Ab dem 25 Mai 2018 tritt die neue EU DSGVO in Kraft

laut dem deutschen Wirtschaftsverband Bitcom “ist gerade mal jedes achte Unternehmen nach eigener Einschätzung bis zum Stichtag 25. Mai 2018 in der Lage , die Vorgaben der DSGVO vollständig umzusetzen”

Einleitung zur EU-DSGVO

Am 25. Mai 2018 ist es nun soweit und die DSGVO (General Data Protection Regulution) zu deutsch DatenSchutzGrundVerordnung tritt in Kraft und setzt neue Maßstäbe für Datenschutz, Sicherheit und Compliance in Deutschland bzw. der EU. Damit wird das bislang gültige deutsche Bundesdatenschutzgesetz abgelöst und deutlich erweitert um die Privatsphäre von EU-Bürgern besser schützen zu können.

Dazu legt die neue Verordnung strenge Anforderungen was dem Umgang mit Benutzerdaten angeht, fest, unabhängig davon wo auf der Welt die Unternehmen Daten verarbeiten, speichern oder übertragen. Um die organisatorischen Anfoderdrungen und Veränderungen umzusetzen, müssen Unternehmen bestimmte Anforderungen erfüllen und dafür Sorge tragen, das die bindenden Richtlinien im Unternehmen eingehalten und umgesetzt werden.

Für viele Unternehmen stellt die Erfüllung der Vorgaben nach der DSGVO eine immens große Aufgabe dar, da in erster Linie zuerst einmal geprüft und recherchiert werden muß wie und wo von wem die Daten zu schützen sind, bzw. wer sie wie verarbeitet. Auch viele technische Aspekte greifen bei dem neuen Gesetz tief in die herkömmliche Datenverarbeitung ein und bedürfen einem besonders großen Interesse.

Grundwissen EU-DSGVO

In erster Linie stellt sich natürlich die Frage, was die DSGVO für das eigene Unternehmen bedeutet, Was ist nötig und wie kann man im Unternehmen die Vielzahl an Vorgaben und Richtlinien gesetzestreu umsetzen.  Außerdem wirft das Thema neue Fragen auf, die wir in diesem Artiel einmal etwas näher beleuchten möchten.

Wir haben hier einmal die wichtigsten Punkte und wesentlichen Bestandteile verständlich formuliert und zusammen getragen um einen groben Überblick über den Inhalt und Zweck der neuen DSGVO-Richtlinie zu vermitteln.

 Was ist die DSGVO?

Die Datenschutz Grundverordnung wurde von der EU bereits vor zwei Jahren beschlossen und tritt mit Wirkung zum 25. Mai 2018 in Kraft und dient dem verbesserten und vor allem transparenteren  Schutz der persönlichen Daten von EU-Bürgern. Insbesondere soll sie Einzelpersonen, mehr Kontrolle über Ihre gespeicherten personenbezogenen Daten vermitteln und im gleichen Zuge für mehr Transparanz bei der Nutzung der Datensätze sorgen.

Im Klartext heißt das; die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umzugehen haben, Dabei fasst die neue Verordnung, den Begriff der “personenbezogener Daten” und “verarbeiten” sehr weit, Beispielsweise sind nicht nur name, Vorname und Geburtsdatum, sondern auch Stndort-daten, Cookie-Kennungen, Werbe-IDs, oder auch Gesundheitsdaten beim Arzt oder im Krnakenhaus, die zur eindeutigen Identifizierung einer Person führen können, betoffen.

Ebenfalls ist das Thema Sicherheit, Schutz und Kontrolle eines der Schwerpunkte der neuen EU-Verordnung.

Gilt die DSGVO auch für mein Unternehmen?

Grundsätzlich gilt die DSGVO für alle Unternehmen, Firmen, Betriebe, Behörden, gemeinnützige und andere Organsiationen, die Warren oder Dienstleistungen an Personen der EU verkaufen, bzw. persönliche Daten von Bürgern der EU erheben, erfassen und verarbeiten. Dabei spielt es keine Rolle mehr, wo das Unternehmen tatsächlich Ihren Sitz hat. Selbst Facebook oder Google müßen sich an dieses Gesetz halten, wenn Sie von deutschen Webseitenbesuchern Daten erfassen oder speichern.

Insbesondere Betreiber von Webseiten werden von der neuen EU-Verordnung nicht begeistert sein, da Sie jetzt Ihre Webseiten und Kontaktformuare, sowie die Cookie-Hinweise an die neue DSGVO anpassen müßen. Außerdem ist eine rechtssichere Anonymisierung der IP-Adressen notwendig um weiterhin Logfiles schreiben zu dürfen.

Ebenfalls wird das Thema “Facebook Likes” und “Share” erneut auf den Prüfstand destellt, wie auch der Impressum Link und der Link zur Datenschutzverordnung. Einen Link zu weiterführenden Themen DSGVO & Website sind am Ende des Artikels zu erreichen.

 Die wichtigsten Konzepte der DSGVO

Das EU Gesetz gliedert sich in sechs Grundsätze:

• Transparenz beim verarbeiten von personenbezogener Daten. Einzelpersonen haben zukünftig ein Recht darauf zu erfahren, ob und wie eine Orgaisation oder ein Unternehmen ihre personenbezogenen Daten verarbeitet und für welchen Zweck diese gespeichert werden.
• Beschränkung der Verarbeitung personenbezogener Daten auf pezifische, rechtmäßige Zwecke
• Beschränkung der Sammlung und Speicherung von personenbezogener Daten auf beabsichtigte Zwecke
• Beschränkung der Speicherung von personenbez. Daten auf den für den Zweock, erfoderlichen Zeitraum
• EU-Bürger haben das Recht, personenbez. Daten korrigieren, bzw. sogar löschen zu lassen, oder einen Stopp der weiteren Verarbeitung zu verlangen. Sie können auch die Verwundung der Daten bestimmen und die Nutzung ihrer Daten für das Direktmarketing ablehnen, bzw. verweigern.
• Schutz von personenbezogener Daten durch geeignete Sicherheitsmechanismen durch den Auftragsverarbeiter. Bei einem Datenleck, muß der Auftragverarbeiter binnen 72 Stunden, die zuständigen behörden über den Mißbrauch informieren. Ebenfalls müßen die Betroffenen unverzüglich informiert werden, wenn der Verstoß ein hohes Risko für die Rechte und Freiheiten Einzelner darstellt.

Transparenz

Die DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten und muss freiwillig erteilt, spezifisch und nach Aufklärung auch eindeutig sein. Jede Organisation muss die Auswirkungen auf Datenschutzbestimmengen bewerten und die notwendigen Maßnahmen ergreifen, die für die Einhaltung und Umsetzung der EU-Grundverordnung, notwendig sind.

Dabei ist das Einhalten der DSGVO kein einmaliger Vorgang, sondern vielmehr ein fortlaufender Prozess der in den Büroalltag mit einfließen muß. Verstöße gegen die Regelung können zu beträchtlichen Geldbußen führen. Um die Einhaltung der DSGVO zu gewährleisten, müssen Unternehmen alle betroffenen Mitarbeiter die Verantwortung verdeutlichen.

Alle Mitarbeiter, die mit dem Erfassen von Kundendaten in Datenbanksystemen, oder Werkstatt- und Rechnungsprogramme, sind verpflichtet, die DSGVO-Richtline einzuhalten und die personenbezogener Daten zu schützen.

Da der Kunde jederzeit erfragen darf, welche Daten von Ihm gespeichert und wo die Daten gespeichert wurden, sollte der Unternernehmer – oder der Datenschutzbeauftragte – genau wissen, wo und von wem die Daten der Kunden gespeichert werden. Damit sind keine globalen Angaben wie “Rechenzentrum” oder “in der Cloud” gemeint, sondern die tatsächlichen Speicherorte. Es empfiehlt sich hier eine Datenverarbeitungs-Tabelle mit genauen Angaben über die entsprechenden Vorgänge und Speicherorte, sowie verarbeitenden Personen zu erstellen.

Eine außerordentliche Bestandsaufnahme über die verarbeitung der Kundendaten ist hier unerlässlich und kann vor empfindlichen Bußgeldern, schützen.

(Zugriffs-) Kontrolle

Die DSGVO gewährtallen EU-Bürgern mehr Kontrolle über die Datensätze, die Unternehmen in Form von personenbezogener Daten erfassen und verarbeiten. So kann ein EU-Bürger jederzeit verlangen das seine Daten korrigiert oder aber auch künftig nicht mehr für alle Zwecke verwendet werden dürfen.

Sogar ein Antrag auf Löschung der pers. Daten kann der EU-Bürger verlangen, sofern diese nicht für die interne Verarbeitung von Geschäftsprozessen (wie Buchführung usw.) verwandt werden müßen.

Im gleichen Zuge verlangt das Gesetz, den maximalen Schutz der Datenbestände und zwingt damit den Unternernhmer noch mehr auf das Thema, “Datensicherheit und Datenschutz” zu achten. Ebenso muß sichergestellt sein, dass der Auftragsverarbeiter alles dafür tut um den maximale Schutz der Kundendaten zu gewärleisten.

Das betrifft den Virenschutz, Zugangskontrolle, Absicherung vor unrechtmäßigen Datenzugriff und die Sicherung der Datenbestände. Hierbei ist eine Analyse der Datenverarbeitungsprozesse ebenso erfoderlich, wie die Auflistung der tatsächlichen Speicherorte und des berechtigten Personenkreis.

Die Erfüllung der IT-Sicherheitskompenten gemäß der EU-Richtline muß im Unternehmen verankert werden und ist als dauerhafter Prozess im Zusammenspiel mehrer Vertreter aus unterschiedlichen Fachabteilungen zu implementieren.

Ebenfalls gilt es für die Analyse und Beseitigung von Schwachstellen Sorge zu tragen und eine unrechtmäßige Verwendung oder Verbreitung von pers. Daten zu vermeiden, Hier hilft es oftmals wenn die IT-Abtelung oder der IT-Verantwortliche, die Aktualität der Betriebssysteme und der betreffenden Anweungen überwacht und dies mit Firewall und Vireschutz-Systemen kombiniert.

Meldungspflicht

Die DSGVO reguliert ebenfalls das Vorgehen, bei Verdacht auf eine Verletzung der DSGVO. Hierbei sind Unternehmen verpflichtet, im Falle eines Datenlecks oder Mißbrauch den Tatbestand innerhalb von 72 Stunden an die zuständigen Behördern zu melden und die Auswirkung der Datenpanne zu deklarieren.

Die Einführung strengerer Sanktionen bei Datenverstöén ist eine weitere Neuerung in der DSGVO. Bei Nichterfüllung der Regularieren der DSGVO drohen Bußgelder von bis zu 20 Mio. EUR oder 4% des jährlich weltweiten Umsatz. Bislang waren die Strafen eher als Milde anzusehen, so waren es vor Mai 2018 doch nur 300.000 EUR.

Es ist also davon auszugehen, dass uns in Kürze wieder eine neue große “Abmahnwelle”, ähnlich wie wir es schon bei der Verletzung der Urheber-Rechte kennen, erreichenwird, da sich viele Abmahn-Anwälte darauf spezisiert haben und damit einen Großteil Ihres Umsatz bertreiten.

Datenschutzbeauftragter

Wie auch schon nach jetzigem Recht, muss jedes Unternehmen, das mehr als 10 Mitarbeiter beschäftigt, einen Datenschutzbeauftragten bestellen. Bei Anzahl der Personen kommt es lediglich darauf an, wie viele Personen mit der Erfassung und Verabreitung von Daten befasst sind, unabhängig davonob Sie in Teilzeit, Vollzeit oder als Student oder freier Mitarbeiter beschäftigt sind.

Darüber hinaus müßen auch die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Datenschutzbehörde, gemeldet werden. Scheinbar ist es nicht ausreichend, die Kontaktdaten erst auf Anfrage mitzuteilen. Die Kontaktdaten des Datenschutzbeauftragten sollten standardmäßig auf der Unternehmenswebseite veröffentlicht werden, da dieser ebenfalls als Schnittstelle zu den Kunden oder Behörden dient.

Verzeichnis der Verarbeitungsvorgänge

Ebenfalls neu ist in der DSGVO die Verpflichtung über ein “Verzeichnis für Verarbeitungstätigkeiten” zu führen. Das Verzeichnis stellt eine strukturierte Übersicht der gesamten Datenverarbeitung dar und soll der Aufsichtsbehörde einen Überlick über das Datenniveau des jeweiligen Unternehmens geben.

Im Falle einer Datenschutzprüfung muss das Leistungsverzeichnis der Aufsichtsbehörde übergeben werden, Im gleichen Zuge hilft es auch dem Unternehmer seine Datenverarbeitungs-Prozesse und Mitwirkende schnell zu identifizieren.

Auftragsverwaltung

Bislang unter dem Begriff “Auftragsdatenverarbeitung”, ist die Datenverarbeitung durch Dienstleister innerhalb des EU-Wirschaftsraum neu reguliert worden und muß zukünftig mit einem sogenannten “AV-Vertrag” abgesichert werden. bei Dienstleistern, die sich außerhalb der EU bewegen ist die Einbeziehung einer EU-Standarvertragsklausel zusätzlich notwendig. Bestehende Verträge sollten an die neue DSGVO angepasst werden.

Daten und Informationssicherheit

Die Integrität und vertraulichkeit der personenbezogenen Daten, muss nach den Richtlinen der DSGVO geschützt werden. Alle Firmen und Unternehmen sind demanch verpflichtet, sämtliche technischen und organisatorischen Maßnahmen der Datensicherheit und Informationssicherheit zu implementieren und vor allem zu dokumentieren.

Die Kosten für die zusätzlichen Aufwendungen trägt der Unternehmer selbst. Neu ist auch die Führung der Nachweispflicht. Hierbei muß das Unternehmen, den Nachweis führen, das die DSGVO eingehalten wurde. Hierunter ist eine Sammlung von Dokumentationen, Maßnahmen und Richtlinien gemeint, die zu verstehen geben, das die Richtlinen nach der EU weiten DSGVO eingehalten wurden. Hierbei ist es wichtig, dass die neu definierten Prozesse der Datenverarbeitung auch tatsächlich im Unternehmen implementiert und durchgeführt wurden.