Die DSGVO (DatenSchutzGrundVerordnung)

ist für viele Unternehmen in sämtlichen Branchen eine echte Herausforderung.

Natürlich ist die EU-Richtlinie nicht ganz neu, sie wurde bereits vor 2 Jahren in Brüssel beschlossen und bereits seit Mai 2016 gültig. Neu ist nur der Hype der jetzt darum gemacht wird, weil zum 24. Mai 2018 die zweijährige Übergangsfrist abläuft und damit die EU-Datenschutzverordnung, genannt DSGVO, einheitlich umgesetzt werden muß.

Fragen über Fragen

Doch dabei kommen unzählige Fragen auf und es besteht eine gewisse Unklarheit darüber, was die DSGVO eigentlich aussagt und für wen diese Richtlinie überhaupt zutrifft. Ebenso unklar ist für viele auch, wie man die Richtline im Einzelfall umsetzen kann.

Die 99 Artikel der EU-Richtline sind für den Laien frei zugänglich und als Gute-Nacht Lektüre eher ungeeignet (link unten am Ende des Beitrages), da, wie das mit Gesetzestexten immer so ist, dort sehr viel Drumherum besprochen wird und das in der typischen Amtssprache.

Grundsätzlich aber geht es in der EU-Datenschutzrichtline um ein bindendes, einheitliches Gesetz zum Schutz der persönlichen Daten, bzw. auch um dem Umgang (Speicerung, Weitergabe usw.) mit personenen bezogenen Daten. Dieses Thema trifft dann nicht nur Betriebe und Firmen innerhalb der EU, sondern auch Blogbetreiber und insbesondere Webseiten-Beteiber oder Anbieter mit Online-Shops.

Das betrifft beim Webhosting natürlich den Schutz der Webseite ansich, z.B. SSL und auch die Analyse-Tools, wie Google-Analytics, Piwik, Matamo, oder WordPress.com Statistcs. Da werden dann schon so Themen wie:

  • wo liegt der Server, bzw. die Webseite (in welchem Land)
  • liegen die Daten auf deinem eigenen Server oder bei einem Drittanbieter (Transparenz)
  • werden die IP-Adressen anonymisiert
  • welche Analyse-Tools sind im Einsatz (Goolge-Analytics, Piwik, Matamo …)
  • kann der Besucher der Datenerfassung wiedersprechen
  • besteht ein AV-Vertrag mit dem Drittanbieter (Reseller Hosting)
  • hast Du einen link zur Datenschutzerklärung
  • ist die Datenschutzerklärung auch DSGVO-Konform
  • Formulare sollten https können
  • nutzt Du Plugins, die auch Daten sammeln
  • wann werden die Daten gelöscht
  • wer hat noch Zugriff auf die Daten
  • Formulare und Kommentare müßen auch an DSGVO angepasst werden

usw. usw.

Und das war jetzt mal nur ein “erster Ansatz” zum Thema Webseiten und Blogs, das Ganze zieht sich natürlich auch noch in den digitalen Alttag des Betriebes weiter. Selbst vor Smartphones oder Whats App macht der Datenschutz nicht halt.

Auch hier sind die Gesetze der EU, insbesondere die DSGVO natürlich umzusetzen, neben den vielen anderen Datenschutzbestimmungen, die das Speichern und Verarbeiten der personen-bezogenen Daten betreffen. Da geht es dann insbesondere um das Thema Sicherheit und Sicherheitsverseltzung, Archivierung von geschäftsbezogenen Daten, wie Auftrag, Rechnung, Lieferschein und sogar digitale Kommunikation mit Kunden, Lieferanten oder Interessenten.

Da wäre wir bei dem Thema E-Mail-Archivierung, nach Möglichkeit sogar Rechtskonform, angekommen. Das einfache Sammeln von E-Mails in einem extra (dedizierten Speicher) Postfach wäre schon mal ein guter Ansatz und ist beim Ausfall eines Server bestimmt sehr hilfreich, allerdings kann dabei von “Rechtskonform” oder gar “Rechtssicher” wohl keine Rede sein.

Dazu bedarf es etwas mehr, da die archivierten Mails unveränderbar abgespeichert werden müssen und vor allem mittels einem “zertifizierten Zeitstempel” digital journaliert und dokumentiert werden müßen. Ebenso betrifft es die Speicherung von Backups in Online-Archiven, dort ist es ebenfalls wichtig zu Wissen, in welchem Land seine Sicherheitskopieen liegen und ob dort auch das EU-Recht (DSGVO) umgesetzt wird. Ein Online-Speicher im Paraguay oder in Russland dürfte dabei wohl keine sehr Gute Wahl sein.

Doch auch die Verarbeitungsprozesse in denen die personenbezogenen Daten verwendet werden, gilt es herbei zu beleuchten. Neben den ganzen Sicherheitsmaßnahmen, die im Betrieb umgesetzt werden müßen, gibt es hier noch viele weitere Aspekte und Themengebiete, wie z.B. Backup, Risikomanagement, T-O-M, AV-Vertrag, Datenschutzbeauftragter oder Verfahrensverzeichnis usw.

Grundbegriffe der DSGVO

Doch was bedeutet das überhaubt ” personenbezogene Daten verarbeiten ” ?

Und vor allen Dingen, wer verarbeitet “personenbezogene Daten” eigentlich und was ist damit mit gemeint “verarbeiten”?

Dazu habe ich im Netz einen sehr informatives Video der Wirtschaftskammer NÖ gefunden und obwohl die aus Österreich kommen, sind die Begrifflichkeiten weitgehend mit unserem Anspruch in Deutschland, dank der DSGVO kompatibel.

noch mehr Vorschriften

Natürlich betrifft das auch die sozialen Medien, wie Twitter, Facebook usw. bzw. deren Kunden, meist Webseitenbetreiber, die mit Likes Ihre Webseitenauftritte aufwerten möchten. Hier besteht unbedingt Handlungsbedarf.

Ebenso sollte man sich Gedanken zum Thema Google Drive, Dropbox, One Drive und Co. machen, hier ist es ebenso wichtig darauf zu achten, das diese Dienste auch datenschutzkonform agieren und nicht gegen das EU-Recht verstoßen.

Die Informationspflicht wird bei der EU-Richtline sehr groß geschrieben, weshalb es einfach unerlässlich ist, sich intensiv mit der DSGVO auseinanderzuseten.

Da ich kein Rechtsberater bin und auch kein Anwalt, übernmehme ich hier keine Verantwortung auf die Vollständigkeit, wer sich Klarheit über die DSGVO verschaffen möchte, sollte seinen Anwalt und Steuerberater kontaktieren. Für den Einstieg in das Thema habe ich hier schon mal ein paar links gesammelt, die das Thema DSGVO etwas aufgreifen und versuchen Licht in´s Dunkel zu bringen:

Interne links zum Thema: DSGVO

Externe links zur DSGVO

Update 10-05-2018

Update 02-06-2018

WKO Unterstützung zur Umsetzung der DSGVO
Ich habe mich mal auf Webseite der Wirtschaftskammer in Österreich etwas umgesehen und bin schwer beeindrukt, was die dort an Hilfsmittel, Videos und Vorlagen zusammen gestellt haben. Ein Besuch lohnt sich in jedem Falle, den dort befinden sich auch gute “Checklsiten” und “Praxisleitfäden” zum Einstieg in die DSGVO

Der Landesbeaftragte für Datenschutz
Sehr ausführliche und verständlich aufbereitet Informationen direkt von der Quelle. Hier lassen sich auch viele Checklisten und Musterverträge und Formulierungshilfen herunterladen

Gesellschaft für Datenschutz e.V. (GDD)
hier dreht sich natürlich auch alles um Datenschutz und die neue DSGVO. Unter den Publikationen habe ich einige Praxishilfen gefunden, die sich ebenfalls als Word-Dokument herunter laden lassen und für eigene Zwecke als Basis fungieren könnten. Ebenfalls kann man sich hier noch mal über die Funnktion und Anforderung eines Datenschutzbeauftragten weitreichend informieren.