easy DSGVO!

Derzeit fällt in vielen Gesprächen das Thema DSGVO und Kund/innen „beichten“ mir immer wieder, sich noch nicht eingehend mit der DSGVO beschäftigt bzw. um die Umsetzung gekümmert zu haben. Damit sind sie allerdings in guter Gesellschaft!

Für wen die DSGVO im Arbeitsalltag noch untergegangen ist, der nehme sich diese einfache Einführung in Form einer Liste zu Herzen. Sie soll Mut machen, sich des Themas noch vor dem 25. Mai 2018 anzunehmen! Sie ist somit bewusst nicht vollständig und ausladend – sondern hoffentlich einladend.

Disclaimer: Diese Vorschläge ersetzen keine ausführliche Beratung oder Rechtsberatung. Formulierungen, die ich hier verwende, können in Rechtstexten andere Bedeutung haben. Dieser Artikel soll sensibilisieren und rechtlich unverbindliche allgemeine Informationen zur Verfügung stellen.

Fakten zur DSGVO

  1. Die Datenschutzgrundverordnung (DSGVO)/General Data Protection Regulation (GDPR) ist ein Recht zum Schutz der Daten natürlicher Personen.
  2. Sie tritt mit 25. Mai 2018 in Geltung. In Kraft getreten ist sie bereits 2016, jedoch scheint das Thema erst Ende 2017 so richtig Schwung bekommen zu haben: viele Unterlagen sind erst seit diesem Jahr verfügbar, viele Unternehmen sehen sich jetzt damit konfrontiert.
  3. Mit der DSGVO entstehen neue Rechte für Personen und Pflichten für Unternehmen.
  4. Ziel ist, der Privatperson gegenüber Unternehmen mehr Kontrolle über die Nutzung der eigenen Daten zu geben.
  5. Die Verordnung besteht aus 99 Artikeln, zu denen noch 173 durchnummerierte Erwägungsgründe als Ergänzung gehören.
  6. Die DSGVO enthält sog. Öffnungsklauseln, die den einzelnen Nationen die Anpassung (Konkretisierung, Ergänzung, Modifikation) der Verordnung ermöglichen.
  7. Die Bundesregierung in Österreich hat parallel ein Datenschutz-Anpassungsgesetz erlassen, das gleichzeitig mit der DSGVO geltend wird und das geltende Datenschutzgesetz (DSG 2000) ablöst.
  8. Wichtige weitere Gesetze, die die DSGVO thematisch berührt, sind das Telekommunikationsgesetz 2003 (z.B. Richtlinien für Kontaktaufnahme), das E-Commerce-Gesetz (z.B. Richtlinien für Webshops), das Urheberrechtsgesetz (z.B. Recht am eigenen Bild) und das Mediengesetz (z.B. Impressum)
  9. Auch die ePrivacy-Richtlinie zur elektronischen Kommunikation von 2002, die 2009 durch die Cookie-Richtlinie ergänzt wurde, wird voraussichtlich in eine Verordnung umgearbeitet werden.
  10. Die Aufsichtsbehörde ist in Österreich die Datenschutzbehörde. An sie gehen Meldungen von Datenschutzverletzungen, sie prüft Unternehmen. Sie ist quasi das Finanzamt des Datenschutz.
  11. Die Verordnung definiert ein grundsätzliches Verbot, personenbezogene Daten zu verarbeiten. Davon werden Ausnahmen definiert. (D.h., wird eine bestimmte Situation nicht als Ausnahme definiert, ist die Verarbeitung grundsätzlich verboten.)
  12. Personenbezogene Daten sind alle Daten, die direkt oder indirekt (in Kombination mit anderen Daten) auf eine echte, lebende Person hinweisen.
  13. Zur Verarbeitung der Daten zählt das Erheben, Speichern, Verändern, Weitergeben der Daten.
  14. Websites müssen ihre Besucher darüber informieren, welche Daten erhoben werden.
  15. Personen können bei einem Unternehmen anfragen, welche Daten über diese Person gespeichert sind. Innerhalb eines Monats müssen die Daten zur Verfügung gestellt werden. Die Person kann auch Änderung, Einschränkung der Datenverwendung und Löschung beantragen.
  16. Wenn ein Unternehmen Daten systematisch und regelmäßig verarbeitet, ist es ein Auftragsverarbeiter. Wenn es über den Zweck und die Nutzung der Daten entscheidet, ist es ein Verantwortlicher. Zumeist sind somit etwa Unternehmen mit Endkundenkontakt Verantwortliche und Servicedienstleister (z. B. Softwareanbieter, Hoster) zur Verarbeitung von Daten für Unternehmen dann Auftragsverarbeiter. Ein Unternehmen kann auch beide Funktionen innehaben.
  17. Warum ist das Thema so strittig? Weil viel technischer Aufwand notwendig ist, um Websites nachzurüsten, weil oft die Auslegung des Gesetztestexts nicht eindeutig ist. Man bekommt of gegenteilige Aussagen.

2 Schritte zur Umsetzung

Einfach gesagt zirkelt die Umsetzung der DSGVO um 2 Themen:

  1. Die Dokumentation der Datenverarbeitung unternehmensintern (nach innen). Das dreht sich um das Verzeichnis der Verarbeitungstätigkeiten, kurz: Verarbeitungsverzeichnis, das der Beweislage gegenüber der Datenschutzbehörde dient.
  2. Die transparente Kommunikation der eigenen Prozesse nach außen. Das dreht sich um die Datenschutzerklärung auf der eigenen Website bzw. weiteren Hinweisen gegenüber Kund/innen und Mitarbeiter/innen, deren Daten verarbeitet werden.

Beide „Schriftstücke“ sind das Ergebnis der Überlegungen, Entscheidungen, Änderungen (technisch-organisatorischen Maßnahmen, sog. TOM) und Dokumentation zur Datenverarbeitung.

Der erste Schritt ist eine gute Dateninventur, eine Suche nach all den personenbezogenen Daten im Unternehmen. Im zweiten Schritt werden die eigenen Prozesse an die DSGVO angepasst.

#1 Dateninventur

Welche Daten verarbeiten wir wie? Die Daten einem Relevanztest unterziehen und nicht gebrauchte Daten in diesem Zuge gleich löschen.

  • Welche Daten werden aus welchen Datenquellen erhoben?
  • Was wird mit den erhobenen Daten gemacht? Wo werden sie gespeichert?
  • Wozu werden sie gebraucht?
  • Auf welcher Gesetzesgrundlage dürfen sie verarbeitet werden?
  • Wie werden sie aufbewahrt?
  • Wer arbeitet mit ihnen oder hat Zugriff auf sie?
  • Was passiert mit den Daten? Werden sie weitergegeben? Wann werden sie gelöscht? Werden sie in anderen Formaten weiterverarbeitet?
  • Durch welche technischen Maßnahmen sind sie gesichert?

#2 DSGVO-Konformität herstellen

  • Verantwortlichen bestellen
  • Datenverarbeitungsprozesse definieren
  • Rechtsgrundlagen zur Datenerhebung bestimmen
  • Verarbeitungsverzeichnis (VV) erstellen
  • Prozesse für die Auskunft, Berichtigung, Löschung von Daten definieren
  • Verträge mit Auftragsdatenverarbeitern abschließen (ADV)
  • fehlende Einwilligungen einholen
  • TOM definieren
  • IT-Sicherheit überprüfen
  • Website(s): Datenschutzerklärung & Co.
  • Grundeinstellungen prüfen (privacy by default)

Nicht in allen Fällen:

  • Folgenabschätzung für neue Software definieren
  • Datenschutzverantwortlichen bestimmen
Beratungstermin zur DSGVO

Möchten Sie lieber in zwei Stunden im persönlichen Beratungsgespräch einen Überblick darüber bekommen, was Sie und ihr Unternehmen betrifft? Sie erhalten das nötige Rüstzeug für Ihre interne Dokumentation und die Kommunikation nach außen.

Zur Herstellung der DSGVO-Konformität aus technischer Sicht bzw. von IT-Seite biete ich gemeinsam mit meinen Partnern auch tatkräftige Unterstützung an. Interessiert? Sprechen Sie mich an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.