Frage: Viele Regelungen sind bereits im (alten) Bundes Datenschutz Gesetz (BDSG) beschrieben. Welche Anforderungen kommen auf uns zu durch die Europäische Datenschutzgrundverordnung (EU-DSGVO)?

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutz-Grundverordnung (EU-DSGVO). Der neue, umfassende Schutz für Verbraucher erfordert eine Umstellung und Anpassung vieler Prozesse und Abläufe in Unternehmen. Werden Anforderungen aus der EU-DSGVO nicht erfüllt, drohen empfindliche Bußgelder.

Im Folgenden wird erläutert wie sich Unternehmen innerhalb verschiedener Bereiche der EU-DSGVO gesetzeskonform verhalten sollten.

Personenbezogene Daten

Die EU-DSGVO regelt wie mit personenbezogene Daten umzugehen ist. Als personenbezogene Daten gelten alle Informationen, die sich auf eine „identifizierte oder identifizierbare Person“ beziehen. Darunter fallen Daten wie Name, Anschrift, E-Mail-Adresse, Ausweisnummer, Standortdaten, IP-Adressen, Cookies und Gesundheitsdaten  oder andere Merkmale, die zur eindeutigen Identifizierung einer Person führen könnten. Selbst geringfügige Teilinformationen, die in Kombination mit anderen Informationen, die Identifikation einer Person ermöglichen, sind als personenbezogene Daten zu behandeln.

Anonymisierte Daten gelten erst dann als nicht mehr personenbezogen, sobald selbst mit großem Aufwand keine Rückschlüsse auf die betroffene Person gezogen werden können und die Anonymisierung somit unumkehrbar ist. Ein solcher rechtssicherer Vorgang kann auf verschiedene Weise gelingen, sollte jedoch in jedem Fall nachvollziehbar dokumentiert werden.

Datenverarbeitung von personenbezogenen Daten

Jede Verarbeitung von personenbezogenen Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit, oder der Betroffen gibt seine Einwilligung.

Grundsätzlich ist eine Datenverarbeitung rechtens, wenn es sich um die Erfüllung eines Vertrages oder gesetzliche Verpflichtungen handelt. So dürfen Bestell-und Adressdaten von Kunden eines Onlineshops oder Daten, die steuerrechtlichen Archivierungspflichten unterliegen, selbstverständliche verarbeitet werden.

Auf der Grundlage rechtlicher, wirtschaftlicher oder ideeller Interessen, die von der Rechtsordnung anerkannt werden, dürfen personenbezogene Daten wie bisher weiterverarbeitet werden. Hierbei müssen jedoch die Interessen des Datenverarbeiters die schutzwürdigen Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, damit eine Datenverarbeitung zulässig ist.

Information und Einwilligung der Betroffenen

Mit der Einwilligung der Betroffenen dürfen personenbezogene Daten selbstverständlich weiterhin verarbeitet werden, jedoch ist der Nachweis der Einwilligung komplizierter. So sollte z.B. eine digitale Einwilligung in einer Datenbank mit Datums- und Zeitangabe protokolliert sein. Um die Einwilligung konkret nachweisen zu können, wird empfohlen, Bestätigungs-E-Mails einschließlich Datums- und Zeitstempels des Klicks auf den Bestätigungslink sowie die IP-Adresse der Betroffenen in einem ausdruckbaren Format zu speichern.

Eine eindeutige Handlung der Betroffenen zur Zustimmung der Verarbeitung ihrer personenbezogenen Daten ist nach EU-DSGVO Vorschrift. Dies soll eine indirekte Zustimmung ausschließen, die beispielsweise durch ein bereits im Vorhinein ausgewähltes Kästchen erfolgen kann. Zudem muss die Einwilligung aus freien Stücken erfolgen. Die betroffene Person darf sich weder genötigt fühlen, einzuwilligen, noch darf ein Nichteinwilligen zu negativen Konsequenzen für die betroffene Person führen.

Verzeichnisse der Verarbeitungstätigkeiten (früher: Verfahrensverzeichnisse)

Die EU-DSGVO nennt 5 Bedingungen, unter denen Unternehmen verpflichtet sind, Verfahrensverzeichnisse zu führen, u.a. dass ab einer Mitarbeiterzahl von 250 Verfahrensverzeichnisse zwingend geführt werden müssen. Das klingt so, als würden KMU weitestgehend "verschont", dem ist aber leider nicht so. Denn erstens lautet eine weitere Bedingung dass bei "Verarbeitung von Daten, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen" auch Verfahrensverzeichnisse geführt werden müssen. Bei genauem Hinsehen wird deutlich dass dies eigentlich für praktisch jede Firma gilt, denn auch dort werden z.B. Lohn- und Gehaltsdaten verarbeitet, die selbstverständlich sensibel sind.

Auch der zweite Aspekt wird gerne vergessen. Das Bundesdatenschutzgesetz (BDSG) wurde überarbeitet und wird am 25.05.2018 in einer neuen Fassung gültig werden. Und hier liegen die Hürden noch deutlich niedriger, so verlangt §38 BDSG die Bestellung eines Datenschutzbeauftragten schon ab 10 Personen, die regelmäßig personenbezogene Daten am PC bearbeiten.

Die Verzeichnisse der Verarbeitungstätigkeiten müssen die Rechtsgrundlage, die Art der personenbezogenen Daten, den Zweck der Verarbeitung der Daten, die Art und Weise der Sammlung der Daten sowie deren Aufbewahrungsdauer festhalten.

Weitergabe personenbezogener Daten

Sobald die Datenverarbeitung von personenbezogenen Daten an Dritte in Auftrag gegeben wird, muss dieser Dritte bestätigen, dass der Auftragsverarbeiter ebenfalls DSGVO-konform arbeitet. Hierfür wird ein weiteres Verzeichnis der Datenverarbeitungsvorgänge und ein schriftlicher Vertrag mit dem Auftragsdatenverarbeiter benötigt. Beispiele für eine Auftragsverarbeitung sind die Verwaltung von Kundendaten auf einer extern gehosteten CRM-Plattform, das Speichern von E-Mail-Adressen einer Mailingliste bei einem Dienstleister (z.B. Mailchimp) oder der die Anrufannahme durch ein externes Call-Center ebenso wie die Lohn- und Gehaltsabrechnung durch den Steuerberater u.v.a.m.

Recht auf Vergessen

Dies ist vielleicht eine der bekanntesten Konsequenzen der neuen Regelungen zum Datenschutz: Jeder Betroffene hat das Recht, der Verarbeitung seiner persönlichen Daten zu widersprechen. Tatsächlich ist der Verarbeiter verpflichtet, diese Daten dann auch vollständig zu löschen, falls sie nicht für ein bestehendes Vertragsverhältnis erforderlich sind oder gesetzliche Aufbewahrungsfristen gelten.

Wenn für diese Daten gesetzliche Aufbewahrungsfristen gelten, darf der Verarbeiter die Daten nicht löschen, muss sie aber so markieren, dass sie tatsächlich nicht weiter verarbeitet werden können. Das bedeutet, dass diese Daten z.B. aus der CRM-Software in ein Archiv exportiert werden müssten.

Auskunftspflicht

Datenverarbeiter sind dazu verpflichtet, einer Person zu jedem Zeitpunkt darüber Auskunft zu geben, ob personenbezogene Daten über diese Person verarbeitet werden (auch eine Negativ-Auskunft muss gegeben werden). Auf Wunsch des Betroffenen muss auch eine Kopie der verarbeiteten Daten in elektronischer Form zur Verfügung gestellt werden, und zwar so, dass diese ggfs. auch auf einfache Weise an anderer Stelle wieder verarbeitet werden können (Portabilität). Schon deshalb scheidet eine rein postalische Auskunft aus.

Anfragen dieser Art müssen spätestens einen Monat nach Eingang beantworte worden sein. Es ist deshalb ratsam, automatisierte Möglichkeiten für den individuellen Datenexport zu schaffen.

Datenschutzerklärung

Die EU-DSGVO verpflichtet Unternehmen weiterhin, Betroffene über die Verarbeitung von personenbezogenen Daten zu informierten. Die Anforderungen an Datenschutzerklärungen sind jedoch gegenüber dem alten Bundesdatenschutzgesetz gestiegen. So müssen die in der Datenschutzerklärung enthaltenen Informationen leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst werden. Die Menge an Informationen, die in einer Datenschutzerklärung verpackt ist, gestaltet die Anforderung einer klaren und einfachen Sprache als große Herausforderung.

Auch der Inhalt der Datenschutzerklärung ist klar vorgegeben. Betroffene müssen über ihr Recht auf Auskunft bezüglich der über sie verarbeiteten Daten, ihr Recht auf Berichtigung derselben, ihr Recht auf Widerspruch gegen die Verarbeitung sowie ihre Rechte auf Löschung aufgeklärt werden.

Unsere Empfehlung: Handeln Sie proaktiv!

1. Suchen Sie im Zweifel den Rat eines Fachmanns. Wir verfügen über die Fachkunde eines Datenschutzbeauftragten nach § 4f BDSG und können Ihnen helfen. Fragen Sie uns!
   
   
2. Überlegen Sie genau, welche Informationen Sie verarbeiten müssen. Verzichten Sie auf die unnötige Erhebung von persönlichen Daten.
   
   
3. Sensibilisieren Sie alle Beteiligten für das Thema Datenschutz.  Auch hier helfen wir gerne mit Material und Schulungen.

Gerne unterstützen wir Sie dabei, fragen Sie uns einfach!