Änderung der Datenschutz Grundverordnung (DSGVO) 2018!

Ab dem 25. Mai wird es ernst. Die Datenschutz Grundverordnung (DSGVO) wird extrem verschärft und sehr hohe Strafen zwingen alle Unternehmer von klein bis groß zum Handeln. Es warten umfangreiche Dokumentationspflichten auf Sie. Wir erklären Ihnen worauf Sie achten sollten, welche Schritte nötig sind und helfen unseren Kunden bei der Umsetzung.

Bisher wurde das Thema Datenschutz in vielen Unternehmen vernachlässigt. Dies wird jedoch ab dem 25. Mai sehr risikoreich und teuer. Da für uns eine gute Betreuung auch bedeutet, auf Neuerungen im Business hinzuweisen und zu sensibilisieren, haben wir die nötigen Schritte für alle Nichtjuristen verständlich aufbereitet. Durch Vorfälle wie aktuell bei Facebook werden auch in Zukunft die Datenschutzbestimmungen immer weiter verschärft und es wird immer härter durchgegriffen. Also bitte nehmen Sie diesen Beitrag sehr ernst!

Häufige Fragen zu der Änderung der Datenschutz Grundverordnung (DSGVO) 2018

Um welche Personenbezogenen Daten geht es bei der DSGVO?

Die Datenschutzgrundverordnung ist zuständig für personenbezogenen Daten.

Bei Ihnen als Unternehmer sind das z.B.:

  • eigene Kundendaten
  • eigene Mitarbeiterdaten
  • eigene Daten die von Dritten weiterverarbeitet werden  (z.B.  Wenn Sie Ihre Buchhaltung machen lassen oder auch ein cloudbasiertes Kundenmanagementsystem nutzen).

In so einem Fall muss ein Vertrag zwischen den Parteien geschlossen werden. In diesem muss explizit aufgeführt werden welche Daten und zu welchem Zweck die Daten verarbeitet werden. Ebenfalls wie die Daten geschützt werden und wann sie gelöscht werden.
Diese Verträge werden bei einer Überprüfung genau kontrolliert.

Im Einzelnen sind das: 

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

Welche Kosten kommen auf die Unternehmen zu ?

  • Personalkosten: Je nachdem auf welchem Gebiet, welche Strukturen und wie intensiv mit den personenbezogenen Daten gearbeitet wird, muss diese Person regelmäßig geschult und weitergebildet werden.

  • Unterstützung durch andere Bereiche: Ein Datenschutzbeauftragter kann nicht alles selbst umsetzen. Lösungswege können nur mit anderen Bereichen umgesetzt werden. z.B. IT, Personalabteilung, Steuer etc… Um dieses zu ermöglichen muss Budget frei gegeben werden.

  • Fachliteratur: Leider sind Fachbücher und Gesetzeskommentare nicht für wenig Geld zu bekommen und haben immer Ihren Preis.

  • Weiterbildung des Datenschutzbeauftragten: Der Datenschutzbeauftragte muss immer auf dem neusten Stand sein. Das beinhaltet Fort- und Weiterbildungen.

  • Anpassung der Unterlagen und Verträge etc. Sämtliche Verträge und Dokumente müssen an die neue Gesetzgebung angepasst werden. Das regelt sich meist nicht von selbst und erst recht nicht von jetzt auf gleich.

  • Schulung aller Mitarbeiter: Das gelernte Wissen des Datenschutzbeauftragten muss unter die Leute gebracht werden. Am besten in Form von Schulungen. Auch diese Maßnahme verursacht zusätzliche Kosten.

  • Reisekosten: Durch die Weiterbildungen und Schulungen können Reisekosten entstehen. Wichtig: Auch Unternehmen die außerhalb der EU sind müssen in Zukunft auf die DSGVO achten.

  • Externe Beratung durch Anwälte: Unter Umständen braucht auch Ihr Datenschutzbeauftragter bei der Umsetzung und Formulierung in Verträgen einen anwaltlichen Rat. Dies erfordert leider und nicht selten sehr viel Geld.

  • IT-technische Umsetzung: Alle Systeme, Webseiten und Datenverarbeitungsverfahren müssen umgestellt und angepasst werden. Wenn Sie nicht gerade ein Fullservice Paket von den Erfolgsbringern besitzen, hat diese Umstellung Ihren Preis und muss gut durchdacht sein.

Wie wahrscheinlich ist eine Abmahnung ?

Die Datenschutzbehörden haben weiterhin eine Beratungsfunktion, deren Ziel es nicht ist, jedes Unternehmen willkürlich abzumahnen.
Jedoch ist die Wahrscheinlichkeit von einem Verband abgemahnt zu werden sehr hoch.  Gerade Verbände bekommen durch die Abmahnungswellen regelmäßig neue Mitglieder, indem sie aufzuzeigen,  dass Unternehmer in einem Verband besser beraten sind.
Durch diese erfolgreiche Methode ist die Motivation Abmahnungen zu verschicken leider sehr hoch und es wird häufig zu dieser Methode gegriffen.
Damit Sie nicht auch ein „Opfer“ der Abmahnungswellen werden, muss bei Ihnen als Unternehmer der Fokus in Punkto Datenschutz darauf liegen, alle Regeln die von außen einsehbar sind, einwandfrei einzuhalten.

Beispiele hierfür sind:

  • Double-Opt-in bei Newsletter-Anmeldungen (Bestätigung per E-Mail sich angemeldet zu haben)
  • die richtige Datenschutzerklärung auf der Webseite inklusive des Datenschutzbeauftragten
  • Widerrufsmanagement für Datenprozesse (d.h.: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis ihre Daten zu verarbeiten, widerrufen können)

Sobald eine Abmahnung über einen Verband erfolgt, muss auch die Datenschutzbehörde ermitteln. Wenn dann Verstöße festgestellt werden, kommt es auch von deren Seite zu einer weiteren Abmahnung und zu empfindlich hohe Strafen. Sie werden also doppelt zur Kasse gebeten.

Welche Strafen erwarten die Unternehmer bei Missachtung?

Sollten Sie sich an die Datenschutz-Grundverordnung nicht halten, drohen erhebliche Strafen.
Diese belaufen sich auf 2 bis 4 Prozent des Unternehmensumsatzes oder 10 bis 20 Millionen Euro. Je nachdem welcher Betrag höher ausfällt. Derart hohe Strafen gab es noch nie. Diese sollen als Abschreckung gelten und die Unternehmer zum Handeln zwingen.

Warum gab es überhaupt eine Änderung?

Der bisherige europäische Rechtsrahmen für den Datenschutz, die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), stammt aus dem Jahr 1995 als das Internet noch am Anfang stand. Probleme mit Social Media, Clouds und anderen Datenverarbeitungsdiensten gab es zu dieser Zeit noch nicht.
Ebenfalls wurde bisher der Rechtsrahmen in Form einer Richtlinie gesetzt. Das bedeutet, es wurde nur der Mindeststandard festgelegt, an den es sich zu halten galt. Die EU-Mitgliedstaaten mussten die Vorgaben für sich erst einmal in ein nationales Recht umsetzen. Das führte jedoch letztendlich zu 28 teils erheblich unterscheidenden Datenschutzgesetzen innerhalb der EU. Daher gab es jetzt den Schritt zu einer EU-Verordnung.

Der Vorteil: Die enthaltenen Festlegungen gelten unmittelbar in jedem EU-Mitgliedstaat und es gibt keine nationalen Datenschutzrechte mehr.

Wann brauche ich einen Datenschutzbeauftragten?

Art. 37 Abs. 1 DSGVO

„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Das bedeutet: Einen Datenschutzbeauftragten brauchen laut Artikel 37 der DSGVO alle Unternehmen, in denen personenbezogene Daten (automatisiert) verarbeitet werden. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Adressdaten von Kunden.
Einen Datenschutzbeauftragten bestellen brauche ich als Unternehmen entweder, wenn:

  • sich mindestens zehn Mitarbeiter regelmäßig mit diesen Daten beschäftigen. Allerdings zählt hierbei jeder Mitarbeiter mit.
    Auch wenn es sich nur um Teilzeitkräfte handelt die sich einmal in der Woche damit beschäftigen.
  • Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig sind. Das gilt für besonders sensible Daten oder wenn ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden. Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheit. Auch eine ganz kleine Arztpraxis mit Patientendaten braucht also einen Datenschutzbeauftragten. Auch wenn ein Unternehmen eine Videokamera auf seinem Werksgelände aufstellt, gelten diese Bilder als besonders sensibel.
  • Das Unternehmen personenbezogene Daten an Dritte übermittelt (klassischer Adresshandel oder Meinungsforschung)

Welche Schritte muss ich jetzt in meinem Unternehmen umsetzen ?

Datenschutzbeauftragten benennen

Die Kontaktdaten des Datenschutzbeauftragten (Telefonnummer oder E-Mail-Adresse) müssen sowohl im Intranet (wenn vorhanden) als auch auf der Webseite veröffentlicht werden. Darüber hinaus muss das Unternehmen laut Artikel 37, Absatz 7 DSGVO die Kontaktdaten des Datenschutzbeauftragten der Landesdatenschutzbehörde mitteilen. Diese Behörde schaltet sich dann bei Datenschutzverstößen ein. Ein Auflistung finden Sie hier.

Bei kleineren Unternehmen kann auch der Geschäftsführer als Datenschutzbeauftragter fungieren!

Die Aufgaben des Datenschutzbeauftragten stehen in Artikel 39 der DSGVO. Zusammengefasst soll er andere Mitarbeiter beraten und schulen. Der Datenschutzbeauftragte ist verpflichtet sein Können durch Weiterbildungen aufzufrischen!

In einem anderen News Beitrag sind wir noch einmal intensiv auf dieses Thema eingegangen.

Verzeichnis der Verarbeitungstätigkeiten anlegen

Verzeichnis der Verarbeitungstätigkeiten anlegen bedeutet, eine Tabelle anzulegen welche Daten wann, wie und warum in Ihrem Unternehmen erhoben werden. Etwa die Daten der Kunden wie: Name, Adresse, Telefonnummer. Auch die internen Daten müssen genannt werden wie  Personaldaten, Daten aus der Lohnbuchhaltung. So eine Tabelle ist bei der Datenschutzbehörde meist schon ausreichend.

Abgefragt werden sollten:

  • Welche Informationen erhalten Ihre Kunden über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit?
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss.
  • Werden Daten anonymisiert oder pseudoanonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

Hieraus erstellt man dann ein Verarbeitungsverzeichnis. Sie als Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung (etwa bei einer Online-Terminvergabe oder Reservierung) über die Speicherung (etwa bei einem externen Anbieter für Terminmanagement) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).

Beispiel anhand eines Beauty Salons XY – Externe Daten

Verantwortlich Salonleiterin Bettina Mustermann, Adresse, Telefonnummer
Zweck Terminabsprache, Erbringung der Dienstleistung – Kosmetik
Betroffene Kunden des Beauty Salons XY
Wer kann auf die Daten zugreifen? Alle Mitarbeiter des Frisörsalons Haarscharf
Datenkategorie Kosmetik (Behandlungsmethode, Produkte, Bonuskarte)
Übermittlung an Drittstaaten Nein
Löschfrist Bei Widerruf des Betroffenen
Rechtsgrundlage DSGVO Art. 6, Abs. 1b
Einwilligung des Betroffenen Jeder Kunde wird auf die Erfassung der Daten durch die Mitarbeiter mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann.

Beispiel anhand eines Beauty Salons XY – Interne Daten

Verantwortlich Salonleiterin Bettina Mustermann, Adresse, Telefonnummer
Zweck Bewerbermanagement
Betroffene Bewerber
Wer kann auf die Daten zugreifen? Salonleiterin Bettina Mustermann, Adresse, Telefonnummer
Datenkategorie Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse)
Übermittlung an Drittstaaten Nein
Löschfrist Sechs Monate nach Beendigung des Bewerbungsverfahrens
Rechtsgrundlage DSGVO Art. 6, Abs. 1b
Einwilligung des Betroffenen Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.

Prozesse festlegen und ein Prozesshandbuch schreiben

Unternehmer sollten jetzt alle die mit der Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren.

Einige Beispiele sind:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (z.B. bei einem Gewinnspiel nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

Datenschutz-Folgeabschätzung durchführen

Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.

  • Beschreibung der Datenverarbeitungsvorgänge
  • Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein
  • Beschreibung der Risiken, die für betroffene Personen bestehen
  • Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
  • Dokumentation: Wie wird im Falle eines Leaks verfahren?
  • Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?

Alle Anstrengungen dokumentieren

Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen?

Desto mehr Richtlinien Sie befolgen, desto geringer ist das Risiko abgemahnt und mit hohen Bußgeldern bestraft zu werden. Sollte es dennoch passieren, das Sie abgemahnt werden, obwohl Sie die oben genannten Punkte direkt vorlegen und nachweisen können, stehen die Chancen gut ohne ein hohes Bußgeld davon zu kommen.  

2018-05-20T00:04:33+02:00April 16th, 2018|Alle, Datenschutz, Rechtliches|1 Kommentar

Über den Autor:

Avatar-Foto

Ein Kommentar

  1. Externer oder interner Datenschutzbeauftragter? - Die Erfolgsbringer - Fullservice Werbeagentur, Internet Marketing 3. Mai 2018 um 21:13 Uhr - Antworten

    […] oder interner Datenschutzbeauftragter? Zurück Externer oder interner […]

Hinterlasse einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

  • Die Erfolgsbringer GmbH & Co. KG
    Jägerstraße 45-47
    53721 Siegburg

© Die Erfolgsbringer  |  Alle Rechte vorbehalten.  | Impressum | Datenschutz | AGB | Cookie-Einstellungen | Made with ♥ by dieerfolgsbringer.de

02241 1276757 02241 1276757 info@dieerfolgsbringer.de Facebook Instagram Routenplaner
Nach oben