Wir versuchen in diesem Beitrag, zumindest die Grundaspekte nochmal zusammenzustellen und auf einige u.E. hilfreiche Informationen und Materialien zu verlinken.
Bitte dabei beachten:
Das RKW RLP kann und möchte nicht rechtlich beraten! Für den Zustand der Datenschutzumsetzung und/oder Ihrer Website sind letztendlich Sie als Unternehmer/Unternehmen verantwortlich! Die nachfolgenden Hinweise und Informationen stellen den aktuellen Kenntnisstand nach unserem derzeitigen Wissensstand dar.
Allgemeines zur EU-DSGVO
Es gibt a priori keine inhaltlichen und zeitlichen Spielräume [obwohl noch vielfach auf Anwendung/Interpretation
und Kommentierung gewartet wird].
- Unternehmen
- Freiberufler
- Institutionen/Verwaltung
- Sonderregelungen für Justiz und Polizei
- Ausnahmen:
- Websites mit persönlichem/familiären Charakter
- Ausnahmen nach Art 6 zur Wahrung der ‚berechtigten eigenen Interessen‘, z.B. temporäre Speicherung von IP-Adressen zur Gewährleistung der Sicherheit
Rechenschaftspflicht
- Welche Daten erhebt ein Unternehmen?
- Zu welchem Zweck werden die Daten erhoben/verwendet?
- Wie werden die Daten jeweils weiterverwendet und gespeichert?
- Wann werden die Daten gelöscht?
- Verzeichnis der Datenverarbeitungsverfahren? [idealerweise aus QMS/ISMS]
Wir dürfen anmerken, daß dieser Aspekt den fairen und transparenten Umgang mit Daten von Geschäftspartnern und Kunden widerspiegelt und eigentlich eine Selbstverständlichkeit sein sollte.
Hintergrund: Allgemeine Prinzipien
- Verarbeitung strikt mit Erlaubnisvorbehalt:
Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist. - Zweckbindung der Verarbeitung:
Die Datenerhebung und deren Verarbeitung muß strikt zweckgebunden erfolgen, d.h. vor/bei der Erhebung muß der Zweck und die weitere Verwendung der Daten festgelegt (und bekannt gegeben) sein. - Minimalprinzip:
Es dürfen nur (maximal) die Daten gesammelt werden, die zur Durchführung des Zweckes erforderlich sind. - Transparenz:
Der Betroffene muß die Verarbeitung seiner Daten nachvollziehen können, das heißt insbesondere, daß die Datenschutzerklärung (allgemein-)verständlich formuliert sein muß! - Auskunftsrecht:
Dem Betroffenen muß auf Anfrage mitgeteilt werden, welche Daten über ihn im Unternehmen gespeichert sind und wie diese verwendet werden (Einzelfallregelungen)! - Vertraulichkeit:
Das Unternehmen muß sicherstellen, daß die personenbezogenen Daten/Kundendaten technisch UND organisatorisch geschützt sind!
[Potentielle Probleme sind Diebstahl/Verlust, (unbefugte) Veränderung von Daten, unbefugte Verarbeitung/Mißachtung der Zweckbindung, Zerstörung (intern/extern), …] - Ausdrückliche Pflicht zu technischen und organisatorischen Schutzmaßnahmen:
Da dies in der Verordnung einerseits nicht präzisiert wird, andererseits im Fehlerfall die Angemessenheit der (ergriffenen) Maßnahmen entlang einer Risikobewertung erfolgt, empfehlen wir die Orientierung an den BSI-Empfehlungen zum Grundschutz. - Vollständigkeit:
Es sind sämtliche verschiedene, relevanten Datenarten (extern wie intern) zu berücksichtigen, d.h. typischerweise- Schutz/Behandlung der Beschäftigtendaten
- ~ der Kundendaten
- ~ der Lieferantendaten
- Öffentlichkeit (Webbesucher und Social-Media)
- Prinzip ‚privacy by design‘ (Design der Prozesse):
Prüfen Sie Ihre Arbeitsabläufe, in denen personenbezogene Daten verarbeitet werden, auf die Berücksichtigung grundsätzlicher Vertraulichkeit/Geheimhaltung!
Dabei gilt das Minimalprinzip, d.h. es dürfen nicht mehr Daten als unbedingt erforderlich erhoben werden. - Prinzip ‚privacy by default‘ (Voreinstellungen):
Als grundsätzliche/voreingestellte Erhebungsart ist jeweils diejenige Einstellung zu wählen/zu nutzen, die das höchste Maß an Vertraulichkeit/Geheimhaltung gewährleistet! - Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung):
- Die Betroffenen müssen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen.
- Zustimmungen (Einwilligung des Arbeitnehmers, Einwilligung der Verbraucher, etc.) sind nur für den anzugebenden Verwendungszweck gültig.
- Die Einwilligungserklärung muß verständlich formuliert und grundsätzlich widerrufbar sein.
- Der Widerruf muss für den Betroffenen ebenso einfach sein wie die Einwilligung.
- Kopplungsverbot (Art 7 Abs 4):
Die Erbringung von Leistungen/ein Vertragsabschluß darf nicht mit einem Ungleichgewicht bei der Erhebung von Daten bzw. bei der Freiwilligkeit der Einwilligung zur Verarbeitung von Daten gekoppelt sein.
[Z.B. darf der Betreiber einer Website seine potentiellen Kunden künftig nicht zur Abgabe von Daten verpflichten, die für die eigentliche Leistungserbringung nicht erforderlich sind.] - Recht auf Datenübertragbarkeit (Art. 20):
Recht des Betroffenen/Nutzers, seine Daten (z.B. die Profildaten) von einer verarbeitenden Stelle auf eine andere Stelle übertragen zu können. - Risikomanagement:
Es werden Folgeabschätzungen bzgl. Datenschutz gefordert, die das Unternehmen durchführen muß. Hier ist insbesondere die Risikominimierung anhand geeigneter Schutzmaßnahmen nachzuweisen. Besonders zu beachten ist der potentielle Einsatz von Cloud-Services sowie ggf. die Verarbeitung gesundheitsbezogener Daten.
[Wir verweisen ergänzend auf unser Angebot des AK IT/QM!]
Meldepflicht
- Sicherheitspannen müssen innerhalb 72 Std nach Bekanntwerden gemeldet werden
- durch Meldung an Behörden
- durch Meldung an betroffene Personen
Pflicht zur Löschung
- Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Datenerhebung/-Verarbeitung notwendig ist.
- Erlischt die Verarbeitungsbefugnis (z.B. weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
- Betroffene/Verbraucher können bei Unternehmen einfordern, ihre Daten zu löschen.
- Das ‚Recht auf Löschung/Vergessenwerden‘ ist damit gesetzlich festgelegt.
Informationspflicht / Datenschutzerklärung
- Link zur Datenschutzerklärung muß möglichst auf jeder Seite erreichbar sein (analog Impressum)
- Pflicht zur Nennung der Rechtsgrundlage der Datenverarbeitung
- Zulässigkeit der Verarbeitung gemäß Art 6 DSGVO, insbes. bei Daten zur Erfüllung eines Vertrags mit dem Betroffenen
- Informationen zu Website-Nutzungsanalysen und Logfiles, ggf. auch wg. Sicherheit/Wahrung berechtigter Adressen
- Information über Einsatz von Analyse- und Trackingdiensten, insbesondere bei Weiterleitung von Daten an Server außerhalb der EU (speziell auch bei Cloud-Diensten). Ergänzend Information, ob Datenschutzabkommen mit diesen Ländern auf Niveau der EU-Regelungen besteht.
- Zwingend verständliche Sprache, um die Nachvollziehbarkeit der Erfassung und Verarbeitung der erhobenen Daten zu gewährleisten
- Information zu Datenerhebung bei Registrierungs- und Kommentarmöglichkeiten
- Verwendung von Cookies (Regelung durch ePrivacy steht aus)
- Informationen zu Rechten des Betroffenen:
- Recht auf Auskunft über alle gespeicherten Daten
- Recht auf Löschung
- Recht auf Korrektur
- Hinweis auf Widerruf der Verarbeitung (ist deutlich sichtbar abzugrenzen/hervorzuheben)
- Angebot einer rechtskonformen Widerspruchsmöglichkeit
- Hinweis auf Möglichkeit der Einschränkung der Verarbeitung
- Hinweis auf Beschwerdemöglichkeit bei der Datenschutzaufsichtsbehörde
- Hinweis auf das Recht der Übertragbarkeit der Daten/Profile
- Nennung des Datenschutzbeauftragten (falls vorhanden) mit Kontaktdaten (email-Adresse)
- Information zu automatisierten Verfahren der Entscheidungsfindung, falls eingesetzt [s. z.B. auch Haufe]
Die Datenschutzerklärung heilt keine rechtswidrige Datenverarbeitung!
Sie erfüllt einzig die Informationspflicht!
Datenschutzbeauftragter
- zwingend zu besetzen/zu benennen bei öffentlichen Stellen
- zwingend zu besetzen/zu benennen bei Unternehmen, deren Kerntätigkeit die Verarbeitung personenbezogener Daten ist [Bitte beachten Sie hierbei die Anforderungen an Auswahl und Eignung des Datenschutzbeauftragten nach Art. 37 sowie die Erfordernis zur Benennung bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9, insbesondere bei Gesundheitsdaten, in diesem Fall auch bei Kleinstunternehmen!]
- zwingend zu besetzen/zu benennen bei Unternehmen, wenn die Kerntätigkeit nicht die Verarbeitung personenbezogener Daten ist, aber mindestens zehn (10) Personen im Unternehmen regelmäßig (ständig) mit der Verarbeitung personenbezogener Daten beschäftigt sind
Aufgaben des Datenschutzbeauftragten
- Überwachung der (individuellen) Datenschutzstrategie des Unternehmens
- Überwachung der Konformität zur DSGVO
WICHTIG:
Der Datenschutzbeauftragte ist künftig für die Überwachung der Maßnahmen verantwortlich! Damit steigt das Haftungspotential bisheriger Datenschutzbeauftragter!
Anforderungen an Dokumentation
- (Idealerweise) Nutzung vorhandener Dokumentation aus QMS (ISO 9001) oder ISMS (ISO 27001) oder aus BSI Grundschutz-Dokumenten
- bitte achten Sie unternehmensintern auf Synchronizität und Aktualität der Unterlagen
- sonst:
- Prozeßdokumentation der datenverarbeitenden Prozesse
- ergänzend Datenflußplan nach Datenarten: Wo werden welche personenbezogenen Daten wie verarbeitet?
- Infrastrukturdokumentation (Netzwerk, Kommunikation, Systeme, Datenspeicherung, …)
- Dokumentation der einzelnen umgesetzten Schutzmaßnahmen
- Welche Schutzmaßnahmen für welche Datenarten?
- Maßnahmen IT-Security und Monitoring?
- Bewertung der Schutzmaßnahmen und Risiken
- Verschlüsselung Kontaktformulare (Web)
- Absicherung Social Media-Plugins [Einsatz ist zustimmungspflichtig!]
- etc.
CHECKLISTE
- Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
- Erstellen Sie eine Ihren Dokumentationsprozessen konforme Dokumentation.
- Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein, beachten Sie dabei insbesondere die verschiedenen möglichen Datenquellen und -arten im Unternehmen.
- Richten Sie Prozesse/Abläufe/Kommunikationsrouten für Anfragen (Mitarbeiter, Kunden, Lieferanten, …) zum Datenschutz ein.
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen. Falls ja, beauftragen Sie den Datenschutzbeauftragten schriftlich und sorgen Sie für hinreichende Schulung/Weiterbildung!
- Passen Sie die Datenschutzerklärung auf Ihrer Website an die Regelungen der DSGVO bzw. des ‚BDSG neu‘ an.
- Führen Sie in Abstimmung mit den Verantwortlichen aus IT/Technik und Ihrem Datenschutzbeauftragten eine Risikoabschätzung (insbesondere eine Folgeabschätzung) durch und bewerten Sie, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen.
- Dokumentieren Sie ggf. erforderliche weitere Maßnahmen und deren Umsetzung!
- Prüfen Sie die Datenerhebung Ihres Unternehmens bzgl. Kopplungsverbot! Personenbezogene Daten, deren Erhebung gegen das Kopplungsverbot verstößt, müssen künftig anders eingeholt und als freiwillig ausgegebene Daten erhoben werden!
- Falls Sie externe Dienstleister beauftragt haben, um personenbezogene Daten für Ihr Unternehmen zu verwalten oder zu verarbeiten, sollten Sie dringend mit ihnen klären, ob die getroffenen Vereinbarungen den Datenschutzanforderungen entsprechen.
- Schließen Sie konforme Vereinbarungen ab (auch mit Web-Hostern, s. auch Links unten) bzw. passen Sie Ihre derzeit vorhandenen Vereinbarungen an die neuen Vorgaben an.
- Prüfen Sie in allen Prozessen, insbesondere bei Einsatz elektronischer Formulare, Foren oder Shop-Systeme, wie die Einwilligungen Ihrer Kunden eingeholt wird und passen Sie die Vorgehensweise an die Regelungen der DSGVO an.
- Behalten Sie die Entwicklungen zur kommenden E-Privacy-Verordnung (vorauss. 2019) im Blick: Hier werden künftig Vorgaben zur Einwilligungserklärung bei Cookies, Analyse- und Trackingtools, Targeting, etc. geregelt.
Konkrete Materialien und Links
Sind Sie in Verbänden/Kammern organisiert, prüfen Sie bitte ebenfalls deren Informationen und Materialien zum Thema! Sie zahlen über Ihre Beiträge gutes Geld dafür!
Rechtliche Hinweise / Haftungsausschluß
Beachten Sie bitte auch, daß RKW RLP e.V. ganz allgemein weder rechtliche noch steuerliche Beratungen durchführt! Bei Bedarf können wir gerne auf kooperierende Kammern/Verbände verweisen und Kontakt herstellen.