Datenschutz


IHR ANSPRECHPARTNER:
BERNHARD MAISCHBERGER
Tel. +49 (0)89 / 610 490
bernhard.maischberger@interface-ag.de
DATENSCHUTZ AUF DEM VORMARSCH
Die neue EU-Datenschutzgrundverordnung, kurz: DSGVO, setzt neue Standards, ist jedoch nicht das einzige Regelwerk, das den Datenschutz in Deutschland reguliert. Die neue europäische Grundverordnung steht zwar in der gesetzlichen Rangordnung über nationalem Recht – u.A. dem Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) –, gibt aber in vielen Szenarien lediglich einen Handlungsrahmen vor, der durch die nationale Gesetzgebung signifikant erweitert wird – in erster Linie durch das BDSG (neu), das zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft tritt und das bisherige Bundesdatenschutzgesetz ablöst. Wer also nur mit den Bestimmungen der DSGVO konform geht, blendet dabei die deutschen Gesetze aus, die für Compliance und Datenschutz genauso entscheidend sind.


BERATUNGSLEISTUNGEN DER INTERFACE AG IM KONTEXT DSGVO & BDSG
ÜBERBLICK
Die InterFace AG begleitet Unternehmen und Behörden bei der Einführung verschiedener Datenschutz-Richtlinien (DSGVO, BDSG neu), um entsprechende Rechtskonformität zu gewährleisten. Unsere Berater analysieren zunächst den Ist-Zustands und entwickeln daraus ein konzeptionelles Vorgehen zum Erreichen einer bestimmten Zielsituation.
Hierbei spielen natürlich die verschiedenen Neuerungen der DSGVO und deren Einhaltung sowie Umsetzung eine tragende Rolle. Allerdings ist es hiermit nicht getan. Die jeweiligen nationalen Datenschutzgesetze (in Deutschland insbesondere das BDSG neu) werden entsprechend angepasst und müssen berücksichtigt werden.
Wenn noch kein Datenschutzbeauftragter ernannt wurde, stellt die InterFace AG auf Wunsch einen externen Datenschutzbeauftragten, der die Rechtskonformität in Ihrem Unternehmen operativ gewährleistet und die prozessuale Umsetzung der Dokumentationspflicht verantwortet.


Unsere Leistungen
- Beratung: Ganzheitliche Beratungsdienstleistungen zum Datenschutz (Ist-Analyse, Soll-Abgleich, Reifegrad-Feststellung). Berücksichtigt werden hierbei alle (inter-)nationalen Gesetze (DSGVO, BDSG neu, u.A.) sowie weitere flankierende Faktoren.
- Konzeption: Entwicklung und Implementierung von Prozessen, anhand derer Datenschutzkonformität entlang der DSGVO und dem BDSG neu erzielt wird.
- Externer Datenschutzbeauftragter: Optionale Stellung des Datenschutzbeauftragten, der die Rechtskonformität operativ gewährleistet.
NEUE UND ALTE GRUNDSÄTZE DES DATENSCHUTZES
Die Datenschutzgrundverordnung (DSGVO) erneuert weitestgehend das Bundesdatenschutzgesetz (BDSG) sowie das Telemediengesetz (TMG) und regelt den Umgang mit personenbezogenen Daten strenger als zuvor. Da das Datenschutzniveau in Deutschland aber schon sehr hoch war, ändert sich hierzulande weniger als im Rest der EU. Einige wichtige Ergänzungen vor allem bei der Dokumentationspflicht sollten jedoch beachtet werden.
Im Gegensatz zu EU-Richtlinien gelten EU-Grundverordnungen unmittelbar für alle Mitgliedsländer und müssen nicht erst in nationales Recht übertragen werden. Eine Ausnahme bilden die sogenannten Konkretisierungsklauseln, die es einzelnen EU-Mitgliedsstaaten ermöglichen, individuelle Ergänzungsgesetze zu beschließen. In Deutschland heißt das „Datenschutz-Anpassungs- und -Umsetzungsgesetz“ (DSAnpUG). Darin werden einzelne Paragraphen der DSGVO noch detaillierter geregelt.


BISHERIGE ANFORDERUNGEN AN DEN DATENSCHUTZ
- Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es erfolgt die schriftliche oder mündliche Einwilligung der betroffenen Person.
- Datensparsamkeit: Man darf nur so viele Daten erheben und verarbeiten, wie man tatsächlich benötigt.
- Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, für den Sie erhoben wurden.
- Datenrichtigkeit: Daten müssen inhaltlich richtig und aktuell gehalten sein.
- Verfahrensverzeichnis: Verfahrensverzeichnis, jetzt Verarbeitungsverzeichnis genannt, ist heute schon Pflicht (BDSG). Die neue Verordnung (DSGVO) verlangt von Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Dokumentation spielt in Streitfällen eine wichtige Rolle.


NEUE, ZUSÄTZLICHE ANFORDERUNGEN
- Meldepflicht: Kommt es zu einer Verletzung des Datenschutzes, sind Unternehmen dazu verpflichtet, innerhalb von 72 Stunden eine Aufsichtsbehörde und die betroffenen Personen darüber zu informieren (Artikel 33 Abs. 1 DSGVO).
- Folgenabschätzung: Die Einwilligung, personenbezogene Daten zu sammeln, muss freiwillig und vor der Datenerhebung geschehen, widerrufbar sein und dem Laien eine Möglichkeit der „Folgenabschätzung“ bieten. Ein Kunde darf nicht mehr gezwungen werden, der Verarbeitung seiner Daten zu Marketingzwecken zuzustimmen, wenn er eine Dienstleistung nutzen möchte – zum Beispiel einen Newsletter oder ein Gewinnspiel.
- Recht auf Löschung: Der Anspruch kann gegen jede Stelle geltend gemacht werden, die personenbezogene Daten verarbeitet. Etwa dann, wenn der Zweck für die Datenverarbeitung weggefallen ist (Art. 17 a) oder der Betroffene seine Einwilligung widerrufen hat (Art. 17 b)
- Recht auf Datenübertragbarkeit (Portabilität): Kunden und Nutzer können demnach von Unternehmen verlangen, ihre personenbezogenen Daten in einem gängigen Format weiterzugeben. Die Datenportabilität ist zum Beispiel wichtig für den Wechsel zu anderen (sozialen) Netzwerken, Streaming-Anbietern, Banken oder Arbeitgebern.
- Die Rechenschaftspflicht: Auf Aufforderung der Datenschutzbehörden müssen Unternehmen die Einhaltung aller Datenschutzprinzipien nachweisen können. Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten mit einer geeigneten Software generieren.
FRAGEN & ANTWORTEN ZUR DSGVO
1. WELCHE DATEN SIND WIE ZU SCHÜTZEN?
Für die Bewertung des eigenen IT-Sicherheitsbedarfs eignet sich die Anwendung der sogenannten „Schutzbedarfsabstufungen”, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutzkatalogen empfiehlt:
1. Normaler Schutzbedarf
Gemeint sind damit personenbezogene Daten, deren Verarbeitung keine Beeinträchtigung des „informationellen Selbstbestimmungsrechts” erwarten lassen, z.B.: Anschrift, Geburtsjahr, öffentliche Register, Telefonverzeichnisse.
2. Hoher Schutzbedarf
Das betrifft Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen beeinträchtigen können. z.B.: Mieterdaten, Telefonverbindungen, Kontostände, Zeugnisse, Herkunft, religiöse Überzeugungen.
3. Sehr hoher Schutzbedarf
Darunter fallen personenbezogene Daten, die den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen können. z.B.: sensible Kranken-, Sozial-, Steuer- oder Verwaltungsdaten („VS-Vertraulich“) und polizeiliche Informationen.


2. WIE WIRKT SICH DIE DSGVO AUF NORMALE KONTAKTFORMULARE AUS?
Das Ausfüllen von Kontaktformularen gilt als klassischer Anwendungsfall beim Sammeln von personenbezogenen Daten. Das Formular selbst darf nur die erforderlichen Informationen anfragen, die für eine zweckmäßige Bearbeitung nötig sind. Es muss klar und transparent formuliert werden, dass das Formular nur für den Kontakt und nicht für andere Zwecke oder Maßnahmen verwendet wird. Das heißt konkret: Die Verarbeitung der Daten zu anderen Zwecken, wie etwa das Zusenden von Marketing E-Mails oder Info-Material ist nicht gestattet.


3. DSGVO UND DIE CLOUD: WER TRÄGT WELCHE VERANTWORTUNG?
Die Nutzung von Cloud-Lösungen wird in der europäischen Grundverordnung als Auftragsverarbeitung geregelt. Die Rollenverteilung ist klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser die Anforderungen der DSGVO erfüllt. Beide Seiten sind also klar dazu verpflichtet, die Anforderungen der EU-DSGVO zu erfüllen und ein entsprechendes Datenschutz-Level zu gewährleisten.


4. WIE WAHRSCHEINLICH SIND HOHE STRAFEN WIRKLICH?
Die Aufgabe, Datenschutzverstößen nachzugehen, liegt bei den Landesdatenschutzbehörden. Doch nicht ausschließlich. Deutschland hat als einziges EU-Land ein Klagerecht für Verbände in Sachen Datenschutz erlassen. Das heißt: Verbände, z.B. Verbraucherschutzverbände, können Unternehmen wegen Datenschutzverletzungen verklagen. Die Datenschutzbehörden haben aber deutlich mehr Rechte, um gegen Datenschutzverstöße vorzugehen. Die Behörden können jederzeit prüfen, ob sich Unternehmen an die Bestimmungen halten. Sie haben ein Begehungsrecht, dürfen also jederzeit das Betriebsgelände betreten. Verbraucherschutzverbände dürfen Datenschutzverletzungen lediglich abmahnen – und zwar nur solche, die von außen sichtbar sind. Doch mahnt ein Verband ein Unternehmen und es kommt zum Prozess, dann ist die Datenschutzbehörde von Gesetzes wegen verpflichtet, aktiv zu werden. Man spricht dann von einem Ermittlungszwang.


5. WELCHE GESETZLICHEN VORGABEN MÜSSEN BEIM SCHUTZ DER DATEN ERFÜLLT WERDEN?
Der Gesetzgeber bleibt bei dieser Frage eher vage. Laut Gesetz müssen Unternehmen selbst beurteilen, welche Prozesse zur Datenverarbeitung sie auf welche Rechtsgrundlage stellen. Laut europäischer Grundverordnung (DSGVO) muss der Schutz der Daten dem aktuellen Stand der Technik Rechnung tragen – explizierter wird sie nicht. Ob Unternehmen ihre Daten ausreichend schützen, bewerten im Streitfall die Datenschutzbehörden. Wer sich bei technischen Fragen nicht sicher ist, sollte einfach nachfragen: Verbände und das BSI helfen mit technischen Empfehlungen und Orientierungshilfen.


6. MUSS JETZT JEDER BETRIEB EINEN DATENSCHUTZBEAUFTRAGTEN HABEN?
Die DSGVO verpflichtet Unternehmen, unter gewissen Voraussetzungen einen Datenschutzbeauftragten zu bestimmen. Zum Beispiel dann, wenn im Unternehmen personenbezogene Daten automatisiert, also per EDV verarbeitet werden. Personenbezogene Daten sind i.d.R. Daten von Kunden oder von Mitarbeitern. Doch es gibt eine Ausnahme: Sind neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut, kann auch der Geschäftsführer die Rolle des Datenschutzbeauftragten übernehmen. Doch Vorsicht: Es zählen auch Mitarbeiter, die nur ab und an Daten verarbeiten. Ob Teil- oder Vollzeit, frei oder fest angestellt, Auszubildender oder Praktikant – spielt keine Rolle. Die Anzahl der Köpfe ist entscheidend.


7. WAS GENAU IST DAS VERARBEITUNGSVERZEICHNIS?
Nach Art. 30 der DSGVO wird jedes Unternehmen dazu verpflichtet, ein „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen. Das klingt nach viel Arbeit, bleibt im Grunde doch recht überschaubar: In einer Tabelle listet man auf, welche Daten wann, wie, warum und wie lange im Unternehmen erhoben werden. Etwa die Daten von Kunden, also Name, Adresse oder Telefonnummer. Achtung: Das bezieht sich auch auf die internen Daten, die verarbeitet werden, etwa Daten über Angestellte, Löhne, Gehälter, etc. Unternehmen sind also dazu verpflichtet, den „Weg der Daten” nachzuzeichnen, von der Erhebung über die Speicherung und Nutzung bis hin zur Löschung. Ein Verarbeitungsverzeichnis war übrigens schon nach dem alten BDSG verpflichtend.


8. WIE WIRD MEIN UNTERNEHMEN DSGVO-KONFORM? DURCH ZERTIFIKATE?
Artikel 42 DSGVO schreibt vor, dass Zertifizierungsverfahren erst von offizieller Stelle genehmigt werden müssen, bevor ein entsprechendes DSGVO-Zertifikat ausgestellt werden kann. Die DSGVO schreibt vor: Eine Zertifizierung wird durch die zuständige Aufsichtsbehörde oder Zertifizierungsstellen nur anhand von genehmigten Kriterien erteilt. Sobald besagte Kriterien vorliegen, kann erst eine Zertifizierung nach DSGVO erfolgen. Das ist bisher noch nicht geschehen. So gilt: DSGVO-konform ist, wer die Anforderungen der DSGVO erfüllt. Wer sich unsicher ist, kann sich von externen Dienstleistern beraten lassen.


9. WER IM UNTERNEHMEN IST FÜR DIE UMSETZUNG ZUSTÄNDIG?
Die Umsetzung des Datenschutzes ist als unternehmensweite Aufgabe zu verstehen. Für die Überwachung und Umsetzung sollte das Management eine Arbeitsgruppe ins Leben rufen – bestehend aus IT, HR und Datenschutzbeauftragten sowie weiteren datenschutzrelevanten Abteilungen. Zunächst gilt es, den konkreten Handlungsbedarf zu ermitteln. Als ersten Schritt hat sich in der Praxis bewährt, eine Bestandsaufnahme der relevanten Prozesse durchzuführen, eine sogenannte „Gap-Analyse“. Es wird deshalb erforderlich sein, die einzelnen Abteilungen dahingehend zu analysieren, welche personenbezogene Daten dort zu welchen Zwecken verarbeitet werden.


10. MÜSSEN ALTE EINWILLIGUNGEN (NEWSLETTER USW.) NEU EINGEHOLT WERDEN?
Diese in Leitartikeln, Blogs und Foren häufig gestellte Frage kann zunächst mit einem klaren Nein beantwortet werden. Dennoch bleibt zu beachten, dass die DSGVO die diesbezüglichen Stellschrauben angezogen hat. Wichtig in diesem Zusammenhang ist, dass der Nachweis der Einwilligung nun im Gesetz festgeschrieben ist: Wer beispielsweise Newsletter versendet, muss nun die Einwilligung des Empfängers per „double-opt-in” nachweisen können. Das war bisher ein reines Beweisproblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Artikel 7 der EU-DSGVO geregelt.


AKTUELLE THEMEN
-
8. Dezember 2016Vernetzung und Digitalisierung schaffen Chancen für Management, Produktion und Mitarbeiter. Doch auch für Hacker und Cyber-Kriminelle tun sich neue Schnittstellen auf, in die IT-Infrastruktur von Unternehmen einzudringen. Das verlangt nach ganzheitlichen Sicherheitskonzepten und einem Umdenken in einem wichtigen Punkt: IT-Security und Compliance müssen künftig im gesamten Unternehmen verankert werden. Die Zeiten, in denen die Verantwortung bei der IT-Abteilung lag, sind definitiv vorbei.
-
9. April 2018Die neue EU-Datenschutzgrundverordnung bestätigt viele Grundsätze des bisherigen deutschen Datenschutzrechts, bringt aber auch einige Neuerungen. Durch die Vielzahl verschiedener paralleler Verordnungen ist es manchmal schwer, den Überblick zu behalten. So wird der Datenschutz oft zu einem reinen IT-Sicherheitsthema erklärt, umfasst in Wirklichkeit aber viel mehr.
-
20. September 2018Eine ordentliche Berufsausbildung zum Datenschutzbeauftragten existiert nicht, auch keine qualifizierten Studiengänge. Es gibt lediglich Weiterbildungskurse auf verschiedenen Niveaus. Kann daher jeder im Unternehmen Datenschutzbeauftragter werden? Prinzipiell ja. Aber: Es existieren sehr wohl fachkundliche Anforderungen an das Berufsbild, die man einhalten sollte.
-
29. Oktober 2018Die Digitalisierung am Arbeitsplatz wird häufig per Dekret verordnet. Doch nur wenn Mitarbeiter merken, dass ein Modern Workplace wirklich zu spürbaren Erleichterungen beim Erledigen täglicher Aufgaben, einer besseren Zusammenarbeit, sowohl intern als auch extern – und unterm Strich messbaren Produktivitätssteigerungen führt – dann haben die neu implementierten Prozesse eine Chance, auch langfristig im Unternehmen Fuß zu fassen. Ausschlaggebend dabei ist die frühzeitige Einbeziehung der Fachabteilungen, um Anforderungen genauer einschätzen und individuelle Lösungen entwickeln zu können.