Datenschutz, DSGVO, Internet, Juristendeutsch, Praxis trifft Theorie, von wegen Privat ;-)
Veröffentlicht am 28. Februar 2018
Schreibe einen Kommentar

„DSGVO“ heisst die dickste Sau, die seit Monaten durchs Dorf getrieben wird – Was geht mich das an?

von Jürgen Wolf

Zuletzt aktualisiert am 11. April 2018 um 16:20

Viel – und darum geht es in diesem Beitrag: Denn mittlerweile wird es sich zu jedem verantwortlichen Unternehmer rumgesprochen haben, dass es Ende Mai diesen Jahres mit dem Datenschutz Ernst wird. Und das ist gut so – geht es doch nun endlich den Digitalgiganten aus dem Silicon-Valley an den Kragen und sollen die mal schön lernen, was es in Europa und vor allem in Deutschland mit dem Datenschutz auf sich hat.

Gut gebrüllt Löwe. Aber leider zu kurz gedacht!

Es sind nicht weniger als 173 Erwägungsgründe detailliert formuliert, wegen denen die Artikel der Datenschutz-Grundverordnung (DSGVO) so erlassen wurden, wie sie nun zum 25. Mai 2018 in Kraft treten. [1] „Grundsätze des internationalen Datenverkehr“ ist beispielsweise Erwägungsgrund Nummer 101. Im ersten Erwägungsgrund heisst es: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.“

Ach ja, da war noch was, deshalb merke: Unternehmen sind – allen voran die beliebte Unternehmensform der GmbH – juristische Personen und als solche zwar greif- und verklagbar. Persönliche Verantwortung trägt aber immer ein Mensch, zum Beispiel der Geschäftsführer und der haftet…

Was Menschen schützt – ist für Unternehmen Pflicht!

Und diese Pflicht hat es in sich. Bedeutet es doch nicht weniger, als dass das Ziel des Gesetzgebers ist, dass sich Unternehmen ihrer Pflicht bewusst werden, den einzelnen Menschen und seine Rechte aktiv zu schützen. Dieser Pflicht gerecht zu werden bedeutet für Unternehmen, jede Menge Fleißarbeit bei Dokumentation und Nachweisen. Es bedeutet, dass Unternehmen – jeder Zeit auf Anforderung – den Nachweis über seine Datenverarbeitungsprozesse erbringen müssen, dass diese in Zweck, Art und Umfang dokumentiert und zulässig sind. Unternehmern, die Datenschutz schon in der Vergangenheit sehr ernst genommen haben, sind jetzt sicherlich im Vorteil. Oder Besser: Unternehmer, die Datenschutz in Ihrer Firma bereits hohen Stellenwert eingeräumt haben, haben es nun leichter. Auch DIN/ISO-Zertifizierungen zahlen auf dieses Konto ein.

Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen. [2] Bedeutet: Die Person muss gar nicht identifiziert sein – es genügt, wenn sie mit Hilfe erhobener Daten identifiziert werden könnte.

Dokumentations- und Rechenschaftspflicht

In diesem Zusammenhang ist auch oft von „Accountability“ die Rede oder besser, formuliert ist dies in Artikel 5 der DSGVO: „Grundsätze für die Verarbeitung personenbezogener Daten“.

Zusammenfassen kann man dies, dass der Gesetzgeber in Unternehmen Verantwortliche nebst Mitarbeitern dazu verpflichtet, sich mehr Gedanken um den Schutz persönlicher Daten zu machen und dies auch – abrufund belastbar – belegen zu können.

Darüber hinaus ist dann auch von „Datenminimierung“ die Rede [3] . Also Schluss mit Datensammelei auf Vorrat.

Zu führen ist ein „Verzeichnis von Verarbeitungstätigkeiten“. Und um das zu Führen, muss es erst einmal geplant und erstellt werden…

Befreiung von Unternehmen unter 250 Mitarbeiter ist nur Theorie

Einige werden schon aufgeschnappt haben, dass das „Verzeichnis der Verarbeitungstätigkeiten“ nur für Großunternehmen gedacht ist und kleinere Firmen – mit weniger als 250 Mitarbeitern – von dieser Rechenschaftspflicht befreit sind.

Stimmt, ja. Aber…

Denn in Artikel 30 DSGVO steht sehr wohl, die „genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen“.

Aber weiter heisst es: „es sei denn die von ihnen vorgenommene Verarbeitung (…) erfolgt nicht nur gelegentlich“. Ob also monatliche Lohnabrechnungen der Mitarbeiter und Aushilfen oder E-Mails via der eigenen Homepage – kaum jemand wird nur „gelegentlich“ solche persönliche Daten be- und verarbeiten. Das ist Alltag!

Was genau ist das Verzeichnis von Verarbeitungstätigkeiten?

Zum jetzigen Zeitpunkt gibt es keine konkreten, formalen Anforderungen an dieses Verzeichnis. Demnach auch kein „Formular zum Internet zum Runterladen“, dass man mal eben schnell ausfüllen kann.

Wir erinnern uns – das neue Gesetz soll Bewußtsein in Sachen Datenschutz bilden!

Dieses Verzeichnis beinhaltet also Grundangaben zum Unternehmen und den für den Datenschutz Verantwortlichen gegebenenfalls nebst Stellvertreter.

Es folgt eine Auflistung der einzelnen Verarbeitungstätigkeiten – sicherlich eine aufwendige Arbeit.

Typische Verarbeitungstätigkeiten – die wohl in jedem Büro vorkommen – sind etwa die Art und Weise, wer die Lohnabrechnung macht, wie die Abrechnungen produziert und dem einzelnen Mitarbeiter zugestellt oder ausgehändigt werden.

Oder wie mit Bewerbungen umgegangen wird: Wer hat Zugang zur Eingangspost, wer öffnet die Umschläge, kann die Bewerbungen lesen. Wer wertet sie nach welchen Kriterien aus. Und wie wird nach der Personalentscheidung mit den Absagen umgegangen. Früher wurden die Bewerbungsmappen der Abzusagenden mit einem aufmunternden Text per Post zurück geschickt. Manche haben sie einfach in den Papierkorb geworfen. In heutigen Zeiten kommt eine Bewerbung gern per E-Mail. Auch diese Daten müssen nach Nutzung gelöscht werden. Von wem, wann wie. Und immer an die Dokumentation denken!

Die Verarbeitungstätigkeiten werden dokumentiert und kategorisiert. Klassische Kategorien sind beispielsweise betroffene Personen, personenbezogene Daten und Empfänger „gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen“.

Und als ob das nicht ausreichen würde kommt jetzt auch noch der sehr schwammige Begriff „aktueller Stand der Technik“ ins Spiel: Artikel 32 verpflichtet zur Sicherheit der Verarbeitung.

Im Detail: Es müssen technische und organisatorische Maßnahmen (TOMs) eingerichtet und durchgeführt werden, die Sorge dafür tragen, dass die verarbeiteten personenbezogenen Daten weder Unbefugten zugängig gemacht werden können noch durch Zerstörung oder Missbrauch Schaden nehmen können.

Daten rechtssicher an Dritte weitergeben

Wer sich bis hierher durchgearbeitet hat sieht zumindest Licht am Enden des Tunnels. Der aber ist lang und dunkel, denn wir widmen uns nun dem Thema der rechtssicheren Weitergabe von personenbezogenen Daten. Und dass sind auch so technische Dinge wie IP-Adressen. Damit kann man Computer, Handies und vielleicht bald auch jede Kaffeemaschine online lokalisieren.

Jeder kennt Google, viele nutzen Google Analytics zur Auswertung der Aktivitäten der eigenen Webseite. In unserer Agentur nutzen wir eine Vielzahl von Analyse-Werkzeugen – auch für unsere Kunden.

Aber nun sind die Analysen von Webseitenaktivitäten ab sofort so nicht mehr rechtmäßig nutzbar.

Es gibt aber im Fall Google einen Vertrag zur Auftragsdatenverarbeitung (ADV) für die Nutzung von Google Analytics – kostenlos als pdfDokument zum Herunterladen [4] .

Also zügig das Dokument (18 Seiten) ausfüllen und zweifach ausdrucken und an Google nach Irland versenden. Einen mit 3,70 € (Stand 02/2018) frankierten Rückantwort-Umschlag nicht vergessen.

Angeblich sitzen in Irland echte Menschen die den zweiten Antrag gegenzeichen und per Post zurücksenden.

Das alte Prinzip „make or buy“ funktioniert nicht – „Freikaufen“ klappt nicht

Hier habe ich nun erst einmal eine grobe Struktur dessen vorgestellt, was auf Unternehmer im allgemeinen und auch auf Bestatter im Speziellen mit der DSGVO zukommt.

Machen wir uns nichts vor: Da steht nun eine Menge Arbeit an. Klar, der motivierte Unternehmer kann sich viel Wissen aneignen. Dieser Artikel hilft dabei. Oder?

Dieser Beitrag ist natürlich keine Rechtsberatung und erhebt ganz bestimmt keinen Anspruch auf Vollständigkeit. Generell gilt: Jeder Website-Betreiber, jeder Arbeitgeber und in Summe jeder Unternehmer sollte sich ständig auf dem Laufenden halten, was zum aktuellen Zeitpunkt der Stand der Dinge ist.Die „Dinge“ werden aber immer komplexer…

Wer nun wann, welche Aufgaben wie angeht, ob mit oder ohne externe Unterstützung, sei jedem selbst überlassen.

Bevor der Abmahner zweimal klingelt

Einige der hier beschriebenen Aufgaben werden von manchen nicht bis zum Stichtag 25.5.2018 zu erledigen sein.

Das ist kein Drama.

Datenschutz ist Grundrecht – und die Datenschutzgrundverordnung (DSGVO) ist „Chefsache“! Share on XSomit ist es sein Job, dass der Prozess im Unternehmen an den Start gebracht werden.

Ich weise ausdrücklich darauf hin, dass öffentlich – und technisch ganz einfach – zugängige Informationen wie Impressum und Datenschutzerklärung auf heutigen Webseiten am 26. Mai 2018 eindeutig nicht mehr Rechtens sind und somit einfach abmahnfähig sind! Ich mag nicht schwarz malen, aber dieses „Geschäft“ ist seit langem absehbar, technisch keineRaketenwissenschaft und das werden sich Abmahner nicht entgehen lassen.

Einfaches Beispiel: Hat ein Unternehmen mehr als zehn Mitarbeiter, ist ein Datenschutzbeauftragter zu bestellen. Dieser muss im Impressum auf der Homepage genannt sein und der Landesbehörde gemeldet sein. Die Unternehmensgröße ist auf vielen Wegen zu ermitteln. Die Zahl „10“ steht eher für kleine/kleinste als für mittelständige Unternehmen hinter der Abkürzung KMU. Und auch bei den kleinen reicht ein Blick zu „Team“ oder „Mitarbeiter“ oder zu einem Gruppenbild. Da ist leicht Nachzuzählen. Und auch die „alten“ Datenschutzerklärungen sind leicht von den DSGVO-konformen zu unterscheiden.

Also: Ran an die Arbeit, bevor der Abmahner zweimal klingelt…

[1] https://dsgvo-gesetz.de/erwaegungsgruende/

[2] https://dsgvo-gesetz.de/art-4-dsgvo/

[3] https://dsgvo-gesetz.de/art-5-dsgvo/

[4] http://www.google.com/analytics/terms/de.pdf

Und weil das auch ein Gastkommentar in einer Fachzeitschrift sein könnte, kommt noch bisschen was über den Autor hinterher:

Weitere Profile im Netz

über den Autor

Jürgen Wolf ist Geschäftsführer der Jürgen Wolf Kommunikation GmbH, einer Agentur für Marketing & Kommunikation in Mühltal nahe Darmstadt. Seit fast 13 Jahren ist er mit seinem Team im Bestattungsgewerbe aktiv, betreut bundesweit Bestatter und deren Zulieferer.

Er hält Vorträge zu Marketing und Kommunikation bei Verbänden, Vereinigungen und anderen Organisationen.

Die Agentur veranstaltet seit Jahren Workshops und Seminare u. a. zu den Themen Marketingstrategie, Prozessoptimierung, Onlinekommunikation.

Seit meinem persönlichen „Update 5.0“ bin ich auch in Sozialen Netzwerken zu Hause und schreibe diesen Blog.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.