DSGVO – Was ist zu tun?

Author Nils Koppelmann
01. Jun. 2018
timer 7 Min.

Dieser Artikel ist als Zusammenfassung des Vortrages "DSGVO-Transparenzpflichten" bei Breakfast at BOETTICHER's von Matthias Bergt gedacht und soll einen kurzen Einstieg in das Thema Datenschutz Grundverordnung bieten.

Zum 25. Mai 2018 tritt die DSGVO in Kraft, wobei diese eigentlich bereits seit dann zwei Jahren Gültigkeit hat, jedoch dann die Übergangsphase abläuft.

DSGVO kurz für Datenschutz Grundverordnung. Die offizellen Dokumente sind hier zu finden: http://eur-lex.europa.eu/legal-content/...

Im Englischen ist die DSGVO auch als General Data Protection Regulation kurz GDPR bekannt.

Dieser Artikel ersetzt in keinem Fall eine juristische Beratung und soll nur als grobe Übersicht dienen

Ziel der DSGVO ist ein europaweit vereinheitlichtes Datenschutzrecht, das den Verbraucher vor Missbrauch oder unrechtmäßiger Speicherung und Verarbeitung . Speziell sind folgende Aspekte relevant:

  • Nachweispflicht
  • Transparenz

Die Nachweispflicht nach dem sogenannten Accountability Prinzip erfordert, dass der Verantwortungsträger in der Pflicht steht die gesetzmäßige Einhaltung des Datenschutzes zu gewährleisten und auch nachzuweisen.

Weiter sollen Betreiber von Webseiten, anderen Online-Diensten aber auch offline agierende Betriebe mehr Transparenz schaffe, in dem für den Verbraucher eindeutig sichtbar wird, welche Daten erfasst und wie verarbeitet werden.

Der Anwendungsbereich bezieht sich auf natürlich (identifizierbare) Personen, wobei es genügt, wenn eine Person indirekt bestimmbar ist. Prinzipiell ist immer davon auszugehen, dass personenbezogene Daten verarbeitet werden.

Informationspflichten

  • keine heimliche Verarbeitung
  • Bsp. bei Bewerbungsempfang: Antwortmail mit Hinweis auf nach Artikel 13 DSGVO erhobene Daten

Als Unternehmen müssen Sie auf folgendes hinweisen:

  • Name und Kontaktdaten des Unternehmens
  • Kontaktdaten des zuständigen Datenschutz Beauftragten (DSB)
    • Name muss nicht, sollte aber genannt werden
  • Zwecke der Datenverarbeitung (DV) und Rechtsgrundlage
    • Verarbeitung personenbezogener Daten nur für vorab spezifische festgelegte Zwecke
    • Festlegung von Zwecken und Rechtsgrundlage verbindlich
    • Änderung des Zweckes der DV ist nur durch informierte Zweckänderung möglich, hieraus entsteht eine erneute Informationspflicht
    • zu weite Zweckfestlegung kann die Datenverarbeitung/ -erhebung rechtswidrig machen.

Prinzipiell gilt die Devise:

Erst denken, dann verarbeiten.

Generell gilt, Sie müssen sich nur um die Daten kümmern, die Sie selbst verarbeiten. So müssen sich externe Dritte, an die Sie die Daten Ihrer Kunden etwa zum Zwecke der Vertragserfüllung weitergeben dürfen, sich selbst um die Einhaltung des Datenschutzes kümmern und ggf. den Kunden gesondert über die Datenverarbeitung informieren.

  • Interessensabwägung
    • intern sollten Sie abwägen, ob Sie an den erhobenen Daten ein berechtigtes Interesse haben. Bsp.: der Beziehungsstatus ist nicht zur Vertragserfüllung eines Kaufvertrages notwendig und sollte entsprechend auch nicht erhoben werden
  • Empfänger oder Kategorien von Empfängern
    • falls bekannt, nennen. Bsp. Rechnungsabteilung erhält Rechnungsdaten / Bestellnummer
  • Datenexport EU weitestgehend vermeiden, da DSGVO (GDPR) nur für Europa gilt und somit eine Datensicherheit außerhalb der EU im Normalfall nicht gewährleistet werden kann
    • falls Daten exportiert werden, sollte darauf aufmerksam gemacht werden
  • Speicherfrist
    • machen Sie darauf aufmerksam, wie lange Sie die erhobenen Daten speichern und weisen Sie indes Ihr bestehendes berechtigtes Interesse nach (Bsp.: Bestandskunden)
    • sollten einige Datenfelder wie etwa solche notwendig für Buchhaltung über einen längeren Zeitraum gespeichert werden müssen, so sollten Sie auch darüber informieren
    • sollten Sie die Daten eines Kunden löschen, sollten Sie darüber im Voraus informieren
    • ein geregeltes und dokumentiertes Löschsystem ist zu empfehlen
  • Betroffenenrechte umfassen
    • Recht auf Auskunft
    • Recht auf Berichtigung
    • Recht auf Löschung
    • Recht auf Widerspruch
    • Recht auf Datenübertragbarkeit (Mitnahme der Daten in üblicher geordneter Form)
  • Recht auf Einwilligung zu Widerrufen
  • Recht auf Beschwerde bei Aufsichtsbehörde
    • geben Sie die zuständige Behörde direkt an, etwa auf Ihrer Internetpräsenz im Bereich Datenschutz

Neben weiteren Informationspflichten, sind das die m.E. wichtigsten.

Für mehr Informationen konsultieren Sie bitte oben genannte Gesetzestexte. Eine individuelle Beratung durch einen Rechtsanwalt mit Spezialisierung im IT-Recht ist durchaus zu empfehlen.

Dokumentation

Sollten Sie Personendaten digital verarbeiten, so sei angeraten, entsprechende Prozesse zur Datenverarbeitung zur dokumentieren und auch die jeweilige Verarbeitung einzelner Daten zu dokumentieren. So können Sie später, im Falle einer Prüfung durch zuständige Behörden, nachweisen, dass Sie entsprechend geltender Rechtsgrundlage gehandelt haben, also auch Ihrer u.U. Informationspflicht nachkommen.

Dokumentieren Sie auch unbedingt Ihre Löschkonzepte.

Tipp für Programmierer: ein einfaches Kommentieren im Quellcode ist nicht ausreichend.


Dieses Artikel kann umfasst lediglich einen der Änderungen hinsichtlich der DSGVO. So haben Sie bitte Verständnis dafür, dass dieser Artikel in keiner Weise eine Rechtsberatung weder zu ersetzen, noch nachzuahmen versucht. Er dient lediglich der allgemeinen Information.

Für kompetente Beratung wenden Sie sich bitte an einen Rechtsanwalt, etwa Matthias Bergt, der den Vortrag gehalten hat, der diesem Artikel vorausgeht.

star
Nichts verpassen...

Melden Sie sich jetzt zum Newsletter an und verpassen Sie von nun an keine Neuigkeiten mehr...