„Unsere Daten sind ausgelagert – die sind verantwortlich!”

Verantwortung ist nicht delegierbar

Der Verantwortliche (Auftraggeber) bleibt auch bei Abgabe an einen Auftragsverarbeiter (Auftragnehmer) hauptverantwortlich für den Schutz der Rechte der betroffenen Personen. (Art. 28 Abs. 1 DSGVO). Der Auftragnehmer muss garantieren (und dokumentieren), dass die geeigneten techn. und organisatorischen Maßnahmen (Art. 32) durchgeführt werden. Hiervon hat der Auftraggeber sich optimalerweise vor der Vergabe zu vergewissern.

Wie kommt ein Auftraggeber dieser Verpflichtung nach? Wie kann er sich vorab vom angemessenen Datenschutz-Niveau seines Auftragnehmers vergewissern?

Eine Möglichkeit wäre der Nachweis des Gebrauchs eines zertifizierten Datenschutzmanagement-Systems, welches es allerdings nicht gibt. Ebenso gibt es generell keine Zertifizierungen für Unternehmen nach DSGVO. Bleiben die von der Datenschutzkonferenz (dies ist die Versammlung der Landesaufsichtsämter) empfohlenen standardisierten Vorlagen zur Dokumentation der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sowie des Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Letztlich ist das Vorzeigen eines Datenschutzmanagement-Systems (auch, wenn es nicht zertifiziert ist) besser als nichts!

Konsequenzen einer fehlenden Dokumentation durch Auftragnehmer

Derzeit überprüfen größere Auftraggeber bereits ihrer Auftragnehmer. Dies hat zur Folge, dass zukünftig diejenigen Auftragnehmer, welche die DSGVO-konforme Verarbeitung nicht dokumentieren und garantieren können, Aufträge gar nicht erst bekommen werden.

Bereits jetzt schließen Großunternehmen bestimmter Branchen Unternehmen von Auftragsverfahren aus, wenn diese keine Zertifizierung nach ISO27001/27002 (IT-Sicherheit) oder vergleichbar vorlegen können. Gleiches wird mittelfristig auch für den Datenschutz-Bereich zu erwarten sein.

Sie wurden vom Auftraggeber womöglich nicht auditiert und können das geforderte, angemessene Datenschutz-Niveau auf andere Weise bisher nicht nachweisen.

“Damit kann ich auch später noch anfangen!”

Die Frage, die sich stellt: was hat die DSGVO mit mir und meinem Unternehmen zu tun und warum muss ich als Verantwortlicher jetzt damit anfangen?

Die DSGVO betrifft jedes Unternehmen (auch Vereine, Verbände, öffentliche Einrichtungen, etc.) in Europa und nicht nur Online-Shops oder wirklich große Unternehmen. Grundsätzlich ist jeder zur Einhaltung der DSGVO angehalten.
Jedes Unternehmen, welches eine gewerbliche Internetpräsenz betreibt, muss eine DSGVO-konforme Datenschutzerklärung mit leicht auffindbarem Navigationspunkt vorweisen. Zum 25.Mai 2018 musste dies von den Unternehmen umgesetzt worden sein.

Vielleicht fragen sich einige Webseitenbetreiber: „Warum? Das ist doch eine EU-Verordnung und kein Bundesdeutsches Gesetz – muss die DSGVO nicht noch in nationales Recht umgesetzt werden?“
Da die DSGVO eine Verordnung ist, müssen die Mitgliedsstaaten der EU die DSGVO nicht noch einmal extra umsetzen. Anders verhält es sich bei EU-Richtlinien.

Für wen aber gilt nun die DSGVO?

– Für alle Unternehmen, die in der EU tätig sind (groß und klein)
– Auch für alle außereuropäischen Unternehmen, wenn Sie eine Niederlassung in Europa unterhalten oder wenn personenbezogene Daten von Bürgern der EU verarbeitet werden.

Das Wichtigste an der DSGVO ist: es geht um personenbezogene Daten. Genauer gesagt geht es um alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen oder beziehen können. Es geht nicht um wirtschaftliche Daten oder betriebswirtschaftliche Geheimnisse der einzelnen großen oder kleinen Unternehmen, sondern NUR um personenbezogene Daten.

Fazit:

Die DSGVO regelt den Umgang mit personenbezogenen Daten.
Die DSGVO führt das Datenschutzrecht in die Digitalisierung.
Die DSGVO wirft alte Datenschutzregelungen in vielen Teilen über den Haufen.
Die DSGVO betrifft wirklich alle Unternehmen.

„Die DSGVO trifft auf uns nicht zu!“

Viele Privatbetriebe und Familienunternehmen gehen davon aus, die DSGVO würde nicht auf sie zutreffen in der Annahme, sie würden als Kleinstunternehmen durch das Raster der Behörden fallen. Tatsächlich verhält sich die Sache ganz anders: Die DSGVO gilt grundsätzlich für alle Unternehmen – ganz gleich welche Größe, Branche, Gesellschaftsform oder Beschäftigtenzahl.

Der Schutz personenbezogener Daten und die Gewährleistung freien Datenverkehrs

Seit dem 25. Mai 2018 muss die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union umgesetzt worden sein. Auf ihrer Basis sollen die Regeln zur Verarbeitung personenbezogener Daten durch öffentliche Stellen und private Unternehmen vereinheitlicht werden. Die DSGVO soll einerseits den Schutz personenbezogener Daten innerhalb der EU sicherstellen, andererseits aber auch den freien Datenverkehr innerhalb des europäischen Binnenmarkts gewährleisten. Wird sie nicht befolgt, drohen mitunter immens hohe Strafen und Bußgelder. So sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro vor. Dieser hohe Bußgeldrahmen ist ein wesentlicher Bestandteil der DSGVO, die damit auch gegen Großkonzerne ein effizientes Mittel bei Datenschutzverstößen in Händen hält. Doch nicht nur global agierende Unternehmen, auch private Betreiber und kleine Unternehmen sollten über die Neuerungen, die die DSGVO mit sich bringt, informiert sein. Denn gerade sie gehen fälschlicherweise oft davon aus, nicht von den Regelungen der DSGVO betroffen zu sein.

Gestärkte Rechte für EU-Bürger

Fachanwälte, die sich Tag für Tag mit Datenschutzfragen und dem Datenschutz Recht auseinandersetzen, raten Betreibern kleiner Webseiten dazu, sich erst einmal einen Überblick über die sogenannten Plug-ins zu verschaffen, die im Hintergrund der eigenen Webseite laufen und möglicherweise personenbezogene Daten, so beispielsweise IP-Adressen, speichern. Werden diese Programme nicht benötigt, sollten sie zeitnah deaktiviert werden. Außerdem braucht es zusätzlich zum Impressum eine Datenschutzerklärung, die mit der DSGVO konform ist. Doch ganz gleich, wie groß das jeweilige Unternehmen auch ist: Damit die neue DSGVO vorschriftsgemäß umgesetzt werden kann, muss jeder Einzelne mit ins Boot geholt werden. Vor allem Entscheider benötigen umfassende Kenntnisse, um eine unternehmensinterne Einhaltung der Datenschutzvorschriften gewährleisten zu können. Mitarbeiter, die operativ tätig sind, müssen über die rechtlichen Neuerungen ebenso gut Bescheid wissen, um vorschriftsgemäß agieren zu können. Weil die DSGVO die Rechte für Bürger der EU stärkt, ist es wichtig, alle aktuellen Verfahren zu überprüfen, um sicherzustellen, dass allen Rechten der betroffenen Personen Folge geleistet werden kann – so beispielsweise dem Recht der betreffenden Person über Änderungen der eigenen personenbezogenen Daten oder dem Recht, „vergessen zu werden“, also Daten löschen zu lassen. Ferner hat der jeweilige Verantwortliche jegliche personenbezogenen Daten umgehend zu löschen, sofern die erhobenen Daten nicht mehr benötigt werden oder die betreffende Person die Einwilligung widerruft.

Datenschutz Recht – der Datenschutzbeauftragte als Verantwortlicher für personenbezogene Daten

Aus der DSGVO kann sich für öffentliche Stellen und private Unternehmen auch eine Pflicht zur Benennung eines externen Datenschutzbeauftragten (DSB) ergeben. Einen solchen Datenschutzbeauftragten, der speziell zur Überwachung des Datenschutzes ausgebildet wurde, brauchen alle Unternehmen, in denen mindestens zehn Mitarbeiter mit der automatisierten Datenverarbeitung beschäftigt sind. Laut Art. 4 Abs. 7 der DSGVO ist der Datenschutzbeauftragte die natürliche oder juristische verantwortliche Person, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Nicht als Datenschutzbeauftragte zulässig sind Inhaber, Prokuristen, Abteilungsleiter, Geschäftsführer oder Familienangehörige. Zwar gibt es, was die Notwendigkeit der Benennung eines Datenschutzbeauftragten angeht, durchaus Ausnahmen, allerdings gelten diese nur unter bestimmten Voraussetzungen, die so gut wie nie zutreffen. Wer also auf Nummer sicher gehen möchte, nimmt am besten einen Experten der FK-Datenschutz UG (haftungsbeschränkt) aus Norderstedt bei Hamburg in Anspruch – auf Bestellung.

Verarbeitungsverzeichnis und technisch-organisatorische Maßnahmen als unverzichtbar

Abschließend lässt sich festhalten: Die DSGVO betrifft jeden, auch kleine und mittelgroße Unternehmen. In diesem Zusammenhang ist der Datenschutzbeauftragte, sei er nun ein externer Berater oder ein interner abgestellter Angestellter, für die Einhaltung und Umsetzung der Datenschutzerklärung innerhalb des jeweiligen Unternehmens verantwortlich. Sich davor drücken, einen solchen Datenschutzbeauftragten zu benennen, kann sich kaum jemand. Außerdem muss jeder Verantwortliche und damit selbstverständlich auch der Einzelunternehmer zumindest nachweisen, dass er entsprechende Datenschutzbestimmungen, -dokumente und -unterlagen, also ein Verarbeitungsverzeichnis und technisch-organisatorische Maßnahmen, angefertigt hat.

Ihr Datenschutzberater

Wenn Sie auf der Suche nach einem DEKRA-zertifizierten Datenschutzbeauftragten im deutschen Norden sind, sind Sie hier richtig: Denn ob Sie nun einen Datenschützer beauftragen, Datenschutzunterlagen erstellen oder ein Audit durchführen lassen möchten, wir von FK-Datenschutz UG (haftungsbeschränkt) aus Norderstedt bei Hamburg bewahren Sie vor den klassischen Irrtümern in Datenschutzfragen.

„Wir verarbeiten keine personenbezogenen Daten!“

Diese Aussage hören wir häufig, wenn wir mit Verantwortlichen von kleinen und mittleren Unternehmen sprechen.

Nehmen wir mal an, Sie bekommen eine E-Mail, die Angaben zu einer natürlichen Person erhält (das tun die meisten E-Mails z.B. in einer Signatur), so stellt dies in der Regel eine Erhebung personenbezogener Daten dar. Entsprechend bedeutet das, dass wohl nahezu jedes Unternehmen personenbezogene Daten erhebt.

Ist diese Erhebung erfolgt, folgt in aller Regel die Datenweiterverarbeitung, zum Beispiel durch die Eingabe der Daten in ein Bestellsystem. Denn ohne den Personenbezug wird der Verantwortliche kaum eine Bestellung ausliefern.
Entsprechend wird es in jedem Unternehmen Verarbeitungsvorgänge geben.

Die Verarbeitung umfasst nicht nur die Nutzung oder Datenveränderung, sondern auch die Offenlegung durch Übermittlung an Dienstleister.

So ist zum Beispiel die elektronische Übermittlung der Adressdaten von natürlichen Personen an einen Paketdienst, der die Auslieferung der Waren tätigt, als Verarbeitung personenbezogener Daten zu sehen.

Was ist als Erhebung anzusehen:

– Eingabeformular auf der Website
– Erfassung durch einen Mitarbeiter
– Speicherung als elektronisches Fax
– Eingang einer E-Mail

Was ist als Verarbeitung anzusehen:

– Datenübernahme in eine Rechnung
– Datenübermittlung an einen Dienstleister
– Datenspeicherung
– Verarbeitung im Internet
– Löschung entsprechender Daten

All dieses wird im Artikel 4 Nr. 2 DSGVO (muss umgesetzt sein seit dem 25. Mai 2018) unter dem Begriff „Verarbeitung“ beschrieben:
„Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsweise im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, de Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung oder die Vernichtung.“

Unsicherheit Chaos Verantwortlicher

Wir haben Leads gekauft und können damit machen was wir wollen.

Die erste Frage, die Sie sich stellen müssen ist, ob die Leads, die Sie generiert haben, nach dem 25. Mai 2018 noch benutzt werden dürfen. Wie Sie mit Sicherheit wissen, gilt die DSGVO in allen 28 EU-Mitgliedsstaaten ebenso für Unternehmen und Organisation außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten (z. B. Name, Anschrift, IP-Adresse, Telefonnummer).

Die Verarbeitung dieser personenbezogenen Daten ist nur rechtmäßig, wenn mindestens eine der im Artikel 6 lit. a, b, oder f stehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat Ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogener Daten für einen oder mehrere bestimmte Zwecke gegeben.

b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfragen der betroffenen Person erfolgen.

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betreffenden Person um ein Kind handelt.

Grundsätzlich gilt auch für die Generierung von Leads die DSGVO.

Da Sie weder einen Vertrag mit der betroffenen Person haben (Art. 6 lit. b) und auch kein berechtigtes Interesse geltend machen können (Art. 6 lit. f), bleibt Ihnen nur Art. 6 lit a. - Sie brauchen die Einwilligung der betroffenen Person!

Ihr Unternehmen muss bei der Erhebung und der Verarbeitung personenbezogener Daten strenge und bestimmte Regeln beachten (Art. 7 Abs. 1-4) - bei den Angaben in Leadformularen müssen:

- Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden.

- Daten dem Zweck angemessenen und auf das notwendige Maß beschränkt sein (Datenminimierung). In Leadformularen dürfen Sie also nur die Daten vom Interessenten abfragen, die Sie für die Bearbeitung des Leads zwingend benötigen. Das Sammeln von Daten für mögliche zukünftige Verwendungen ist nicht gestattet.

- Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es dem Zwecke, zu dem sie erhoben wurden, erfordert.

Ab dem 25. Mai 2018 dürfen Sie leadgenerierende Werbemaßnahmen nur noch nutzen, wenn Ihnen eine DSGVO-konforme Einwilligung der betroffenen Person zur Datenverarbeitung vorliegt. Ohne die Zustimmung der betroffenen Person dürfen Sie weder die Leadanfrage bearbeiten, noch diese kontaktieren und dieser auch keine Werbung zukommen lassen. Sie brauchen unbedingt die ausdrückliche Einwilligung der betroffenen Person, um die Daten (Name, Anschrift, E-Mail-Adresse etc.) verarbeiten zu dürfen.

An Formulierungen und Anwendungen der Einwilligungserklärung stellt die DSGVO detaillierte Anforderungen (Art. 7 Abs. 1-4). Werden diese Bedingungen der DSGVO missachtet, laufen Sie Gefahr, dass Ihre gesamte Einwilligung mit der betroffenen Person im Streitfall für ungültig erklärt wird.

Artikel 7 - Bedingungen für die Einwilligung:

„Die Nutzung der Angaben aus dem Leadformular hängt davon ab, ob Sie die Einwilligungserklärung inhaltlich und formal korrekt formuliert haben. Die betroffene Person stimmt mit der Einwilligungserklärung lediglich der Verarbeitung seiner Daten zu konkreten und entsprechenden Zwecken zu. Deshalb ist es für Sie wichtig, vorher zu überlegen, welche Nutzung durch die Einwilligungserklärung abgedeckt werden soll.

Die Einwilligungserklärung muss alle Arten der Datennutzung der betroffenen Person exakt benennen, die Ihr Unternehmen geplant hat. Nur wenn die betroffene Person die Einwilligungserklärung zugestimmt hat und damit der beschriebenen Nutzungsart akzeptiert hat, dürfen Sie seine personenbezogenen Daten speichern und weiterverarbeiten.“

Z.B., um der betroffenen Person Werbung jeglicher Art zu senden, sie jederzeit per E-Mail, Telefon und Brief zu kontaktieren, um die Leadanfrage zu bearbeiten, Weitergabe der Leadanfrage zur Weitergabe an Dritte, usw.

Wichtig ist es, zu wissen, dass es seit Einführung der DSGVO eine Umkehrung der Beweispflicht gibt:

seit dem 25. Mai 2018 sind alle Unternehmen in der Pflicht, zu beweisen, dass sie über alle notwendigen Einwilligungen und Voraussetzungen zur Verarbeitung personenbezogener Daten verfügen.

„Das ist doch alles nur Panikmache – da passiert ja doch nichts!“

Die DSGVO wurde entworfen, um die automatisierte Verarbeitung von personenbezogenen Informationen zu regeln. Artikel 32 DSGVO bezieht sich weitgehend auf die Sicherheit der Datenverarbeitung. Zudem gibt er Richtlinien in Sachen Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Systeme vor. Grundsätzlich gilt, wer gegen die DSGVO verstößt, dem drohen Bußgelder von bis zu zehn Millionen Euro oder von bis zu zwei Prozent des globalen Jahresumsatzes.

Panikmache oder Notwendigkeit? Die Auswirkungen der DSGVO

Internetuser hinterlassen überall ihre Surfspuren, denn die Onlinewelt ist kein behüteter Datenhafen. Ob bei Amazon, Twitter, Facebook und Co: Die Sicherheitslücken häufen sich. Nicht nur große Daten-Super-GAUs zeigen, wie verletzbar unsere Privatsphäre ist.

Kleine und große Pannen sind an der Tagesordnung. Der Gesetzgeber schob mit der seit Mai 2018 geltenden Neuauflage der Datenschutzgrundverordnung (DSGVO) dem Missbrauch von personenbezogenen Informationen einen Riegel vor. Die Rechtsprechung ist klar definiert, es hapert jedoch an der praktischen Umsetzung – oftmals fehlen richtungsweisende Urteile.

Die Datenschutzgrundverordnung setzt auf Abschreckung

Laut Artikel 83 DSGVO verfolgen die drakonischen Strafzahlungen das Ziel, Zuwiderhandlungen effektiv und abschreckend zu ahnden. Ein nennenswertes Beispiel ist Knuddels. Der Chatwebseitenbetreiber verlor bei einem Hackerangriff nicht nur Passwörter und Nutzernamen, sondern auch personenbezogene Daten. Wegen Verstöße gegen die DSGVO wurden 20.000 Euro Strafe fällig.

Bayern gibt das Tempo vor

Die Landesdatenschutzbehörde Bayern begann kürzlich damit, Unternehmen durch tiefgreifende Maßnahmen zu überprüfen. Zu diesem Zweck verschickten die Datenwächter umfassende Fragenkataloge und sandten Kontrolleure aus. Dieses Vorgehen wird kein Alleingang bleiben. Bayern gilt momentan als Vorreiter bei der Umsetzung der DSGVO, andere Bundesländer sind noch in der Vorbereitungsphase. Die konsequente Herangehensweise zeigt, dass Aufsichtsbehörden nun auf die Einhaltung der Richtlinien pochen.


Ein Verstoß gegen die Datenschutzbestimmungen ist kein Bagatelldelikt

Das wird anhand eines Rechtsstreits aus Bayern erkennbar. Eine Juristin betrieb ihre unverschlüsselte Webseite ausschließlich zur Berufsausübung. Die enthaltene Datenschutzerklärung entsprach jedoch nur ansatzweise der Informationspflicht. Ein Konkurrent mahnte die Rechtsanwältin daraufhin ab. Er verlangte, die Datenschutzverstöße künftig zu unterlassen und den Webseiteninhalt zu überarbeiten. Als sich die Beklagte weigerte, stellte der Kollege beim Landgericht Würzburg einen Antrag auf einstweilige Verfügung.

Das Gericht entschied zugunsten des Klägers. Der Anwältin wurde untersagt, die unverschlüsselte Website weiterhin ohne rechtskonforme Datenschutzerklärung zu betreiben. Bei Zuwiderhandlung stellte das Gericht Strafzahlungen von bis zu 250.000 Euro und eine Freiheitsstrafe von bis zu zwei Jahren in Aussicht.

DSGVO: Gerichte fällen zunehmend abschreckende Urteile

Von Panikmache kann zwar keine Rede sein, doch die Behörden und Gerichte sehen Verstöße gegen das Grundrecht auf informationelle Selbstbestimmung nicht als Kavaliersdelikte an. Datenwächter – egal ob in Schleswig-Holstein, Hamburg oder Bayern – liegen derzeit auf der Lauer. Selbst geringfügige Verletzungen der DSGVO hatten in Einzelfällen teure Konsequenzen. Aufsichtsbehörden statuieren mitunter Exempel, die Nachahmer abschrecken sollen. Die Urteile gegen Firmen aus den unterschiedlichsten Branchen nehmen zu.

Landesgrenzen sind keine Barriere für den Datenschutz

Unwissenheit schützt vor Strafe nicht: Arbeitsprozesse laufen nur so gut ab, wie das schwächste Glied in der Datenschutzkette es zulässt. Daher spielt die DSGVO in allen Unternehmensbereichen eine gewichtige Rolle – unabhängig vom Umsatz, von der Mitarbeiterzahl oder der Branche. Firmen, die schmerzhafte Sanktionen von Grund auf vermeiden wollen, müssen sich rechtskonform verhalten. Doch wie die hohe Zahl an Fällen zeigt, haben mitunter schon geringfügige Verstöße teure Folgen. Es gilt, Lücken und Schwachstellen der betriebsinternen Datenschutzbestimmungen zu identifizieren und im Einklang mit der DSGVO auszumerzen. Diese greift übrigens in allen Mitgliedsstaaten der EU. Die Richtlinien sind jedoch komplex, sodass es Uneingeweihten schwerfällt, den Überblick im Gesetzesdschungel zu bewahren.

Hier sollte der Slider mit den Vorurteilen sein