Inzwischen ist wohl in jedem Unternehmen der 25. Mai 2018 zu einem brisanten Datum geworden.
Ab diesem Tag ist die neue Datenschutzverordnung nach DSGVO offiziell anzuwenden. Verabschiedet wurde sie bereits im Frühjahr 2016. Die meisten haben das Thema erst einmal verdrängt. Da Sie inzwischen in nahezu allen gängigen Medien mit diesem Thema konfrontiert werden, wollen wir Ihnen einen generellen Überblick zum Umgang mit dem Datenschutz bei all-connect und unseren Dienstleistungen geben.
Was ist das Ziel der neuen Verordnung?
Die Datenschutz-Grundverordnung hat das Ziel einen einheitlichen Rechtsrahmen für alle EU-Mitgliedsstaaten in Bezug auf die Verarbeitung personenbezogener Daten zu schaffen. Zweck des Datenschutzrechts ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten.
Geschäftsleiter, Führungskräfte und verantwortliche Fachkräfte müssen unterschiedliche Regelungen nach BDSG und DSGVO berücksichtigen und sinnvoll ins Tagesgeschäft integrieren.
Welche personenbezogenen Daten sind damit gemeint?
Gemeint sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Beispiel sind Name, Alter, Familienstand, Adressdaten, Zahlungsdaten, Nutzung von Gegenständen oder Diensten wie z.B. PKWs oder Online-Shops, ID-Nummern z.B. des Personalausweises oder Aktenzeichen/ IDs von Behörden oder amtlichen Dokumenten, genetische Daten, Gesundheitsdaten, Werturteile, wie z.B. Zeugnisse, u.v.m.
Kunden- und Lieferantendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videos, Röntgenbilder oder Tonaufnahmen können personenbezogene Daten enthalten.
Können Sie uns Beispiele zur Verarbeitung personenbezogener Daten geben?
Die anfallenden Datenverarbeitungen müssen zukünftig alle geregelt und dokumentiert werden. Typische „Offline“-Daten sind zum Beispiel Personalbögen, Reisekostenabrechnungen und Kundenarchive. Typische „Online-Daten“ sind zum Beispiel Newsletter-Adressen, Integration von Webseiten-Analyse-Tools wie z.B. Google Analytics, integrierte Online-Werbung und Tracking-Scripts, Kontaktformulare, Integration von Social-Media-Like-Buttons, von externen Quellen eingebundene JavaScripts und Schriftarten, wie z.B. von Design-Elementen und Vorlagen für Ihre Homepage sowie automatische Einblendungen von Inhalten aus Social-Media-Plattformen, weil dadurch Daten des Besuchers Ihrer Website an Social-Media Anbieter wie z.B. Facebook weitergegeben werden.
Richtig problematisch wird es, wenn Daten in Ländern außerhalb der EU verarbeitet werden. Wie ist das dann z.B. mit Google und Facebook?
Gerade Firmen wie Facebook oder Google waren datenschutzrechtlich immer bedenklich. Häufig waren die Angebote schon mit dem bisher geltenden deutschen Datenschutzgesetz nach BDSG umstritten oder sogar nicht vereinbar. Spätestens ab dem 25. Mai 2018 sollte die rechtlich korrekte Nutzung von angebotenen Diensten eingehalten werden, da Sie andernfalls vermutlich schneller abgemahnt werden. Einige Abmahn-Anwälte stehen mit Sicherheit hierfür schon bereit. Konkret heißt das v.a. die Genehmigung zur Datenverarbeitung durch Ihre Besucher nachweisbar eingeholt zu haben sowie die Prüfung und ggf. Vervollständigung einer wirksamen Datenschutzerklärung für Ihre Homepage vorgenommen zu haben.
Auf welcher Grundlage darf ich personenbezogenen Daten rechtlich sammeln bzw. verarbeiten?
Im Grundsatz gilt wie bisher das Verbot mit Erlaubnisvorbehalt. Jede Datenverarbeitung ist demnach zunächst verboten, es sei denn es gibt eine explizite Ausnahmeregelung.
Die häufigste Ausnahme in der Praxis ist die ausdrückliche Zustimmung der jeweiligen betroffenen Person – diese muss also nachweisbar zugestimmt haben, dass Sie deren Daten sammeln und verarbeiten dürfen. Wichtig dabei ist, dass Sie neben der Zustimmung auch den Zweck der Verarbeitung mit der betreffenden Person vereinbaren; eine spätere Zweckentfremdung ist nämlich ebenso untersagt.
Ein weiterer häufiger Praxisfall ist die Verarbeitung zur Durchführung eines Vertrags. Hierfür muss die Zustimmung nicht explizit angefordert werden – es genügt der Hinweis auf die Verarbeitung. Dabei gelten aber das Gebot der „Datensparsamkeit“ sowie ebenfalls die Zweckbindung. Wenn es zum Beispiel um die Abwicklung eines (Online-)Kaufs geht, werden natürlich Name, Adresse und Bankdaten für den Vorgang benötigt. Das bedeutet aber noch lange nicht, dass Sie auch das Geburtsdatum zwingend abfragen oder dass Sie die Adresse später zum Versand von Werbeprospekten verwenden dürfen.
Darf ich mit der Zustimmung alle Daten verarbeiten?
Nein. Auch hier gibt es Grenzen, etwa bei besonders schützenswerten Daten. Dies sind rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Neben diesen Sonderfällen gibt es weitere „Stolpersteine“ im Datenschutzrecht, die gesondert beachtet werden müssen, wenn z.B. ein besonderes Risiko bei der Verarbeitung entstehen könnte oder wenn der Umfang der Verarbeitung sehr groß ist.
Was ändert sich mit dem neuen Gesetz noch?
In wesentlichen Teilen basierte das bisherige Datenschutzrecht nach BDSG bereits auf den Vorgaben der EU. Die wirtschaftlich größte Veränderung liegt im Bereich der Bußgelder, die bei Missachtung verhängt werden können – diese sind nun drakonisch hoch. Auch gelten verschärfte Meldepflichten bei „Datenschutzpannen“.
Im Übrigen ändern sich Details in der Datenschutz-Praxis. Diese hängen von betrieblichen Prozessen und Ihrem Tätigkeitsfeld ab. Konkret sollten diese Fragen mit Ihrem Datenschutzbeauftragen besprochen und ggf. gelöst werden.
Zusammenfassend kann man folgende wichtige Schritte zur neuen Datenschutzverordnung erwähnen, die in jedem Unternehmen nötig sind:
1. Dokumentation aller Vorgänge bei denen personenbezogene Daten verarbeitet werden Dabei handelt es sich um das häufig erwähnte (und schon bisher vorgeschriebene) „Verfahrensverzeichnis“.
- Welche personenbezogenen Daten werden wie, wann und warum verarbeitet? Welche rechtliche Grundlage gibt es hierfür?
- Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch? Wo werden Daten an andere Parteien außerhalb des Unternehmens übermittelt?
- Bedenken Sie auch Ihre Webauftritte, diese sind zukünftig am schnellsten Ziel von Abmahnwellen betroffen, wenn Formalien missachtet werden.
2. Risikoprüfung der „verarbeiteten“ Daten und datenschutzkonforme Vertragsgestaltung: Dürfen bestimmte Daten überhaupt noch verwendet werden? Sind Lieferanten (z.B. Web-Hoster mit Servern außerhalb der EU) nach den neuen Gesetzen überhaupt noch tragbar?
- Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Daten in Ihrem Unternehmen haben. Es ist eine Vereinbarung zur sogenannten Auftragsdatenverarbeitung zwingend abzuschließen.
- Verpflichten Sie Mitarbeiter und sonstige Betriebsangehörige auf das Datengeheimnis nach § 53 BDSG neue Fassung 2018 (§ 5 BDSG alte Fassung bis 2018).
- Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein, wenn Sie zusätzliche personenbezogene Daten verarbeiten, die nicht unmittelbar das Angestelltenverhältnis berühren. Das betrifft zum Beispiel Fotoaufnahmen für Marketing-Unterlagen.
3. Treffen Sie technisch und organisatorische Maßnahmen und dokumentieren Sie diese – z.B. in Form eines Sicherheitskonzepts. Nutzen Sie z.B. zur Auswertung von Besucherstatistiken auf Ihrer Website eine eigene datenschutzkonforme Software, statt den Dienst von Google. Selbiges trifft z.B. auch auf Google Maps zu. Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).
- Beachten Sie die zahlreichen neuen Pflichten (z.B. Schulung Ihrer Mitarbeiter)
Wie kann mir all-connect bei der Umsetzung datenschutzrechtlicher Pflichten helfen?
Diese Frage muss differenziert betrachtet werden:
Grundsätzlich sind wir als technischer IT-Dienstleister natürlich in der Pflicht nach datenschutzrechtlich einwandfreien Maßstäben zu arbeiten und Ihnen auch entsprechend zuzuarbeiten. Als deutsch-europäisches Unternehmen stellen wir daher sicher, dass alle gesetzlichen Obliegenheiten nach der DSGVO erfüllt werden. So garantieren wir z.B. bei der Durchführung unserer Werk- und Dienstleistungen alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten – gleich aus welcher Quelle diese stammen.
Ein wesentlicher Bestandteil dabei ist auch die Vereinbarung der oben schon erwähnten Auftragsdatenverarbeitung, die wir mit den meisten unserer Kunden auch schon nach dem alten Rechtsstand wirksam geschlossen haben.
Im Übrigen ist und bleibt all-connect ein technischer Dienstleister. Eine rechtliche Bewertung oder Beratung hinsichtlich konkreter datenschutzrechtlicher Fragen nehmen wir nicht vor. Dies ist und bleibt die Aufgabe von Rechtsanwälten – diesen ist die Rechtsberatung in Deutschland auch weiterhin vorbehalten. Bei näherer Auseinandersetzung der DSGVO wird schnell klar, dass das Feld des Datenschutzes zwar in vielen Fällen mit der IT verbunden sein kann, dass organisatorische und prozessuale Abläufe im Unternehmen aber kein technisches Thema sind, sondern eine Aufgabe der Verwaltung. Für dieses Tätigkeitsfeld ist das Berufsbild des Datenschutzbeauftragten zuständig.
Der Datenschutzbeauftragte kann dabei intern durch eigene qualifizierte Mitarbeiter bestellt werden oder extern in Form eines Outsourcing-Vertrags. In besonderen Fällen kann all-connect die Funktion des DSB übernehmen und erfüllen. Hierfür stehen wir Ihnen für weitergehende Fragen gerne individuell zur Verfügung.