DSGVO - Europäische Datenschutzgrundverordnung

Aus
Wechseln zu: Navigation, Suche

Entstehung:
Im Prinzip ist das Thema „Datenschutz“ nicht neu, es hat sich wie folgt entwickelt:

  1. BDSG 2003:
    20 Seiten, entstanden 1977, überarbeitet 2003, daher die Bezeichnung.
    Das Gesetz basiert auf der Richtlinie 95/45/EG, auch EU-Datenschutzrichtlinie gennant.
  2. DSGVO:
    260 Seiten, entstanden 2016, tritt am 25.05.2018 in Kraft.
    Die DSGVO ist EU-Recht und gilt in allen Mitgliedsstaaten (europäischer Name GDPR).
  3. BDSG (neu) 2017, tritt am 25.05.2018 in Kraft:
    50 Seiten, Neuauflage des deutschen Gesetzes. Das Gesetz wurde nun an die DSGVO angepasst.
    Wichtig: Dieses Dokument ersetzt keinerlei Rechtsberatung oder ähnliches.

Gegenstand
Es geht „nicht“ um Firmendaten. Es geht immer um „personenbezogene“ Daten. Personenbezogene Daten gibt es auch bei jedem B2B-Geschäft. Dazu gehören z. B.

Vor- und Zuname · Adresse · E-Mail-Adresse · Telefonnummer · Geburtstag · Kontodaten ·
Kfz-Kennzeichen · Standortdaten · IP-Adressen · Cookies · Gehaltsabrechnungen

Die DSGVO unterscheidet bei den „personenbezogenen“ Daten in

  • Basisdaten
  • besonders geschützte Daten(z.B. Finanzen, Steuer, Bankkonten)
  • sensible Daten (z.B. Rasse, politische Gesinnung, Gesundheit)

Wann dürfen persönlichen Daten gespeichert werden?
Der Artikel 6 DSGVO regelt, wann eine Verarbeitung rechtmäßig ist. Die Antworten lauten wie folgt:

  • die betreffende Person hat Ihre Einwilligung zu der Verarbeitung gegeben
  • die Verarbeitung ist für die Erfüllung eines Vertrages
  • wenn die personenbezogenen Daten öffentlich zugänglich sind (Telefonbuch/Xing)

Bußgeld

Auch in der 1995 verabschiedeten EU-Datenschutzrichtlinie gab es schon ein Bußgeld, was jedoch auf maximal 300.000,- € pro Fall festgelegt wurde. Diese Bußgelder können ab dem 25.05.2018 bis 20 Mio. Euro betragen, oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist ☹).

Ziel:
Es ist klar erkennbar, dass es um große Datensammler wie Google, Amazon, Facebook etc.geht.

Betroffene Unternehmen
Die DSGVO gilt grundsätzlich für alle Unternehmen die auf irgendeine Weise personenbezogene Daten verarbeiten.
Lt. DSGVO müssen nur die Unternehmen Verfahrensverzeichnisse erstellen, die mehr als 250 Mitarbeiter beschäftigen (Artikel 30 Abs. 5) oder hochsensible Daten verarbeiten. Ob diese Ausnahmen zutreffen, sollte mit Hilfe eines Rechtsbeistandes geklärt werden.

Lt. BDSG ist es jedoch schon anders, dort ist sogar die Ernennung eines Datenschutzbeauftragten geregelt, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind (§38 Abs. 1 BDSG).

Änderung im Workflow

Nachstehend eine kleine Aufstellung über notwendige Änderungen im täglichen Workflow. Dabei geht es immer um „persönliche“ Daten aus Internetinformationen und Geschäftsprozessen.

  1. Bei kaufenden Kunden ist es ganz normal, dass persönliche Daten gespeichert werden. Im Sinne der GoBD müssen sie sogar revisionssicher für 10 Jahre vorgehalten werden.
  2. Gespeicherte Daten müssen sicher sein, damit der ungewollte Abfluss zuverlässig verhindert wird.
  3. Der Kunde hat ein Recht, dass seine personenbezogenen Daten gelöscht werden können, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt (Recht auf Löschung bzw. Recht auf Vergessen).
  4. Der Kunde hat ein Recht, dass die Daten im gängigen Format“ an ihn oder einen Verantwortlichen weitergegeben werden können (Recht auf Datenübertragbarkeit).
    Typisches Beispiel: Beim Wechseln von iWatch auf Samsung Fitnesstracker.
  5. Die Verarbeitung personenbezogener Daten muss auf das notwendige Maß beschränkt werden. Das bedeutet, dass diese Daten nach Zweckerfüllung zu löschen sind (Datenminimierung nach Artikel 5 DSGVO).
  6. Auf Anforderung müssen Sie nachweisen können, „weshalb“ Sie die persönlichen Daten gespeichert haben (Rechenschaftspflicht). Dieser Nachweis muss innerhalb von 30 Tagen erbracht werden.
  7. Beim Newsletterversand müssen Sie nachweisen können, wann und wie der Kunde eingewilligt hat.
  8. Die Weitergabe von persönliche Daten an externe Callcenter oder Newsletter Anbieter ist kritisch.
  9. Beim Löschen der Daten muss sichergestellt werden, dass wirklich alle Daten gelöscht werden und nicht irgendwelche Listen vergessen werden.
  10. Bei Verteilerversand ist es sinnvoll mit dem Lieferanten einen Auftragsverarbeitungsvertrag abzuschließen. Darin legt der Auftraggeber fest, wie der Auftragnehmer mit den übermittelten personenbezogenen Daten umzugehen hat. Außerdem werden die Techn. Organisatorischen Maßnahmen festgehalten, die getroffen wurden, um den ungewollten Zugriff auf diese Daten zu verhindern.
  11. Für Streckengeschäfte (Lieferant schickt Ware direkt an nur einen Kunden) ist der AV-Vertrag nicht notwendig, da in diesem Fall der Lieferant zum Verantwortlichen wird. Anders gesagt, er ist dann für den sicheren Umgang mit den personenbezogenen Daten (z.B. Ansprechpartner im Lieferschein) verantwortlich ist.

Dokumentation
In allen Ausführungen wird immer wieder auf entsprechende Dokumentationen und auf organisatorische Maßnahmen hingewiesen. Die Dokumentation muss mindestens einmal jährlich aktualisiert werden.

Folgende Punkte muss eine Dokumentation enthalten:

  • wo persönliche Daten gespeichert sind
  • warum persönliche Daten gespeichert werden
  • wann und wie persönliche Daten gespeichert werden

  • welche Mitarbeiter Einsicht in die persönlichen Daten haben
  • Lohnbuchhaltung separat aufführen, weil es um besonders geschützte persönliche Daten geht
  • an Excel-Listen für Mailings denken
  • an Excel-Listen für Verteilerversand denken
  • an Fernwartungszugriffsrechte von Hardwarepartnern und Softwarepartnern denken

Empfohlene Maßnahmen für CDH-Anwender:

  1. Unbedingt Menüsperren einrichten, damit nicht persönliche Daten exportiert werden können.
  2. Die Bemerkungszeile in der Bezugsperson benutzen, um die Herkunft der Daten zu begründen
  3. Die Nutzung des Berichts (Vertreterbericht) gewinnt eine neue Bedeutung, weil hier ebenfalls Notizen hinterlegt werden können
  4. Excel-Tabellen zum Thema Verteilerversand in einem gesonderten, abgestimmten Server-Verzeichnis speichern, dokumentieren und nach Erledigung löschen
  5. CDH hat ein Tool entwickelt, um zu prüfen, welche welche Kunden/Bezugspersonen schon lange nicht mehr für Aufträge und Angebote benutzt wurden - Menü 8,23,1 (gültig ab Version 7.01.0379).
  6. Im CDH-Bereich gibt es ein Tool zum „Schnelllöschen“ von Adressen und Bezugspersonen
  7. Zeigen Sie auf Anforderung Ihren Kunden, dass Sie das Thema DSGVO bzw. BDSG ernst nehmen(durch eine Dokumentation)
  8. CDH hat das Anlegen/Ändern/Löschen von Bezugspersonen in der Historie genauer protokolliert.
    Im Sinne der DSGVO wird der Historieneintrag anonymisiert, das bedeutet, dass bei Neuanlage von Martin Heinemann dort eingetragen wird: M.H. ist neu angelegt (gültig ab Version 7.01.0379).
  9. Exceltabellen mit persönlichen Daten müssen verschlüsselt oder passwortgeschützt versendet werden, dass Passwort muss separat übermittelt werden
  10. CDH hat die Stammdatenexporte 8,23 und Newsletterexporte 10,3 in der Historie separat protokolliert. Das Protokoll kann in 8,14,1 mit dem Button „System-Historie beauskunften“ eingesehen werden (gültig ab Version 7.01.0379)
  11. CDH bietet auch innerhalb des Ansprechpartners 16 verschiedene Marketingkennzeichen, die nach eigenem Konzept für die Klassifizierung (auch für die Herkunft der Daten) verwendet werden können.
  12. Im CDH empfiehlt es sich, zur Erfüllung der Informationspflicht gemäß DSGVO, die Hilfstexte (Menü 5/4/4) „Zusatztexte Ausdrucke“ zu verwenden. Dort kann unter Satz 5003 und 5006 der Text eingetragen werden, der dann automatisch am Ende jeden Angebots und jeder Auftragsbestätigung geduckt wird. Siehe CDH Handbuch „DSGVO konforme Zusatztexte auf BE/AB/AN
  13. Im CDH Webkatalog empfehlen wir, unter Beschriftungstexte ebenfalls die erforderlichen Informationen ein zu tragen. Siehe CDH Handbuch „DSGVO konforme Beschriftungstexte im Webkatalog“
  14. Im CDH Webkatalog sollten Sie zudem eine Seite „Datenschutzerklärung“ anlegen. Sie können dort entweder die Datenschutzerklärung als Text eingeben oder auf die Datenschutzerklärung Ihrer Website verlinkt. Siehe CDH Handbuch „Anlegen einer Datenschutzerklärung im Webkatalog“
  15. Im CDH gibt es das Tool DSGVO Umsatzbereinigung (Menü 7,2,18). Damit können Sie Bezugspersonen aus alten Rechnungen entfernen. Die Umsatzdaten bleiben erhalten, nur die Bezugsperson wird entfernt. Dies gilt für alle Umsatzdaten, die älter als 10 Jahre sind.
  16. Gerade im Sinne der Datenschutzverordnung DSGVO gibt es die Möglichkeit, an verschiedensten Stellen per Klick verschiedene Historieneinträge zu archivieren. Dies gilt für
    • Kundenanlage
    • Lieferantenanlage
    • Bezugspersonenanlage
    • Lieferscheindruck
    • REchnungsdruck
      Damit kann man auf einfachste Art und Weise kurze Kommentare den Daten hinzufügen, damit man im besagten Fall in der Lage ist, auch Auskunft zu geben.
  17. Im CDH gibt es in das Tool DSGVO Auskunft (Menü 7,2,19) Damit können Sie, bei Auskunftsverlangen, eine Auswertung fahren, welche Daten zu einer Person gespeichert sind und in welchen Dokumenten (z.B. Angeboten, Aufträgen, Rechnungen etc.) diese Daten gespeichert sind.

Datensicherheit
In allen Ausführungen ist auch die Datensicherheit erwähnt. Der Server muss abgesperrt werden (Informations-sicherheit) und der Serverraum muss gesichert sein.

Begriffsdefinitionen aus dem DSGVO
Im DSGVO werden manche Begriffe verwendet, die wir nachstehend mit praktischen Beispielen erklären möchten:

  • Pseudonymisierung
    Möchte ein Professor Professor in einer Hochschule die Ergebnisse einer schriftlichen Prüfung den Studenten einfach zugänglich machen, so bittet er sie darum, ein selbstgewähltes Pseudonym auf den Blättern zu notieren.

Die Noten werden dann z.B. im Internet veröffentlicht, jedoch nur das Pseudonym und die Note. So können nur der Professor (lt. DSGVO der Verantwortliche) und der entsprechende Student (lt. DSGVO der Betroffene) das Ergebnis zuordnen.

  • Anonymisierung
    Eine Wahl beispielsweise, ist geheim und somit anonym. Es lässt sich zwar nachvollziehen, wer gewählt hat und wer nicht, aber es lässt sich nicht mehr rekonstruieren, welcher Wahlzettel zu welchem Wähler gehört.
  • Trennungsgebot
    Werden zum Beispiel E-Mail-Adressen für ein Preisausschreiben gesammelt, so dürfen diese nicht mehr zusammen mit anderen E-Mail-Adressen gespeichert werden, es sei denn, sie sind separat gekennzeichnet, dass sie aus dem Bereich des Preisausschreibens kommen (Marketingkennzeichen verwenden!).
  • double-opt-in Verfahren
    Meldet sich ein Anwender für Newsletter an, bedeutet das double-opt-in Verfahren, dass er seine Anmeldung nochmal zusätzlich durch einen Link in einer Mail bestätigt (2-fache Zustimmung, einmal die Anmeldung und zum anderen nochmal die Bestätigung).

72-Stunden-Meldepflicht
Datenschutzverstöße müssen binnen 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Ist der Verstoß besonders schwerwiegend, muss auch der Betroffene informiert werden.

Fazit

  1. Eigentlich ändert sich zum 25.05.2018 kaum etwas, zumindest, wenn man schon zuvor sensibel mit persönlichen Daten umgegangen ist. Es ist jedoch aus allen Beiträgen zu entnehmen, dass interne Dokumentation immer wichtiger ist.
  2. Die DSGVO hat auf jeden Fall bei verschiedensten Internetplattformen Auswirkungen. Es wird in WhatsApp eine Funktion geben, wo man die Auskunft über persönliche Daten (Rechenschaftspflicht) anfordern kann. WhatsApp hat schon mitgeteilt, dass die Bearbeitung der Anfrage ca. 20 Tage dauert. Der Report steht dann 30 Tage zur Verfügung, um ihn herunterzuladen, danach wird er vom Server gelöscht.


Tipps für eine Dokumentation:
Gerne nachstehend eine kurze Checkliste, was eine Dokumentation enthalten sollte?

  1. Welche Arten personenbezogener Daten werden erfasst?
  2. Zu welchem Zweck werden personenbezogene Daten erfasst?
  3. Aus welcher Quelle erhalten Sie Daten?
  4. Wie lange werden personenbezogene Daten aufbewahrt?
  5. Wer kann auf personenbezogene Daten zugreifen?
  6. Werden personenbezogene Daten in andere Länder übermittelt?
  7. In welchem System bewahren Sie die Informationen auf?
  8. Werden personenbezogene Daten an Dritte weitergegeben und zu welchem Zweck?
  9. Wie werden die Daten gesichert?

Fragen

  1. Ist es kritisch Telefonbuchadressen abzuschreiben?
    Antwort: Nein, es handelt sich um Daten, die öffentlich zugänglich sind.
  2. Ist es ein Widerspruch, wenn Geschäftsunterlagen zu einem Vorgang einschl. persönlich Daten 10 Jahre revisionssicher gespeichert werden müssen und auf der anderen Seite ein Recht auf Löschung vorhanden ist? Was muss getan werden, wenn einer 5 Jahre nach dem Auftrag verlangt, dass seine persönlichen Daten gelöscht werden müssen?
    Antwort: Die Daten dürfen erst dann gelöscht werden, wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist.
  3. Ist durch den Einsatz der DSGVO das BDSG überflüssig? Welches Gesetzt/welche Verordnung gilt jetzt?

Es sind deutliche Widersprüche zu erkennen (siehe Kapitel „Betroffene Unternehmen“).
Antwort: Das BDSG regelt zusätzliche Feinheiten, die DSGVO ist also die Grundverordnung und das BDSG regelt zusätzliche Dinge für Deutschland. Wenn tatsächlich Widersprüche auftauchen, hat die DSGVO Vorrang.

  1. Pro Sekunde werden 2,9 Millionen Mails versendet und It. GoBD revisionssicher gespeichert. Was muss getan werden, wenn ein Anwender seine Daten gelöscht haben möchte?
    Antwort: ???
  2. Datensicherrungssysteme speichern jährlich/monatlich/wöchentlich separate Datensicherungen. Jetzt muss ein Datensatz gelöscht werden, was ist mit der Jahresdatensicherung von 2015?
    Antwort: ???
  3. Wie kann es es sein, dass auch heute noch Adressanbieter 5,1 Millionen Firmenadressen mit 4,3 Millionen Ansprechpartnern auf „Bedarf zugeschnitten“ liefern können?
    Antwort: Lt. Spezialisten wird es diese Angebote in Zukunft nicht mehr geben.
  4. Wird auf der der Messe eine Visitenkartenbox aufgestellt, ist damit die Speicherung der personenbezogenen Daten erlaubt?
    Antwort: Nein, es ist eine ausdrückliche Einwilligung erforderlich.
  5. Würde es funktionieren, wenn auf der Box eine deutliche Info erkennbar ist, dass man einen Katalog zugesendet bekommt?
    Antwort: Ja, Dokumentation ist alles, am besten Foto von der Box archivieren.
  6. Wenn eine Person ihr „Recht auf Löschung“ in Anspruch nimmt, gilt das auch für die Papierablage?
    Antwort: Nein, es geht bei der DSGVO um elektronische Daten.
    Nach einem Beschluss des EuGHs aus dem Juni 2018 umfasst der Begriff „Datei“ jedoch jede Sammlung personenbezogener Daten, „sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur Späteren Verwendung leicht wiederauffindbar sind.“ Anders gesagt, ein Notizbuch in dem Sie Ihre Ansprechpartner, deren Vorlieben und Geburtstage „speichern“ unterliegt den Vorschriften der DSGVO.
  7. Was hat es mit der der Pseudonymisierung (Artikel 32 Abs. 1 und Artikel 25 Abs. 1 DSGVO) auf sich?
    Was muss hier am Windows-Server unternommen werden?
    Antwort: Wie unter den Begriffsdefinitionen erklärt, handelt es sich bei der Pseudonymisierung um eine Maßnahme, um personenbezogene Daten vor dem Zugriff von Dritten zu schützen.
    Die Pseudonymisierung ist somit keine Pflicht, sondern nur eine Möglichkeit. Wenn man Daten nicht pseudonymisiert, muss man eben durch strengere TOM´s (Technisch Organisatorische Maßnahmen) dafür sorgen das die Daten nicht ungewollt abfließen können.
  8. Ein Kunde hat vor 11 Jahren Produkte bestellt. Müssen die persönlichen Daten jetzt im 11. Jahr ohne Aufforderung gelöscht werden? Kompletter Mailverlauf?
    Antwort: Wenn keine weitere Geschäftsbeziehung besteht, müssen zumindest die persönlichen Daten gelöscht werden. Firmendaten können gespeichert bleiben. Wenn man jedoch ein „berechtigtes Interesse“ plausibel begründen kann, dürfen die Daten gespeichert bleiben.
  9. Das Thema DSGVO bzw. BDSG neu befasst sich ja offensichtlich immer nur mit dem Speichern von persönlichen Daten. Hat diese Gesetzgebung auch etwas mit Verwendung von Werbezwecken (E-Mail/Fax/ Brief zu tun?
    Antwort: Die Gesetzgebung erfordert für jede Datenerhebung eine Einwilligung. Solang man diese hatkann man mit diesen Daten auch werben. Es gilt aber der Grundsatz, dass man für jedes Medium (E-Mail, Fax, Brief etc.) eine Einwilligung benötigt. Für bisher gespeicherte und genutzte Daten benötigt man keine nachträgliche Einwilligung, denn wenn der Betroffene die Verwendung seiner Daten nicht widerruft, kann man davon ausgehen, dass er ein Interesse hat, diese Informationen zu erhalten.
    Fazit: Man muss jetzt nicht anfangen, alle Bezugspersonen nachträglich anzuschreiben.
  10. Stimmt es, dass es in der DSGVO auch Übersetzungsfehler gibt?
    Antwort: Im Artikel 32 DSGVO (hier geht es um „Sicherheit“ von personenbezogenen Daten) gibt es einen Übersetzungsfehler. Die Formulierung „Diese Maßnahmen schließen unter anderem folgendes ein“ kann so verstanden werden, dass alle Maßnahmen umzusetzen sind. Wenn man jedoch die Ursprungsausfertigung danebenlegt, wird man feststellen, dass es wie folgt zu übersetzen ist: „… unter anderem, wo angemessen…“. Das macht einen gewaltigen Unterschied.
  11. Muss eine Internetseite bezüglich Cookies anders reagieren, wenn Sie z. B. Google Analytics verwenden?
    Antwort: Ja, wenn Sie z. B. Google Analytics verwenden um Statistik-Daten zu sammeln, dann muss eine aktive Zustimmung zum Setzen dieser Cookies erteilt werden (opt-in-Verfahren bei Tracking-Cookies).


Siehe auch

Abgerufen von „http://wiki.cdh.info/index.php?title=DSGVO_-_Europäische_Datenschutzgrundverordnung&oldid=1739