DSGVO oder Was wollen uns die Bürokraten in Brüssel aufs Auge drücken!

Am 25. Mai 2018 bekam die EU ein einheitliches Datenschutzgesetz. Um dieses edle Ziel zu erreichen, soll der Datenschutz auf ein neues Niveau gehoben werden. Per se klingt das nicht schlecht.

Nachteil: Die zu diesem Zweck erhöhten Anforderungen an die Dokumentation durch anlegen und weiterführen von Verfahrensverzeichnissen und weitreichenden Rechenschafts- und Nachweispflichten. Es entsteht ein erhöhter Mehr- und Verwaltungsaufwand.

Erhöhter Aufwand = Erhöhte Kosten.

Für ein mittelständisches Unternehmen, mit eigenem internen Datenschutzbeauftragten, ist das vielleicht noch OK. Aber für mich als Solo-Entrepreneur oder Selbständiger? Die DSGVO ist ein EU-Gesetz mit dem Ziel die Schaffung eines einheitlichen Rechtsrahmens.

Das Folgende ist keine Rechtsberatung. Ich betone das an dieser Stellen ausdrücklich. Es beschreibt lediglich meine Erfahrungen und Umsetzungen zu diesem Thema. Solltest du unsicher sein, dann kontaktiere bitte deinen IT-Rechtler.

Da gibt es doch ein nationales Datenschutzgesetz?

Die DSGVO beinhaltet auch sogenannte Öffnungsklauseln, welche noch nationale Regelungen erlauben. Also wird es auch weiterhin ein deutsches Bundesdatenschutzgesetz geben (BDSG-NEU). In diesem BDSG-NEU die Regelungen aus der EU-DSGVO noch mehr verfeinert sein könnten. Stichwort: Datenschutz von Beschäftigten usw. Da wundert es nicht, wenn Google, Apple & Co lieber in Irland eine Niederlassung eröffnen, als beispielsweise in Deutschland. *kopfschütteln*

Macht jetzt die EU-DSGVO Datenschutz in Europa einfacher, weil ein Rahmen gesteckt ist?

Ganz klares Nein. Es entsteht ein Mehraufwand an Verwaltung. Will man die Gesetze, die Praxisauslegungen der einzelnen Staaten, die wirtschaftlichen Interessen von Konzernen / Unternehmen verstehen, da wird man ja blöde im Kopf. Also lass ich das lieber. Ich versuche das Thema mit gesundem Menschenverstand zu erarbeiten.

Für mich ist folgende Auffassung der DSGVO verständlicher.

Jeder EU-Bürger soll in seinen Rechten im Bezug auf Umgang & Verwertung seiner personenbezogenen Daten gestärkt werden. Jedes Unternehmen (auch Facebook, Google & Co.), welche personenbezogene Daten von EU-Bürgern einsammelt, speichern und verarbeiten sind der EU-DSGVO verpflichtet. *leichtes schmunzeln* Mal sehen, wie das die EU-Datenschützer überwachen wollen. In die Bußgeld-Kiste, was die Höhe der Strafen angeht, wurde schon mal kräftig rein gelangt. Jetzt kommt es, ein Vorteil: Es darf auch nicht mehr das Datenschutz Niveau national weiter erhöht werden, Stichwort: in Deutschland gilt ein Vertrag nur mit Unterschrift. Zukünftig wird ein Kopfnicken oder Abklicken als verbindlich gelten.

Meine feste Überzeugung: Datenschutz ist persönliche Freiheit.

OK, was bedeutet das nun konkret? Die DSGVO ist jetzt nicht nur auf Datenschutz ausgelegt, sondern berücksichtigt auch wirtschaftliche Interessen.

Art. 1 DSGVO (3) Gegenstand und Ziele – heißt es:

Zitat: “Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.” Quelle: https://dsgvo-gesetz.de/art-1-dsgvo/

Dieser Satz ist für mich, wie ein Nackttanz im Radio.

Welche Überlegungen muss dein DatenSchutz-Team (DS-Team) oder du selbst anstellen?

Checkliste der Überlegungen im Bezug auf Datenschutz:

• Rechtmäßigkeit – Du darfst nur Daten verarbeiten, welche dem Gesetz entsprechen. Was eigentlich logisch ist.
• Datenminimierung (Art. 5 Abs. 1 C – DSGVO, Quelle https://dsgvo-gesetz.de/art-5-dsgvo/) – Eine Datenerhebung auf Vorrat ist Verboten.
• Zweckbindung – Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind.
• Vertraulichkeit – Die Kundendaten müssen durch technische und organisatorische Maßnahmen vor Verlust, Veränderung oder Zerstörung unbefugter Dritter geschützt werden. IT-SiG läßt schön Grüßen…

Unternehmen sollen nur noch Daten von Personen erheben, welche für die Verarbeitung dienlich sind. Beispiel: Wenn ich als Onlinehändler eine Bestellung von Druckerpatronen aufnehme, ist es im Bestellprozeß unerheblich ob der Kunde verheiratet, geschieden oder mehr als 3 Kinder hat. Durch die Programmiererbrille geschaut: – SUPER, durch die Marketingbrille geschaut – kullern schon die ersten Tränen. Im Groben sind das die zentralen Fragen, welche sich das DS-Team oder auch Du als Einzelunternehmer stellen solltest, um Geschäftsprozesse zu indentifizieren und auch zu beschreiben.

Konkrete Beispiele folgen etwas später.

Hinweis: Eine nicht zu unterschätzender Sachverhalt mit viel Potenzial für Kosten und auch Ärger ist: “Privacy by Design und Privacy by Default werden Gesetz.”
Wie diese beiden Begriffe praktisch Anwendung finden, erkläre ich am Beispiel, Verwendung von Google Analytics.

Was bedeutet Privacy by Design?

Es müssen per Gesetz Datenschutzmaßnahmen schon in der Planung oder konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden. Also der Satz “Die Datenbank-Replikationen stellen wir später auf eine SSL-Verschlüsselung um!” gilt nicht mehr. Liebe Projektmanager/-peitscher, wenn der Programmierer sagt, es muss JETZT sein und nicht später, dann vertraut den Leuten.

Was bedeutet Privacy by Default?

In der Praxis bedeutet es, dass deine Webseite schon im Standard-Zustand die höchste Datenschutz Stufe haben muss. Also Ohne eine SSL-Verbindung zwischen deinen Servern und Browser deiner Kunden, läuft gar nichts mehr. Auch eine geschickte Vorauswahl von Checkboxen zum abonnieren von Newslettern, NEIN – VERBOTEN. Du kannst auch keine E-Mailadresse (Anmeldung zum Newsletter) von deinem Nutzer verlangen, wenn du ihm ein eBook zur Verfügung stellen willst. NEIN – VERBOTEN, Kopplungsverbot.

Checkliste zur praktische Umsetzung der DSGVO:

• Mehr als 10 Personen im Unternehmen? Datenschutzbeauftragten oder einen Mitarbeiter als Ansprechpartner für das Thema Datenschutz ausgewählt?
• Verarbeitungsverzeichnisse für dein Unternehmen geplant? Welche elektronischen Dienst von Drittanbietern benutzt du?
• Zwecke der Verarbeitung von personenbezogenen Daten festgelegt?
• Risikoanalyse zur Datensicherheit durchgeführt?
• Informationspflicht bei Erhebung von personenbezogenen Daten angelegt?
• Prozesse entwickelt, die die Auskunft- und Beschwerderechte betroffener Personen sicherstellen?
• Sind Löschkonzepte entwickelt/programmiert, um das Recht auf Löschung (“Recht auf Vergessenwerden”) sofort umgesetzt werden können.
• Auftragsverarbeiter – vertragliche Regelungen und auch Sicherheit der Verarbeitung?
• Alles schön dokumentiert?

Was heiß eigentlich immer dokumentieren?

Musst du eine extra Software kaufen oder eine SaaS-Lösung im Internet suchen. Nein eigentlich nicht. Für diese Art der Dokumentationen reicht es aus, wenn du oder dein DS-Team eine Excel-Liste oder ein firmenintenes Wiki führen. So schön im Datenschützerneudeutsch ein DSMS oder auch DatenschutzManagementsystem genannt. In der DSGVO werden die Inhalte beschrieben, welche unbedingt vorhanden sein müssen. Aber es wird nicht beschrieben, wie die Anforderungen dokumentiert bzw. geführt werden sollen. Check, das ist Schön.

Natürlich gibt es auch ISO-Normen für Unternehmen. Über diese Normen werden bestimmte Verfahrensprozesse beschrieben. Aber diese Normen lassen wir an dieser Stelle bei Seite. “Ach komm, hau Einen raus!”, höre ich dich denken?: OK ISO-29151, VdS 10010, ISO 27001, BSI-Standard. Ja so isses. Und es geht auch noch weiter.

Warum nach ISO-Normen?

Eigentlich ist es so, dass im Schadensfall z.B. ein Gericht einen unabhängigen Gutachter bestellt, welcher die Dokumentationen und Verfahrensverzeichnisse anschaut und bewertet. Und wenn der Gutachter eine Beschreibung nach einer ISO-Norm entdeckt, ist der Gutachter glücklich und kann dem Gericht glaubhaft machen, dass es nicht die Schuld des Unternehmens war. Natürlich sind diese ISO-Zertifizierungen nicht gerade ein Schnäppchen für einen Freiberufler oder Ein-Mann/Frau Kämpfer/-in. Wichtig bei der DSGVO Umsetzung ist, dass die Inhalte nach Vorgaben entsprechend den §§ der DSGVO vorhanden sind.

Verzeichnis von Verarbeitungstätigkeiten:

• Verantwortliche – Name E-Mail Telefon
• Verfahren – Verfahrensname (wird vom Team formuliert) Beschreibung inkl. Zweck (Webseite, Kontaktformular)
• Betroffene – Personen/Personengruppe(n) – Welche Daten
• Übertragung und Speicherung – Empfänger der Daten (Gruppen, in der Regel keine Einzelnamen) – Empfänger im Drittland (Google Analytics) – Absicherung der Übermittlung ins Drittland – Speicherdauer / Löschfrist
• Absicherung der Daten im Verfahren – IT-Sicherheit – Umgebungssicherheit
• Risikobewertung im Schadensfall

Beispielvorlage: PDF: https://regina-stoiber.com/wp-content/uploads/2018/03/verfahrensverzeichnis-datenschutz-dsgvo-regina-stoiber.pdf Quelle: https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-muster/ 
Dafür ein nettes Dankeschön.

Natürlich sind das nur die aller nötigsten Spalten einer Verarbeitungstätigkeit, aber schon mal ein guter Anfang. Jetzt kannst du oder dein DS-Team sich auf die Suche/Identifizierung der eigentlichen Prozesse machen und aufschreiben. Je einfacher das Unternehmen aufgestellt ist, um so einfacher wird es. Ein Beispiel einer Verarbeitungstätigkeit? An dieser Stelle verweise ich auf die Seiten von Rechtsanwalt und Fachanwalt für IT-Recht in Flensburg Herr Hansen-Ost. Quelle: https://www.datenschutz-guru.de/verzeichnis-von-verarbeitungstaetigkeiten/  Auf diesen und folgenden Seiten findest du sehr gute Beispiele zu Beschreibungen von Verarbeitungstätigkeiten: Internet, E-Mail, Fuhrparkmanagement, Marketing oder auch IT. Natürlich dürfen diese Beispiele NICHT 1zu1 übernommen werden, aber man bekommt ein Gefühl, wie solche Prozesse beschrieben werden könnten. Für die Bereitstellung der Informationen ein nettes Dankeschön.

Also frisch ans Werk und die Unternehmensprozesse auseinander nehmen.