der Gehälter an Deinen Steuerberater; ergo mit diesen Drittanbietern musst Du einen Vertrag schließen!) 

Kontrolliere und analysiere deine Datenverwendungen in der Firma genau. Einige werden dir im Moment noch gar nicht bewusst sein. Ab dem 25. Mai solltest du aber über alle Vorgänge genausten informiert sein und diese dokumentiert haben. Zusätzlich empfehle ich dir immer, beim Support eines Anbieters nachzufragen, ob dieser als Auftragsverarbeiter fungiert oder nicht. 

Wann es sich um eine Auftragsdatenverarbeitung handelt und wann nicht, wird in diesem Blogbeitrag sehr schön beschrieben: Quelle

Mit wie vielen Drittanbietern Du eine Vertrag schließen muss, hängt ganz vom Umfang Deiner Seite und den verbauten Tools ab. Im Folgenden eine Auflistung der wichtigsten Anbieter und ein direkter Link zum Vertrag. Im einfachsten Fall reicht es aus, den Vertrag zu laden, auszudrucken, zu unterschreiben und an die ausgewiesene Adresse zurückzuschicken. (Beachte die speziellen Anweisungen auf dem jeweiligen Portal!)

Die benötigten Verträge findest Du hier:

• Seiten die bei 1&1 gehostet sind: Download hier
• Seiten die bei Strato gehostet sind (Vertrag soll im Kundenbereich bei Strato bereit stehen): Quelle 
• auch die anderen Anbieter werden in den kommenden Wochen vergleichbare Verträge im jeweiligen Kundenbereich oder auf Ihrer Homepage bereit stellen, gff. beim Anbieter nachfragen 
• erbrachte Leistungen im Zusammenhang mit dem Google-Service (Analysitcs, Maps, etc.) Download hier, Weiterführende Anleitung von Dr. Schwenke – bitte lesen! Link 
• Sollten Du, neben den o.g. Adressen, weitere Vertragsformulare benötigen (z.Bsp. Cloud-Service, DropBox, Lexware, MS Office 365, etc.), an dieser Stelle findest Du einen interessanten Blog mit weiteren Adressen zu den verschiedensten Diensten. Link

Rechte und Pflichten aus diesem Vertragsverhältnis

• Der Dienstleister muss erklären, dass er sicher ist. Also sind Deine weitergegebene Daten in guten Händen!? Der Dienstleister hat nur auf Deine Weisung hin zu handeln. Dies regelt u. a. auch der Vertragsschluss. Und der Drittanbieter muss ein Nachweis darüber führen, wie lange er Deine Daten speichert.
• Meldepflicht – Jede Datenschutzverletzung muß gemeldet werden. Die Meldung hat binnen 72 Stunden zu erfolgen. An wen muss ich dies melden? Grundsätzlich immer an die Datenschutzbehörde und bei einem erhöhten Risiko auch an den “verletzten” Kunden. Die Risikoeinschätzung liegt in Ihrem Ermessen. Dokumentiere aber genau warum es u. U. kein erhöhtes Risiko war!

Aus der Meldepflicht ergeben sich nachfolgende Aufgaben für Dich oder Deinen Datenschutzbeauftragten:

• Wie setze ich einen solchen Notfall in der Firma um? (Ablaufplan erstellen)
• Bereiten Sie ein Formular vor mit alles nötigen Daten und der Adresse der Datenschutzbehörde

Eine Meldeadresse beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA):
Sensibilisiere ggf. einen Mitarbeiter, der im Fall eines Missbrauches diese o.g. Maßnahmen umsetzt!

Technische und organisatorische Maßnahmen (TOM)

In den Bereich der IT fallen insbesondere der Schutz sämtlicher Daten, die Du in Deinem Unternehmen verarbeitest. Wichtige Fragen in diesem Zusammenhang sind, „Wie und wo werden Deine Daten gesichert?“, „Erfolgt eine regelmäßige Datensicherung?“, „Wer hat Zugriff auf die Daten?“, und nicht zuletzt „Wie anfällig bzw. geschützt ist Dein gesamtes Netzwerk, in dem Du arbeitest?“. Hier entstehen meistens schon für den Laien die ersten Hürden. Daher empfiehlt es sich, an dieser Stelle einen Spezialisten hinzuzuziehen.

Für Deine Webseite gilt es auch noch einmal Hand anzulegen bis zu Stichtag. Formulare sollten ggf. nach dem Minimierungsvorsatz überarbeitet werden. Insofern kein besonderes Erfordernis besteht, ist die IP-Adresse der Besucher zu anonymisieren. Dies gilt für einige Plugins genauso wie für die Seite selbst. Ein neuer Datenschutztext wird ab sofort den Besucher umfangreich aufklären, was mit seinen Daten auf Deiner Seite passiert. Daher werden auch an vielen Stellen der Seite Verweise zu finden sein, die sich auf den neuen Datenschutztext beziehen. 

Das ist nur eine kleiner Auszug der erforderlichen Maßnahmen. Also auch an deiner Webseite besteht Handlungsbedarf um den neuen Anforderungen der DS-GVO gerecht zu werden.

Fazit

Datenschutz ist Chefsache!

Wenn Du es also bis dato immer vor Dir hergeschoben hast, spätestens ab jetzt solltest Du Dich mit dem Thema DS-GVO auseinandersetzen. Neben den ganzen Neuerungen sieht die DS-GVO auch deutlich höhere Strafen für Verstöße vor. Allein dies sollte ein Anreiz sein!

Hinweis: Dieser Beitrag enthält Werbelinks, gekennzeichnet mit einem (*)