Die Datenschutzgrundverordnung

Vorwort & Hinweis

Alle in der Rubrik „Datenschutz-Grundverordnung„ veröffentlichten Beiträge, wurden von mir recherchiert und zusammengefasst.
Dieser Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein.

Das Thema Datenschutz-Grundverordnung ist sehr umfangreich und komplex!
Es fehlt an klare Handlungs- und Umsetzungsvorgaben!
Die Datenschutzkonferenz (DSK) sorgt mit ihren Beschlüssen und Entschließungen für eine gewisse Klarheit, welche rechtlich nicht bindend sind!
Aufgrund der fachlichen Kompetenz und der Autorität Konferenzteilnehmer schaffen sie eine Vereinheitlichung.

Daher wird diese Seite ständig ergänzt bzw. erweitert!

Da sich meine Dienstleistungen an kleine Firmen, Betriebe und Vereine richten, verwende ich eine entsprechend vereinfachte und gekürzte Form.
Die vollständigen Begriffsbestimmungen (gem. Art. 4 DS-GVO) finden Sie unter: https://dsgvo-gesetz.de/art-4-dsgvo/

Die eigentliche Umsetzung der DS-GVO umfasst zwei wesentliche Bereiche:
– Datenschutz im Unternehmen und Verein
– Datenschutz und Webseiten

Sie benötigen Beratung bzw. Unterstützung bei der Umsetzung?
Dann zögern Sie nicht und nehmen direkt Kontakt mit mir auf!
Gerne unterbreite ich Ihnen ein unverbindliches, kostenloses und auf Ihre Bedürfnisse erstelltes Preisangebot!


Allgemeine Informationen

Wofür steht DS-GVO?
Die Datenschutz-Grundverordnung (DS-GVO) wurde im April 2016 von der Europäischen Union beschlossen!
Diese Verordnung wurde „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ verabschiedet.

Bisher waren die Datenschutzgesetze Aufgabe der einzelnen Staaten.
Mit der DS-GVO wurde eine einheitliche Verordnung, bindend für alle EU-Mitgliedstaaten, geschaffen.

In verschiedenen Bereichen der DS-GVO, wurde den Mitgliedstaaten die Möglichkeit gegeben, die DS-GVO durch eigene Gesetzgebung zu konkretisieren, zu ergänzen oder zu modifizieren.
Die ergänzenden Regelungsspielräume müssen dabei immer im Kontext zu der DS-GVO stehen.

Für Deutschland ergänzend gilt daher das Bundesdatenschutzgesetz (BDSG) 2018.

 

Worum geht es bei der DS-GVO?
Die DS-GVO dient dem Schutz der persönlichen Daten eines jeden Menschen! Somit auch Ihnen.
Zum einen soll verhindert werden, dass durch sogenannten Datenkraken wie Facebook, Google und Microsoft die Daten der Nutzer gesammelt und gespeichert werden.
Zum anderen dient die DS-GVO auch zum Schutz der Daten durch Diebstahl. Sei es durch andere Personen oder durch Schadsoftware.

Mit den „erbeuteten“ Daten können
a. Profile erstellt werden, die für gezielte Werbezwecke eingesetzt werden
b. Zugriff auf Firmendaten (z. B. Industriespionage)
c. Account-Daten (Social-Media-Portale, Einkaufsportale)
d. Zugriff auf Bank- und Zahlungsdaten

 

 

Was versteht man unter personenbezogene Daten?
personenbezogenen Daten

Personenbezogene Daten sind nach der DS-GVO Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche,
kulturelle oder soziale Identität
.

Aber welche personenbezogene Daten gibt es nun im Einzelnen?

 

Die DS-GVO unterscheidet bei den personenbezogenen Daten zwischen zwei Arten von Kategorien:

Allgemeine Personendaten
– Name, Alter, Geburtsdatum und -ort, Anschrift, E-Mail-Adresse, Telefonnummer
– Kennnummern (Personalausweisnummer, Sozialversicherungsnummer, Steuernummer, Mitgliedsnummer Krankenkasse)
– Bankdaten
– Online-Daten (IP-Adresse, Standortdaten)
– physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße)
– Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen und Kfz-Zulassungsdaten)
– Kundendaten (Bestellungen, Adressdaten, Kontodaten)
– Bewertungsurteile (Schul- und Arbeitszeugnisse)

 

besondere Kategorien von personenbezogenen Daten
– rassische oder ethnische Herkunft
– religiöse oder weltanschauliche Überzeugungen
– politische Meinung, Partei- und Gewerkschaftszugehörigkeit
– Gesundheitsdaten
– Sexualleben sowie sexuelle Orientierung
– genetische bzw. biometrische Daten

Gemäß der DS-GVO reicht es bereits aus, dass irgendwie die erfassten Informationen einer Person zugeordnet werden können.

So kann zum Beispiel mittels der IP-Adresse über den Provider der Internetanschlussinhaber ermittelt werden.

 

Wen betrifft die DS-GVO?
Sie sind verantwortlichDie zahlreichen Änderungen, die die DS-GVO mit sich bringt, triff jeden Unternehmer
– mit Firmensitz (auch Niederlassungen) in der EU
– sofern Verbraucher in der EU als Kunden angesprochen werden.

Aber auch Vereine und Verbände.

Generell ist es unerheblich, ob die Daten automatisiert (mittels Software) oder nichtautomatisiert verarbeitet werden.
Unter dem Begriff „nichtautomatisierter“ Verarbeitung wird die strukturierte Sammlung von Daten angesehen, die nach bestimmten Kriterien zugänglich sind.
Es ist dabei unerheblich, ob die Daten in elektronischer oder in Papierform vorliegen!

Unter Verarbeitung wird das
– Erheben (das Sammeln der Daten)
– Speichern bzw. Ablegen
– Ändern (z. B. bei Adressänderungen)
– Nutzen (Anschreiben per Post oder E-Mail)
– Übermitteln (Weitergabe an Dritte, auch das „reinschauen“ lassen)
– Verknüpfen (Bezug zu anderen Daten).
– Löschen und Vernichten der Daten
betrachtet.

Selbst, wenn keine Daten von Kunden erhoben werden, reicht es bereits aus, dass Sie Mitarbeiter beschäftigen (Lohnabrechnung, Anwesenheitslisten => Krankmeldungen, Bankdaten, Religionszugehörigkeit).

Für die rein persönlichen bzw. familiären Verwendung wie in Adressbüchern oder der privaten Fotosammlung, gilt die DS-GVO selbstverständlich nicht.


Was bedeutet „betrieblicher Datenschutz“
Da jeder Betrieb, Unternehmen oder Verein personenbezogene Daten (von Mitarbeiter, Mitglieder oder Kunden) in irgendeiner Form verarbeitet, werden besondere Anforderungen zum Schutz dieser Daten gestellt.
Es spielt dabei keine Rolle, ob die Daten auf Papier stehen oder diese elektronisch im Computer vorliegen.

Verstöße gegen die DS-GVO sind meist auf Unwissenheit zurückzuführen oder sie kommen durch scheinbar unbedeutenden, routinemäßigen Handlungen im Büroalltag zustande.

Kommt es zu einer Datenpanne, sollte schnell reagiert werden!

Die Folgen sind nicht nur hohe finanzielle Sanktionen oder Schadensersatzansprüche, auch das Image der Firma leidet darunter.
Geschäftspartner und Kunden verlieren das Vertrauen und dieses wieder zurückzugewinnen, kann sehr mühsam sein.

 

Aus der Praxis
Der Betreiber der Social-Media-Plattform Knuddels wurde im Juli 2018 Opfer eines Hackerangriffs!
Hierbei wurden die Daten von Nutzern erbeutet. Im September wurden dann diese Daten (Pseudonymen, Passwörtern und E-Mail-Adressen) veröffentlicht.

Transparenz bewahrte Betreiber vor höheren Bußgeldern
Obwohl der Portalbetreiber gleich die zuständige Aufsichtsbehörde informierte und auch eng mit diesen zusammenarbeitete, wurde ein Bußgeld in Höhe von 20.000,00 € fällig.
Hätte das Unternehmen nicht so gut kooperiert, wäre das Bußgeld wohl höher ausgefallen.

 

ChefsacheUmsetzung ist Chefsache!
Jedem Unternehmer oder Vorstand sollte bewusst sein, dass die Nichteinhaltung bzw. Umsetzung zu empfindlichen Strafen führen kann.

Die DS-GVO sieht hier Strafen von bis zu 20 Mio. Euro, beziehungsweise von bis zu 4 % seines gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, vor.

 

 

Von Ratlosigkeit und die ersten Schritte!

1 Einsicht – Nichts ist umsonst
Wie wichtig die Umsetzung, aber auch Fortführung ist, dürfte Ihnen mittlerweile bekannt sein.
Hier ist Fleißarbeit gefragt.
Wenn Sie sich selbst um das Thema kümmern wollen, müssen Sie sich
erst einmal alle erforderlichen Informationen zusammensuchen.
 

 

 
2 Überblick verschaffen
Die durch die Verordnung erforderlichen Maßnahmen, sollten als „Roter Faden“ angelegt werden.
Sofern möglich, empfiehlt es sich, eine Person mit der Erstellung zu beauftragen.
Der Aufwand ist umfangreich und zeitintensiv.
 

 

 
3 

Erfassung und Verarbeitung
Stellen Sie alle Daten zusammen, die Sie erfassen und verarbeiten!
Unterscheiden Sie dabei zwischen „Allgemeine Personendaten“ und „besonderer Kategorien personenbezogener Daten“.

Es geht nicht nur um Kundendaten! Auch die Ihrer Mitarbeiter sind davon betroffen.

 

 

 
4 Zulässigkeit der Datenerhebung
Alle von Ihnen erfassten Daten unterliegen der „Rechtmäßigkeit“!
Prüfen Sie anhand der unter „3“ aufgestellten Daten, ob der Umfang der Daten und die Notwendigkeit wirklich erforderlich sind?

Sie müssen dies gegenüber einer Aufsichtsbehörde in Form einer schriftlichen Dokumentation nachweisen können.

 

 

 
5 Datenschutzbeauftragter
Prüfen Sie, ob Ihr Betrieb bzw. Verein verpflichtet ist, einen Datenschutzbeauftragten zu bestellen?
Sind mindestens 10 Personen mit der Verarbeitung der Daten beschäftigt oder liegen besondere Arten personenbezogener Daten
(rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder sexuelle Orientierung) vor, muss in diesem Fall ein Verantwortlicher (Datenschutzbeauftragter) bestellt werden.

Begriffserläuterungen: https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_9_Beispiele

 

 

 
6 Betroffenenrechte
Wer personenbezogene Daten erfasst und verarbeitet, unterliegt gewissen „Betroffenenrechte“.
Mitarbeiter, Mitgliedern, Kunden, Lieferanten und Interessenten haben das Recht auf:
– Auskunft
– Berichtigung
– Löschung
und Einschränkung der von Ihnen erfassten Daten.
Hierbei bleiben rechtliche Aufbewahrungspflicht unberührt!

Genauso sind Sie verpflichtet, bei Aufforderung des Betroffenen, diesem die Daten zur Verfügung zu stellen!

 

 

 
7 Auftragsverarbeiter
Werden „personenbezogene Daten“ z. B. durch einen Dienstleister verarbeitet, ist eine vertragliche Regelung erforderlich.
Man spricht hier von einem Auftragsverarbeitungs-Vertrag (AVV).
Sie – als Auftraggeber – haben in diesem Hinblick aber einige Pflichten und selbstverständlich auch Rechte.
Verfügen Sie über eine Webseite, so muss zwischen Ihnen und ihrem Provider ein solcher Vertrag bestehen.
Auch externe EDV-Dienstleister oder Webagenturen müssen unter Umständen eine AVV mit Ihnen abschließen.

Ihr Steuerberater zählt nicht als „Auftragsverarbeiter“.
Bei fremde Fachleistungen ist der jeweilige Anbieter selber für die Daten verantwortlich und nicht Sie als Auftraggeber.
Hierunter fallen Steuerberater, Rechtsanwälte, Bankinstitute, Postdienste, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros.

 

 

 
8 Besondere Anforderung an Ihre EDV
Die DS-GVO stellt auch besondere Anforderungen an Ihre EDV-Technik, genauso wie an der von Ihnen eingesetzten Software.
Diese müssen entsprechend in der TOM (technische und organisatorische Maßnahmen) dokumentiert werden und ggf. den Aufsichtsbehörden vorgelegt werden.
 

 

 
9 Mitarbeiter-Schulung
Papier ist geduldig!
Jedoch reicht es nicht aus, dass Sie die erforderlichen Dokumentationen (Verarbeitungsverzeichnisse, TOM) erstellt und haben.
Auch Ihre Mitarbeiter müssen über das Datenschutzkonzept in ihrem Unternehmen informiert und vor allem geschult werden.

Datenschutz bei Webseiten und Online-Präsenzen

Webseiten und Online-Präsenzen

Wer im Internet präsent ist, dem liegen viele Stolpersteine im Weg.

Durch die DS-GVO wurden auch im Onlinebereich die Rechte der Besucher, als auch die Verpflichtung der Betreiber von Webseiten bzw. Social-Media-Auftritte, verschärft.

Nach wie vor finden das Tele-Medien-Gesetz und der Rundfunk-Staats-Vertrag ihre Anwendung.

 

 

Aufgrund der Komplexität des Themas werden ständig neue „Verfahrensanweisungen“ veröffentlicht! Nichts ist schnelllebiger wie das Internet und es gilt „Augen und Ohren offenhalten“!

Abmahnanwälte und -vereine haben es einfacher, Verstöße gegen das geltende Recht aufzuspüren.
Durch die heutige Technik brauchen sie nicht viel dabei selber zu machen. Hierfür gibt es spezielle Programme.
Aber auch die verantwortlichen Stellen, werden die Einhaltung der Verordnungen überprüfen.

Vermeiden Sie Abmahnungen
Vermeiden Sie Abmahnungen wegen Verstöße gegen
– Anbieterkennzeichnung und Datenschutz
– Urheberrechtsverletzungen
– Verstoß gegen Markenrechte

 

Worauf ist zu achten?

Impressum
Die Anbieterkennzeichnung – das Impressum – ist eine verpflichtende Angabe einer jeder Internetseite, aber sie gehört auch in jedem Social-Media-Auftritt!
Neben der Nennung des Betreibers der Seite, müssen auch die Anschrift und die Kontaktdaten klar ersichtlich sein.

Als Kommunikationsweg reicht die E-Mail-Adresse alleine nicht aus, es muss eine weitere Möglichkeit (Telefon- und/oder FAX-Nummer) angeboten werden!

Bei Firmen müssen:
– Steuer- bzw. Umsatzsteuer-ID-Nummer
– zuständige Aufsichtsbehörden
ebenfalls mit aufgeführt werden.

Zusätzlich muss im Rahmen des Rundfunk-Staats-Vertrages der redaktionelle Verantwortliche aufgeführt werden.

 

Datenschutzerklärung
Jeder Webseite und Online-Präsenz muss eine Datenschutzerklärung aufweisen!
Diese muss
– schnell und einfach – von jeder Seite aus – erreichbar sein
– in allgemein verständlicher Sprache verfasst sein

Folgende Punkte muss die Erklärung beinhalten:
– Allgemeine Datenschutzhinweise
– Technische Aspekte (Server-Logfiles, Verschlüsselung)
– Cookie-Nutzung
– Umgang mit personenbezogenen Daten
– Rechte des Besuchers (Recht auf Auskunft, Richtigstellung und Löschung)
– Kontaktformular-Einbindung
– Erhebung personenbezogener Daten mittels Kommentarfunktion
– Abo-Optionen (z. B. Newsletter)
– Nutzung von Analytics-Tools (wie z. B. Google Analytics)
– Einbindung von Social-Media-Plugins (Facebook, Google, Instagram, Twitter, etc.)
– Datenschutzhinweis durch genutzte soziale Netzwerke

Gerade im Onlinebereich folgen Handlungsvorgaben in immer kürzeren Abständen.

 

Soziale Netzwerke,
erfreuen sich wachsender Beliebtheit bei Jung und Alt. Die wohl bekanntesten Plattformen wie Facebook, Instagram und Twitter bieten jedem Unternehmen eine kostenlose Werbefläche.
Welche Produkte oder Leistungen Sie auch anbieten, hier findet sich das passende Klientel.
Aber auch Nachwuchs oder neue Mitarbeiter lassen sich hier finden.

 

Nutzung von Social-Media-Präsenzen,
Wie am 05. Juni der Europäische Gerichtshof in seinem Urteil erklärte, haften Betreiber von Facebook-Fanseiten, gemeinsam mit Facebook, für die Verarbeitung der personenbezogenen Daten.
Es ist daher erforderlich, dass auf ihrer Webseite ein entsprechender Abschnitt in der Datenschutzerklärung aufgeführt ist.

Dies ist bzw. war erst der erste Schritt gegen die Sammelwut von Social-Media-Portalen.
Um für die Zukunft gewappnet zu sein, empfiehlt es sich, jedes soziale Netzwerk aufzuführen.

Umgekehrt besteht auch die Verpflichtung, sowohl die Anbieterkennzeichnung (Impressum) und auch die Datenschutzerklärung in den einzelnen Profilen zu hinterlegen.
Um den Anforderungen der DS-GVO nachzukommen, haben viele Portale bereits reagiert und stellen den Betreiber die Möglichkeit zur Verfügung, einen Link zur eigenen Datenschutzerklärung, zu hinterlegen.

 

Webseiten-Plugins
Klar möchte man dem Webseitenbesucher zeigen, dass man auch in den sozialen Medien präsent ist! Jedoch ist das Einbinden von sogenannten Social-Media-Plugins nicht unbedenklich. Hier empfiehlt es sich, nur mit den entsprechenden Icons zu arbeiten.

 

Viele Webseiten wurden mit sogenannten Content-Management-Systeme (WordPress, Joomla, Typo3) erstellt. Diese enthalten zur Funktionserweiterung der Webseite Plugins. Gerade ausländische Anbieter solcher Programmteile neigen dazu, ebenfalls Daten zu sammeln. Auch hier liegt die Haftung beim Webseitenbetreiber.

 

Wer seine Seite mittels Baukasten-Anbieter (WIX, Jimdo, Domain Factory) betreib, sollte genau prüfen, ob diese auch DS-GVO-Konform nach EU-Recht sind.