Einführung der DSGVO zum 25.05.2018


Paragrafen, Paragraphen, Würfel, Hand

© vege - fotolia.com

Ab dem 25. Mai 2018 gilt die neue europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten, gleichzeitig tritt auf nationaler Ebene die neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Dies hat Auswirkungen auf nahezu alle Unternehmen und Betriebe, die in irgendeiner Form personenbezogene Daten verarbeiten oder verarbeiten lassen.
Die Änderungen betreffen unter anderem neu eingeführte Informations- und Dokumentationspflichten bei der Erhebung von Daten sowie Neuerungen bei den Themen Einwilligungserklärung oder Bestellung eines Datenschutzbeauftragten. Bei Verstößen gegen die datenschutzrechtlichen Pflichten drohen empfindliche Bußgelder. Wer bis zum 25. Mai 2018 seine Prozesse nicht in Einklang mit der DSGVO gebracht hat, riskiert Schaden für sein Unternehmen.
 
Der Zentralverband des Deutschen Handwerks (ZDH) hat auf seiner Webseite zahlreiche weitere Informationen zur DSGVO zusammengestellt, die Sie hier herunterladen können.
 
Ergänzend hierzu möchten wir Ihnen nachfolgend eine erste Hilfestellung über die von Ihnen vorzunehmenden Schritte geben:
 
1. Dokumentation
 
Als erstes müssen Sie die in Ihrem Betrieb stattfindenden Datenverarbeitungsprozesse erfassen und dokumentieren, also welche Daten in welcher Form und von wem inner- und außerhalb Ihres Betriebs verarbeitet werden. Wie ein solches Verarbeitungsverzeichnis aufzubauen ist, können Sie dem Beispiel aus dem Leitfaden des ZDH entnehmen.
 
Ein solches Verarbeitungsverzeichnis muss die in Art. 30 DSGVO aufgezählten Informationen enthalten, neben den allgemeinen Angaben unter anderem auch Informationen zum Datenschutzniveau, also den technischen und organisatorischen Maßnahmen zum Schutz der Daten in Ihrem Betrieb.
 
Weitere sehr ausführliche Informationen hierzu erhalten Sie auch auf den Seiten des IT-Verbandes Bitkom hier.
 
Unter Umständen ist vor der Verarbeitung der Daten eine Risikobewertung vorzunehmen oder wie die DSGVO es nennt, eine Datenschutz-Folgenabschätzung. Dies ist der Fall, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen hat. Auch hierfür stellt der Branchenverband Bitkom einen kostenfreien Leitfaden zur Verfügung.
 
 
2. Auftragsverarbeitung

 

Des Weiteren müssen Sie feststellen, in welcher Form Sie gegebenenfalls Daten an Dritte weitergeben und mit diesen Dritten gegebenenfalls einen Vertrag zur Auftragsverarbeitung schließen. Eine Auftragsverarbeitung liegt vor, wenn Sie die Verarbeitung und Aufbereitung von personenbezogenen Daten nicht selbst durchführen, sondern von einem Dienstleister vornehmen lassen, z.B. dem Cloud-Anbieter, dem Software-Hersteller oder einem Finanzdienstleister. Hier finden Sie Informationen des ZDH zur Auftragsdatenverarbeitung, entsprechende Formulierungsbeispiele hier. Auch der IT-Verband Bitkom bietet hier wieder weitergehende Informationen und Formulierungen in einem Leitfaden an.

 
Soweit es sich bei den datenverarbeitenden Dritten um überregional tätige größere Firmen handelt, verfügen diese möglicherweise bereits ihrerseits über ein Muster eines solchen Vertrags zur Auftragsverarbeitung. Sprechen Sie hier Ihre Dienstleister an.
 
 
3. Sicherungsmaßnahmen
 
Das bereits oben erwähnte Datenschutzniveau in Ihrem Betrieb ist in den technischen und organisatorischen Maßnahmen zu beschreiben und an die Anforderungen der DSGVO anzupassen. Diese TOMs betreffen unter anderem Virenschutzprogramme, Passwörter, Löschfristen oder auch Schutzmaßnahmen gegen Einbruch in Ihrem Betrieb. Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann hier unter Umständen Erleichterung bringen.
 
 
4. Einwilligungen / Rechte der Betroffenen
 
Als nächstes sollten Sie sämtliche Rechtstexte wie Einwilligungen, Datenschutzinformationen, Allgemeine Geschäftsbedingungen oder sonstige Informationstexte in Bezug auf die DSGVO überprüfen und gegebenenfalls anpassen. Die Rechte der Betroffenen, also der Personen, deren Daten Sie verarbeiten, wurden mit der Einführung der DSGVO erweitert. Dementsprechend müssen Sie sich von Ihren Kunden eine Einwilligungserklärung unterzeichnen lassen und diese aufbewahren, sofern Sie die Daten nicht ausschließlich zur Bearbeitung des konkreten Auftrags verarbeiten, sondern darüber hinaus zum Beispiel zur dauerhaften Kontaktaufnahme speichern wollen. Ihre Kunden haben zudem weitreichende Rechte auf Auskunft über die Speicherung und Weitergabe ihrer Daten, sowie ein Recht auf Löschung.
 
Für die Erstellung solcher Rechtstexte können Sie die Muster des ZDH für Einwilligungserklärung, Informationen bei Datenerhebung und Auskunft verwenden. Weitere Informationen enthält der Leitfaden des ZDH ab Seite 4 hier.
 
Weitere ausführliche Informationen enthalten zudem die Merkblätter des Landesdatenschutzbeauftragten Baden-Württemberg.
 
 
5. Anzeigepflicht
 
Unternehmen sind ab Mai 2018 verpflichtet, nach Art. 33 DSGVO Datenpannen innerhalb von 72 Stunden dem jeweiligen Landesdatenschutzbeauftragten zu melden, sowie nach Art. 34 DSGVO den Betroffenen zu informieren. Dies gilt für alle Arten von Daten, nicht nur für die mit besonderem Schutzstatus. Eine solche Datenpanne bzw. Datenschutzverletzung liegt nach Art. 4 Nr. 12 DSGVO stets vor bei einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Der Hauptanwendungsfall dürfte damit der Datenverlust/Datendiebstahl bzw. die unrechtmäßige Weitergabe oder Manipulation von personenbezogenen Daten sein.
 
Für den Fall, dass Sie gemäß § 38 BSDG  (Bundesdatenschutzgesetz) einen betrieblichen Datenschutzbeauftragten bestellen müssen, ist dieser Datenschutzbeauftragte ebenfalls dem Landesdatenschutzbeauftragten zu melden. Ein betrieblicher Datenschutzbeauftragter ist unter anderem dann zu bestellen, wenn in Ihrem Betrieb mindestens zehn Mitarbeiter Zugriff auf personenbezogene Daten haben. Weitere Informationen und häufige Fragen zum Datenschutzbeauftragten finden Sie hier bzw. auf den Seiten des ZDH hier.
 
 
6. Weitere Vorgaben und Tipps

Aktualisieren Sie Ihre Webseite und sorgen Sie dafür, dass Sie eine aktuelle Datenschutzerklärung vorhalten. Über diesen Link können Sie sich beispielsweise online eine DSGVO-konforme Datenschutzerklärung erstellen lassen. Auch die Uni-Münster stellt eine Muster-Datenschutzerklärung zur Verfügung. Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt Art. 13 DSGVO Auskunft. Weitere Informationen erhalten Sie zum Beispiel hier.

Sollten Sie ein Kontaktformular auf Ihrer Webseite vorhalten, sollten Sie dafür sorgen, dass die Übertragung der Daten verschlüsselt erfolgt. Nähere Informationen dazu finden Sie hier.

Im Rahmen der Beschreibung des Datenschutzniveaus in Ihrem Betrieb in den technischen und organisatorischen Maßnahmen sollten Sie auch eine Überprüfung von Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auch sollten Sie Ihre Mitarbeiter nach wie vor auf das Datengeheimnis bzw. die Einhaltung der Vorschriften der DSGVO verpflichten. Einen hilfreichen Leitfaden sowie ein Muster für eine solche Verpflichtungserklärung finden Sie zum Beispiel auf den Seiten des Bayerischen Landesamts für Datenschutz. Zum Download siehe hier: Muster Verpflichtungserklärung

Bei Dienstleistern in Sachen Datenverarbeitung sollten Sie auf deutsche oder EU-weite Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO im Vertrag achten. Whats-App oder Dropbox sind beispielsweise US-amerikanische Firmen. Werden Kundendaten hierüber ausgetauscht, gilt das als nicht erlaubte "Übermittlung an Drittstaaten", sofern keine explizite Einwilligung der betroffenen Person vorliegt. Da die Voraussetzungen für eine wirksame Einwilligungserklärung in diesem Fall sehr hoch gesetzt sind, würden wir Ihnen derzeit bei der Verarbeitung von Kundendaten von der Nutzung solcher Programme wie Whats-App oder Dropbox abraten. Weitere rechtliche Einschätzungen hierzu finden Sie hier und hier.

Weitere Praxishilfen finden Sie auch auf den Seiten der Gesellschaft für Datenschutz und Datensicherheit e.V. oder in den Kurzpapieren der Datenschutzkonferenz bzw. des Landesbeauftragten für den Datenschutz Niedersachsen. In der DHZ sind im März zwei Artikel veröffentlicht worden, die als erster Einstieg in die Materie interessant sein können, diese finden Sie hier und hier.

Ihr Ansprechpartner der Handwerkskammer
 

Andreas Mayr

Rechtsberatung
Telefon 0761 21800 190
Fax 0761 21800 333