IHR ANSPRECHPARTNER:
BERNHARD MAISCHBERGER
Tel. +49 (0)89 / 610 490
bernhard.maischberger@interface-ag.de

DATENSCHUTZ AUF DEM VORMARSCH

Die neue EU-Datenschutzgrundverordnung, kurz: DSGVO, setzt neue Standards, ist jedoch nicht das einzige Regelwerk, das den Datenschutz in Deutschland reguliert. Die neue europäische Grundverordnung steht zwar in der gesetzlichen Rangordnung über nationalem Recht – u.A. dem Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) –, gibt aber in vielen Szenarien lediglich einen Handlungsrahmen vor, der durch die nationale Gesetzgebung signifikant erweitert wird – in erster Linie durch das BDSG (neu), das zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft tritt und das bisherige Bundesdatenschutzgesetz ablöst. Wer also nur mit den Bestimmungen der DSGVO konform geht, blendet dabei die deutschen Gesetze aus, die für Compliance und Datenschutz genauso entscheidend sind.

ÜBERBLICK

Die InterFace AG begleitet Unternehmen und Behörden bei der Einführung verschiedener Datenschutz-Richtlinien (DSGVO, BDSG neu), um entsprechende Rechtskonformität zu gewährleisten. Unsere Berater analysieren zunächst den Ist-Zustands und entwickeln daraus ein konzeptionelles Vorgehen zum Erreichen einer bestimmten Zielsituation.

Hierbei spielen natürlich die verschiedenen Neuerungen der DSGVO und deren Einhaltung sowie Umsetzung eine tragende Rolle. Allerdings ist es hiermit nicht getan. Die jeweiligen nationalen Datenschutzgesetze (in Deutschland insbesondere das BDSG neu) werden entsprechend angepasst und müssen berücksichtigt werden.

Wenn noch kein Datenschutzbeauftragter ernannt wurde, stellt die InterFace AG auf Wunsch einen externen Datenschutzbeauftragten, der die Rechtskonformität in Ihrem Unternehmen operativ gewährleistet und die prozessuale Umsetzung der Dokumentationspflicht verantwortet.

Unsere Leistungen

Beratung:
Ganzheitliche Beratungsdienstleistungen zum Datenschutz (Ist-Analyse, Soll-Abgleich, Reifegrad-Feststellung). Berücksichtigt werden hierbei alle (inter-)nationalen Gesetze (DSGVO, BDSG neu, u.A.) sowie weitere flankierende Faktoren.

Konzeption:
Entwicklung und Implementierung von Prozessen, anhand derer Datenschutzkonformität entlang der DSGVO und dem BDSG neu erzielt wird.

Externer Datenschutzbeauftragter:
Optionale Stellung des Datenschutzbeauftragten, der die Rechtskonformität operativ gewährleistet.

FRAGEN & ANTWORTEN ZUR DSGVO

Für die Bewertung des eigenen IT-Sicherheitsbedarfs eignet sich die Anwendung der sogenannten „Schutzbedarfsabstufungen”, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutzkatalogen empfiehlt:

1. Normaler Schutzbedarf
Gemeint sind damit personenbezogene Daten, deren Verarbeitung keine Beeinträchtigung des „informationellen Selbstbestimmungsrechts” erwarten lassen, z.B.: Anschrift, Geburtsjahr, öffentliche Register, Telefonverzeichnisse.
2. Hoher Schutzbedarf
Das betrifft Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen beeinträchtigen können. z.B.: Mieterdaten, Telefonverbindungen, Kontostände, Zeugnisse, Herkunft, religiöse Überzeugungen.
3. Sehr hoher Schutzbedarf
Darunter fallen personenbezogene Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen können. z.B.: sensible Kranken-, Sozial-, Steuer- oder Verwaltungsdaten („VS-Vertraulich“) und polizeiliche Informationen.

Das Ausfüllen von Kontaktformularen gilt als klassischer Anwendungsfall beim Sammeln von personenbezogenen Daten. Das Formular selbst darf nur die erforderlichen Informationen anfragen, die für eine zweckmäßige Bearbeitung nötig sind. Es muss klar und transparent formuliert werden, dass das Formular nur für den Kontakt und nicht für andere Zwecke oder Maßnahmen verwendet wird. Das heißt konkret: Die Verarbeitung der Daten zu anderen Zwecken, wie etwa das Zusenden von Marketing E-Mails oder Info-Material ist nicht gestattet.

Die Nutzung von Cloud-Lösungen wird in der europäischen Grundverordnung als Auftragsverarbeitung geregelt. Die Rollenverteilung ist klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser die Anforderungen der DSGVO erfüllt. Beide Seiten sind also klar dazu verpflichtet, die Anforderungen der EU-DSGVO zu erfüllen und ein entsprechendes Datenschutz-Level zu gewährleisten.

Die Aufgabe, Datenschutzverstößen nachzugehen, liegt bei den Landesdatenschutzbehörden. Doch nicht ausschließlich. Deutschland hat als einziges EU-Land ein Klagerecht für Verbände in Sachen Datenschutz erlassen. Das heißt: Verbände, z.B. Verbraucherschutzverbände, können Unternehmen wegen Datenschutzverletzungen verklagen. Die Datenschutzbehörden haben aber deutlich mehr Rechte, um gegen Datenschutzverstöße vorzugehen. Die Behörden können jederzeit prüfen, ob sich Unternehmen an die Bestimmungen halten. Sie haben ein Begehungsrecht, dürfen also jederzeit das Betriebsgelände betreten. Verbraucherschutzverbände dürfen Datenschutzverletzungen lediglich abmahnen – und zwar nur solche, die von außen sichtbar sind. Doch mahnt ein Verband ein Unternehmen und es kommt zum Prozess, dann ist die Datenschutzbehörde von Gesetzes wegen verpflichtet, aktiv zu werden. Man spricht dann von einem Ermittlungszwang.

Der Gesetzgeber bleibt bei dieser Frage eher vage. Laut Gesetz müssen Unternehmen selbst beurteilen, welche Prozesse zur Datenverarbeitung sie auf welche Rechtsgrundlage stellen. Laut europäischer Grundverordnung (DSGVO) muss der Schutz der Daten dem aktuellen Stand der Technik Rechnung tragen – explizierter wird sie nicht. Ob Unternehmen ihre Daten ausreichend schützen, bewerten im Streitfall die Datenschutzbehörden. Wer sich bei technischen Fragen nicht sicher ist, sollte einfach nachfragen: Verbände und das BSI helfen mit technischen Empfehlungen und Orientierungshilfen.

Die DSGVO verpflichtet Unternehmen, unter gewissen Voraussetzungen einen Datenschutzbeauftragten zu bestimmen. Zum Beispiel dann, wenn im Unternehmen personenbezogene Daten automatisiert, also per EDV verarbeitet werden. Personenbezogene Daten sind i.d.R. Daten von Kunden oder von Mitarbeitern. Doch es gibt eine Ausnahme: Sind neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut, kann auch der Geschäftsführer die Rolle des Datenschutzbeauftragten übernehmen. Doch Vorsicht: Es zählen auch Mitarbeiter, die nur ab und an Daten verarbeiten. Ob Teil- oder Vollzeit, frei oder fest angestellt, Auszubildender oder Praktikant  – spielt keine Rolle. Die Anzahl der Köpfe ist entscheidend.

Nach Art. 30 der DSGVO wird jedes Unternehmen dazu verpflichtet, ein „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen. Das klingt nach viel Arbeit, bleibt im Grunde doch recht überschaubar: In einer Tabelle listet man auf, welche Daten wann, wie, warum und wie lange im Unternehmen erhoben werden. Etwa die Daten von Kunden, also Name, Adresse oder Telefonnummer. Achtung: Das bezieht sich auch auf die internen Daten, die verarbeitet werden, etwa Daten über Angestellte, Löhne, Gehälter, etc. Unternehmen sind also dazu verpflichtet, den „Weg der Daten” nachzuzeichnen, von der Erhebung über die Speicherung und Nutzung bis hin zur Löschung. Ein Verarbeitungsverzeichnis war übrigens schon nach dem alten BDSG verpflichtend.

Artikel 42 DSGVO schreibt vor, dass Zertifizierungsverfahren erst von offizieller Stelle genehmigt werden müssen, bevor ein entsprechendes DSGVO-Zertifikat ausgestellt werden kann. Die DSGVO schreibt vor: Eine Zertifizierung wird durch die zuständige Aufsichtsbehörde oder Zertifizierungsstellen nur anhand von genehmigten Kriterien erteilt. Sobald besagte Kriterien vorliegen, kann erst eine Zertifizierung nach DSGVO erfolgen. Das ist bisher noch nicht geschehen. So gilt: DSGVO-konform ist, wer die Anforderungen der DSGVO erfüllt. Wer sich unsicher ist, kann sich von externen Dienstleistern beraten lassen.

Die Umsetzung des Datenschutzes ist als unternehmensweite Aufgabe zu verstehen. Für die Überwachung und Umsetzung sollte das Management eine Arbeitsgruppe ins Leben rufen – bestehend aus IT, HR und Datenschutzbeauftragten sowie weiteren datenschutzrelevanten Abteilungen. Zunächst gilt es, den konkreten Handlungsbedarf zu ermitteln. Als ersten Schritt hat sich in der Praxis bewährt, eine Bestandsaufnahme der relevanten Prozesse durchzuführen, eine sogenannte „Gap-Analyse“. Es wird deshalb erforderlich sein, die einzelnen Abteilungen dahingehend zu analysieren, welche personenbezogene Daten dort zu welchen Zwecken verarbeitet werden.

Diese in Leitartikeln, Blogs und Foren häufig gestellte Frage kann zunächst mit einem klaren Nein beantwortet werden. Dennoch bleibt zu beachten, dass die DSGVO die diesbezüglichen Stellschrauben angezogen hat. Wichtig in diesem Zusammenhang ist, dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist: Wer beispielsweise Newsletter versendet, muss nun die Einwilligung des Empfängers per „double-opt-in” nachweisen können. Das war bisher ein reines Beweisproblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU-DSGVO geregelt.

AKTUELLE THEMEN

  • 9. April 2018
    Vorsicht Verwechslungsgefahr: Warum die DSGVO kein IT-Security-Thema ist
    Die neue EU-Datenschutzgrundverordnung bestätigt viele Grundsätze des bisherigen deutschen Datenschutzrechts, bringt aber auch einige Neuerungen. Durch die Vielzahl verschiedener paralleler Verordnungen ist es manchmal schwer, den Überblick zu behalten. So wird der Datenschutz oft zu einem reinen IT-Sicherheitsthema erklärt, umfasst in Wirklichkeit aber viel mehr.
    Weiterlesen
  • 22. Februar 2018
    Warum die Angst vor der DSGVO übertrieben ist
    Im kommenden Mai tritt die neue EU-Datenschutzgrundverordnung in Kraft. Die Reform sorgt bei vielen Unternehmen für Unsicherheit, da die konkreten Konsequenzen oft nur schwer einzuschätzen sind. Diese ist in den meisten Fällen unbegründet. Erstens befindet sich der deutsche Datenschutz schon länger auf einem hohen Niveau und zweitens wirken sich die Änderungen vor allem auf einen wesentlichen Punkt aus: Die Dokumentationspflicht.
    Weiterlesen

JETZT PERSÖNLICHEN BERATUNGSTERMIN VEREINBAREN

Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt dazustellen.Den Browser jetzt aktualisieren

×