Fotolia_112523340_XS.jpgMan kann sich sicher darüber streiten, ob die Datenschutzgrundverordnung (DSGVO) aus Unternehmenssicht nicht eine Überregulierung darstellt, und ob der sog. Abmahnindustrie, die traditionell in Deutschland gut aufgestellt ist, nicht noch mehr Futter vorgeworfen wird.

Fakt ist, dass die DSGVO bis zum Ende der 2-jährigen Übergangsfirst am 25.05.2018 verbindlich umzusetzen ist.

Die DSGVO stärkt das Grundrecht auf Datenschutz und legt europaweit einheitlich fest, wie mit personenbezogenen Daten umzugehen ist. Es gibt wohl kaum Unternehmen, die keine personenbezogene Daten verarbeiten, fast jede(r) UnternehmerIn muss sich also mit dem Thema beschäftigen. Unsere Kunden wurden bereits oder werden noch über die für die Vertragsbeziehung relevanten Auswirkungen separat informiert.

Wir möchten Sie ermuntern, die im Gesetz geforderten Maßnahmen als Chance zu begreifen, Transparenz in die eigenen Prozesse und die gelebten Vertragsbeziehungen zu den eigenen Dienstleistern zu bringen. Das kann auch eine Gelegenheit sein, alte, vielleicht sogar ungeliebte Zöpfe endlich abzuschneiden und Altlasten zu bereinigen. Office 365 als Email- und Team-Lösung inkl. Cloud Speicher eignet sich übrigens hervorragend, um einige Kernprozesse mit einem Schlag zu vereinfachen und DS-GVO-passend zu machen. Microsoft hatte sich bereits lange auf dieses Thema vorbereitet.

Fotolia_89501611_XS.jpg

Es gibt massenhaft theoretische Artikel über die DS-GVO, über die Grundideen, über die drakonischen Strafen etc. Wir gehen sehr konkret und praktisch auf die Konsequenzen für Sie als UnternehmerIn ein. Der Disclaimer: Es ist klar, dass wir keine rechtliche Beratung durchführen können und dürfen und ebenso beziehen wir uns auf unsere Zielgruppe im IT-Gewerbe, d.h. mittlere Unternehmen, Klein- und Kleinstunternehmen sowie Selbstständige und gehen deshalb z.B. nicht näher ein auf die Datenschutzfolgeabschätzung, die Zusammenarbeit mit den Aufsichtsbehörden, etc.

Die DSGVO definiert zunächst die klare Rollenverteilung: Der Verantwortliche (das sind Sie z.B. als Geschäftsführer eines Unternehmens) verarbeitet personenbezogene Daten z.B. von Kunden oder Interessenten. Einfaches Beispiel: Aufgrund von Werbung im Web sendet ein Interessent Ihnen per Email eine Anfrage. Diese enthält die Kontaktdaten des Absenders, also personenbezogene Daten.

Der Verantwortliche hat nach der DS-GVO folgende wesentliche Pflichten:

  • Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, also konkret eine Liste mit Tätigkeiten, die in seinem Unternehmen mit personenbezogenen Daten umgehen. Die Liste soll verbindlich erstellt (am besten mit Unterschrift) und bei Änderungen angepasst werden, muss aber nicht veröffentlich werden (lediglich falls Aufsichtsbehörden anfragen oder in Teilen, falls Kunden von ihrem Auskunftsrecht Gebrauch machen). Im obigen Beispiel ist eine der Tätigkeiten also die Interessentenpflege oder -aufnahme. Zu dieser Tätigkeit sollte dann in der Liste u.a. dokumentiert werden, zu welchem Zweck die Daten verarbeitet werden, welche Daten(kategorien) verarbeitet werden,  wer im Unternehmen dafür verantwortlich ist, ob die Daten im nicht-EU Ausland gespeichert werden, und wann diese gelöscht werden. Hintergrundwissen zum Verzeichnis und eine beispielhafte Vorlage zur Dokumentation finden Sie z.B. beim Branchenverband Bitcom (https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf). Wir empfehlen außerdem in die Liste aufzunehmen, in und mit welcher Software die Daten verarbeitet werden. Mehr dazu später. In unserem Beispiel dokumentieren wir zur Tätigkeit Interessentenpflege:
    • den für die Bearbeitung verantwortlichen Mitarbeiter
    • Den Zweck der Verarbeitung, also z.B. "Produkt-/Preisanfragenbearbeitung"
    • die Datenkategorien Adressdaten (Adresse und Email-Adresse) sowie Kommunikationsdaten (Emails)
    • Die Info, dass keine Daten im Nicht-EU-Ausland verarbeitet werden
    • Die Aufbewahrungsdauer von z.B. 6 Monaten
    • Die sog. Technisch/organisatorischen Maßnahmen ("TOM"), mit den die Daten gesichert werden (vor Verlust und unbefugtem Zugriff
    • Die Empfänger der Daten, hier also "Mitarbeiter" (entscheidend ist hier die Frage, ob es externe Empfänger, wie z.B. eine Agentur oder einen IT-Dienstleister gibt)
    • Die genutzte Software, hier also z.B. "Email-Dienst in Office 365" (oder auch 1&1 Email-Dienst)
  • Erstellung einer Liste von technisch organisatorischen Maßnahmen (TOM), mit denen der Verantwortliche die verarbeiteten personenbezogenen Daten schützt. Diese Gliederung dieser Maßnahmen ist klar vorgegeben im Gesetz in Art 32 und die verfügbaren Vorlagen (z.B. https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf, siehe Anlage) spiegeln die einzelnen Absätze wieder, hier am Beispiel der Maßnahmen zur Sicherheit der Vertraulichkeit:
    • Zutrittskontrolle (Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren ), sichergestellt z.B. durch Schließsysteme 
    • Zugangskontrolle (Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können) 
    • Zugriffskontrolle (Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können) 
    • Trennungskontrolle 
    • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
  • Überprüfung und Neuordnung der Vertragsverhältnisse mit Dienstleistern und Partnern. Dieser vermutlich aufwändigste Teil der Pflichten dient dazu, die Transparenz (siehe Verarbeitungsverzeichnis) und Maßnahmen zur Datensicherheit (siehe TOM) vertraglich verbindlich auch bei den Unternehmen sicherzustellen, die im Auftrag des Verantwortlichen personenbezogene Daten von Kunden des Verantwortlichen verarbeiten. Entsprechend nennt man die Vertragsbeziehung Auftragsverarbeitung. Es ist zu empfehlen, diesen Vertrag als Zusatzvereinbarung zu formulieren, die für den Hauptvertrag (bzw. Leistungsvereinbarung / SLA) oder alle Verträge gilt. Auch hier sind Vorlagen verfügbar, z.B. https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html, oder https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf . Über dieses Instrument der DSGVO muss die gesamte Kette der beteiligten Unternehmen abgedeckt sein und jeder Verantwortliche ist für die Verträge und die Einhaltung der DS-GVO Vorschriften seiner Sub-Unternehmer verantwortlich:
    • Im Beispiel ist der Verantwortliche der Auftraggeber und der IT-Dienstleister (z.B. für Office 365 als Microsoft Partner) der Auftragnehmer.
    • Der IT-Dienstleister schließt wiederum, um die Kette zu schließen, als Auftragnehmer mit seinem Microsoft Großhändler als Auftraggeber einen Vertrag zur Auftragsverarbeitung.
    • Der Großhändler ist Auftragnehmer für Microsoft Irland als Auftraggeber und muss ebenfalls einen Vertrag schließen.
    • Microsoft hat für den weltweiten Betrieb der Rechenzentren für die Cloud Dienste Office 365 und Azure ebenfalls Unterauftragnehmer. Die Liste dieser sowie die TOM werden übrigens von Microsoft im Microsoft Trust Center gepflegt und veröffentlicht. Dort kann sich jeder von der Erfüllung der DS-GVO überzeugen

Weitere Beispiele für die Auftragsverarbeitung:

  • Nutzung einer Online Buchhaltung zur Erzeugung und Ablage von Rechnungen, Belegen, Kreditoren, Debitoren
  • Nutzung eines Web-Hosting Dienstes für die eigene Homepage, auf der Formulardaten gespeichert werden und auf der Kunden/Mitglieder sich personalisiert einloggen können
  • Nicht zuletzt hat der Verantwortliche die Pflicht, entweder einen möglichst von Interessenskonflikten befreiten internen (also nicht den Geschäftsführer) oder externen betrieblichen Datenschutzbeauftragten (bDSB) zu benennen (Faustregel: ab ca. 10 Mitarbeiter, die regelmäßig mit den Daten umgehen) oder zumindest einen verantwortlichen Ansprechpartner. Dieser wird im allgemeinen Teil der oben bereits beschriebenen TOM dokumentiert.

 

Es gibt auch einige konkrete Folgen für Web-Auftritte, die wir nochmal separat in einem Artikel über die Interpretation einzelner Festlegungen behandeln.

Wir bieten kleinen Unternehmen bis ca. 25 Mitarbeitern ein gemeinsames DS-GVO Review zur Identifikation möglicher Schwachstellen an sowie einen Entwurf des Verzeichnisses der Verarbeitungstätigkeiten sowie der TOM. Wir kalkulieren  hierfür 2 Workshops mit einer Gesamtdauer zwischen 4-6 Stunden. Als Nebenprodukt werden wir konkrete Handlungspunkte für eine Vereinfachung Ihrer IT herausarbeiten. Melden Sie sich einfach unverbindlich bei uns per Mail oder Telefon. Wir rufen zurück.


Konversation wird geladen