DSGVO?
DSGVO
DSGVO. Was ist die DSGVO? Wer wird von ihr betroffen? Wann tritt die neue Datenschutzverordnung in Kraft? Was müssen Kleinunternehmen beachten? Wo finde ich eine einfache Erklärung der DSGVO? Was ist eine Personenangabe? Was müssen Kleinunternehmer beachten? Welche Anforderungen werden nach den neuen Regeln der DSGVO an Datenerhebungen gestellt? Was ist ein Personenangabenhilfeabkommen? Gilt die DSGVO für Unternehmen außerhalb der EU? Was geschieht, wenn ich die DSGVO ignoriere? Wo finde ich eine Vorlage für das Personenangabenhilfeabkommen? Wie hoch kann das Bußgeld sein, wenn ich die DSGVO nicht befolge?
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist die neue Datenschutzverordnung der EU.
Sie soll das Recht eines Individuums auf Integrität schützen, wie auch das Recht darauf, vergessen zu werden und sich aus Registern und Datenbanken löschen zu lassen.
Alle Unternehmen in der EU und im EWR, die Personenangaben verarbeiten, müssen die DSGVO befolgen.
Vereinfacht kann man sagen, dass Sie nicht mehr das Recht haben, persönliche Daten zu verarbeiten. Im Falle, dass sie dies dennoch machen müssen, müssen Sie die DSGVO befolgen und eine Anleitung und einen Plan für die Verarbeitung von Angaben, die an eine bestimmte Person gebunden sein können, bereitstellen. Dies gilt für persönliche Angaben in Datenbanken, auf dem Papier und in E-Mails, und in anderen Dateien auf Computern, USB-Medien, externen Festplatten und ähnlichen Speichermedien.
Das Gesetz gilt für alle Registrierten – egal ob Kunde, Patient, Angestellter, Lieferant oder Sie selbst.
Was ist eine Personenangabe?
Alle Daten, die mit einer spezifischen Person in Zusammenhang gebracht werden können. Das können Name, ein Foto, E-Mail, Bankangaben, Kommentare in Sozialen Medien, Gesundheitsangaben oder eine IP-Addresse sein.
Auch Bilder (Fotos) und Tonaufnahmen von Individuen, die am Computer o.ä. verarbeitet werden, können Personenangabe sein, auch wenn kein Name genannt wird.
Sie benötigen nun die Erlaubnis von Ihren Angestellten, bevor Sie Bilder von ihnen auf Ihrer Webseite veröffentlichen können.
Was müssen Kleinunternehmer machen?
* Begründung. Ihr Unternehmen muss begründen können, warum und in welchem Ausmaß Personenangaben erhoben werden.
Wenn Sie die Lagerung von Daten nicht begründen können, müssen diese gelöscht werden.
ABER… achten Sie darauf, dass Buchführungsgesetze Vorrang haben. Buchführungsunterlagen, Rechnungen und Schlussbilanzen müssen 10 Jahre lang gespeichert werden. Das Recht auf Vergessenwerden gilt nicht für Daten und Dokumente die laut dem Gesetz archiviert werden müssen.
* Ausnahme. Frühere Kunden oder Angestellte können nicht verlangen, dass ihre Angaben z.B. von einer Rechnung, die laut dem Gesetz archiviert werden muss, gelöscht werden.
* Datenpräsentation. Sie als Unternehmer müssen nun auf Anfrage alle aufgenommenen Daten über eine Person vorlegen.
Denken Sie daran, dass Lebensläufe, persönliche Briefe, etc., die Ihre Firma entgegengenommen hat, entweder gelöscht werden müssen, oder z.B. jedes Jahr aktualisiert werden müssen. Die betroffene Person muss informiert werden, dass Daten noch vorliegen, und ob diese aktualisiert oder gelöscht werden müssen.
* Löschroutine. Um in Zukunft unnötige Verwaltung und Risiken zu vermeiden, muss eine Routine für das Entfernen gesammelter Angaben eingeführt werden.
* Hacking. Wenn Sie gehackt werden und jemand an Personenangaben in Ihren Dateien kommt, muss dies der zuständigen Datenschutzbehörde gemeldet werden. Auch die betroffenen Personen müssen innerhalb von 72 Stunden informiert werden.
* E-Mail. Das größte Problem für Kleinunternehmen ist vermutlich die Verarbeitung von E-Mails. Wie geht man mit dem Löschen von Angaben EINER Person in einer Mailkonversation mit mehreren Teilnehmern um?
Benutzen Sie E-Mails nicht als Speicherort, sondern fertigen Sie von den für Buchführung etc. benötigten Daten PDFs oder Ausdrucke an, damit sie wenn nötig alle Mails löschen können, ohne die Daten zu verlieren, die sie laut Gesetz archivieren müssen.
Verschicken Sie keine Listen mit persönlichen Informationen per E-Mail. Verschicken Sie stattdessen einen Link zum Dokument.
* Verschlüsselung. Falls Sie auf Ihrer Webseite oder Ihrem Blog noch keine TLS/HTTPS-Verschlüsselung benutzen, ist es jetzt höchste Zeit! Die DSGVO verlangt, dass Sie nachweisen können, dass Sie Personenangabe sicher und verschlüsselt verarbeiten. Eine einfache Frage über ein Kontaktformular mit Personenangaben über das alte HTTP kann eine Verletzung der DSGVO darstellen.
Das müssen Sie vor der DSGVO machen
Kurz und vereinfacht kann man sagen, dass Sie mehr über die Speicherung persönlicher Daten informieren müssen; wie sie gesammelte Informationen verarbeiten und wie lange Sie diese speichern.
Für die meisten Kleinunternehmen brigt dies keine so großen Veränderungen, da diese bereits seit langem entsprechenden Datenschutzgesetzen folgen müssen, wohingegen es drastische Maßnahmen bei Google und Facebook, die vermutlich in zweifelhaften persönlichen Daten baden, geben wird.
Anforderungen an Datensammlungen
Laut der Datenschutzbehörde müssen Sie auf folgende Punkte (Privacy by Design) achten, wenn Sie über Programme oder Webseiten Daten über Personen sammeln:
Beschränken Sie sich auf Angaben, die nur indirekt auf ein Individuum zurückgeführt werden können
Beschränken Sie sich auf unsensible Daten
Sammeln Sie nicht mehr Angaben als notwendig
Ersetzen Sie Klarnamen mit Pseudonymen
Speichern Sie in ihren Datenbanken nicht standardmäßig persönliche Identifikationsnummern
Begrenzen Sie die Anzahl an Mitarbeitenden, die sensible Daten verarbeiten
Schützen Sie die Personenangaben vor Dritten
Nutzen Sie Verschlüsselung
Informieren Sie sich in einer Integritätspolicy über Datenerhebung und -verarbeitung
Personenangabenhilfeabkommen
Es ist vielleicht ein Schock für manche, dass man mit allen seinen Subunternehmen ein Abkommen über die Verarbeitung persönlicher Daten haben muss. Viele haben solche Abkommen bereits, da sie von bisherigen Gesetzen verlangt wurden. Alle großen Akteure und Dienstleister erwarten ein solches Abkommen mit Ihnen. Aber heutzutage haben viele Firmen externe Partner im Ausland für Mails, Serverwartung, Statistikdienste, digitale Aktivierung, Chatsysteme auf Webseiten, etc. Deswegen kann durch die DSGVO ein neues Abkommen mit einem oder mehreren Ihrer Subunternehmen notwendig sein.
Sehen Sie hier ein Beispiel für eine Vorlage dieses Abkommens
Gilt die DSGVO für Firmen außerhalb der EU?
JA, Firmen außerhalb der EU, die Dienste an EU-Individuen verkaufen oder Angaben von EU-Bürgern verarbeiten, müssen die DSGVO befolgen.
Wie gewöhnlich glaubt die EU, Gesetze festzulegen und erwarten zu können, dass der Rest der Welt diese befolgt, obwohl die EU keine Jurisdiktion in anderen Teilen der Welt hat. Firmen aus dem Rest der Welt müssen der DSGVO also eigentlich nicht folgen, aber die EU versucht ihnen das vorzumachen.
Was passiert wenn ich die DSGVO ignoriere?
Gegen eine Organisation kann ein Bußgeld von bis zu 4% des globalen jährlichen Umsatzes oder maximal 20 Millionen Euro verhängt werden. Die höchste Strafsumme ist für schwerwiegende Verstöße vorgesehen, wie z.B. unzureichende Kundeneinwilligungen zur Verarbeitung von Daten, oder ein Bruch gegen die Intentionen des Begriffes Privacy by Design.
Sie können ein Bußgeld von 2% erhalten, wenn Ihre Register nicht in Ordnung sind (Artikel 28), wenn Sie die Aufsichtsbehörde und die Registrierten nicht über ein Datenleck unterrichten, oder keine Konsequenzeinschätzung durchführen. Dies beinhaltet auch Cloudservices.
Dies sind also hohe Bußgelder für Fehler und Probleme, die in modernen Firmen relativ leicht entstehen. Wie hart dies Kleinunternehmen treffen kann, ist noch nicht vorhersehbar, aber klar wird es viele Unternehmer einschüchtern, wenn sie unrealistisch viel Zeit, Geld und Energie aufwenden müssen, um einem weiteren Paket bürokratischer und schwer deutbarer Regeln und Gesetzen zu folgen, die Grauzonen beinhalten, die so groß sind, dass man sie in astronomischen Einheiten messen sollte.
EU: Allgemeine Datenschutzverordnung Inhaltsverzeichnis
Wenn Sie mehr darüber erfahren möchten, wie dermwst.de mit der DSGVO umgeht, können Sie darüber in unserer Datenschutzerklärung lesen.