Beiträge

Wie DSGVO umsetzen

Wie DSGVO umsetzen?

Die DSGVO – ein bürokratisches Monster?

An vielen Stellen herrscht momentan eine Art von Konfusion, wenn es um das Thema „DSGVO umzusetzen“ sowie um die Bedeutung der DSGVO geht. Während Portale wie heise.de kenntnisreich berichten, scheint anderenorts Verwirrung zu herrschen. Niemand scheint so recht zu wissen, was damit gemeint ist und was hiervon konkret auf die eigene Firma zutrifft. Die DSGVO wird teils als ein bürokratisches Monster dargestellt, welches mit Kanonen auf Spatzen schießt und nicht zwischen einem Großkonzern und einem Kleinbetrieb unterscheidet.

Bei der Umsetzung der DSGVO herrscht Verwirrung

Als Beispiel für die derzeit herrschende Verwirrung möchte ich auf einen Artikel von ZEIT Online eingehen, welcher am 12. Mai erschienen ist.
„Laut der Verordnung muss XXX jetzt einen Datenschutzbeauftragten für seine Sieben-Mann-Firma XXX benennen“, so ein Zitat und gleichzeitig eine Behauptung aus dem Artikel.
Doch: Stimmt dies? Bei XXX handelt es sich um einen kleinen Online-Shop, welcher hochwertige Drucke von Kundenbildern vertreibt. Schauen wir uns doch einmal die entsprechende Regelung der DSGVO über die Notwendigkeit eines Datenschutzbeauftragten an.
Weder sind in dem genannten Shop durchgängig mehr als 10 Personen mit der „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt, noch werden hier „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet. Ebensowenig treffen die in Artikel 35 der DSGVO „Datenschutz-Folgenabschätzung“ genannten Voraussetzungen zu, welche zu einem verpflichtenden Datenschutzbeauftragten führen würden. Sprich: die Angabe in dem ZEIT Online Artikel ist schlechterdings falsch und irreführend.

Viele Vorschriften der DSGVO gab es bereits vorher

Und weiter geht es in dem Artikel.
„Ein Versicherungsvertreter fragt sich zurzeit, ob er seine Kunden überhaupt noch mit Mailings anschreiben darf oder ob er von jedem einzelnen seiner 3.000 Kunden dafür eine Erlaubnis einholen muss.“
Selbstverständlich benötigt er hierfür eine Erlaubnis seiner Kunden – dies war jedoch bereits auch vor der DSGVO der Fall. Der einzige Unterschied ist, dass die Zustimmung zum Newsletterversand nicht mehr mit einem anderen Vertrag gekoppelt werden darf, sondern immer separat und freiwillig erfolgen muss. Wenn keine Zustimmung der Newsletterempfänger vorliegt, hätte der Versicherungsvertreter bereits vor Inkrafttreten der DSGVO abgemahnt werden können. Dem Versicherungsvertreter sei geraten, sich die entsprechende Erlaubnis einzuholen und Newsletter nur noch an die entsprechenden Kunden zu versenden. Und dies vollkommen unabhängig von der DSGVO.

Datenschutz als Firmeninteresse

Als dritter Fall wird in dem Artikel ein Spediteur genannt, welcher über eine entsprechende Software die Ortungsdaten sowie „Spritverbrauch und die Unfallhäufigkeit“ seiner LKW erfasst und auswertet.
„Jetzt aber muss er fragen: Wo dürfen diese Daten künftig gespeichert werden? Er muss Zugriffsrechte an einzelne Mitarbeiter vergeben, statt die Daten in Exceltabellen auf Firmenrechnern abzulegen.“
Auch dies hätte der entsprechende Betrieb schon lange vor der Einführung der DSGVO tun müssen. Der Schutz der hier beschriebenen personenbezogenen Daten war bereits vor der DSGVO im Bundesdatenschutzgesetz geregelt. Die Vergabe von verschiedenen Zugriffsrechten an Mitarbeiter hingegen sollte zum kleinen Einmaleins einer jeden Firmen-IT gehören.

Und auch in den Kommentaren zum Artikel wird fleißig diskutiert (Originalrechtschreibung übernommen): „Typisches EU mir kanonen auf spatzen schiessen.“, „Die Verordnung ist ganz klassisch ein Projekt der Heldenhaften Deutschen Grünen, „Die DSGVO ist genauso ein Skandal wie die EU-Pauschalreiserichtlinie.“, „Die DSGVO wäre für mich fast schon ein Grund für einen Dexit“, „Private Websites und alles was geht abschalten.“. Statt einer sachlichen Diskussion gibt es pauschalisierende Parolen.

DSGVO – viele Firmen sind nicht vorbereitet

Immerhin, eine einzige konkrete und bedenkenswerte Aussage ist in dem Artikel vorhanden:
„Laut einer Umfrage des Versichererverbands GDV von Ende April gaben sogar 56 Prozent der Firmen zu, die DSGVO sei ihnen gar nicht bekannt oder sie hätten sich noch nicht darauf eingestellt. Nur 22 Prozent sagten, sie hätten bereits Vorbereitungen getroffen.“

Dieser Artikel macht folgendes deutlich:

  • Die DSGVO trifft viele Firmen, Journalisten und auch Leser vollkommen unvorbereitet. Und dies, obwohl die DSGVO bereits im Mai 2016 veröffentlicht wurde.
  • Oftmals scheint nicht klar gewesen zu sein, dass auch vor dem Inkrafttreten der DSGVO in Deutschland mit dem Bundesdatenschutzgesetz umfangreiche Regelungen bzgl. des Datenschutzes bestanden. Durch die DSGVO wurde dies nun etwas ergänzt und durch die hohen Strafandrohungen wurden dem ganzen zusätzliche Zähne verliehen.
  • Die oben beschriebenen Punkte führen zu teils vollkommen übertriebenen Reaktionen. Wenn bereits vor der DSGVO Datenschutz gemäß des Bundesdatenschutzgesetzes betrieben wurde, wird sich nicht allzuviel ändern. Wenn dies nicht getan wurde, so lag bereits vor der DSGVO ein Gesetzesverstoß vor.

Was sind die Vorteile der DSGVO?

Überhaupt nicht in der Diskussion werden typischerweise die Vorteil der DSGVO. Dabei sind jene gerade für den Endverbraucher nicht zu mißachten:

  • Es herrscht in der gesamten EU ein einheitliches Mindestniveau im Datenschutz, Verbraucher besitzen EU-weit einheitliche Rechte.
  • Keine Firma kann sich mehr hinter einem außereuropäischen Firmensitz verstecken. Es gilt das Marktorprinzip: entscheidend für die Gültigkeit der DSGVO ist nicht der Firmensitz, sondern der Ort der Leistungserbringung. Auch facebook, google, amazon und co. müssen sich an die Regelungen der DSGVO halten.
  • Diverse Öffnungsklauseln sorgen dafür, dass die DSGVO an landestypische Gegebenheiten angepasst werden kann. In Deutschland ist die genaue Umsatzung beispielsweise der DSGVO beispielsweise im BDSG (neu) geregelt.
  • Es ist zu erwarten, dass die DSGVO – auch durch das Marktortprinzip – früher oder später auch in nicht-EU Ländern zum Standard wird, wenn diese Länder weiter mit der EU Handel treiben möchten.
  • DSGVO

    Wieso DSGVO?

    DSGVO – was bedeutet dies für Ihr Unternehmen?

    Die DSGVO (Hier die Verordnung) tritt europaweit am 25.05.2018 in Kraft. Viele Unternehmen sind sich unsicher: was bedeutet dies konkret und hat diese neue Verordnung auch Auswirkungen auf mein Unternehmen? Was muss beachtet werden?
    Herr H. ist Inhaber einer Firma für die Herstellung hochwertiger Möbel. Vor 30 Jahren hat er eine kleine Polsterei von seinem Vater übernommen und diese seitdem Schritt für Schritt weiter ausgebaut. Heute besitzt H. Niederlassungen in mehreren europäischen Ländern, auch Übersee in den USA wurde kürzlich eine Produktionsstätte eröffnet.
    Der Vertrieb findet sowohl über Wiederverkäufer als auch im Direktverkauf direkt von der Fabrik aus statt.
    Wichtigste Grundlage für den Erfolg des Unternehmens ist die Qualität. Noch heute hält sich Herr H. jeden Tag mehrere Stunden in der Produktion des Stammwerkes auf.
    Und auch die Kundenbindung wird bei H. großgeschrieben. Regelmäßig werden Gewinnspiele veranstaltet, Kunden erhalten Geburtstagsgrüße oder eine Gratulation zu besonderen Ereignissen wie etwa zur Silbernen oder – wenn auch selten – Goldenen Hochzeit.
    Kürzlich startete H. eine sehr erfolgreiche Aktion, in welcher Kinder selbstgemachte Fotos der von H. verkauften Einrichtungsgegenstände über eine spezielle Webseite hochladen und veröffentlichten konnten, die schönsten Fotos wurden prämiert.

    Viele Fragen zur DSGVO…

    Anfang Juni 2018 trifft in dem Stammwerk, welches zugleich die Hauptverwaltung ist, nun ein Schreiben mit einem für H. sehr ungewöhnlichen Inhalt ein.
    Die Absenderin des Schreibens, Frau Petersen aus Hamburg, bezieht sich auf Art. 15 DSGVO (Datenschutzgrundverordnung) und bittet um Auskunft darüber,

    • Welche personenbezogenen Daten über sie gespeichert sind
    • Zu welchem Zweck diese Daten gespeichert sind
    • Welche Kategorien von Daten gespeichert sind
    • An welche Empfänger die Daten weitergegeben wurden bzw. weitergegeben werden sollen
    • Über welchen Zeitraum die Daten gespeichert werden sollen und welches die Kriterien für eine Löschung der Daten sind
    • Über die Herkunft der personenbezogenen Daten
    • Ob die vorhandenen personenbezogenen Daten zur Entscheidungsfindung („Profiling“) verwendet werden und nach welcher Logik dies geschieht
    • Ob die personenbezogenen Daten an ein Drittland übermittelt wurden und welche geeigneten Garantien es diesbezüglich auf Einhaltung des Datenschutzes gibt

    Frau Petersen bittet um die kostenfreie Übermittlung der angefragten Informationen.
    Ferner fordert Frau Petersen H. dazu auf, sämtliche ihrer personenbezogenen Daten zu löschen und ihr dieses zu bestätigen – wobei sie sich auf Art. 17 der DSGVO bezieht.

    … welche beantwortet werden müssen: es drohen drastische Bußgelder

    Der Firma H. ist es nun dringend geraten, entsprechende Anfrage ernst zu nehmen und die geforderte Antwort innerhalb von 4 Wochen (in Ausnahmefällen innerhalb von 3 Monaten) zu geben.
    Die sich H. hieraus stellende Aufgabe kann, je nach der Struktur der Datenverarbeitung, von einfach zu erledigen bis „fast“ unmöglich erscheinen. Zudem drohen bei einer Nichteinhaltung der DSGVO drastische Bußgelder, welche bis zu 20 Millionen € bzw. 4% des weltweiten Jahresumsatzes gehen können.

    Welche Daten sind betroffen?

    Zunächst einmal sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Im genannten Fall sind dies beispielsweise Name, Anschrift, Familienstand, Geburtstag, die Bestell- und Zahlungshistorie jedoch auch die von den Kindern hochgeladenen Fotos, wenn hierauf das Umfeld des Kindes erkennbar ist.
    Relativ einfach ist die Anfrage zu beantworten, wenn es lediglich ein einziges zentrales IT-System gibt, welches zudem eine entsprechende Funktion zur Verfügung stellt. In der Praxis jedoch dürfte dieser Idealzustand eher die Ausnahme sein.
    In den meisten Firmen dürften entsprechende Daten über mehrere Systeme verstreut sein, wozu noch zahlreiche, von den jeweiligen Mitarbeitern selber erstellte, Excel-Dateien oder Access-Datenbanken kommen.
    Übrigens handelt es sich auch bei protokollierten IP-Adressen um personenbezogene Daten, da hiermit – zumindest während eines gewissen Zeitraums hinweg – eine Rückverfolgung bis hin zum Inhaber des zu der IP-Adresse gehörenden Anschlusses möglich ist.

    DSGVO: Was muss getan werden

    Alleinig hierüber eine Übersicht zu erhalten, dürfte vielen Firmen recht schwer fallen.
    Nachdem die Daten identifiziert wurden, müssen diese nun in einer für die anfragende Person verständlichen Form dokumentiert werden gemeinsam mit der Angabe, wofür genannte Daten verwendet werden. Auch diese Aufbereitung der Informationen stellt einen nicht zu unterschätzenden Aufwand dar, da die wenigsten Programme über eine solche Funktion verfügen dürften. Zudem dürfen auf der erstellten Dokumentation keine personenbezogenen Daten von Drittpersonen oder Informationen über vertrauliche betriebliche Abläufe erscheinen.
    Ein nächster wichtiger Punkt der Anfrage ist die Angabe, wie lange entsprechende Daten vorgehalten werden sollen und wovon die Aufbewahrungsdauer abhängig ist. Die Erstellung entsprechender Richtlinien und deren dokumentierte(!) Einhaltung dürfte hier für jede mit personenbezogenen Daten arbeitende Firma unumgänglich sein.
    Auch die Nachfrage über die Herkunft der Daten dürfte in vielen Fällen schwierig zu beantworten sein, da dies nur selten dokumentiert bzw. elektronisch erfasst sein dürfte.
    Ebenso muss über die Weitergabe personenbezogener Daten Auskunft erteilt werden. An wen genau wurden welche Daten geliefert? Dies kann beispielsweise ein Steuerberater, eine externe Marketingagentur, ein Abrechnungsbüro oder eine Niederlassung im Ausland sein.
    Zusätzlich wird dies kompliziert, wenn die Weitergabe der Daten an Organisationen in Nicht-EU Ländern erfolgt – in diesem Beispiel eine Niederlassung in den USA. Wie stellt die für die Daten verantwortliche Firma sicher, dass auch in Nicht-EU Ländern mindestens das in der DSGVO geforderte Datenschutzniveau eingehalten wird? Im Zweifelsfall müssen hier als Nachweis entsprechende Verträge mit der Nicht-EU Niederlassung vorliegen.
    Das „Recht auf Vergessen“ (= das Recht auf Löschen der Daten) ist eine weitere wichtige Anforderung der DSGVO. Bieten die von einem Unternehmen genutzte Sofwareanwendungen eine entsprechend Funktionalität oder zumindest eine Funktion zur Anonymisierung? Was ist mit in Papierform vorliegenden Dokumenten? Alleinig diese Anforderung stellt viele Firmen vor eine große Herausforderung.
    Ein weiteres „Fragezeichen“ ergibt sich aus dem oben genanten Fotowettbewerb, in welchem Kinder selbstgemachte Fotos einreichen können. Auch bei diesen Fotos kann es sich um personenbezogene Daten handeln, wenn diese dem einreichenden Kind zugeordnet werden können. Gemäß §8 DSGVO liegt jedoch das Mindestalter für eine Zustimmung zur Verarbeitung personenbezogener Daten bei 16 Lebensjahren. Liegt bei sämtlichen von jüngeren Kindern eingereichten Fotos eine Einverständniserklärung der Erziehungsberechtigten vor? Ist dies nicht der Fall, dürfen die Bilder nicht veröffentlicht werden.

    Wo gilt die DSGVO?

    Der Geltungsbereich der DSGVO ist sehr weit gefasst. Die Verordnung gilt für alle Firmen, wenn

    • die Firma in einem Staat der EU liegt bzw. eine dortige Niederlassung besitzt (Niederlassungsprinzip) oder
    • Daten von sich in der EU aufhaltenden Personen vorhält oder innerhalb der EU Güter vertreibt oder innerhalb der EU Dienstleistungen anbietet (Marktortprinzip) oder
    • die Datenverarbeitung in einem Drittstaat stattfindet, welcher sich zu einer Anwendung der DSGVO verpflichtet hat (Völkerrechtsprinzip)

    Welche Folgen hat die DSGVO konkret für meine Firma?

    Dies alles kann an dieser Stelle nicht mehr als einen kurzen Überblick darstellen.
    Fakt ist jedoch, dass die DSGVO in der gesamten EU am 25.05.2018 in Kraft tritt und sich die Firmen ab diesem Zeitpunkt und ohne eine Übergangsfrist an die Verordnung zu halten haben.
    Ein großer Fehler wäre es zu sagen „Schön und gut, mich selber betrifft dies jedoch nicht“ – dem ist nicht so. Personenbezogene Daten liegen in jeder Firma vor und seien es lediglich die Personaldaten und die Rechnungsadressen von Kunden. Falls noch nicht geschehen, sollte sich jede Firma, jeder Geschäftsführer und jede Geschäftsführerin einer Firma ein entsprechendes Konzept überlegen. Die Folgen bei Nichteinhaltung können drastisch sein und im schlimmsten Fall den Fortbestand der Firma in Frage stellen.

    DSGVO speziell für kleine und mittlere Unternehmen

    Falls Sie hierbei Unterstützung benötigen, wenden Sie sich gerne auch an uns – die Firma Laempe verfügt seit über 20 Jahren über große Erfahrungen in den Bereichen Datenschutz und Datensicherheit.