DSGVO – Was muss man wissen?

Am 25.05.2018 ist es soweit, ab diesem Tag gilt die neue EU-DSGVO, doch was genau bringt dieses neue Gesetz eigentlich mit sich?

Die neue europäische Datenschutz-Grundverordnung bezieht sich auf den Schutz von personenbezogenen Daten in der gesamten EU. Dies hat nicht nur Konsequenzen für die Unternehmen als Verarbeiter, sondern bringt gleichzeitig viele neue Rechte für die Betroffenen, deren Daten verarbeitet werden, mit sich.

Fakten

Die Datenschutzgrundverordnung ist bereits am 25.05.2016 in Kraft getreten, momentan befinden wir uns in der zweijährigen Umsetzungsphase, sodass diese ab dem 25.05.2018 gültig wird. Bislang gab es 28 nationale Datenschutzgesetze in Europa, ab dem 25.05.2018 wird der Datenschutz vereinfacht europaweit einheitlich geregelt, es gibt nun eine europäische Verordnung für alle Staaten Europas, die Datenschutz-Grundverordnung. Beachtenswert ist, dass diese Verordnung auch von Unternehmen aus außereuropäischen Ländern eingehalten werden muss, wenn diese in der EU Waren oder Dienstleistungen anbieten oder Personen in ihrem Verhalten beobachten.

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn es gibt eine Rechtsgrundlage (Verbot mit Erlaubnisvorbehalt) beispielsweise eine Einwilligung, oder ein Vertrag etc.

Rechtsgrundlage

Es muss sichergestellt und nachweisbar sein, dass die Verarbeitung personenbezogener Daten auf Basis einer gültigen Rechtsgrundlage erfolgt, d.h. die Verarbeitung wird legitimiert.

Dies können sein:

  • Einwilligung des Betroffenen
  • ein Vertrag –> Die Verarbeitung ist für die Erfüllung des Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
  • rechtliche Verpflichtung
  • lebenswichtige Interessen der betroffenen Person werden geschützt
  • Wahrung der berechtigten Interessen des Verantwortlichen
  • Öffentliches Interesse oder zur Erfüllung hoheitlicher Aufgaben

Liegt eine derartige Rechtsgrundlage vor, dürfen die personenbezogenen Daten dennoch nicht ohne weiteres erhoben werden. Der Verantwortliche unterliegt nach Art. 13 DSGVO einer Informationspflicht, d.h. er muss die betroffene Person zum Zeitpunkt der Erhebung darüber in Kenntnis setzen.

Um die DSGVO zu verstehen, sollten die grundlegenden Begriffe bezüglich der DSGVO nach Art. 4 DSGVO geklärt werden:

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verarbeitung beschreibt die Vorgänge (mit und ohne automatisierten Verfahren) im Umgang mit personenbezogenen Daten (erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern, auslesen, abfragen, verwenden etc.).

Die Rolle des Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss ab zehn Beschäftigten im Unternehmen bestellt werden. Dieser ist für die Überwachung und Einhaltung der DSGVO im Unternehmen zuständig, dazu gehört auch die Unterrichtung und Beratung der Verantwortlichen und Beschäftigten. Des Weiteren steht er in enger Zusammenarbeit mit der Aufsichtsbehörde, weshalb er dieser auch gemeldet werden muss.

Rechte der betroffenen Person / Betroffenenrechte

Durch die DSGVO haben die Betroffenen mehr Rechte erlangt, dies bedeutet im Umkehrschluss mehr Verantwortung auf der Unternehmensseite. Die Unternehmen haben nun eine erheblichere Transparenz und Rechenschaftspflicht zum einen gegenüber den Betroffenen selbst, indem sie sicherstellen müssen dem Betroffenen zu jedem Zeitpunkt dessen Rechte geltend machen zu können, hinzukommend auch gegenüber der Aufsichtsbehörde.

DSGVO Name Bedeutung für Unternehmen
Art.13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Der Verantwortliche muss der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten dies mitteilen.
Art.14 Informationspflicht wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Der Verantwortliche muss der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten dies mitteilen.
Art.15 Auskunftsrecht der betroffenen Personen Die betroffene Person hat das Recht Auskunft über die von ihr gespeicherten personenbezogenen Daten zu erhalten. Unternehmen müssen sich bewusst sein, dass sie gegenüber der betroffenen Person auskunftspflichtig sind, d.h. sie müssen darauf vorbereitet sein auf solche Anfragen reagieren zu können.
Art.16 Recht auf Berichtigung Wenn der Betroffene Fehler in seinen personenbezogenen Daten auffindet oder dieser die Daten aus anderen Gründen berichtigt haben möchte, ist das Unternehmen hierzu verpflichtet. Es müssen Vorkehrungen getroffen werden, um gegebenenfalls Berichtigungen ohne Komplikationen vornehmen zu können.
Art.17 Recht auf Löschung Die Daten dürfen nur für den Zweck der Einwilligung verwendet werden. Ein Löschkonzept muss erstellt werden, welches einen reibungslosen Ablauf bei Anfragen ermöglicht. Dieses muss den Prozess aufzeigen, der im Unternehmen startet, wenn eine Anfrage auf Löschung eingeht. Besonders im Prozess zu beachten ist eine gründliche Prüfung, welche Daten gelöscht werden können und für welche Fälle der Anspruch auf Löschung erlischt und wieso. Dies ist beispielsweise der Fall, wenn das Unternehmen ohne diese Daten seinen Pflichten nicht Folge leisten kann, wie beispielsweise bei einem Garantie-Fall.
Art.18 Recht auf Einschränkung der Verarbeitung Die Daten dürfen nur für den Zweck der Einwilligung verwendet werden.
Art.19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche muss allen Empfängern, denen personenbezogene Daten offengelegt wurden, diese Veränderungen mitteilen, es sei denn es erweist sich als unmöglich oder steht in unverhältnismäßigen Aufwand. Wenn die betroffene Person dies verlangt, muss der Verantwortliche diese über den Empfänger unterrichten.
Art.20 Recht auf Datenübertragung Der Betroffene hat das Recht seine personenbezogene Daten in strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem darf der Betroffenen diese Daten ohne Behinderung durch den Verantwortlichen an weitere / andere Verantwortliche übermitteln. Es kann erwirkt werden, dass die Übermittlung an den neuen Verantwortlichen direkt vom vorherigen Verantwortlichen übermittelt werden soll, falls dies technisch machbar ist.
Art.21 Widerspruchsrecht Der Betroffene kann seine Einwilligung zur Datenverarbeitung jederzeit wiederrufen oder Einspruch gegen die Verarbeitung erheben. Dies muss ausdrücklich, in verständlicher Form und getrennt von anderen Informationen erfolgen.
Art.22 Automatisierte Entscheidungen im Einzelfall, einschließlich Profiling Der Betroffene hat das Recht nicht einer auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden.

Um all diesen Rechten der Betroffenen gerecht werden zu können, müssen Unternehmen auf jegliche Art dieser Anfragen und den damit zusammenhängenden Rechten gefasst sein und umgehend reagieren können. Hierfür sollten sich Unternehmen mit entsprechenden Prozessen ausstatten, die den Umgang mit diesen Rechten aufzeigen, ausgehend vom Eintreffen der Anfrage, über die Prüfung bis hin zur Bearbeitung / Umgang mit der Anfrage.

Verzeichnis von Verarbeitungstätigkeiten

Dieses Verzeichnis ist der Nachfolger des bisherigen Verfahrensverzeichnisses. Es soll eine Übersicht über alle Vorgänge im Unternehmen geben, mit welchen personenbezogene Daten verarbeitet werden. Zudem müssen alle relevanten Angaben zum Schutz der personenbezogenen Daten inbegriffen sein.

Diese sind:

  • Zwecke der Verarbeitung
  • Kategorien der betroffenen Person und der personenbezogenen Daten
  • Empfänger denen gegenüber die personenbezogenen Daten offengelegt werden sollen oder bereits offengelegt worden sind
  • Wenn möglich, Fristen bestimmen wann die Datenkategorien vorhersehbar gelöscht werden können
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Auftragsdatenverarbeitung (ADV)

Die ADV erfolgt auf Grundlage eines Vertrages. Dieser muss schriftlich festgehalten werden, dies ist auch elektronisch möglich. Eine ADV verpflichtet ein eigenes Verzeichnis der Verarbeitungstätigkeiten zu führen. Oftmals ist es schwierig abzugrenzen, ob eine ADV vorliegt, hierzu ein paar markante Beschreibungen, welche eine ADV abgrenzen:

  • Wenn das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers ausgerichtet ist und kein eigenes Interesse des Dienstleisters an den Daten besteht
  • Legt das beauftragte Unternehmen die Zwecke und Mittel der Verarbeitung im Wesentlichen selbst fest?
  • Hat die datenverarbeitende Stelle ausschließlich eine technische Hilfs- oder Unterstützungsfunktion
  • Wenn diese Punkte mit „ja“ beantwortet werden können, dann liegt eine ADV vor

Zusätzlich kann man festhalten, dass

  • dem Auftragnehmer die Entscheidungsbefugnis über die Daten fehlt
  • der Auftragnehmer mit der Datenverarbeitung keine eigene Geschäftszwecke verfolgt
  • der Auftragnehmer einem ausdrücklichen Nutzungsverbot in Bezug auf die zu verarbeitenden Daten unterliegt
  • der Auftrag auf Durchführung einer Datenverarbeitung gerichtet ist, aber nach außen hin vom Auftraggeber verantwortet wird
  • der Auftragnehmer steht bezüglich der Datenverarbeitung in keinerlei vertraglichen Beziehung zu den von der Datenverarbeitung Betroffenen

Keine ADV ist Finanzbuchführung oder Gehaltsabrechnung durch einen Steuerberater, dies wäre eine Funktionsübertragung nach Art.6 DSGVO.

Um das Ganze noch an einem Beispiel zu verdeutlichen, eine ADV liegt vor bei

  • einer Implementierung neuer IT-Systeme mit Migration bestehender Datenbanken durch den Auftragnehmer
  • einer externen Druckdienstleistung

Um die DSGVO bestmöglich im Unternehmen umzusetzen und Probleme mit den Aufsichtsbehörden zu vermeiden, ist es vorteilhaft eine Mitarbeiterschulung über die Neuerungen durchzuführen, sodass jeder Mitarbeiter in der Lage ist seine Tätigkeiten gemäß der DSGVO ausführen zu können.

Der Stichtag am 25.05.2018 rückt nun immer näher, viele Unternehmen sehen diesem Datum etwas ehrfürchtig entgegen, da sie noch kein ausgereiftes Konzept zu allen Bestandteilen der DSGVO vorweisen können. Doch keine Panik an dieser Stelle, der Stichtag gilt zwar für die Umsetzung in Unternehmen, erfordert aber noch keine ausgereifte Perfektion in allen Bereichen, welche die neue DSGVO betreffen.

Hier haben wir noch einmal eine kurze Checkliste zum Ausdrucken zusammengestellt:

4 Kommentare

  1. Das Thema DSGVO ist gerade aus IT-Sicherheitssicht sehr interessant. Denn neben den rechtlichen Aspekten gibt es auch Empfehlungen zur Verschlüsselung und auch zum Umgang mit Datenpannen: https://enginsight.com/blog/umgang-mit-datenpannen-was-fordert-die-dsgvo/

    Ich bin froh das bei den Firmen ein Bewusstsein geschaffen wurde, aber leider sorgen die Empfehlungen auch oft zu Verwirrung.

    Einige Hoster mit denen wir arbeiten, haben zum Beispiel die Empfehlungen zu den Chiffren noch nicht umgesetzt und verwenden noch TLS 1.0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *