Die DSGVO (Datenschutz Grundverordnung) kommt verbindlich
Erschreckenderweise haben leider heute viele Unternehmen immer noch nichts von der DSGVO (Datenschutz Grundverordnung) gehört. Manche haben dazu nicht vor, irgendwelche Massnahmen zu treffen und Änderungen einzuführen. Hier müssen wir deutlich darauf Hinweisen: Die DSGVO (Datenschutz Grundverordnung) beinhaltet sehr hohe Strafen bei Nichteinhaltung. Auch Kleinunternehmen müssen sich an diese halten, genau so wie große Unternehmen. Wir haben mit der Umsetzung bereits begonnen, viele anderen leider nicht.
Worum geht es in der DSGVO (Datenschutz Grundverordnung)?
Im Großen und Ganzen und wirklich kurz gefasst: um die Neuregelung des Datenschutzes und der Verarbeitung, Nutzung, Erhebung sowie Speicherung von personenbezogenen Daten. Die DSGVO gilt Europaweit und trat schon am 24. Mai 2016 in Kraft. Ab dem 25. Mai 2018 ist diese verbindlich anzuwenden. Was darin alles geregelt ist? Wer sich dafür interessiert sollte einmal die 99 Artikel der DSGVO lesen.
Die DSVGO ersetzt das bisherige Bundesdatenschutzgesetz (BDSG) und es gibt keine Übergangsfristen. Es wird ein neues BDSG geben, das ergänzend zur DSGVO gelten wird. Dieses enthält somit die Regelungen, die von der DSGVO nicht abgedeckt werden.
Für wen gilt die DSGVO?
Sie gilt, wenn: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. (siehe Artikel 2 Absatz 1 der DSGVO). Diese betrifft somit ca. 4,4 Millionen Unternehmen in der Region Deutschland, Österreich und Schweiz.
Die Branche und Betriebsgröße spielen keine Rolle – die DSGVO gilt für alle Unternehmen.
Was personenbezogene Daten sind haben auch Gerichte klären müssen. Dynamische IP Adressen von Besuchern auf Webseiten sind personenbezogene Daten. Das Urteil des BGH und eine Erläuterung finden Sie unter anderem beim heise Verlag.
Warum sollte man sich rechtzeitig um die Umsetzung nach der DSGVO kümmern?
Die Bußgelder sind abschreckend, dazu gibt es nur zwei Stufen: Stufe 1 bis 10 Mio Euro oder 2% des weltweiten Jahresumsatzes und Stufe 2 bis 20 Mio Euro oder 4% des weltweiten Jahresumsatzes. Dadurch dass das Geld bei der ausstellenden Aufsichtsbehörde verbleibt und nicht in die Hauptstadt oder an die EU fliest handelt es sich hierbei um eine gute Geldeinnahmequelle für die Gemeinden.
Was sind personenbezogene Daten eigentlich?
Hier sollte man in die offensichtlichen (die jedem eigentlich klar sein sollten) und weniger offensichtliche Merkmale unterteilen. Zu den offensichtlichen personenbezogenen Daten gehören unter anderem:
Name(n), Geburtsort, Geburtsdatum (aber auch das genaue Alter), Personalausweisnummer sowie
Staatsbürgerschaft, Arbeitgeber, Sozialversicherungsnummer, Steuernummer aber auch
Telefonnummer(n), E-Mail Adresse(n), Kreditkartennummer (Daten), Krankenversicherungsnummern
Zu den weniger offensichtlichen personenbezogenen Daten gehören unter anderem:
Kundennummern, Vorgangsnummern, persönliche Gutscheinnummern aber auch
Gesundheitsstatus, KFZ Kennzeichen, Urkunden sowie
Status der privaten Finanzen, also unter anderem: Einkünfte, Vermögen und ähnliches.
Des weiteren gehören nach EuGH und BGH auch (wie oben erwähnt) dynamische IP Adressen zu den personenbezogenen Daten.
Ferner gibt es Daten, die nach Artikel 9 der DSGVO nicht ohne Einwilligung verarbeitet werden dürfen. Dazu gehören unter anderem ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten oder auch Gesundheitsdaten. Hierbei gibt es allerdings auch Ausnahmen (Erlaubnisvorbehalte) unter anderem für Strafverfolgung, Gesundheitsvorsorge und weitere.
was bingt die DSGVO noch?
Diese beinhaltet als wesentliche Änderung zum BDSG unter anderem das Recht auf mehr Transparenz, ein Recht auf Löschung. Die DSGVO bringt aber auch eines mit: eine klare Anforderung an die IT.
Anforderungen an die IT
Die Datenschutzgrundverordnung beinhaltet technische und organisatorische Maßnehmen, ein Auszug aus Artikel 32 sind beispielsweise: „Pseudonymisierung und Verschlüsselung personenbezogener Daten“. Zu den Systemen: „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Ferner im Absatz d) „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
Wie kann ich mit der Umsetzung beginnen?
Am besten beginnen Sie damit, den Absatz a) in Artikel 32 zu erfüllen. Nämlich mit der Verschlüsselung der Systeme auf denen personenbezogene Daten verarbeitet oder gespeichert werden. Ferner sollten Sie ihre Systeme analysieren, Prozesse sowie Stregien überarbeiten. Desweiteren sollten Sie Ihre Mitarbeiter schulen und sensibilisieren. Schlussendlich sollten Sie auch das Verfahren festlegen, wo Daten abgelegt werden, wer diese nutzen darf und wie die weitere Umsetzung der DSGVO erfolgen soll. Wichtig ist vor allem eine Beschreibung der Verfahren und eine ordentliche Dokumentation.
Wo finde ich die DSGVO (Datenschutz Grundverordnung)?
Die DSGVO (Datenschutz Grundverordnung) finden Sie unter anderem hier.
Gibt es noch weitere Hinweise oder Tipps?
Ja. Achten Sie auf personenbezogene Daten und deren Weitergabe! Das Smartphone ist leider eine große Datenschleuder. Schauen Sie sich einmal die Apps an, die auf „Kontakte“ zugreifen dürfen. Hierbei erfolgt eine (teilweise unkontrollierte) Weitergabe von Daten. Wozu benötigt beispielsweise eine Taschenrechner App Zugriff auf Kamera, Standort oder eben die Kontakte? Wozu benötigt ein Spiel noch mehr Zugriffe? Bedenken Sie, daß auch Apps Daten weitergeben und Sie dank den Nutzungsbestimmungen oder AGB der Apps einverstanden waren. Dazu gehören unter anderem WhatsApp und facebook. Hier haben Sie keine Kontrolle was mit den personenbezogenen Daten passiert. Gerade WhatsApp ist aber auch im privaten Bereich nicht unumstritten. Siehe u.a. ein Beitrag in der PCGamesHardware über den Tätigkeitsbericht des thüringer Datenschutzbeauftragten Lutz Hasse.
Dazu gibt es auch weitere Fallstricke, auch solche an die bisher kaum jemand (oder niemand) denkt. Beispiel: Fax (over IP).