Sie sind hier: Gewächshaus Viersen > Das Gewächshaus > Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

In Kooperation mit dem Unternehmensberater und Datenschutzbeauftragten Karl-Heinz Erkens hatte die Wirtschaftsförderung der Stadt Viersen Unternehmerinnen und Unternehmer zu einer Akutsprechstunde zur praktischen Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) eingeladen. Damit auch Firmenverantwortliche, die an diesem Abend nicht teilnehmen konnten, einen Einblick sowie Unterstützung in diesem Bereich erhalten, haben wir die Inhalte des Abends in Zusammenarbeit mit dem Datenschutzbeauftragten und Unternehmensberater Karl-Heinz Erkens zusammen gefasst. Auch die im Rahmen der Sprechstunde gestellten Fragen und Antworten haben wir hier dokumentiert. Es wird darauf hingewiesen, dass die Informationen der Aufklärung dienen und nicht rechtsverbindlich sind. Wir erheben keinen Anspruch auf Vollständigkeit. Hier finden Sie einen Nachbericht zur Veranstaltung selber.

Fakten zur EU-Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung auch in Deutschland. In 99 Artikeln regelt sie, wie Unternehmen, Behörden und Vereine mit personenbezogenen Daten umzugehen haben. Sie baut auf den bereits vorhandenen Grundlagen der Grundrechte-Charta der Europäischen Union, auf der europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten sowie auf dem Grundgesetz der Bundesrepublik Deutschland auf. Das neue Bundesdatenschutzgesetz (BDSG-neu) ersetzt in Verbindung mit der EU-Datenschutz-Grundverordnung das bisherige BDSG.

Ziel der neuen Verordnung ist es auch, eine technikneutrale Alternative zu den vorherigen Bestimmungen zu liefern (1995 gab es noch keine sozialen Medien, Messenger oder Videostreamings für die breite Masse). Verbraucher und Nutzer profitieren von Auskunfts-, Lösch- und Widerrufsrechten. Das Recht auf Vergessen sowie auf die Herausgabe von Daten zur Übermittlung an einen Anbieter wurden fest verankert.

Die Verordnung gilt für sowohl für alle europäischen Unternehmen, die personenbezogene Daten verarbeiten, als auch für alle außereuropäischen Unternehmen, die Waren und Dienstleistungen in der EU vertreiben. Es gilt das Prinzip des Verbotes mit Erlaubnisvorbehalt. Das heißt, grundsätzlich ist die Erhebung, Verarbeitung und die Nutzung personenbezogener Daten nicht erlaubt, und wenn, dann nur unter bestimmten Voraussetzungen.

Die Datenerhebung ist zulässig durch: die Datenschutzregel selbst, durch andere Rechtsvorschriften (wie z.B. Steuerregelungen), durch die Einwilligung des Betroffenen und die Einverständniserklärung zur Datennutzung.

Die wesentliche Neuerung besteht insbesondere darin, dass künftig gegenüber dem Landesdatenschutzbeauftragten im Zweifel nachgewiesen werden muss, dass die Verarbeitung der Daten rechtskonform erfolgt.

Im Internet hält die IHK ebenfalls sachdienliche Informationen mit Checklisten und Mustern bereit.

Begriffe in der DSGVO:

Personenbezogene Daten
Das sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es sind Einzelangaben über persönliche oder sachliche Verhältnisse (z.B. Name, Adresse, Kreditkartennummer, Geburtsjahr, Gehalt). Besonders schützenswerte Daten unterliegen spezialisierten strengeren Regeln (z.B. politische Meinung, Gesundheit, Sexualleben).

Verarbeitung (Daten)
So heißt jeder Vorgang, der mit oder ohne die Hilfe von automatisierten Verfahren in Bezug auf Daten ausgeführt wird.

Datenschutzverantwortlicher
Dieser ist nicht gleichzusetzen mit dem Datenschutzbeauftragten. Verantwortlich ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle mit „Organisationgewalt“.

Datenschutzbeauftragter
Er berät das Unternehmen, sichert und regelt den korrekten Umgang mit Daten und prüft die vollständige Umsetzung der Verordnung.

Auftragsdatenverarbeiter
Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z.B. Lieferanten, Webhoster, Steuerberater, Lohnbüro).

Was habe ich als Datenschutzverantwortlicher zu tun?

Sie müssen die rechtlichen Anforderungen in ihrem Unternehmen umsetzen. Dazu gehören die Verantwortlichkeit des Managements über die Gestaltung und Abwicklung sämtlicher Geschäftsprozesse, das Ergreifen und Implementieren entsprechender technischer und organisatorischer Maßnahmen sowie die Bewältigung der Herausforderungen, die durch neue Technologien und Systeme im Zuge der Digitalisierung auf das Unternehmen zukommen.

Bevor Sie starten, überlegen Sie in aller Ruhe:

Wo habe ich überall Daten? In welchen Prozessen nutze ich sie? Mit welchen Lieferanten/Auftragsdatenverarbeitern arbeite ich diesbezüglich zusammen? Wie sind die Daten gesichert, sowohl im Prozess als auch rein physikalisch?

Hier eine Übersicht über entsprechende Bereiche:

  • Rechte der Betroffenen (Mailverkehr, Löschung etc.);Recht auf Information (Artikel 13 und 14, DSGVO)
  • Mitarbeiter, Beschäftigtendaten
  • Informationssammlung zum Datenschutz
  • Handlung bei Vorkommnissen (Pannen) und deren Dokumentation
  • Regelungen Datenschutzbeauftragter (Bestellung, MeldungKontaktdaten an Aufsichtsbehörde)

Legen Sie anschließend ein individuelles Datensicherheitskonzept fest.

Es empfiehlt sich, alle notwendigen Unterlagen in einen oder je nach Menge auch in mehreren Datenschutzordnern zu bündeln. Dazu gehören:

  • die Beschreibung aller Geschäftsprozesse, inklusive der Beschreibung der dort genutzten Daten und Personen, die Zugriff darauf haben.
  • Angaben zur Gewährung der Sicherheit im Prozess
  • Angaben zum Datenschutzbeauftragten (intern oder extern)
  • Verträge mit Lieferanten bzw. Auftragsdatenverarbeitern
  • Mitarbeiter-Verpflichtungserklärungen in Bezug auf das Datengeheimnis
  • Einwilligungen von Kunden in Bezug auf die Datenverarbeitung/-nutzung
  • Vorgaben zum Verhalten im Pannenfall
Hier ein Musterinhaltsverzeichnis als Orientierung

Info zum Web

Wenn Sie eine Website betreiben, sollte diese auch DSVGO-fit gemacht werden. Besonders wichtig ist es, die Datenschutzerklärung zu überarbeiten. Diese muss von jeder einzelnen Seite ihrer Website erreichbar sein und sollte deshalb einen eigenen Punkt im Kopf- oder Fußbereich erhalten oder im Menü auf jeder Seite zu sehen sein. Inhaltlich sollte in ihr auf die Dinge eingegangen werden, die Ihre Website auch betreffen, bzw. welche Techniken dort genutzt werden. Sichten Sie vorab, für welche Bereiche Sie entsprechende Hinweise benötigen. 

Hier eine weitere aktuelle Hilfe. Entsprechende Datenschutzgeneratoren zur Texterstellung lassen sich auch im Internet finden.

Fragen und Antworten

Gilt eine einmal erteilte Einwilligung für immer?
Ja, sie gilt solange, wie sie nicht widerrufen wird. Allerdings muss sich diese Einwilligung, auf die jetzt in Kraft gesetzte Fassung beziehen.

Gelten diese Regelungen alle auch für einen Ein-Mann-Betrieb/Freiberufler?
Ja, sobald diese Umgang mit entsprechenden personenbezogenen Daten haben, gelten die Datenschutzbestimmungen.

Muss ich meinen Datenauftragsverarbeitern einen Vertrag zu schicken?
Nein, jeder Datenauftragsverarbeiter ist verpflichtet, Ihnen einen entsprechenden Vertrag zu liefern, wenn er in Ihrem Auftrag Daten verarbeitet und damit für den sicheren Umgang damit verantwortlich ist.

Darf ich die Daten auf einer überreichten Visitenkarte nutzen?
Grundsätzlich ist davon auszugehen, dass derjenige, der Ihnen eine Visitenkarte überreicht auch an einer Kontaktaufnahme interessiert ist, also ja!

Wer kontrolliert mich eigentlich?
In Deutschland sollen die Datenschutzbehörden der 16 Bundesländer sowie die Bundesdatenschutzbeauftragten als unabhängige Aufsichtsbehörden die Umsetzung kontrollieren. Sie haben das Recht entsprechende Informationen aus den Unternehmen einzufordern und Ortsbesuche durchzuführen.

Wie sicher muss die sichere Datenaufbewahrung denn sein?
Gesicherte Räume oder eine geordnete Zugangskontrolle zu Daten sind Maßstäbe, die anzulegen sind. Grundsätzlich gibt es keine konkreten Vorgaben, aber Orientierungshilfen (z.B. ISO-Normen), weil das von der Komplexität der Verarbeitung abhängig ist. Die eigene Risikoabwägung muss erfolgen. Sicher gilt es als Verstoß, wenn Akten mit Daten offen auf dem Tisch liegen oder beispielsweise ein beauftragtes Reinigungsunternehmen einen Schlüssel zu den Räumen besitzt, in dem die Daten lagern und diesen alleine aufsuchen kann.

Wie lange habe ich Zeit, um auf die Kundenanfrage „Welche Daten speichern Sie denn über mich?“ zu antworten?
Sie haben innerhalb eines Monats nach Eingang der Anfrage zu antworten.

Darf ich meine Mitarbeiter noch mit GPS orten?
Nein, das dürfen Sie ohne explizite Einwilligung nicht mehr, es sein denn, es gibt einen entsprechenden Passus im Arbeitsvertrag, der von den Mitarbeitenden bereits unterschrieben wurde.

Kann ich mit meinen Kunden über WhatsApp kommunizieren?
Dies ist nicht mehr zu empfehlen, der Messenger gilt als datenunsicher. Als sicherer gelten z.B. die Messenger Threema oder Signal. Der Hintergrund ist die Verknüpfung mit Kontaktdaten auf dem mobilen Endgerät.

Was ist eine sichere Website?
Als sicher gelten Seiten, die eine SSL-Verschlüsselung besitzen. Die entsprechenden Zertifikate kann Ihnen der Webprogrammierer oder Ihr Seitenbetreiber besorgen. Erkennbar sind sichere Seiten an der Kennzeichnung der Webseiteninformation.

Trifft die DSGVO alle Berufe?
Grundsätzlich ja, bestimmte Berufe unterliegen aber bereits einer Verschwiegenheitsverpflichtung durch spezifische Vorschriften. Diese wird persönlich in einer entsprechenden Erklärung unterschrieben.

Müssen Lieferanten alle ihre Subunternehmer benennen?
Ja, wenn diese im Rahmen der Datenauftragsverarbeitung Umgang mit schützenswerten Daten haben.

Kann ich mich gegen Risiken des Datenschutzes absichern?
Nur teilweise. Es gibt Versicherungen, die die Folgen, ähnlich wie dies beim Rechtsschutz geschieht, über die Bereitstellung eines Anwaltes und einer Kostenerstattung mit absichern. Das entbindet aber nicht von der Verpflichtung zur Durchführung der beschriebenen Regelungen und Maßnahmen.