Wenn Sie nur eine dieser Fragen positiv beantworten, sind die folgenden Ausführungen wichtig für Sie:

Die Datenschutz-Grundverordnung  gilt für Sie (und für den Rest der europäischen Welt). Doch es gibt da tatsächlich eine Ausnahme: Die Verarbeitung personenbezogener Daten ausschließlich für persönliche und familiäre Tätigkeiten (z.B. privates Adressbuch, Fotos, Dokumente) gehört nicht zur DS-GVO.

Datenschutz ist Chefsache

Die verantwortliche Stelle wird letztlich mit hohen Bußgeldern (max. 20 Mill. € oder 4% des Welt-Jahresumsatzes, je nachdem was höher ist) bei einem Verstoß gegen den Datenschutz belegt. Außerdem wirkt sich eine schlechte Presse bezüglich des Datenschutzes nicht unbedingt umsatzförderlich aus. Beides ist vermeidbar!  Schauen Sie sich dazu bitte diesen Fragebogen an, der wahrscheinlich ab Ende Mai 2018 einige Vereine und Unternehmen erreichen wird.

Die entscheidenden 8 Punkte, die ab 25.5.2018 einzuhalten sind.

1. Verzeichnis der Verarbeitungstätigkeiten

Sämtliche Tätigkeiten mit Personenbezug sind hier aufzuführen, wichtige Inhalte sind:

• Name und Kontaktdaten des Verantwortlichen
• Datum der Erstellung und der letzten Änderung
• Bezeichnung der Verarbeitungstätigkeiten und Fachabteilung
• Zwecke und Rechtsgrundlage der Verarbeitung
• Kategorien betroffener Personen und der personenbezogener Daten, z.B. Beschäftigte mit Adressdaten, Geburtsdatum
• Datenübermittlung an Dritte, z.B. Steuerberater, der die Gehaltsabrechnung vornimmt
• Löschfristen
• Technische und organisatorische Maßnahmen zum Schutz dieser Daten.

Dieses Verzeichnis ist nicht öffentlich (Betroffene haben kein Recht auf Einsichtnahme), es muss mindestens einmal im Jahr nachweislich aktualisiert werden und es darf elektronisch geführt werden. Es dient vornehmlich zur eigenen Dokumentation und zur Vorlage bei den Aufsichtsbehörden.  Hier ein exklusiver Praxistipp: Die Aufnahme erfolgt in einer MS-Exceltabelle. Über die Serienbrieffunktion können Sie in MS Word die Versionierung und die Detaillierung, so erforderlich, vornehmen.

2. Verbot mit Erlaubnisvorhalt und Rechtmäßigkeit durch Einwilligung und Vertragserfüllung

Nur wenn der Betroffene die freiwillige Einwilligung gegeben hat, dürfen diese Daten verarbeitet werden. Ein Nachweis dieser Einwilligung ist im Zweifelsfall schriftlich zu erbringen, es geht einwandfrei über das double-opt-in-Verfahren meist im Zusammenhang von Newslettern. Die Definition von Datenverarbeitung wurde deutlich ausgeweitet und gilt über den gesamten „Lebenszyklus“ von der Erhebung bis zur Löschung von personenbezogenen und -beziehbaren Daten.

Die Einwilligung muss nicht bei Vertragserfüllung erfolgen. Zur Vertragserfüllung aus einem Arbeitsvertrag erfolgt beispielsweise aufgrund der Gehaltsabrechnung eine Verarbeitung von Daten.

Außerdem dürfen Daten bei der Wahrung berechtigter Interessen verarbeitet werden, z.B. bei Direktwerbung, Marktforschung. Das ist eine Interessenabwägung, die auf die „vernünftigen Erwartungen einer betroffenen Person“ (vgl. „Erste Hilfe zur DSG-VO“, S. 22, siehe unten Literatur) abzustellen ist.

3. Auftragsverarbeitung

Die DS-GVO spricht von Auftragsverarbeitung, wenn Sie fremde Hilfe im Sinne einer verlängerten Werkbank bei Ihren Aufgaben benötigen. Beispiele sind: Externe IT-Dienstleister, Buchhalter oder Callcenter.

Entscheidend für die Auswahl eines Dienstleisters ist die erweiterte Haftung, denn bei einem Datenschutzverstoß haften Sie selbst und der Dienstleister gemeinschaftlich. Es ist ein separater Vertrag über die Auftragsverarbeitung erforderlich, ein Muster dazu finden Sie hier. Der Auftraggeber verfügt übrigens über weitreichende Kontrollmöglichkeiten, z.B. unangekündigte Kontrollen und Audits auch durch Beauftragte vor Ort.

4. IT-Sicherheit

Explizit wird die IT-Sicherheit in der DS-GVO genannt. Meldungen über mangelnde IT-Sicherheit sind fast täglich in der Presse. In unserer Praxis finden wir häufig einen äußerst laxen Umgang mit IT-Sicherheit, Beispiele sind schnell genannt: Passwörter entsprechen den Benutzernamen (unglaublich, aber erst vor einigen Tagen begegnet), abschließbare Schränke mit switchen steckt der Schlüssel, fehlende Berechtigungsstrukturen Auszubildender hat Recht auf alle Ordner.  Es gibt eine Reihe von Empfehlungen.  Wir halten die BSI-Empfehlungen für zu umfangreich und empfehlen den Einsatz eines IT-Sicherheitsbeauftragten oder qualifizierten Datenschutzbeauftragten.

5. Datenschutzbeauftragter

Wenn in der „legal entity“ im Unternehmen oder Verein mehr als 10 Mitarbeiter, egal ob Voll- oder Teilzeit, die Zahl der Köpfe ist entscheidend, mit der Datenverarbeitung zu tun haben, ist ein in- oder externer Datenschutzbeauftragter vorgeschrieben. Entscheidend ist u.a. die Anzahl der Mailkonten, ebenfalls die Verarbeitung sensibler Daten, wie Gesundheitsdaten, Daten zum Sexualleben sowie die Regelmäßigkeit der Verarbeitung. Der Datenschutzbeauftragte muss über die notwendige Fachkunde verfügen und der Aufsichtsbehörde gemeldet werden.

6. Betroffenenrechte

All jene deren Daten Sie speichern oder anderweitig verarbeiten verfügen über umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Dies erfordert eine Reihe organisatorischer Änderungen, um diese Rechte umzusetzen. Beachten Sie dabei bitte, dass diese Anfragen prinzipiell schriftlich, i.d.R. per Mail, zu erfolgen haben, telefonische Auskünfte bitte tunlichst vermeiden, denn dort ist eine Identifizierung der Betroffenen nicht immer möglich.  Wenn Sie die Auskunftsdaten an Nichtberechtigte übermitteln, gehen wir von einem meldepflichtigen Datenschutzverstoß aus.

Am günstigsten erfolgt die Datenverarbeitung im Rahmen einer Vertragserfüllung, andernfalls über eine Einwilligung.

7. Mitarbeiter

Entscheidend für einen wirkungsvollen Datenschutz und eine Umsetzung der DS-GVO sind die Mitarbeiter, denn sie nutzen die personenbezogenen Daten für ihre tägliche Arbeit. Das neue Datenschutzrecht verunsichert die Mitarbeiter zusätzlich, deshalb finden wir kurze, ca. 1 ½ bis 2-stündige, Schulung zur Sensibilisierung und zum Erwerb von Wissens als sehr sinnvoll. Diese sollten regelmäßig alle 1 bis 2 Jahre erfolgen. Zusätzlich sollten die Unternehmen die Mitarbeiter auf das Datengeheimnis regelmäßig schriftlich verpflichten.

Besonders beachtenswert sind Filme oder Fotos von Mitarbeitern, auch das sind persönliche Daten. Eine Veröffentlichung in der gedruckten Mitarbeiterzeitung, im Intra- oder Internet, oder ähnlich erfordert immer eine spezifische Einwilligung. Denkbar und zum Teil günstiger ist ein sogenannter Modelvertrag.

8. Webseite

Neben dem Impressum sollte immer auch eine Datenschutzerklärung vorhanden sein. Sofern es ein Benutzertracking gibt, sollte dies in der Datenschutzerklärung passend erwähnt sein. In Bezug auf Kontaktformulare sollte es auf jeden Fall eine https-Verschlüsslung der Webseite geben.

Bitte beachten Sie:

Diese 8 Punkte sind lediglich Anhaltspunkte für eine erste Information und ersetzen keine Beratung, aus Platzgründen können dabei nicht alle Aspekte vollständig dargestellt werden. Für weitere Informationen wenden Sie sich bitte an Ihren Datenschutzbeauftragten.

Literatur:

„Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine. Das Sofortmaßnahmen-Paket“, Bayerisches Landesamt für Datenschutzaufsicht (Hrsg.) Thomas Kranig, Dr. Eugen Ehmann, 2018, C.H.Beck.

Thomas Kowoll
Externer Datenschutzbeauftragter, 4.3.2018
Kontakt: Tel. 0177 6337337, info@kowoll-consulting.de, Schweickhardtstr. 1, 72072 Tübingen