Datenschutzvorkehrungen in Ihrem Unternehmen müssen Sie nach der DS-GVO der EU am 25.05.2018 die – egal ob groß oder nur klein – umgesetzt haben, wenn Sie Daten verarbeiten, und dazu reichen schon Mailinglisten!
Welche Änderungen in der DS-GVO sind für Sie relevant?
Ich habe eine Zusammenfassung für Sie erstellt, sie soll Ihnen einen kurzen Überblick geben, ersetzt aber nicht Ihre weitere Beschäftigung mit DS-GVO! Die offizielle Übersetzung (Sie finden Sie hier zum Nachlesen) umfasst immerhin stolze 88 Seiten und ist somit mehr als viermal länger als der Vorgänger, die Richtlinie 95/46/EG! Ziel der DSGVO ist es, ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten zu schaffen.
Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Wann genau Daten im Einzelfall als personenbezogen gelten, ist aufgrund dieser doch recht schwammigen Definition nicht immer eindeutig. Merken Sie sich, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen.
Folgende Daten sind daher unstreitig personenbezogen im Sinne des § 3 Abs. 1 BDSG:
- Name und Anschrift
- E-Mail-Adresse und Telefonnummer
- Kontodaten
Die Grundsätze der DS-GVO in Kürze
Die allgemeinen Grundsätze sehen für die Verarbeitung von personenbezogenen Daten vor
- dass diese rechtmäßig und transparent verarbeitet werden.
- der Zweck für die Verarbeitung muss eindeutig und legitim sein.
- der Umfang der verarbeiteten Daten muss auf einem dem Zweck entsprechenden Minimum gehalten werden und die Daten müssen richtig sein.
- die Speicherung ist zeitlich auf einen zweckgebundenen Zeitraum begrenzt.
- die Integrität und Vertraulichkeit werden gewahrt.
Das bedeutet für Sie mit anderen Worten:
Rechte der betroffenen Personen – wie Ihr Unternehmen mit Daten umgehen muss
Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen.
Die Person, deren Daten Sie speichern, müssen Sie ggf umfassend darüber aufzuklären, was mit den gewonnenen Daten geschieht:
- Transparenz
- Informationspflicht für Unternehmen
- Berichtigung und Löschung: Das „Recht auf Vergessenwerden
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Im Einzelnen habe ich Ihnen die entsprechenden Artikel aus der DS-GVO der EU herausgezogen und für Sie lesbar „übersetzt“:
Artikel 5, Verarbeitung personenbezogener Daten:
Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.
Artikel 13, Datenschutzerklärung: Mindestinformationen wie
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand),
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
Art. 12 Abs. 1 DS-GVO ergänzt § 13 Abs. 1 TMG dahingehend, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Das kann schriftlich oder auch in anderer Form, also auch elektronisch und mit visuellen Elementen erfolgen. Art. 13 Abs. 1 DSG-VO stellt auf den „Zeitpunkt der Erhebung“ der Daten ab: Sobald ein Nutzer eine Webseite „betritt“, kann ja auch eine Erhebung von Daten erfolgen: Wie das TMG knüpft auch die DS-GVO die Informationspflicht an den Beginn des Nutzungsvorgangs an. Ausreichend ist also, wenn der Nutzer gleichzeitig mit dem Aufruf der Webseite die Gelegenheit hat, auf die Datenschutzerklärung zuzugreifen. In der Praxis erfolgt die Unterrichtung über die Datenverarbeitung üblicherweise in einer Datenschutzerklärung. Beachten Sie, dass diese Datenschutzerklärung ständig auch von jeder Unterseite der Webseite aus (bspw. über einen Hyperlink im Header oder Footer) erreichbar sein muss. Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt. Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen. Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen. Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den vorgenannten Anforderungen zu genügen. Ihr wichtiger Schritt in Richtung DS-GVO-Konformität: Verschlüsselung Die Verantwortung für die Einhaltung der Datenschutz-Grundverordnung liegt bei den Unternehmen. Es müssen „geeignete technische und organisatorische Maßnahmen“ umgesetzt und nachgewiesen werden. Als Beispiel für solche Maßnahmen werden Pseudonymisierung und Verschlüsselung genannt. Mein Rat… beschäftigen Sie sich mit der DSGVO, überprüfen Sie Ihre Webseite(n), jetzt und nicht erst bei Zeitablauf zum 28. Mai 2018. Liebe Grüsse