loader image
Menu

Datenschutz

ERFÜLLT IHR UNTERNEHMEN ALLE VERORDNUNGEN?

IHR ANSPRECHPARTNER:
BERNHARD MAISCHBERGER
Tel. +49 (0)89 / 610 490
bernhard.maischberger@interface-ag.de

DATENSCHUTZ AUF DEM VORMARSCH

Die neue EU-Datenschutzgrundverordnung, kurz: DSGVO, setzt neue Standards, ist jedoch nicht das einzige Regelwerk, das den Datenschutz in Deutschland reguliert. Die neue europäische Grundverordnung steht zwar in der gesetzlichen Rangordnung über nationalem Recht – u.A. dem Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) –, gibt aber in vielen Szenarien lediglich einen Handlungsrahmen vor, der durch die nationale Gesetzgebung signifikant erweitert wird – in erster Linie durch das BDSG (neu), das zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft tritt und das bisherige Bundesdatenschutzgesetz ablöst. Wer also nur mit den Bestimmungen der DSGVO konform geht, blendet dabei die deutschen Gesetze aus, die für Compliance und Datenschutz genauso entscheidend sind.

dsgvo-flagge-icon

BERATUNGSLEISTUNGEN DER INTERFACE AG IM KONTEXT DSGVO & BDSG

ÜBERBLICK

Die InterFace AG begleitet Unternehmen und Behörden bei der Einführung verschiedener Datenschutz-Richtlinien (DSGVO, BDSG neu), um entsprechende Rechtskonformität zu gewährleisten. Unsere Berater analysieren zunächst den Ist-Zustands und entwickeln daraus ein konzeptionelles Vorgehen zum Erreichen einer bestimmten Zielsituation.

Hierbei spielen natürlich die verschiedenen Neuerungen der DSGVO und deren Einhaltung sowie Umsetzung eine tragende Rolle. Allerdings ist es hiermit nicht getan. Die jeweiligen nationalen Datenschutzgesetze (in Deutschland insbesondere das BDSG neu) werden entsprechend angepasst und müssen berücksichtigt werden.

Wenn noch kein Datenschutzbeauftragter ernannt wurde, stellt die InterFace AG auf Wunsch einen externen Datenschutzbeauftragten, der die Rechtskonformität in Ihrem Unternehmen operativ gewährleistet und die prozessuale Umsetzung der Dokumentationspflicht verantwortet.

dsgvo_untergrafik-1

Unsere Leistungen

NEUE UND ALTE GRUNDSÄTZE DES DATENSCHUTZES

Die Datenschutzgrundverordnung (DSGVO) erneuert weitestgehend das Bundesdatenschutzgesetz (BDSG) sowie das Telemediengesetz (TMG) und regelt den Umgang mit personenbezogenen Daten strenger als zuvor. Da das Datenschutzniveau in Deutschland aber schon sehr hoch war, ändert sich hierzulande weniger als im Rest der EU. Einige wichtige Ergänzungen vor allem bei der Dokumentationspflicht sollten jedoch beachtet werden.

Im Gegensatz zu EU-Richtlinien gelten EU-Grundverordnungen unmittelbar für alle Mitgliedsländer und müssen nicht erst in nationales Recht übertragen werden. Eine Ausnahme bilden die sogenannten Konkretisierungsklauseln, die es einzelnen EU-Mitgliedsstaaten ermöglichen, individuelle Ergänzungsgesetze zu beschließen. In Deutschland heißt das „Datenschutz-Anpassungs- und -Umsetzungsgesetz“ (DSAnpUG). Darin werden einzelne Paragraphen der DSGVO noch detaillierter geregelt.

BISHERIGE ANFORDERUNGEN AN DEN DATENSCHUTZ

NEUE, ZUSÄTZLICHE ANFORDERUNGEN

FRAGEN & ANTWORTEN ZUR DSGVO

Für die Bewertung des eigenen IT-Sicherheitsbedarfs eignet sich die Anwendung der sogenannten „Schutzbedarfsabstufungen”, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutzkatalogen empfiehlt:

1. Normaler Schutzbedarf
Gemeint sind damit personenbezogene Daten, deren Verarbeitung keine Beeinträchtigung des „informationellen Selbstbestimmungsrechts” erwarten lassen, z.B.: Anschrift, Geburtsjahr, öffentliche Register, Telefonverzeichnisse.
2. Hoher Schutzbedarf
Das betrifft Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen beeinträchtigen können. z.B.: Mieterdaten, Telefonverbindungen, Kontostände, Zeugnisse, Herkunft, religiöse Überzeugungen.
3. Sehr hoher Schutzbedarf
Darunter fallen personenbezogene Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen können. z.B.: sensible Kranken-, Sozial-, Steuer- oder Verwaltungsdaten („VS-Vertraulich“) und polizeiliche Informationen.

dsgvo_11

Das Ausfüllen von Kontaktformularen gilt als klassischer Anwendungsfall beim Sammeln von personenbezogenen Daten. Das Formular selbst darf nur die erforderlichen Informationen anfragen, die für eine zweckmäßige Bearbeitung nötig sind. Es muss klar und transparent formuliert werden, dass das Formular nur für den Kontakt und nicht für andere Zwecke oder Maßnahmen verwendet wird. Das heißt konkret: Die Verarbeitung der Daten zu anderen Zwecken, wie etwa das Zusenden von Marketing E-Mails oder Info-Material ist nicht gestattet.

dsgvo_1

Die Nutzung von Cloud-Lösungen wird in der europäischen Grundverordnung als Auftragsverarbeitung geregelt. Die Rollenverteilung ist klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser die Anforderungen der DSGVO erfüllt. Beide Seiten sind also klar dazu verpflichtet, die Anforderungen der EU-DSGVO zu erfüllen und ein entsprechendes Datenschutz-Level zu gewährleisten.

dsgvo_2

Die Aufgabe, Datenschutzverstößen nachzugehen, liegt bei den Landesdatenschutzbehörden. Doch nicht ausschließlich. Deutschland hat als einziges EU-Land ein Klagerecht für Verbände in Sachen Datenschutz erlassen. Das heißt: Verbände, z.B. Verbraucherschutzverbände, können Unternehmen wegen Datenschutzverletzungen verklagen. Die Datenschutzbehörden haben aber deutlich mehr Rechte, um gegen Datenschutzverstöße vorzugehen. Die Behörden können jederzeit prüfen, ob sich Unternehmen an die Bestimmungen halten. Sie haben ein Begehungsrecht, dürfen also jederzeit das Betriebsgelände betreten. Verbraucherschutzverbände dürfen Datenschutzverletzungen lediglich abmahnen – und zwar nur solche, die von außen sichtbar sind. Doch mahnt ein Verband ein Unternehmen und es kommt zum Prozess, dann ist die Datenschutzbehörde von Gesetzes wegen verpflichtet, aktiv zu werden. Man spricht dann von einem Ermittlungszwang.

dsgvo_4

Der Gesetzgeber bleibt bei dieser Frage eher vage. Laut Gesetz müssen Unternehmen selbst beurteilen, welche Prozesse zur Datenverarbeitung sie auf welche Rechtsgrundlage stellen. Laut europäischer Grundverordnung (DSGVO) muss der Schutz der Daten dem aktuellen Stand der Technik Rechnung tragen – explizierter wird sie nicht. Ob Unternehmen ihre Daten ausreichend schützen, bewerten im Streitfall die Datenschutzbehörden. Wer sich bei technischen Fragen nicht sicher ist, sollte einfach nachfragen: Verbände und das BSI helfen mit technischen Empfehlungen und Orientierungshilfen.

dsgvo_9

Die DSGVO verpflichtet Unternehmen, unter gewissen Voraussetzungen einen Datenschutzbeauftragten zu bestimmen. Zum Beispiel dann, wenn im Unternehmen personenbezogene Daten automatisiert, also per EDV verarbeitet werden. Personenbezogene Daten sind i.d.R. Daten von Kunden oder von Mitarbeitern. Doch es gibt eine Ausnahme: Sind neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut, kann auch der Geschäftsführer die Rolle des Datenschutzbeauftragten übernehmen. Doch Vorsicht: Es zählen auch Mitarbeiter, die nur ab und an Daten verarbeiten. Ob Teil- oder Vollzeit, frei oder fest angestellt, Auszubildender oder Praktikant  – spielt keine Rolle. Die Anzahl der Köpfe ist entscheidend.

dsgvo_12

Nach Art. 30 der DSGVO wird jedes Unternehmen dazu verpflichtet, ein „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen. Das klingt nach viel Arbeit, bleibt im Grunde doch recht überschaubar: In einer Tabelle listet man auf, welche Daten wann, wie, warum und wie lange im Unternehmen erhoben werden. Etwa die Daten von Kunden, also Name, Adresse oder Telefonnummer. Achtung: Das bezieht sich auch auf die internen Daten, die verarbeitet werden, etwa Daten über Angestellte, Löhne, Gehälter, etc. Unternehmen sind also dazu verpflichtet, den „Weg der Daten” nachzuzeichnen, von der Erhebung über die Speicherung und Nutzung bis hin zur Löschung. Ein Verarbeitungsverzeichnis war übrigens schon nach dem alten BDSG verpflichtend.

dsgvo_6

Artikel 42 DSGVO schreibt vor, dass Zertifizierungsverfahren erst von offizieller Stelle genehmigt werden müssen, bevor ein entsprechendes DSGVO-Zertifikat ausgestellt werden kann. Die DSGVO schreibt vor: Eine Zertifizierung wird durch die zuständige Aufsichtsbehörde oder Zertifizierungsstellen nur anhand von genehmigten Kriterien erteilt. Sobald besagte Kriterien vorliegen, kann erst eine Zertifizierung nach DSGVO erfolgen. Das ist bisher noch nicht geschehen. So gilt: DSGVO-konform ist, wer die Anforderungen der DSGVO erfüllt. Wer sich unsicher ist, kann sich von externen Dienstleistern beraten lassen.

dsgvo_13

Die Umsetzung des Datenschutzes ist als unternehmensweite Aufgabe zu verstehen. Für die Überwachung und Umsetzung sollte das Management eine Arbeitsgruppe ins Leben rufen – bestehend aus IT, HR und Datenschutzbeauftragten sowie weiteren datenschutzrelevanten Abteilungen. Zunächst gilt es, den konkreten Handlungsbedarf zu ermitteln. Als ersten Schritt hat sich in der Praxis bewährt, eine Bestandsaufnahme der relevanten Prozesse durchzuführen, eine sogenannte „Gap-Analyse“. Es wird deshalb erforderlich sein, die einzelnen Abteilungen dahingehend zu analysieren, welche personenbezogene Daten dort zu welchen Zwecken verarbeitet werden.

dsgvo_5

Diese in Leitartikeln, Blogs und Foren häufig gestellte Frage kann zunächst mit einem klaren Nein beantwortet werden. Dennoch bleibt zu beachten, dass die DSGVO die diesbezüglichen Stellschrauben angezogen hat. Wichtig in diesem Zusammenhang ist, dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist: Wer beispielsweise Newsletter versendet, muss nun die Einwilligung des Empfängers per „double-opt-in” nachweisen können. Das war bisher ein reines Beweisproblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU-DSGVO geregelt.

einwilligung_dsgvo

AKTUELLE THEMEN

Suche
Drücken Sie Enter zum starten der Suche