Einführung der DSGVO zum 25.05.2018


Paragrafen, Paragraphen, Würfel, Hand

© vege - fotolia.com

Seit dem 25. Mai 2018 gilt die neue europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten, gleichzeitig tritt auf nationaler Ebene die neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Dies hat Auswirkungen auf nahezu alle Unternehmen und Betriebe, die in irgendeiner Form personenbezogene Daten verarbeiten oder verarbeiten lassen.
Die Änderungen betreffen unter anderem neu eingeführte Informations- und Dokumentationspflichten bei der Erhebung von Daten sowie Neuerungen bei den Themen Einwilligungserklärung oder Bestellung eines Datenschutzbeauftragten. Bei Verstößen gegen die datenschutzrechtlichen Pflichten drohen empfindliche Bußgelder. Wer bisher seine Prozesse nicht in Einklang mit der DSGVO gebracht hat, riskiert Schaden für sein Unternehmen.
 
Über diesen Link finden Sie auf der Seite des Zentralverbands des Deutschen Handwerks (ZDH) einen sehr hilfreichen Leitfaden zum neuen Datenschutzrecht, in welchem zahlreiche Informationen und Musterschreiben zur DSGVO zusammengestellt sind.
 
Weitere ausführliche Informationen enthalten außerdem die Kurzpapiere und Orientierungshilfen der Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, sowie die Informationsblätter des Landesdatenschutzbeauftragten Baden-Württemberg.
 
Ergänzend hierzu möchten wir Ihnen nachfolgend eine erste Hilfestellung über die von Ihnen vorzunehmenden Schritte geben:

 
1. Datenschutzbeauftragter
 
Ein Datenschutzbeauftragter muss dann bestellt werden, wenn in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. (§ 38 BDSG). Dies kann z.B. dann der Fall sein, wenn mindestens 20 Personen Zugriff auf Ihren Firmencomputer haben, kann aber auch vorliegen, wenn eine entsprechende Anzahl von Mitarbeitern über ein Smartphone Zugriff auf personenbezogene Daten hat. Gegebenenfalls   sollte man Zugriffe dann einschränken, um eine Bestellung eines DSB zu vermeiden.
Sollte ein DSB bestellt werden müssen, muss er über folgenden Link der Aufsichtsbehörde gemeldet werden: https://www.baden-wuerttemberg.datenschutz.de/dsb-online-melden/
 
Weitere Informationen und häufige Fragen zum Datenschutzbeauftragten finden Sie zum Beispiel hier bzw. auf den Seiten des ZDH hier.
 
 
2. Datenschutzerklärung
 
Aktualisieren Sie Ihre Webseite und sorgen Sie dafür, dass Sie eine aktuelle Datenschutzerklärung vorhalten. Mit dem Online-Generator über diesen Link können Sie sich beispielsweise eine DSGVO-konforme Datenschutzerklärung erstellen lassen. Auch die Uni-Münster stellt eine Muster-Datenschutzerklärung zur Verfügung, mit der man sich eine solche entweder selbst erstellen oder erstellen lassen kann
Siehe auch hier, bzw. hier.
Über die genauen Pflichtinformationen in der Datenschutzerklärung gibt Art. 13 DSGVO Auskunft. Weitere Informationen erhalten Sie zum Beispiel hier.

Sollten Sie ein Kontaktformular auf Ihrer Webseite vorhalten, sollten Sie dafür sorgen, dass die Übertragung der Daten verschlüsselt erfolgt. Nähere Informationen dazu finden Sie hier.
 
 
3. Betriebliche Sicherungsmaßnahmen und Mitarbeiterverpflichtung
 
Das Datenschutzniveau in Ihrem Betrieb ist in den technischen und organisatorischen Maßnahmen (TOMs) zu beschreiben und an die Anforderungen der DSGVO anzupassen. Diese TOMs betreffen unter anderem Virenschutzprogramme, Passwörter, Löschfristen oder auch Schutzmaßnahmen gegen Einbruch in Ihrem Betrieb. Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann hier unter Umständen Erleichterung bringen.

Im Rahmen der Beschreibung des Datenschutzniveaus in den technischen und organisatorischen Maßnahmen sollten Sie auch eine Überprüfung von Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auch sollten Sie Ihre Mitarbeiter nach wie vor auf das Datengeheimnis bzw. die Einhaltung der Vorschriften der DSGVO verpflichten.
 
Einen hilfreichen Leitfaden sowie ein Muster für eine solche Verpflichtungserklärung finden Sie auf den Seiten der DSK hier: Muster Verpflichtungserklärung
 
 
4. Einwilligungserklärung
 
Als nächstes sollten Sie sämtliche Rechtstexte wie Einwilligungen, Datenschutzinformationen, Allgemeine Geschäftsbedingungen oder sonstige Informationstexte in Bezug auf die DSGVO überprüfen und gegebenenfalls anpassen.
Eine Einwilligungserklärung Ihrer Kunden brauchen Sie nur, wenn Sie die personenbezogenen Daten Ihrer Kunden über die normale Abwicklung des Auftrags hinaus dauerhaft speichern wollen. Für vorvertragliche Maßnahmen (Angebot, etc.) und während der Abwicklung eines Auftrags brauchen Sie keine Einwilligungserklärung, in dieser Zeit besteht eine Rechtsgrundlage nach Art. 6 Abs. 1b der DSGVO für die Verwendung und Speicherung der Daten.
Artikel 6 der DSGVO beschreibt die Rechtsgrundlagen, nach denen eine Datenverarbeitung erfolgen darf, die Einwilligung ist nur eine davon.
Nach Art. 6 DSGVO ist eine Verarbeitung rechtmäßig, wenn entweder:
  • eine Einwilligung vorliegt (Art. 6 Abs. 1a),
  • die Datenverarbeitung für die Erfüllung eines Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Abs. 1b),
  • es eine gesetzliche Verpflichtung gibt (Abs. 1c),
  • die Datenverarbeitung für eine Aufgabe erforderlich ist, die im öffentlichen Interesse oder in der Ausübung öffentlicher Gewalt liegt (Abs. 1e),
  • oder ein berechtigtes Interesse (Abs. 1f) besteht.
 
Wenn Sie keine Einwilligung haben, müssen Sie die Daten von Kunden gegebenenfalls irgendwann wieder löschen, sofern keine andere der oben genannten Rechtsgrundlagen vorliegt. Rechnungsdaten sind aufgrund der gesetzlichen Verpflichtung natürlich mindestens 10 Jahre aufzubewahren, müssten danach ohne Einwilligung dann aber auch gelöscht werden, sofern der Kundenkontakt in der Zwischenzeit nicht wieder aufgenommen wurde. Insofern könnte es ratsam sein, dass Sie von den Kunden, die Sie zukünftig in Ihrer Kundenkartei speichern wollen, eine Einwilligungserklärung einholen.
Ein entsprechendes Muster finden Sie in den Anlagen zum oben genannten Leitfaden des ZDH (als Anlage 1 auf Seite 3) hier.
(Dieses Muster muss textlich ggf. dahingehend geändert werden, dass Sie als Zweck die dauerhafte Speicherung zur Kontaktaufnahme ergänzen und bei den gespeicherten Daten zum Beispiel bei Bausachen die Daten des Bauvorhabens hinzufügen)

5. Kundeninformation über Datenverarbeitung
Eine der wichtigsten Neuerungen, die mit der DSGVO eingeführt wurden, ist die nach Art. 13 DSGVO erforderliche Information Ihrer Kunden über die Verarbeitung oder Speicherung der personenbezogenen Daten. Diese Information muss in jedem Fall erfolgen, egal welche der oben genannten Rechtsgrundlagen für die Verarbeitung vorliegt.
Allerdings muss eine solche Information nicht bei jedem Kundenkontakt erteilt werden, sondern entweder bei der erstmaligen Kontaktaufnahme mit einem Kunden oder bei der nächsten Kontaktaufnahme mit bestehenden Kunden.
Hierbei muss gemäß Art. 13 DSGVO mitgeteilt werden, welche Daten Sie gespeichert haben, für welchen Zweck die Daten des Kunden gespeichert werden, was die Rechtsgrundlage für die Speicherung ist, wer die Daten erhält, wie lange gespeichert wird, welche Rechte die Betroffenen haben und so und so weiter. Aber natürlich nur, wenn die Daten tatsächlich in irgendeiner Form verarbeitet oder gespeichert werden. Bei der sogenannten Laufkundschaft ist eine solche Information nicht erforderlich. (Artikel 13 DSGVO: https://dsgvo-gesetz.de/art-13-dsgvo/)
Genaue Informationen zum geforderten Inhalt finden Sie in den Anlagen zum Leitfaden des ZDH als Anlage 2 bzw. hier und ein entsprechendes Muster hier.
Von Ihren bestehenden Kunden müssen Sie vorerst keine Einwilligungserklärung einholen, wenn Sie die Daten in der Vergangenheit rechtmäßig zum Beispiel im Rahmen einer Geschäftsbeziehung erlangt haben. Sie müssen die Kunden jedoch spätestens beim nächsten Kontakt entsprechend Art. 13 der DSGVO informieren.
 
6. Auftragsverarbeitung
 
Des Weiteren müssen Sie feststellen, in welcher Form Sie Daten zur Verarbeitung an Dritte weitergeben und mit diesen Dritten gegebenenfalls einen Vertrag zur Auftragsverarbeitung schließen. Eine Auftragsverarbeitung liegt vor, wenn Sie personenbezogene Daten nutzen, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht von Ihnen, sondern von einem Dienstleister durchführt wird. Der Dienstleister verarbeitet die Daten für und im Auftrag Ihres Betriebs.
Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Wie ein Vertrag für eine solche Auftragsverarbeitung aussehen kann, können Sie dem Leitfaden des ZDH entnehmen.
Mit Steuerberatern und sonstigen Berufsgeheimnisträgern wie Rechtsanwälten muss in der Regel kein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.
Hier finden Sie Informationen des ZDH zur Auftragsdatenverarbeitung, entsprechende Formulierungsbeispiele hier. Weitere Beispiele dafür, wann eine Auftragsverarbeitung vorliegt, finden Sie im Kurzpapier Nr. 13 der DSK. Auch der IT-Verband Bitkom bietet hier wieder weitergehende Informationen und eine Musterformulierungen in einem Leitfaden an.

Soweit es sich bei den von Ihnen beauftragen Dritten um überregional tätige größere Firmen handelt, verfügen diese möglicherweise bereits über ein Muster eines solchen Vertrags zur Auftragsverarbeitung. Sprechen Sie hier Ihre Dienstleister an.
 
7. Dokumentation in Verarbeitungsverzeichnissen
 
Außerdem müssen Sie die in Ihrem Betrieb stattfindenden Datenverarbeitungsprozesse erfasst und dokumentiert werden, also welche Daten in welcher Form und von wem inner- und außerhalb Ihres Betriebs verarbeitet werden. Wie ein solches Verarbeitungsverzeichnis aufzubauen ist, können Sie dem Beispiel aus dem Leitfaden des ZDH entnehmen.
 
Das Verarbeitungsverzeichnis muss die in Art. 30 DSGVO aufgezählten Informationen enthalten, neben den allgemeinen Angaben unter anderem auch Informationen zum Datenschutzniveau, also den technischen und organisatorischen Maßnahmen zum Schutz der Daten in Ihrem Betrieb.
  
Unter Umständen ist vor der Verarbeitung der Daten eine Risikobewertung vorzunehmen oder wie die DSGVO es nennt, eine Datenschutz-Folgenabschätzung. Dies ist der Fall, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen hat. Hier stellt zum Beispiel die DSK einen kostenfreien Leitfaden zur Verfügung.
 
 
8. Anzeigepflicht
 
Unternehmen sind seit Mai 2018 gemäß Art. 33 DSGVO verpflichtet, Datenpannen innerhalb von 72 Stunden dem jeweiligen Landesdatenschutzbeauftragten zu melden, sowie nach Art. 34 DSGVO den Betroffenen zu informieren.
 
Dies gilt für alle Arten von Daten, nicht nur für die mit besonderem Schutzstatus. Eine solche Datenpanne bzw. Datenschutzverletzung liegt nach Art. 4 Nr. 12 DSGVO stets vor bei einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Der Hauptanwendungsfall dürfte damit der Datenverlust/Datendiebstahl bzw. die unrechtmäßige Weitergabe oder Manipulation von personenbezogenen Daten sein.

 
Weitere Vorgaben und Tipps

Bei Dienstleistern in Sachen Datenverarbeitung sollten Sie auf deutsche oder EU-weite Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO im Vertrag achten. Whats-App oder Dropbox sind beispielsweise US-amerikanische Firmen. Werden Kundendaten hierüber ausgetauscht, gilt das als nicht erlaubte "Übermittlung an Drittstaaten", sofern keine explizite Einwilligung aller betroffenen Person vorliegt. Da die Voraussetzungen für eine wirksame Einwilligungserklärung in diesem Fall sehr hoch gesetzt sind, würden wir Ihnen derzeit bei der Verarbeitung von Kundendaten von der Nutzung solcher Programme wie Whats-App oder Dropbox abraten.
 
Weitere rechtliche Einschätzungen hierzu finden Sie hier und hier.