Informationen zur EU-DSGVO

Letzte Änderung: 11.5.2018                             Speziell für Vereine

Aus verschiedenen Veranstaltungen des RKW RLP haben wir von Unternehmern und Unternehmen mitgenommen, daß trotz der elektronischen und veranstaltungstechnischen Flutung zur EU-DSGVO noch umfangreicher Bedarf an einfachen Informationen und praktischer Unterstützung besteht.

Wir versuchen in diesem Beitrag, zumindest die Grundaspekte nochmal zusammenzustellen und auf einige u.E. hilfreiche Informationen und Materialien zu verlinken.
Bitte dabei beachten:
Das RKW RLP kann und möchte nicht rechtlich beraten! Für den Zustand der Datenschutzumsetzung und/oder Ihrer Website sind letztendlich Sie als Unternehmer/Unternehmen verantwortlich! Die nachfolgenden Hinweise und Informationen stellen den aktuellen Kenntnisstand nach unserem derzeitigen Wissensstand dar.

Allgemeines zur EU-DSGVO

Bei der EU-DSVGO handelt es sich um eine Verordnung, NICHT um eine Richtlinie, d.h. mit dem 25.5.2018 sind die Regelungen der EU-DSGVO geltendes Recht!

Es gibt a priori keine inhaltlichen und zeitlichen Spielräume [obwohl noch vielfach auf Anwendung/Interpretation
und Kommentierung gewartet wird].

Die Verordnung enthält nationale Öffnungsklauseln, in Deutschland ist das geregelt im DSAnpUG-EU.
Anwendungsbereich der EU-DSGVO:
  • Unternehmen
  • Freiberufler
  • Institutionen/Verwaltung
  • Sonderregelungen für Justiz und Polizei
  • Ausnahmen:
    • Websites mit persönlichem/familiären Charakter
    • Ausnahmen nach Art 6 zur Wahrung der ‚berechtigten eigenen Interessen‘, z.B. temporäre Speicherung von IP-Adressen zur Gewährleistung der Sicherheit
Rechenschaftspflicht

Ein zentraler Aspekt ist die Rechenschaftspflicht („Accountability„), d.h. der Nachweis gegenüber Behörden/die Dokumentation intern durch ein Verzeichnis der Prozesse:

  • Welche Daten erhebt ein Unternehmen?
  • Zu welchem Zweck werden die Daten erhoben/verwendet?
  • Wie werden die Daten jeweils weiterverwendet und gespeichert?
  • Wann werden die Daten gelöscht?
  • Verzeichnis der Datenverarbeitungsverfahren? [idealerweise aus QMS/ISMS]

Wir dürfen anmerken, daß dieser Aspekt den fairen und transparenten Umgang mit Daten von Geschäftspartnern und Kunden widerspiegelt und eigentlich eine Selbstverständlichkeit sein sollte.

Hintergrund: Allgemeine Prinzipien
Allgemeine Prinzipien und Forderungen innerhalb der EU-DSGVO:
  • Verarbeitung strikt mit Erlaubnisvorbehalt:
    Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist.
  • Zweckbindung der Verarbeitung:
    Die Datenerhebung und deren Verarbeitung muß strikt zweckgebunden erfolgen, d.h. vor/bei der Erhebung muß der Zweck und die weitere Verwendung der Daten festgelegt (und bekannt gegeben) sein.
  • Minimalprinzip:
    Es dürfen nur (maximal) die Daten gesammelt werden, die zur Durchführung des Zweckes erforderlich sind.
  • Transparenz:
    Der Betroffene muß die Verarbeitung seiner Daten nachvollziehen können, das heißt insbesondere, daß die Datenschutzerklärung (allgemein-)verständlich formuliert sein muß!
  • Auskunftsrecht:
    Dem Betroffenen muß auf Anfrage mitgeteilt werden, welche Daten über ihn im Unternehmen gespeichert sind und wie diese verwendet werden (Einzelfallregelungen)!
  • Vertraulichkeit:
    Das Unternehmen muß sicherstellen, daß die personenbezogenen Daten/Kundendaten technisch UND organisatorisch geschützt sind!
    [Potentielle Probleme sind Diebstahl/Verlust, (unbefugte) Veränderung von Daten, unbefugte Verarbeitung/Mißachtung der Zweckbindung, Zerstörung (intern/extern), …]
  • Ausdrückliche Pflicht zu technischen und organisatorischen Schutzmaßnahmen:
    Da dies in der Verordnung einerseits nicht präzisiert wird, andererseits im Fehlerfall die Angemessenheit der (ergriffenen)  Maßnahmen entlang einer Risikobewertung erfolgt, empfehlen wir die Orientierung an den BSI-Empfehlungen zum Grundschutz.
  • Vollständigkeit:
    Es sind sämtliche verschiedene, relevanten Datenarten (extern wie intern) zu berücksichtigen, d.h. typischerweise

    • Schutz/Behandlung der Beschäftigtendaten
    • ~ der Kundendaten
    • ~ der Lieferantendaten
    • Öffentlichkeit (Webbesucher und Social-Media)
  • Prinzip ‚privacy by design‘ (Design der Prozesse):
    Prüfen Sie Ihre Arbeitsabläufe, in denen personenbezogene Daten verarbeitet werden, auf die Berücksichtigung grundsätzlicher Vertraulichkeit/Geheimhaltung!
    Dabei gilt das Minimalprinzip, d.h. es dürfen nicht mehr Daten als unbedingt erforderlich erhoben werden.
  • Prinzip ‚privacy by default‘ (Voreinstellungen):
    Als grundsätzliche/voreingestellte Erhebungsart ist jeweils diejenige Einstellung zu wählen/zu nutzen, die das höchste Maß  an Vertraulichkeit/Geheimhaltung gewährleistet!
  • Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung):
    • Die Betroffenen müssen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen.
    • Zustimmungen (Einwilligung des Arbeitnehmers, Einwilligung der Verbraucher, etc.) sind nur für den anzugebenden  Verwendungszweck gültig.
    • Die Einwilligungserklärung muß verständlich formuliert und grundsätzlich widerrufbar sein.
    • Der Widerruf muss für den Betroffenen ebenso einfach sein wie die Einwilligung.
  • Kopplungsverbot (Art 7 Abs 4):
    Die Erbringung von Leistungen/ein Vertragsabschluß darf nicht mit einem Ungleichgewicht bei der Erhebung von Daten bzw. bei der Freiwilligkeit der Einwilligung zur Verarbeitung von Daten gekoppelt sein.
    [Z.B. darf der Betreiber einer Website seine potentiellen Kunden künftig nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistungserbringung nicht erforderlich sind.]
  • Recht auf Datenübertragbarkeit (Art. 20):
    Recht des Betroffenen/Nutzers, seine Daten (z.B. die Profildaten) von einer verarbeitenden Stelle auf eine andere Stelle übertragen zu können.
  • Risikomanagement:
    Es werden Folgeabschätzungen bzgl. Datenschutz gefordert, die das Unternehmen durchführen muß. Hier ist insbesondere die Risikominimierung anhand geeigneter Schutzmaßnahmen nachzuweisen. Besonders zu beachten ist der potentielle Einsatz von Cloud-Services sowie ggf. die Verarbeitung gesundheitsbezogener Daten.
    [Wir verweisen ergänzend auf unser Angebot des AK IT/QM!]
Meldepflicht

Es besteht Meldepflicht von Daten(schutz)pannen:

  • Sicherheitspannen müssen innerhalb 72 Std nach Bekanntwerden gemeldet werden
    • durch Meldung an Behörden
    • durch Meldung an betroffene Personen
Pflicht zur Löschung
Löschung von Daten:
  • Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Datenerhebung/-Verarbeitung notwendig ist.
  • Erlischt die Verarbeitungsbefugnis (z.B. weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
  • Betroffene/Verbraucher können bei Unternehmen einfordern, ihre Daten zu löschen.
  • Das ‚Recht auf Löschung/Vergessenwerden‘ ist damit gesetzlich festgelegt.
Informationspflicht / Datenschutzerklärung
Informationspflichten des Unternehmens und Datenschutzerklärung (Art 12 Abs 1, Art 13, insbes. Abs 2):
  • Link zur Datenschutzerklärung muß möglichst auf jeder Seite erreichbar sein (analog Impressum)
  • Pflicht zur Nennung der Rechtsgrundlage der Datenverarbeitung
  • Zulässigkeit der Verarbeitung gemäß Art 6 DSGVO, insbes. bei Daten zur Erfüllung eines Vertrags mit dem Betroffenen
  • Informationen zu Website-Nutzungsanalysen und Logfiles, ggf. auch wg. Sicherheit/Wahrung berechtigter Adressen
  • Information über Einsatz von Analyse- und Trackingdiensten, insbesondere bei Weiterleitung von Daten an Server außerhalb der EU (speziell auch bei Cloud-Diensten). Ergänzend Information, ob Datenschutzabkommen mit diesen Ländern auf Niveau der EU-Regelungen besteht.
  • Zwingend verständliche Sprache, um die Nachvollziehbarkeit der Erfassung und Verarbeitung der erhobenen Daten zu gewährleisten
  • Information zu Datenerhebung bei Registrierungs- und Kommentarmöglichkeiten
  • Verwendung von Cookies (Regelung durch ePrivacy steht aus)
  • Informationen zu Rechten des Betroffenen:
    • Recht auf Auskunft über alle gespeicherten Daten
    • Recht auf Löschung
    • Recht auf Korrektur
    • Hinweis auf Widerruf der Verarbeitung (ist deutlich sichtbar abzugrenzen/hervorzuheben)
    • Angebot einer rechtskonformen Widerspruchsmöglichkeit
    • Hinweis auf Möglichkeit der Einschränkung der Verarbeitung
    • Hinweis auf Beschwerdemöglichkeit bei der Datenschutzaufsichtsbehörde
    • Hinweis auf das Recht der Übertragbarkeit der Daten/Profile
  • Nennung des Datenschutzbeauftragten (falls vorhanden) mit Kontaktdaten (email-Adresse)
  • Information zu automatisierten Verfahren der Entscheidungsfindung, falls eingesetzt  [s. z.B. auch Haufe]
WICHTIG:
Die Datenschutzerklärung heilt keine rechtswidrige Datenverarbeitung!
Sie erfüllt einzig die Informationspflicht!
Datenschutzbeauftragter
Allgemeines zum Datenschutzbeauftragten:
  • zwingend zu besetzen/zu benennen bei öffentlichen Stellen
  • zwingend zu besetzen/zu benennen bei Unternehmen, deren Kerntätigkeit die Verarbeitung personenbezogener Daten ist [Bitte beachten Sie hierbei die Anforderungen an Auswahl und Eignung des Datenschutzbeauftragten nach Art. 37 sowie die Erfordernis zur Benennung bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9, insbesondere bei Gesundheitsdaten, in diesem Fall auch bei Kleinstunternehmen!]
  • zwingend zu besetzen/zu benennen bei Unternehmen, wenn die Kerntätigkeit nicht die Verarbeitung personenbezogener Daten ist, aber mindestens zehn (10) Personen im Unternehmen regelmäßig (ständig) mit der Verarbeitung personenbezogener Daten beschäftigt sind
Aufgaben des Datenschutzbeauftragten
Hauptaufgaben des Datenschutzbeauftragten:
  • Überwachung der (individuellen) Datenschutzstrategie des Unternehmens
  • Überwachung der Konformität zur DSGVO

WICHTIG:
Der Datenschutzbeauftragte ist künftig für die Überwachung der Maßnahmen verantwortlich! Damit steigt das Haftungspotential bisheriger Datenschutzbeauftragter!

Anforderungen an Dokumentation
  • (Idealerweise) Nutzung vorhandener Dokumentation aus QMS (ISO 9001) oder ISMS (ISO 27001) oder aus BSI Grundschutz-Dokumenten
  • bitte achten Sie unternehmensintern auf Synchronizität und Aktualität der Unterlagen
  • sonst:
    • Prozeßdokumentation der datenverarbeitenden Prozesse
    • ergänzend Datenflußplan nach Datenarten: Wo werden welche personenbezogenen Daten wie verarbeitet?
    • Infrastrukturdokumentation (Netzwerk, Kommunikation, Systeme, Datenspeicherung, …)
    • Dokumentation der einzelnen umgesetzten Schutzmaßnahmen
    • Welche Schutzmaßnahmen für welche Datenarten?
    • Maßnahmen IT-Security und Monitoring?
    • Bewertung der Schutzmaßnahmen und Risiken
    • Verschlüsselung Kontaktformulare (Web)
    • Absicherung Social Media-Plugins [Einsatz ist zustimmungspflichtig!]
    • etc.
s.a. Heise
Bitte beachten Sie auch unser Angebot des eng verwandten Unternehmerarbeitskreises!
CHECKLISTE
Unternehmer-Checkliste (kein Anspruch auf Vollständigkeit):
  • Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
  • Erstellen Sie eine Ihren Dokumentationsprozessen konforme Dokumentation.
  • Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein, beachten Sie dabei insbesondere die verschiedenen möglichen Datenquellen und -arten im Unternehmen.
  • Richten Sie Prozesse/Abläufe/Kommunikationsrouten für Anfragen (Mitarbeiter, Kunden, Lieferanten, …) zum Datenschutz ein.
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen. Falls ja, beauftragen Sie den Datenschutzbeauftragten schriftlich und sorgen Sie für hinreichende Schulung/Weiterbildung!
  • Passen Sie die Datenschutzerklärung auf Ihrer Website an die Regelungen der DSGVO bzw. des ‚BDSG neu‘ an.
  • Führen Sie in Abstimmung mit den Verantwortlichen aus IT/Technik und Ihrem Datenschutzbeauftragten eine Risikoabschätzung (insbesondere eine Folgeabschätzung) durch und bewerten Sie, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen.
  • Dokumentieren Sie ggf. erforderliche weitere Maßnahmen und deren Umsetzung!
  • Prüfen Sie die Datenerhebung Ihres Unternehmens bzgl. Kopplungsverbot! Personenbezogene Daten, deren Erhebung gegen das Kopplungsverbot verstößt, müssen künftig anders eingeholt und als freiwillig ausgegebene Daten erhoben werden!
  • Falls Sie externe Dienstleister beauftragt haben, um personenbezogene Daten für Ihr Unternehmen zu verwalten oder zu verarbeiten, sollten Sie dringend mit ihnen klären, ob die getroffenen Vereinbarungen den Datenschutzanforderungen entsprechen.
  • Schließen Sie konforme Vereinbarungen ab (auch mit Web-Hostern, s. auch Links unten) bzw. passen Sie Ihre derzeit vorhandenen Vereinbarungen an die neuen Vorgaben an.
  • Prüfen Sie in allen Prozessen, insbesondere bei Einsatz elektronischer Formulare, Foren oder Shop-Systeme, wie die Einwilligungen Ihrer Kunden eingeholt wird und passen Sie die Vorgehensweise an die Regelungen der DSGVO an.
  • Behalten Sie die Entwicklungen zur kommenden E-Privacy-Verordnung (vorauss. 2019) im Blick: Hier werden künftig Vorgaben zur Einwilligungserklärung bei Cookies, Analyse- und Trackingtools, Targeting, etc. geregelt.
Falls Sie unsicher sind, fragen Sie uns!
Bitte beachten Sie auch unser Angebot des eng verwandten Unternehmerarbeitskreises!
Konkrete Materialien und Links
Nachfolgend weisen wir gerne auf konkrete Materialien und ergänzende/erklärende Links hin. Bitte beachten Sie, daß sich in der Anwendungspraxis und mit angesichts der kommenden ePrivacy-Verordnung Änderungen und Ergänzungen ergeben werden!
DAHER WICHTIG:
Überprüfen Sie in regelmäßigen Abständen die Publikationen oder treten Sie in einen unserer Unternehmerarbeitskreise zu diesem Themenkomplex ein!
EBENSO:
Sind Sie in Verbänden/Kammern organisiert, prüfen Sie bitte ebenfalls deren Informationen und Materialien zum Thema! Sie zahlen über Ihre Beiträge gutes Geld dafür!
Externe Links zu Texten und Materialien:
LDA Bayern – Konkrete Mustertexte
Weiterführende Artikel:
IHK München – Übersicht zur DSGVO
IHK Rheinhessen – Merkblätter
LfDI Rheinland-Pfalz – Materialien
LFD Niedersachsen – Datenschutz bei Vereinen
Rechtliche Hinweise / Haftungsausschluß

Die Informationen in diesem Artikel sind allein als unverbindliche Hinweise zu verstehen. Für die inhaltliche Richtigkeit der hier gemachten Angaben übernimmt RKW RLP e.V. keine Gewähr.

Beachten Sie bitte auch, daß RKW RLP e.V. ganz allgemein weder rechtliche noch steuerliche Beratungen durchführt! Bei Bedarf können wir gerne auf kooperierende Kammern/Verbände verweisen und Kontakt herstellen.