Die DSGVO: Ein Überblick

bild_2
Der 25. Mai 2018 rückt näher und damit auch die Datenschutz- Grundverordnung (DSGVO). In diesem Blogartikel möchten wir Ihnen einige Hinweise zum neuen Datenschutz zusammenfassen.

Der 25. Mai 2018 rückt näher und damit auch die Datenschutz- Grundverordnung (DSGVO). Denn mit diesem Datum ist die neue, europäische Verordnung endgültig in Kraft getreten. Zwei Punkte schreien besonders laut danach, sich schleunigst mit dieser Verordnung auseinander zu setzen:

  1. Harte Busgelder
    Die Bußgelder, die im Falle eines Verstoßes gegen die DSGVO anfallen, sind enorm. Bis zu 4% des Jahresumsatzes oder maximal € 20.000.000 sind an die Behörden zu bezahlen!
  2. Beweislastumkehr
    Im Falle einer Prüfung ist nicht mehr die Datenschutzbehörde dafür verantwortlich nachzuweisen, dass sich ein Unternehmen gegen eine Datenschutzvorschrift verstoßen hat. Ab dem 25. Mai hat das Unternehmen nachzuweisen, dass es sich datenschutzkonform verhalten hat. Hier heißt das Zauberwort: Dokumentation!

Wir von der vioma können keine umfassende Rechtsberatung bieten. Wir sind Auftragsdatenverarbeiter, befassen uns aber mit dieser brisanten Thematik und möchten unseren Kunden Hilfestellung anbieten. Dieser Beitrag ist also unbedingt nur als informeller Artikel zur DSGVO zu verstehen. Ich gebe nach einer kurzen Einführung einen Überblick über die Pflichten, die aus der Verordnung vorgehen. Danach möchte ich kurz wiederholen, welche Rolle wir als vioma einnehmen. Und Zu guter Letzt erfahren Sie, was wir in der vioma tun, um die DSGVO bestmöglich umzusetzen.

Was ist die DSGVO?

  • Europäische Vereinheitlichung des bestehenden nationalen Datenschutzes
  • Basis für nationale Datenschutzgesetze
  • Ziel ist es, mehr Transparenz und Kontrolle für Verbraucher hinsichtlich ihren personenbezogenen Daten zu schaffen
  • Das Resultat sind höheren Anforderungen an Datenverarbeitungsprozesse in Unternehmen

 

Welche Daten sind betroffen?

Betroffen sind alle Daten mit Personenbezug. Neu ist dabei, dass durch die DSGVO auch Daten als personenbezogen eingestuft werden, über welche Personen identifizierbar sind oder identifiziert werden können. Somit gelten auch IP Adressen und Cookies als personenbezogen.

Die Grundsätze des bisherigen Datenschutzes bleiben bestehen!

Alle bisherigen Grundsätze an die Datenverarbeitung bleiben bestehen. Somit ist die Datenverarbeitung weiterhin nur datenschutzkonform, sofern die Daten:

  • rechtmäßig
  • transparent
  • zweckgebunden
  • und nach dem Minimalprinzip

erhoben wurden. Außerdem ist sicherzustellen, dass die Daten:

  • korrekt sind
  • und die Verarbeitung unter angemessenen Sicherheitsbedingungen erfolgt ist.

Was ist „neu“ bei der DSGVO?

Vieles ist nicht wirklich neu. In Deutschland wurde der Datenschutz schon immer streng umgesetzt. Gesetze, wie das bisherige Bundesdatenschutzgesetz haben somit schon lange ein hohes Schutzniveau vorgegeben. Dennoch gibt es viele kleine Änderungen oder Verschärfungen im Detail. Kommen wir zu den bedeutendsten Punkten der Verordnung:

1. Dokumentationspflicht

Datenverarbeitungsprozesse sind lückenlos zu dokumentieren. Dies muss innerhalb eines sogenannten „Verzeichnisses der Verarbeitungstätigkeiten“ erfolgen. Welche Angaben dieses Verzeichnis enthalten muss, sind in Art. 30 DSGVO verankert. Die Gestaltung dieses Verzeichnisses ist den Unternehmen überlassen.

Nach Art. 30 sind beispielsweise Angaben darüber zu machen, bei welchen Tätigkeiten Daten und zu welchem Zweck diese verarbeitet werden, und wie die Datenverarbeitung technisch und organisatorisch gehandhabt wird. Dabei müssen Unternehmen, die Daten nur im Auftrag eines Dritten verarbeiten, weniger Angaben vornehmen als die Unternehmen, die für die Datenverarbeitung verantwortlich sind.

Des Weiteren sind die Verarbeitungstätigkeiten hinsichtlich des Risikos abzuschätzen, wie wahrscheinlich ein Datenmissbrauch ist, welche Folgen dieser hat und wie dieser vorgebeut werden kann. Diese Folgenabschätzung (Art.35) ist insbesondere dann durchzuführen, wenn besonders sensible Daten, wie beispielsweise Gesundheitsdaten verarbeitet werden.

2. Sicherungspflicht

Personenbezogene Daten müssen in angemessener Form gesichert werden. Hier stellt sich natürlich die Fragen, was genau „in angemessener Form“ bedeutet. An erster Stelle ist abzuwägen, wie sensibel die erhobenen Daten sind. Durch diese Einschätzung ergibt sich die Höhe des Schutzniveaus für die Vorbeugung von Datenmissbrauch. An zweiter Stelle sind dann die unternehmensindividuellen Voraussetzungen zu prüfen, wie z. B.:

  • Stand der Technik
  • Implementierungskosten
  • Zweck der Verarbeitung

Wenn Sie jetzt denken, dass diese Formulierung sehr unkonkret ist, dann kann ich Ihnen nur zustimmen. Im Gesetz werden für die Datensicherung vier Maßnahmen genannt, mit denen Sie auf der sicheren Seite sind. Dies betrifft vor allem die technischen Prozesse sowie die technische Infrastruktur zum Beispiel die Pseudonymisierung und Verschlüsselung der Daten oder die Möglichkeit über ein Backup alle Daten wiederherzustellen, sollte es einmal zum Zusammenbruch der Systeme kommen.

3. Meldepflicht

Fälle von Datenpannen, bei denen es voraussichtlich zu einer Verletzung von persönlichen Rechten von Personen kommt, sind innerhalb von 72h an die Aufsichtsbehörden zu melden. Auch die betroffenen Personen sind in diesem Fall zu informieren. Darüber hinaus muss genau dokumentiert werden, welche Auswirkungen die Datenpanne hat und welche Maßnahmen ergriffen wurden.

Sofern die Rechte der Betroffenen voraussichtlich nicht gefährdet sind, kann hier von einer Ausnahme gesprochen werden und es ist keine Meldung erforderlich. Allerdings ist dann genau zu dokumentieren, dass eine genaue Einschätzung zur Gefährdungsbeurteilung der Betroffenen durchgeführt wurde.

4. Informationspflicht

Jeder Betroffene muss darüber informiert werden, wenn seine personenbezogenen Daten verarbeitet werden. Meist wird das über Datenschutzerklärungen auf der Website umgesetzt. Diese muss hinsichtlich der Konformität zur DSGVO überprüft und ggf. angepasst werden.

Welche Angaben nach der DSGVO enthalten sein müssen, ist in Art. 13 und Art.14 aufgeführt. Beispielsweise muss nun niedergeschrieben werden:

  • wie lange die Daten gespeichert werden,
  • dass der Betroffene ein Recht auf Auskunft ha,t
  • an welche Anbieter die Daten ggf. weitergegeben werden

5. Weitere Betroffenenrechte

Jede Person, deren Daten verarbeitet werden, hat die folgend aufgeführten Rechte, sofern bestimmte Voraussetzungen vorliegen, beispielsweise wenn der Zweck der Verarbeitung wegfällt oder keine Rechtsgrundlage für die Datenverarbeitung mehr vorliegt.

  • Recht aus Auskunft
    Auf Wunsch des Betroffenen muss/müssen der/die Verantwortliche(n) mitteilen, welche Daten im Detail vorliegen
  • Recht auf Berichtigung
    Möchte der Betroffene, dass seine Daten korrigiert werden, muss der Verantwortliche dafür Sorge tragen
  • Recht auf Löschung
    Beantragt die betroffene Person die Löschung seiner/ihrer personenbezogenen Daten, ist dem Folge zu tragen
  • Recht auf Datenübertragung
    Daten müssen übertragbar sein. Das heißt, dass diese strukturiert und lesbar vorliegen und ggf. sogar technisch übertragbar sein müssen
  • Recht auf Einschränkung der Verarbeitung
    Dieser Punkt ist vor allem dann wichtig, wenn eine Löschung der Daten noch nicht durchgeführt werden kann. Zum Beispiel, wenn es zu Rechtsstreitigkeiten kommen und geprüft werden muss, ob sie rechtmäßig erhoben wurden.

 

Wer ist für die Erfüllung der DSGVO verantwortlich?

Grundsätzlich ist immer noch derjenige verantwortlich, der die Daten empfängt. Im Verhältnis vioma – Hotel, also immer noch das Hotel. Die vioma ist und bleibt Auftragsdatenverarbeiter. In dieser Rolle müssen wir Garantien dafür bieten, dass der Datenschutz rechtmäßig umgesetzt wird. Dafür schließen wir mit unseren Kunden einen Auftragsdatenverarbeitungsvertrag.)

 

Was geschieht aktuell in der vioma?

Wir lassen uns von unterschiedlichen Stellen beraten und uns bei der Umsetzung der DSGVO begleiten. In diesem Zusammenhang arbeiten wir mit einem externen Datenschutzbeauftragten zusammen und implementieren mit ihm ein umfassendes Datenschutzmanagementsystem. Viele Aspekte der DSGVO werden von uns ohnehin bereits erfüllt, da die deutschen Gesetze schon sehr nah an den neuen Regelungen der DSGVO sind.

Dennoch gibt es einiges zu tun:

  • Unsere bestehenden Verzeichnisse für Verarbeitungstätigkeiten werden DSGVO-konform überarbeitet
  • Überprüfung und ggf. Anpassungen unserer Auftragsdatenverarbeitungsverträge
  • Überprüfung und Anpassung der Datenschutzerklärung für unsere Kunden
  • Unsere Technik überprüft das Sicherungskonzept der Daten und entwickelt dieses DSGVO-konform weiter
  • Alle (Kooperations-) Partner werden nochmals hinsichtlich ihrer DSGVO-Konformität geprüft
  • Mitarbeiterinformation und Mitarbeiterverpflichtung zum veränderten Datenschutz werden vorbereitet und durchgeführt
  • Für unsere Kunden entwickeln wir eine Informationsplattform. Dort können sie sich regelmäßig Updates zum Stand der Entwicklung bei der vioma einholen. Sie erreichen diese Website unter: https://www.vioma.de/dsgvo/
  • Zusammen mit unserem Datenschutzbeauftragten Manuel Bohé bieten wir zukünftig DSGVO-konforme Datenschutzkonzepte für Hotels an.

 

Fazit

Die DSGVO lässt noch sehr viel Interpretationsspielraum zu. Auch diese Zusammenfassung gibt keine Garantie. Jedes Unternehmen sollte sich dringend mit angesprochenen Punkten auseinandersetzen. Dies betrifft im Übrigen auch Unternehmensbereiche, die wenige Berührungspunkte nach außen haben, z. B. das Mitarbeitermanagement.

Das Ausmaß, wie streng die einzelnen Regelungen schlussendlich ausgelegt werden, werden die ersten Präzedenzfällen zeigen. Da die Bußgelder so hoch sind und die Unternehmen in der Beweispflicht stehen, ist es wichtig, sämtliche Prozesse zu dokumentieren. Ansonsten können Unternehmen trotz Datenschutzkonformität erheblich bestraft werden.

zurück

Diskutieren Sie mit …