DSGVO für durchschnittliche Betriebe

Verordnung (EU) 2016/679 – Datenschutz Grundverordnung (DSGVO)

Vorweg muss ich sagen, dass die DSGVO nichts grundlegend Neues ist. Es wurden ein paar Bezeichnungen geändert und das Datenverarbeitsungsregister (DVR) wurde in die Unternehmen ausgelagert. Sicherlicht gibt es Spezialfälle die schon als Neuerung durchgehen würden, diese betreffen aber die wenigsten Unternehmen.

Hier will ich nur auf die Mindestanforderungen eingehen, damit man nicht die vollen Strafen ausfasst, denn eines wurde in vielen Vorträgen bereits erwähnt – eine 100% konforme Umsetzung ist fast nicht möglich.

Die Datenschutzbehörde ist kein Schreckgespenst. Man kann sich mit den Anliegen und Fragen immer an diese wenden, nur ist sie momentan ziemlich eingespannt. Trotzdem muss man sich an diese wenden, wenn man ein hohes Risiko bei der Datenschutzfolgeabschätzung herausbekommen hat.

Dieser Artikel basiert auf dem original Gesetzestext, da viele Personen oft zu viel in Aussagen von Dritten hineininterpretieren. Der Gesetzestext besteht aus immerhin 88 Seiten – da kann man unterwegs schon mal die Konzentration verlieren.

Links:
Gesetzestext: http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679
WKO: https://www.wko.at/datenschutz

KAPITEL I – Allgemeine Bestimmungen

Folgende Punkte werden in diesem Kapitel behandelt:

Artikel 1 – Gegenstand und Ziele
Artikel 2 – Sachlicher Anwendungsbereich
Artikel 3 – Räumlicher Anwendungsbereich
Artikel 4 – Begriffsbestimmungen

Das DSGVO zielt auf jede Organisation (also auch Vereine!) die personenbezogene Daten von betroffenen Personen verarbeitet. Räumlich geht es um jede Person die in der EU ist. Wenn du nur amerikanische Daten hast, ist es für dich nicht anzuwenden. Ich geh aber davon aus, dass du dann Angestellt hast und du allein deswegen personenbezogene Daten deiner Mitarbeiter hast.

Interessant sind hier folgende Begriffsbestimmungen:

Personenbezogene Daten:: Alles was eine Person identifiziert. Name, Anschrift, Kontaktdaten, Geburtsdatum, SVNr. Dabei ist egal ob es direkt oder indirekt verarbeitet wird.
Sensible Daten:: Wenn es mehr als nur um eine Identifizierung geht, sind es sensible Daten. Biometrische- und Gesundheitsdaten, Meinungen, Gesinnungen, Vorlieben, Ethik usw.
Verarbeitung: ist alles. Lesen, schreiben, kopieren, öffnen, durcharbeiten oder einfach nur ablegen. Das heißt, es gilt auch für Sachen wie Dropbox und du musst sorge tragen, dass Dropbox dem DSGVO Standard entspricht, oder alles verschlüsselt ist.
Profiling: Ableiten von Aspekten wie Gesundheit, Arbeitsleistung, Vorlieben oder sonstiges anhand der gewonnen Daten.
Pseudonymisierung: Ist etwas heikel. Wenn du alle Daten welche die Person identifiziert wo anders ablegst als die restlichen Daten, dann ist es pseudonymisiert. Das hilft dir aber im Endeffekt nichts. Das mindert nur die Risiken während der Folgeabschätzung.
Anonymisierung: Das hilft schon mehr, denn dann gibt es keine identifizierenden Daten!
Verantwortlicher: Das bist du!
Auftragsverarbeiter: Das ist der, der Daten für dich verarbeitet. Das kann auch dein Entwickler sein, oder dein Hoster vom Webshop. Und Apple oder Google wenn du Kontaktdaten auf deinem Handy nicht in deinem eigenen Exchange speicherst.
Empfänger: Empfänger ist man erst, wenn die Daten für dich bestimmt sind. Das ist also nicht der Auftragsverarbeiter.

KAPITEL II – Grundsätze

Folgende Punkte werden in diesem Kapitel behandelt:

Artikel 5 – Grundsätze für die Verarbeitung personenbezogener Daten
Artikel 6 – Rechtmäßigkeit der Verarbeitung
Artikel 7 – Bedingungen für die Einwilligung
Artikel 8 – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Artikel 9 – Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 10 – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Artikel 11 – Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Grundsätzlich darfst du Daten nur verarbeiten, wenn es gesetzlich vorgeschrieben (Artikel 6 c) ist, wenn du nur dadurch das Leben der betroffenen Person schützt (Artikel 6 d – Gesundheitsbetriebe) oder wenn du eine Einwilligung (Artikel 6 a) hast – ODER und das ist relevant, wenn das berechtigte Interesse der Verarbeitung (Artikel 6 f) den Schutz der Daten übersteigt. Damit wurde Direktwerbung wieder ermöglicht! Aber mehr ist das dann auch wieder nicht 😛
Denn du hättest zwar laut TKG jedem einen Brief schreiben dürfen, aber laut DSGVO dann nicht mehr.

Für Gesundheitsbetriebe wie Pflegeeinrichtungen ist daher keine Einwilligung nötig, da bei falscher Medikamenten- oder Nahrungsgabe die lebenswichtigen Interessen der betroffenen Person erheblich gestört sein könnten. Hier handelt es sich aber immer um sensible Daten die besonderen Schutz brauchen. Daher müssen Mitarbeiter geschult werden, ähnlich wie der Auftragsverarbeiter einen Vertrag haben (siehe Artikel 28) der klar regelt wozu man die Daten verarbeitet und die Mitarbeiter müssen im Umgang mit Datensicherung, Verschlüsselung usw. geschult werden. Es hilft nichts, wenn die am Server verschlüsselten Daten, offen auf dem Desktop abgelegt werden.

Wie holst du jetzt, wenn du das überhaupt braucht, die Einwilligung rechtmäßig ein?

Du brauchst einen Nachweis, dass die Person zugestimmt hat. Also, Kopie des Bestätigungsmails beim Newsletter, ein Hackerl in einem Online-Formular, eine Unterschrift oder Ähnliches.
Wenn verschiedene Verarbeitungen möglich sind, dann müssen allen extra zugestimmt werden und nichts darf implizit sein. Also Newsletter darf nicht automatisch bei einer Bestellung angehakt sein.
Ein klarer Hinweis auf die Widerrufsmöglichkeiten
Es war wirklich freiwillig (deckt sich ein wenig mit 2)

Laut Artikel 9 Absatz 2e darf man sensible Daten einer Person verarbeiten, wenn diese öffentlich gemacht wurden. Das heißt, wenn jemand öffentlich auf Facebook postet, dass er JW Mitglied ist und die WK super findet, dann kann ich das für mich nutzen und verarbeiten.

KAPITEL III – Rechte der betroffenen Person

Folgende Punkte werden in diesem Kapitel behandelt:

Abschnitt 1 – Transparenz und Modalitäten
- Artikel 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
- Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- Artikel 15 – Auskunftsrecht der betroffenen Person
Abschnitt 3 – Berichtigung und Löschung
- Artikel 16 – Recht auf Berichtigung
- Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)
- Artikel 18 – Recht auf Einschränkung der Verarbeitung
- Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- Artikel 20 – Recht auf Datenübertragbarkeit
Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
- Artikel 21 – Widerspruchsrecht
- Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Abschnitt 5 – Beschränkungen
- Artikel 23 – Beschränkungen

Hier hat sich nicht viel getan. Jede Person hat immer noch das Recht auf Auskunft, Richtigstellung, Löschung und Widerspruch. Jetzt kann man aber auch noch Beschränkungen festlegen. Und auch neu ist die Datenübertragbarkeit. Jeder der bei dir Daten bunkert, muss dies auch als Export zur Verfügung gestellt bekommen können.

Wenn du Daten erhebst musst du Artikel 13 (unter Berücksichtigung von Artikel 6 und 7) beachten. Beim Erheben von zum Beispiel Newsletter Kontaktdaten, musst du dem potentiellen Kunden erklären, wofür die Daten sind, wer die Daten bekommt, wo die Daten hingehen und dass du ein “berechtigtes Interesse” hast.

Zum Beispiel: Hiermit willigst du ein, dass deine Kontaktdaten nur für die Zustellung des Newsletters rund um SEO, Webentwicklung und Datenschutz genutzt werden dürfen. Damit wollen wir sicherstellen, dass du über aktuelle Entwicklungen bei der Firma DI Alexander Herzog bescheid weißt und rechtzeitig Schritte einleiten kannst. Wir speichern die Daten ausschließlich bei uns und geben diese keinem weiter. Du kannst natürlich jederzeit im Sinne der DSGVO Artikel 7 wiederrufen in dem du im Newsletter auf “abmelden” klickst oder uns anderwertig in Kenntnis setzt.

Es gibt noch ganz wilde andere Ansatzpunkte in dem die Verantwortlichen zum Beispiel Mailchimp nehmen. Das ist ein Internationaler Newsletter-Anbieter. Wenn die Daten also ins Ausland gehen, muss dies auch noch extra festgehalten werden.

Zum Beispiel: Wir nutzen Mailchimp um den Newsletter zu versenden. Du stimmst also auch zu, dass wir deine Kontaktdaten an diese Organisation im Sinne der DSGVO Artikel 13 Absatz f weitergeben. Diese Firma entspricht dem Angemessenheitsbeschluss und deine Daten sind daher sicher.

Weil das schon wieder recht viel Text ist, der da zu bestätigen ist, rate ich von sowas ab und schlage Newslettertools wie das WordPress Plugin MailPoet und den eigenen SMTP Server vor.

KAPITEL IV – Verantwortlicher und Auftragsverarbeiter

Folgende Punkte werden in diesem Kapitel behandelt:

Abschnitt 1 – Allgemeine Pflichten
- Artikel 24 – Verantwortung des für die Verarbeitung Verantwortlichen
- Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Artikel 26 – Gemeinsam für die Verarbeitung Verantwortliche
- Artikel 27 – Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
- Artikel 28 – Auftragsverarbeiter
- Artikel 29 – Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
- Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten
- Artikel 31 – Zusammenarbeit mit der Aufsichtsbehörde
Abschnitt 2 – Sicherheit personenbezogener Daten
- Artikel 32 – Sicherheit der Verarbeitung
- Artikel 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Abschnitt 3 – Datenschutz-Folgenabschätzung und vorherige Konsultation
- Artikel 35 – Datenschutz-Folgenabschätzung
- Artikel 36 – Vorherige Konsultation
Abschnitt 4 – Datenschutzbeauftragter
- Artikel 37 – Benennung eines Datenschutzbeauftragten
- Artikel 38 – Stellung des Datenschutzbeauftragten
- Artikel 39 – Aufgaben des Datenschutzbeauftragten
Abschnitt 5 – Verhaltensregeln und Zertifizierung
- Artikel 40 – Verhaltensregeln
- Artikel 41 – Überwachung der genehmigten Verhaltensregeln
- Artikel 42 – Zertifizierung
- Artikel 43 – Zertifizierungsstellen

Ganz klar ist, dass der Verantwortliche nicht mit den Daten hausieren geht. Rechtmäßig erhobene Daten sind zweckgebunden. Die meisten Unternehmen speichern ohnehin nur Rechnungs und Kontaktdaten. Eventuell ein paar “sensible” Hinweise der Kontaktperson im CRM.

Artikel 25 – Hier geht es darum, dass du Daten nicht blank auf einem ungeschützten PC liegen hast. Natürlich ist es immer möglich, dass jemand einen PC oder ein Onlinekonto hackt. Daher sollte man immer Backups haben, diese sind aber idealerweise zu verschlüssel, damit ein Einbrecher mit einer gestohlenen Festplatte nichts anfangen kann. Denn nur ein Passwort beim PC Login ist nicht wirklich ausreichend. Das heißt aber auch, dass es unter Berücksichtigung der Daten (sensibel oder nicht) auch ok ist, wenn man die Rechnungs- oder Kontaktdaten auch in einer entsprechenden Cloud Lösung ablegen kann – denn diese sind immer zumindest passwortgeschützt. Der zweite Punkt, die Datenminimierung, bedeutet, dass man für Rechnungsdaten nicht noch den Namen des Hundes miterfasst. Es sollten so wenig Daten wie nur irgendwie möglich erhoben und verarbeitet werden.

Artikel 28 – Auftragsverarbeiter. Jeder wird einen haben. Irgendwo muss ja der Webshop gehostet sein oder du hast eine Webseite mit Kontaktformular. Ich denk mir aber, dass die Telekom oder andere Hoster etwas standardmäßig in deren Verträge reinschreiben werden. Dass sie keinen Zugriff auf die Daten am Server haben usw. – mit denen brauchst du also wahrscheinlich keinen Auftragsverarbeitungsvertrag.

Auf jeden Fall gibt es eine tolle Vorlage bei der WK unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

Bitte genau festhalten, warum der Auftragsverarbeiter Zugriff auf die Daten bekommt. Wie gesagt, meistens wird es einen Entwickler geben, der sich einen Geschäftsfall im Webshop ansieht oder der Steuerberater bekommt alle Rechnungen geschickt (die von oder an Private oder eine EPU gehen).

Für jeden Mitarbeiter empfehle ich Folgendes auszufüllen: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verpflichtungserklaerung-datengeheimnis.html
Wie gesagt, von den Großen wird es sicher irgendwo Standard-Texte zum Runterladen geben, wenn der 28. Mai kommt. Aber auch kleine Firmen sollten für ihre Standardarbeiten fertige Texte bereitstellen. Das kann auch direkt in einen bestehenden oder neuen Vertrag eingearbeitet werden.

Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten. Auch Datenverarbeitungsverzeichnis genannt. Hierzu gibt es Vorlagen von der WKO. https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html
Mir ist dieses Dokument in den meisten Fällen aber zu klobig, da oft keine sensiblen Daten verarbeitet werden die mehr Dokumentation erfordern. Da kann eine Excel Liste auch reichen.
Oben schreibt man einfach die Kontaktdaten des Betriebes und des Datenschutzbeauftragten hin und dann eine Tabelle mit den Anwendungen die man hat.

Zum Beispiel:

Zweck der Verarbeitung	Betroffene	Daten	Empfänger	Drittländer	Fristen	Datensicher- heitsmaß- nahmen
Rechnungs- legung	Kunden	Rechnungs- anschrift, Leistungen	Kunde selbst, Steuerberater	USA, Google Cloud Storage Drive	Löschung nach 7 Jahren	Passwort- geschützt, 2 Faktor Authentisierug, Cloud
Newsletter	Kunden, Interessenten	Kontaktdaten	–	–	Löschung nach Rücktritt	Passwort- geschützt, VM-Server in DE
Ticketsystem	Kunden	Kontaktdaten	–	–	Löschung bei Beendigung der Kunden- beziehung	Passwort- geschützt,2 Faktor Authentisierug, VM-Server in DE
Rechnungs- legung Webshop	Kunden	Rechungs- anschrift	Kunde, Steuerberater	–	Konten nach 7 Jahren Inaktivität gelöscht	Passwort- geschützt, VM-Server in DE
Adressbuch (berechtigtes Interesse)	Kunden, Lieferanten	Kontaktdaten	–	USA, Google, Contacts	Löschung bei Beendigung der Kunden- beziehung	Passwort- geschützt, 2 Faktor Authentisierug, Cloud

Wenn du noch als Auftragsverarbeiter agierst, musst du für jeden Kunden noch ein Verzeichnis führen. Das ist aber mehr oder minder Copy-Paste. Hier schreibst du die eigenen Kontakdaten und die Kontaktdaten des Verantwortlichen (deines Kunden) und eventuell des Datenschutzbeauftragten in den Header.

Diese Liste ist aber einfacher. Du musst nur die Kategorien von Verarbeitungen aufschreiben sowie die technischen Maßnahme und ob es in ein Drittland kommt.
Ist man also Entwickler oder Server-Administrator so könnte das so aussehen:

Kategorie von Verarbeitungen	technisch und organisatorische Datensicherheitsmaßnahmen	Drittland
Serverupdates, Nachstellen von Geschätsprozessen, Fehlerbehebung der eingesetztn Software.	Schutz durch RSA-Key Authentifizeriung am Server. IP Restriktion	Ticketdaten werden auf US, Amazon Server gespeichert. Diese können in einzelfällen Namen von Shop-Kunden beinhalten.

Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern usw. trifft quasi niemanden, denn jeder verarbeitet regelmäßig Rechnungsdaten. Wenn man nur an Unternehmen Rechnungen stellt, dann dürfen diese Daten aber keine Kontaktporsonen enthalten und keine EPU sein. Dann müsste man das nicht machen – darum rate ich dir, die Liste einmal zu schreiben und fertig.

Artikel 32 – Sicherheit der Verarbeitung ist eigentlich mehr für das Unternehmen selbst als für die Datenschutzbehörde da. Hier geht es darum, ein Backup zu haben, Daten geschützt abzulegen und angemessene Pseudonymisierung und Verschlüsselung einzusetzen und diese Vorgänge auch ab und zu zu prüfen. Sprich ein Backup rückzusichern. Oder geglaubt verschlüsselte Daten zu prüfen.

Artikel 37-39 – Datenschutzbeauftragter. Den brauchst du, sobald du sensible Daten hast oder Profiling mit Entscheidungen verknüpfst. Er ist nicht Verantwortlich und zahlt auch nicht die Strafe, ist aber jemand, der über alle Datenschutz-Vorgänge bescheid wissen sollte. Außerdem sollte er wissen, worum es geht und schon mal mit so etwas zu tun gehabt haben und beratend zur Seite stehen. Ich würde ihm nicht im Weg stehen, auch wenn er ungemütlich ist, denn wenn die Vorschläge des Datenschutzbeauftragten nicht eingehalten werden, könnten die relativ hohen Strafen schlagend werden. Er muss keine Zertifizierung haben!

KAPITEL V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

Diese Kapitel ist für jeden der etwas in der Cloud betreibt oder diverse Services nutzt wichtig!