DENKHAUS®-Akademie
Zukunft für KMU
(oder einfach: DSGVO - Datenschutzgrundverordnung)
Alles, was nicht erlaubt ist (Erlaubnistatbestände), ist verboten. (Zitat: Die Bundesdatenschutzbeauftragte Andrea Voßhoff)
Ihre alten personenbezogenen Kundendaten sind tot (Visitenkarten, Karteikarten), wenn Sie
a) keine Einwilligung des Betroffenen haben oder
b) keine vor-/vertragliche Beziehung besteht oder
c) nachvollziehbar kein besonderes Interesse (Grundlage: thematische Passung) oder
d) die Zweckbindung nicht mehr gegeben ist und
e) mehr als 4 Jahre kein Kontakt mehr zum Betroffenen bestand wobei vorher ein Erlaubnistatbestand gegeben sein musste (Münchener Landgericht urteilte sogar 2 Jahre)
geltend gemacht werden kann oder diese nicht allgemein öffentlich zugänglich sind (Telefonbuch, Website, etc.)
Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
1 Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
2 Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
1 Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
Unionsrecht oder
das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.2 Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
3 Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offen gelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.
4 Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Passende Erwägungsgründe
(39) Grundsätze der Datenverarbeitung
(40) Rechtmäßigkeit der Datenverarbeitung
(41) Rechtsgrundlagen und Gesetzgebungsmaßnahmen (42) Beweislast und Erfordernisse einer Einwilligung
(43) Zwanglose Einwilligung
(44) Vertragserfüllung oder -abschluss
(45) Erfüllung rechtlicher Pflichten
(46) Lebenswichtige Interessen
(47) Überwiegende berechtigte Interessen
(48) Überwiegende berechtigte Interessen in der Unternehmensgruppe
(49) Netz- und Informationssicherheit als überwiegendes berechtigtes Interesse
(50) Weiterverarbeitung
(171) Aufhebung der RL 95/46/EG und Übergangsbestimmungen
Passende Paragraphen des BDSG (neu)
§ 3 BDSG (neu) Verarbeitung personenbezogener Daten durch öffentliche Stellen § 4 BDSG (neu) Videoüberwachung öffentlich zugänglicher Räume
§ 23 BDSG (neu) Verarbeitung zu anderen Zwecken durch öffentliche Stellen
§ 24 BDSG (neu) Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
§ 25 BDSG (neu) Datenübermittlungen durch öffentliche Stellen
§ 26 BDSG (neu) Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
§ 27 BDSG (neu) Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
§ 31 BDSG (neu) Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
Die Grafik zeigt: Die DSGVO fügt sich in die bestehenden Gesetze des BundesDatenschutzGesetzes, des TeleKommunikationsGesetzes und spezieller Rechtsverordnungen ein.
Das Wesen der EU-DSGVO ist es, dass jede natürliche Person Transparenz von jedem Unternehmen, Verein, Handwerker und Behörde über seine Daten mit gesetzlichem Anspruch,
welche Daten gespeichert sind (Transparenz, Quellen),
zu welchem Zweck die Daten eingeholt und gespeichert werden (die Nutzung darf nur für den ursprünglich eingeholten Zweck erfolgen und ist zeitlich limitiert),
was mit diesen Daten passiert (Datenverarbeitung, Datenzusammenführung, Datenauswertung, Dokumentation, Zweckbestimmung),
wie diese gespeichert sind (Umsetzung der Rechtsverordnungen auf Ihr aktuelles Datenverarbeitungssystem, Dauer der Speicherung, Sparsamkeit),
wie diese Daten geschützt werden (Datensicherheit, Schutz gegen Missbrauch) und
die Löschung mit Nachweis ohne Angaben von Gründen (Recht auf Vergessen)
innerhalb der Europäischen Union verlangen kann.
Bekräftigt wird darin der Grundsatz von Treu und Glauben,
dass mit den Daten einer natürlichen Person (nicht juristische Person) nichts unrechtmäßiges und gegen die Person gerichtetes passieren darf und dass die Person ein gesetzlich verankertes Recht auf Auskunft und ein Recht auf Vergessen hat.
Unternehmen, Freiberufler, Vereine und Behörden,
die Daten von natürlichen Personen erheben, speichern und verarbeiten, dies regelmäßig tun und in einem Dateisystem auf dem Computer speichern.
Unternehmen die ihren Sitz außerhalb der EU haben und
Waren und Dienstleistungen in die EU liefern.
Jedes Unternehmen auf dieser Welt,
wenn es ungekürzte IP-Adressen (siehe Erwägungsgrund 30 der DSGVO) von EU-Bürgern verarbeitet um das Nutzungsverhalten der eigenen Webseite zu analysieren, selbst wenn keine Waren oder Dienstleistungen an EU-Bürger angeboten werden.
Erfolgt die Speicherung von Daten ausschließlich nicht auf einem Computer sondern bspw. auf Papier (Vervielfältigkbarkeit und damit Weitergabefähigkeit) und sind diese Informationen mit anderen Informationen zu dieser Person zusammengeführt (bspw. Formular) und sind diese Daten mindestens einer oder mehreren Personen in einem Unternehmen zugänglich oder werden diese Daten mit anderen Personen von Dritten (Unternehmen oder Behörden oder Vereinen ausgetauscht) ist auch hierbei der Anwendungsbereich der EU-DSGVO eröffnet.
Erweiterter theoretischer Anwendungsbereich:
Ein Recht auf Löschen hätte die natürliche Person auch auf Informationen die nicht nur deren Namen sondern auch das Geburtsdatum oder weitere Informationen (gleich auf welchem Träger) öffentlich ausweisen, sofern sie dies veranlassen würde.
Newsletter:
Fehlt die schriflich dokumentierte (User-Bestellung oder Einwilligung) zu einer Email-Adresse, muss diese gelöscht werden. Liegt eine Einwilligung zum Bezug eines Newsletter-Themas vor, dürfen weiterhin nur Newsletter zu diesem Thema an die Email-Adresse gesandt werden, keine anderen oder evtl. sogar Produktwerbung. (Einige Anwälte nutzen die EU-DSGVO bereits für ihr Honorargeschäft).
Email oder Postsendung:
Personenbezogene Daten wie Vorname, Name in einem Briefkopf dürfen weder im postalischen, noch im Email-Verkehr verwandt werden, außer es liegt nachweislich eine schriftliche, zweckgebunde Freigabe der natürlichen Empfänger-Person im Rahmen der EU-DSGVO vor.
Telefonanruf:
Bei einer Kaltakquise an die Direktwahl mit Namensnennung müssen Sie auf Nachfrage die Quelle lückenlos, unverzüglich und gegebenenfalls auch schriftlich benennen können. Ist Ihnen der angerufene nicht wohl gesonnen, kann dies zu einer Abmahnung oder Weitergabe des Vorfalls an die Aufsichtsbehörde führen.
Die Bestimmungen der EU-DSGVO einhalten oder zumindes nachweisen können, sich mit der
EU-DSGVO und deren Umsetzung auseinanderzusetzen
Bei Unternehmen mit mehr als 10 Mitarbeitern einen Datenschutzverantwortlichen einsetzen und diesen für diese verantwortungsvolle Aufgabe qualifzieren und laufend schulen
Eine Inventur aller Verfahren und Prozesse durchführen, bei denen Daten im Spiel sind, die durch die EU-DSGVO in besonderem Maße geschützt werden müssen (insbesondere personenbezogene Daten und die Kombination dieser mit weiteren Daten, die dieser Person zugeordnet werden können)
Erstes Ziel: Analyse aller datenverarbeitenden Prozesse im Unternehmen (Ist-Soll)
MItarbeiter sensibilisieren und in die zu erstellende Datenschutz-Strategie einbinden
Änderungen in Formularen und Internetseiten über die verschärften datenschutzrechtlichen Informationspflichten vornehmen
Verschärfte Meldepflichten bei Datenpannen gegenüber Betroffenen und Aufsichtsbehörden
Anfertigung eines Verarbeitungsverzeichnisses durch jeden Verantwortlichen, welches in regelmäßigen Abständen geprüft und aktualisiert werden mus (Art. 30 Abs. 4 DSGVO)
Löschfristen beachten
Der Zweck des konkreten Daten-Verarbeitungsprozesses muss dokumentiert sein
Benennung aller Verantwortlichen für den Datenschutz (Öffentlichmachung: Firmierung, Name und geschäftliche Telefonnummer oder Email-Adresse) sind öffentlich (Webseite, Email, Publikationen die Namen natürlicher Personen verwenden) zugänglich machen
Kategorisierung und Beschreibung der Kategorisierung betroffener natürlicher Personen (welche Kategorien: z. Bsp. Name, Anschrift, Telefonnummer, E-Mailadresse, Bankverbindung von Kunden, Lieferanten, Lohn- und Gehaltsempfängern usw.)
Die Quelle und Herkunft der Daten muss dokumentiert sein
Eine Beschreibung des/der verwendeten Verarbeitungsprozesse (z.B. Erhebung, Speicherung, Abfragen, Offenlegung) muss vorhanden sein
Die Rechtsgrundlage(n) des/der jeweiligen Verarbeitungsprozesse müssen angewandt sein
Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Webseite, Publikationen, Kunden, Lieferanten, Versanddienstleister, Sozialversicherungsträger, Finanzämter, Banken, unternehmensinterne Datenempfänger, Gläubiger bei Lohn-/Gehaltspfändungen, Betriebsrententräger, Auftragsverarbeiter, weitere Gesellschaften bei Unternehmensverflechtungen, etc.)
Die zugriffsberechtigten Personen/Personengruppen auf den jeweiligen Verarbeitungsprozess (nach Funktion und ohne namentliche Angabe) müssen dokumentiert sein
Falls personenbezogene Daten an ein Land außerhalb der EU oder an eine internationale Organisation übermittelt werden:
die Angabe des konkreten Empfängers der Daten sowie das betreffende Land oder den/die Namen der internationalen Organisationen, sowie die Rechtsgrundlage für die Übermittlung
(eine Übermittlung an ein Land außerhalb der EU erfolgt, wenn sich der Daten-Server außerhalb der EU befindet oder der Datenfluß hierüber abgewickelt wird. Wichtig: Eine Übermittlung in ein Land außerhalb der EU kann auch vorliegen, wenn Supportleistungen zum Datenfluß aus einem solchen Land erbracht werden);
Fristen für die Löschung der verschiedenen Datenkategorien (Handels- und steuerrechtliche Aufbewahrungspflichten für Kundendaten, Personaldaten etc.) müssen eingehalten werden
Vom Verantwortlichen festgelegte Überprüfungs-/Löschungsfristen müssen aufgestellt und eingehalten werden
Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM's), welche zum Schutz der personenbezogenen Daten zu treffen sind (Einzelheiten siehe nachfolgende Erläuterungen), falls dies möglich ist
Auftragsverarbeiter (Adressverlage etc.) haben ein gesondertes Verarbeitungsverzeichnis zu führen
(Artikel 32 Absatz 2 DSGVO)
Pseudonymisierung
Verschlüsselung
Gewährleistung der Vertraulichkeit
Gewährleistung der Integrität
Gewährleistung der Verfügbarkeit
Gewährleistung der Belastbarkeit
Wiederherstellung der Verfügbarkeit
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Die Änderungen durch die EU-DSGVO orientieren sich an den Standards der ISO 27001, VdS 3473 oder der VdS 10010.
Die von der EU verabschiedete DSGVO muss für Unternehmen und Behörden am 25. Mai 2018 umgesetzt sein oder zumindest der Nachweis erbracht werden können, dass Sie sich mit der Umsetzung der DSGVO beschäftigen und den Fortschritt dokumentiert haben. Mit diesem Termin endet die Übergangsfrist.
Selbst Anwälte sprechen von "drakonischen" Strafen mit Bußgeldern zwischen 2 und
4 % des Jahresumsatzes.
Geschäftsführer, Vorstände, Vereinsvorsitzende, Stiftungsvorstände, Handwerk: Inhaber/Geschäftsführer
wenn in Ihrem Unternehmen oder Ihrer Organisation Sie oder Beauftragte laufend Daten von natürlichen Personen speichern (was bei Privatkunden und Firmenkunden der Fall ist).
Festuzustellen ist, dass immer mehr Geschäftsführer als letztlich Verantwortliche die Tragweite der tiefgreifenden Änderungen in ihrem gewohnten täglichen Handeln und der Änderungsnotwendigkeit, zumindest der Pflicht der Überprüfung im Lieferanten, Kunden, Personalverkehr erkannt haben bzw. beginnen zu erkennen. Einige sind aber immer noch unzureichend bzw. schlecht informiert.
Datenschutz ist nicht nur Sache des IT-Verantwortlichen bzw. der Softwarelieferanten.
Datenschutz ist eine Haltung gegenüber Kunden, Lieferanten, Mitarbeitern, gleich, ob diese Lohn/Gehalt beziehen oder nicht, wie mit deren Daten im Unternehmen und extern umgegangen wird. Die Haltung wird von der Geschäftspolitik bestimmt und ist somit Sache der Geschäftsführung. Sie kann für Fehlverhalten haftbar gemacht werden.
Den zuständigen Datenschutzbehörden der Länder kommt eine Doppelrolle zu:
Einerseits bieten diese Hilfe und beraten andererseits obliegt ihnen die Funktion der Verfolgungsbehörde.
Haben Sie einen Tracking-Code auf Ihren Webpages installiert? Beispielsweise von google oder anderen Diensten?
Auch diese Art der Webseitenanalyse fällt unter die Bestimmungen der EU-DSGVO und eventuell sind für Sie Konsequenzen zu ziehen. Auf jeden Fall muss in den Datenschutzbestimmungen darüber informiert werden. Wird etwas "vergessen" ist dies ein Abmahngrund. Die Aufstellung und Veröffentlichung muss daher immer aktuell sein.
Projektteams bilden
Ziele definieren
Projektbudget einplanen
Risikoanalyse der Datenverarbeitung erstellen
Ist-Zustand mit dem Soll-Zustand abgleichen (Anforderungen EU-DSGVO, BDG, TMG, spezielle Rechtsverordnungen)
Mitarbeiter schulen
Datenschutz muss systematisch betrieben werden. Um systemisch arbeiten zu können bedarf es eines Konzeptes. Hierzu bieten sich die Methoden KVP, 5S an.
In unserem WorkshopSeminar
DatenschutzGrundVerordnung EU-DSGVO - die unternehmerische Umsetzung gehen wir gemeinsam die Schritte durch (siehe auch Abschnitt: pragmatische Herangehensweise).
Als Ergebnis halten Sie
eine Road Map in Händen,
haben ein Umfassendes Verständnis für den Datenschutz und
wie dieser im Unternehmen mit allen Handelnden zu realisieren ist.
Als Experten für Prozess- und Projekt- sowie Wissensmanagement unterstützen wir Sie in herausragender Weise.
Datenschutz - die unternehmerische Umsetzung
Wir gehen gemeinsam die Schritte durch (siehe auch Abschnitt: pragmatische Herangehensweise). Als Ergebnis halten Sie eine Road Map in Händen, haben ein Umfassendes Verständnis für den Datenschutz und wie dieser im Unternehmen mit allen Handelnden zu realisieren ist.
Datenschutz - die unternehmerische Umsetzung
Wir gehen gemeinsam die Schritte durch (siehe auch Abschnitt: pragmatische Herangehensweise). Als Ergebnis halten Sie eine Road Map in Händen, haben ein Umfassendes Verständnis für den Datenschutz und wie dieser im Unternehmen mit allen Handelnden zu realisieren ist. Wir arbeiten die Themen durch und behandeln Fallbeispiele.
