Blog

DSGVO Abmahnungen - Übersicht und Linkliste

Gerade ist der 25.5.2018 vorbei und wie befürchtet flattern die ersten DSGVO Abmahnungen in den Briefkasten. Leider werden es täglich mehr.

Ich versuche noch irgendwie den Überblick zu behalten, um was es geht und welche Themen abgemahnt werden. Mir kommt das ganze allerdings vor wie ein Schneeballsystem. Einmal losgetreten nimmt es Ausmaße an, die ein Einzelner nicht mehr überblicken kann.

Aus diesem Grund hoffe ich mit diesem Beitrag sehr auf die Hilfe meiner treuen Leser. Lassen Sie uns zusammen einen Überblick schaffen, welche Abmahnungen gerade ihren Weg in die Briefkästen finden und natürlich, wie man sich davor schützen kann (wenn man als Glücklicher davon noch nicht betroffen ist).

Die Übersicht stellt keine Wertung und natürlich keine Rechtsberatung dar. 

 

DSGVO Abmahnungen

Ob eine DSGVO Abmahnung zulässig ist, ist rechtlich offen.

Es heißt (Artikel 77-84 DSGVO), aufgrund der DSGVO eine Abmahnung zu erstellen, würde bei Erfolg in die Kasse der Behörden gehen. Das heißt, der Abmahnanwalt selber hätte wenig davon. Aus diesem Grund berufen sich die Anwälte wahrscheinlich  auf ein anderes Gesetz, zum Beispiel auf das UWG (unlauterer Wettbewerb). Man könnte sich ja einen Wettbewerbsvorteil verschaffen, wenn ich meine Datenschutzerklärung etwas „beschönige“ 🙂
Interessant ist, das laut einem Heise Online Bericht noch nicht geklärt ist, ob Unternehmen ihre Wettbewerber aufgrund eines Datenschutzverstoßes aus wettbewerbsrechtlichen Gründen abmahnen dürfen. Hoffen wir mal in unser aller Interesse, dass dem nicht so sein wird und die Abmahnungen nicht erfolgreich sein werden.

Alle Formulierungen, auch von Seiten der Anwälte sind zu diesem Thema ein Fragezeichen. Sind die Abmahnungen zulässig? Werden Sie erfolgreich sein? Darf man auf die DSGVO abmahnen? Darf man einen Verstoß auf ein anderes Gesetz ableiten? Nicht mal die Rechtsanwälte können diese Fragen sicher beantworten. Entscheiden werden das die Gerichte!

 

Die Urteile zu den DSGVO Abmahnungen

Sobald Urteile zu den Abmahnungen vorliegen werde ich die natürlich in der Übersicht ergänzen!

 

Übersicht aktuelle DSGVO Abmahnungen

Stand 01.06.2018

Thema und LinkErläuterungWie können Sie das vermeiden?
Fehlerhafte / unvollständige Datenschutzerklärung
30.05.2018 auf Heise.de
Der Einsatz von Google Analytics und Verwendung von Cookies ohne entsprechende Informationen in der Datenschutzerklärung.Geben Sie Ihren Webseitenbesuchern die Möglichkeit eines Opt-In's oder Opt-out's bei der Verwendung von Cookies (je nach Inhalt) und erläutern Sie die Verwendung in der Datenschutzerklärung Ihrer Webseite. Bei Google Analytics unbedingt die IP-Anonymisierung umsetzen.
ggf. Anbahnung einer Abmahnung mit dem Thema "Datenschutzrechtliche Auskunft nach DSGVO"
01.06.2018 als Post in der FB Gruppe und als E-mail von meinem Datenschutz Kollegen, der über eine Seminarteilnehmerin selbigen Fall hat.
Ein Herr schreibt vermehrt Webseitenbetreiber an und möchte Auskunft über die von ihm gespeicherten Daten zum Tag X mit seiner IP-Adresse, die er zu diesem Zeitpunkt (angeblich?) hatte.
Gefahr sehe ich (auch in Rücksprache mit einem Fachkollegen) in der falschen Antwort auf dieses Schreiben.
1. Welche Informationen dürfen überhaupt vorhanden sein
2. reicht die Angabe der IP-Adresse in der E-mail aus zum Identifizieren (woher weiß man, dass dies stimmt und wenn ja, woher weiß man, dass nicht die Frau oder ein Kollege zu dem Zeitpunkt auch mit der IP-Adresse im Internet unterwegs war)?
3. Wenn es um IP-Adressen geht, wie lange dürfen die überhaupt gespeichert werden? Darf man diese nach X Tagen überhaupt noch haben?
.....
Schwierig das zu vermeiden. Seien Sie aber sehr vorsichtig, wenn Sie auf dieses Schreiben antworten. Holen Sie sich auf jeden Fall einen fachlichen Rat, bevor Sie antworten.
Verwendung von Google Fonts
01.06.2018
RA Solmecke
Einbindung von Google Fonts und dadurch Übermittlung der IP-Adresse an Google ohne vorherige Zustimmung des Users, ob dies gewollt ist.
Laut einem anderen Bericht der Kanzlei Hechler ist diese Abmahnung aber gar nicht zulässig, da die Kanzlei von der genannten Firma keinen Auftrag hatte.
Und hier noch mal ein Link, der auch auf die dubiose Abmahnung verweist.
Google Fonts lokal installieren oder nicht verwenden - oder mit einem Risiko verfolgen, wie das Urteil hier aussehen wird.

 

Aktuelle Abmahnschreiben

Wie schon oben angekündigt sehe ich diesen Blogbeitrag nicht als mein Werk, sondern als ein Gemeinschaftsprojekt, welches uns allen zu Gute kommt. So können wir uns auch nachträglich noch ausrichten, falls irgendwer auf seiner Webseite oder anderweitig (wer weiß, was noch alles kommt) eine Lücke hat, gegen die gerade ein Abmahnschreiben an andere rausgegangen ist.

Hinweis in den Kommentaren

Ich bin über jeden Hinweis im Kommentar dankbar und nehme ihn gerne mit in die Liste auf (bitte immer mit Link zur Quelle oder einem Anhang als Nachweis). Wenn sogar PDFs oder JPGs als Nachweise dabei sind, dann bitte gerne auch per E-mail an mich. Aber bitte nur, wenn Sie auch die Freigabe haben, dass die Datei veröffentlicht werden darf (nicht dass wir hier einen Datenschutzverstoß begehen).

Q&A Datenschutz FAQ DSGVO

Vielen herzlichen Dank für Ihre vielen, vielen Fragen. Ich bin ganz überwältigt von dem Rücklauf. Falls Sie Ihre Frage nicht eins zu eins im Text wieder finden, kann es sein, dass eine ähnliche Frage bereits formuliert wurde.

Der obligatorische Hinweis: Die Antworten stellen meine Einschätzung und Sicht der Dinge dar. Das kann keine Rechtsberatung darstellen!

 

DSGVO Datenschutz FAQ’s – Verfahrensverzeichnis

Verfahrensverzeichnis oder Verarbeitungsverzeichnis – was ist der Unterschied?

Laut Artikel 30 der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Verfahrensverzeichnis oder Verarbeitungsverzeichnis sind einfach in der Praxis die beiden am häufigsten verwendeten Namen dazu.

 

Wird das Verfahrensverzeichnis einmalig erstellt mit allen nötigen Infos oder muss es laufend mit aktuellen Inhalten aktualisiert werden?

Genau, das Verfahrensverzeichnis wird einmalig erstellt und beschreibt jede Verarbeitung von personenbezogenen Daten ganz allgemein. Hier tauchen keine Namen von Kunden auf und auch keine direkten E-mail Adressen zum Beispiel.

Im Sinne des Datenschutzmanagements muss das Verzeichnis allerdings regelmäßig auf geprüft werden, ob es noch den Anforderungen entspricht und die Inhalte passen.

 

Benötige ich als Einzelunternehmer ohne Mitarbeiter ein Verabeitungsverzeichnis? Ich hatte gelesen, dass es erst ab 250 Mitarbeitern nötig ist.

Das stimmt, allerdings wird das schnell wieder relativiert mit folgendem Satz in Artikel 30 DSGVO: „..die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien….“
In der Regel werden Sie, wenn Sie personenbezogene Daten verarbeiten, diese nicht nur gelegentlich verarbeiten, sondern regelmäßig und daher fällt diese Ausnahme meinem Verständnis nach für die meisten nicht relevant.

 

Was genau sollte in einem Verarbeitungsverzeichnis stehen?

Dazu habe ich zwei Blogartikel, die Ihnen hier weiter helfen. Zum einen ein Muster in Excel zum Download und zum Anderen eine Übersicht mit möglichen Verfahren für ein Verzeichnis.

 

Werden im Verfahrensverzeichnis alle Handlungen dokumentiert, bei denen Daten im Spiel sind, z.B. Anfrage per E-mail, Versand DHL, Kontocheck Geldeingang…?

Genau, Sie müssen diese Verfahren beschreiben, wenn hier personenbezogene Daten im Spiel sind. Aber beschreiben Sie sie, wie schon oben erwähnt, allgemein. Schreiben sie nicht, dass Sie am 19.3. die Daten von Herrn Müller an DHL übermittelt haben. Schreiben Sie einfach,

  • Datenübermittlung an DHL zum Versand der Waren
  • Prüfen des Geldeingangs zum Abgleich der Rechnungen

Erfassen Sie keine personenbezogenen Daten im Verfahrensverzeichnis, sondern nur die Kategorien.

 

Müssen WordPress Plugins ins Verarbeitungsverzeichnis?

Hier gibt es kein richtig oder falsch. Meine Empfehlung ist, die Plugins im VVZ zu nennen, wenn es eine eigene Verarbeitung für Ihr Unternehmen darstellt. Google Maps oder Google Fonts wären für mich kein eigenes Verfahren. Das Verfahren ist die Webseite und da sind diese Plugins ein Mittel, um die Webseite anschaulich darzustellen, daher würde ich sie höchstenfalls bei diesem Verfahren erwähnen. In der Datenschutzerklärung müssen Sie natürlich angegeben werden.
Bei Plugins, die ein eigenes Verfahren darstellen, würde ich sie schon nennen. Zum Beispiel das Plugin digistore, mit dem ich einen Mitgliederbereich realisiere. Der Mitgliederbereich ist ja das Verfahren und das kann ich realisieren mit einem spezifischen Plugin.

 

Muss das Verfahrensverzeichnis in Excel erstellt werden?

Nein, für die Formatierung bzw. die Umsetzung gibt es keine Vorgaben. Es kann mit Standard-Office Tools umgesetzt werden oder mit spezieller Software für ein Verfahrensverzeichnis.
Wir haben einiges ausprobiert und sind jetzt bzw. immer noch bei Excel. Es gibt gute Tools, aber jedes Tool hat seine Eigenheiten und natürlich damit auch seine eigene Interpretation der Umsetzung. Leider sind auch die Kosten für die Tools selten zu vernachlässigen.
Die Flexibilität mit Excel, die es ermöglicht, unser Verständnis des Datenschutzmanagements abzubilden, habe ich bisher noch in keinem Tool gefunden. Trotzdem, ich bin weiterhin mit offenen Augen dabei, mir verschiedene Softwareprodukte anzusehen, die vielleicht doch mal das Excel File ablösen könnten.

 

DSGVO Datenschutz FAQ’s – Kommunikation

Viele Nutzer sind unsicher wegen ihrer Mail Adresse. Wie sieht es mit der Datenverträglichkeit von Anbietern wie gmx, web.de aus?

[Update 01-06.2018] Das Bay. Landesamt für Datenschutz hat sich dazu geäussert, dass reine E-mail Provider keine Auftragsverarbeiter sind. Eine Stellungnahme auf der Webseite dazu wollen sie noch veröffentlichen.
Sobald allerdings zu der E-mail noch weitere Dienste angeboten werden, ist es ziemlich wahrscheinlich doch wieder eine Auftragsverarbeitung.

 

DSGVO Datenschutz FAQ’s – Geschäftspartner

Ich habe Handelspartner, die Tee von mir beziehen, was muss ich mit ihnen tun ?

Ich kenne den genauen Ablauf nicht. Aber ich nehme an, der Handelspartner liefert Ihnen rein Ware und hat keine Daten von Ihren Kunden. Daher wäre aus meiner Sicht dieser Handelspartner nicht DSGVO relevant.

 

Kann ein Auftragsverarbeiter eine Privatperson sein?

Ich würde mal sagen nein, da Sie ja mit ihm einen Dienstleister haben und damit ist er ja automatisch ein Geschäftspartner und ein Unternehmer.

 

Wir sind Webhoster. Müssen wir den ersten Schritt tun und den Kunden auf die AVV hinweisen, bzw. ihn auffordern?

Letztendlich ist es im Interesse des Auftraggebers, Sie als Auftragnehmer zu „verpflichten“. Sie können ja als Service Ihre Kunden anschreiben und Ihnen das Angebot machen, den AVV abzuschließen.

 

Und was tun wir, wenn der Kunde sich – wie es in der ausserbrüsseler Praxisnähe der Fall ist –  einfach nicht meldet ? Müssen wir dann ihm kündigen oder ?

Wie gesagt, es liegt in erster Linie am Auftraggeber. Ich finde gut, wenn Sie es, wie gerade erwähnt, den Kunden aktiv anbieten. Das können Sie dann im Falle einer Prüfung ja auch nachweisen. Zudem könnten Sie auch regelmäßig (jährlich?) noch mal dran erinnern. Kündigen würde ich nach aktuellem Wissenstand nicht.

 

Wenn ich als Webdesigner mit meinem Kunden einen AVV abgeschlossen habe, muss ich dann nochmal von jedem Kunden eine Einwilligungserklärung unterschreiben lassen beim Beginn eines Projekts?

Hier werden zwei Dinge vermischt. Beim Vertrag zur Auftragsverarbeitung sichert der Dienstleister zu, dass er mit den Daten sicher umgeht (mal ganz grob zusammen gefasst, im Detail steckt natürlich noch mehr drin).

Bei der Einwilligung geht es darum, dass jemand zustimmt, dass seine Daten für etwas verwendet werden, was unter gängigen Voraussetzungen sonst nicht erlaubt wäre. Das heißt, es gibt keinen Vertrag oder ein Gesetz, welches regelt, dass meine Daten von Ihnen verarbeitet werden dürfen. Nur dann brauchen Sie eine explizite Einwilligung. Ihre Kunden stehen ja mit Ihnen im Vertragsverhältnis. Das regelt ja die Verarbeitung der Daten. Sie brauchen also keine Einwilligung – ganz unabhängig des AVV’s.

 

Müssen alle AVVs in der der Datenschutzerklärung erwähnt werden? Muss dort erwähnt werden, wo die Webseite gehostet wird und welcher E-mail Provider genutzt wird?

Was in der DSE stehen muss, regelt Artikel 13 der DSGVO – also die Informationspflicht. Sie müssen u.a. angeben, an wen sie die Daten weiter geben. Ich würde nicht alle Auftragsverarbeiter so sehen, dass die Daten dahin aktiv weiter gegeben werden.
Sie machen aber auf jeden Fall nichts falsch, wenn Sie den Provider immer angeben.

 

DSGVO Datenschutz FAQ’s – Online Dienstleister

Was ist im Umgang mit Digistore24.com zu beachten. Ich habe z.B. einen Button mit „Bestellen“ auf meiner Homepage. Nach Klick auf diesen Button gelangt mein Kunde zu Digistore24 und kann dort dann seine Adresse eingeben, die Zahlungsart auswählen und bestellen. Muss ich hinsichtlich der DSGVO etwas auf meiner Seite beachten?

digistore sollte in der Datenschutzerklärung erwähnt werden. Also dass die Zahlungsabwicklung über digistore erfolgt und die Rechtmäßigkeit auf Artikel 6 (1) lit. b Vertrag basiert. Da digistore nach eigener Aussage kein Auftragsverarbeiter ist, sondern „nur“ Zahlungsdienstleister, braucht man keinen Auftragsverarbeitungsvertrag.

 

Ich habe einen Onlineshop bei Dawanda und speichere bei mir keine Daten. Allerdings verarbeite ich die Daten, indem ich eine Rechnung erstelle und für den Versand übermittle ich die Daten an DHL (Onlinefrankierung über dhl.de) oder an die Deutsche Post.

Ich bin mir nicht sicher, ob ich den Versand erläutern muss oder entfällt, da die Daten nicht über eine Versandsoftware (wie z.B. DHL-Easylog) übertragen werden.
Wie gebe ich an, dass ich die Rechnungen manuell erstelle und am PC speichere und dann über eine Online-Buchhaltungssoftware (buchhaltungmuehelos.de) erfasse.
In der Informationspflicht zum Datenschutz bzw. der Datenschutzerklärung muss das auf jeden Fall angegeben werden, dass die Daten zur Abwicklung des Versand an die Versanddienstleister übertragen werden. Ebenfalls sollte angegeben werden, dass die Daten zur Rechnungsstellung verwendet werden und dann durch die Online-Buchhaltungssoftware zum Dienstleister übertragen werden. Rechtsgrundlage muss angegeben werden. Diese wäre dann in Ihrem Fall Art. 6 (1) lit. b – Vertragsabwicklung, welche diese Verarbeitung der Versanddienstleister gestattet. Bei der Online Buchhaltungssoftware wäre es Art. 6 (1) lit. c und f.

Muss ich als Webdesignerin, die die Homepage bei einem Provider für Kunden einrichtet (Backend: Anmeldung, Emaileinrichtung-weiterleitung etc. ftp.) mit und ohne Kontaktformular einen AV-Vertrag mit der Kundin haben oder sogar mit Provider (da ich ja in dem Moment die Zugangdaten habe zum backend: Verwaltung).

Wenn es nur rein um die Einrichtung geht, würde ich einen AVV als nicht zwingend sehen. Wenn Sie aber die Webseite auch fortlaufend betreuen, wäre ein AVV schon anzuraten.

 

Die Server Logs des Hosters, Server-Logs, auf die ich zugreifen könnte – sind deaktiviert, Statistiken – ab 28.05 komplett anonymisiert. Wenn die Logfiles ungekürzte IP’s enthalten, brauche ich da einen  AV-Vertrag, Wenn 1. gekürzte IP’s enthält – dann auch?

Einen AVV beim Hoster würde ich nicht in Frage stellen. Ich würde immer empfehlen, einen abzuschließen.

 

Wenn eine Newsletteranmeldung zusätzlich auf der Homepage ist, muss der Kunde mit z.B. cleverReach einen AV abschließen, und ich?

Der Vertrag muss direkt von Ihrem Kunden mit dem Provider geschlossen werden. Sie sind ja auch Dienstleister für den Kunden und haben in diesem Zusammenhang kein direktes Vertragsverhältnis mit dem Provider. Sie brauchen wiederum auch einen AVV mit Ihrem Kunden.

Thema Google Analytics WIE komme ich an den AVV ich finde nichts, habe irgendwie auf der Analytics Seite irgendwelchen Zusatzvereinbarungen zugestimmt, aber wie komme ich an einen Vertrag?

Speziell bei Google Analytics kann man den Vertrag über das Konto herunterladen. Unter Verwaltung => Kontoeinstellung => Zusatz zur Datenverarbeitung kann man den Vertrag bestätigen.

 

Ist mit WordPress.org einen AV-Vertrag zu schliessen?

Mit wordpress.org brauchen Sie keinen AVV, aber mit wordpress.com, falls Sie die Seite darüber betreiben.

 

Ist mit dem Theme-Anbieter, bei mir OptimizePress ein AV-Vertrag zu schliessen?

So wie ich OptimizePress kenne, installieren Sie alles lokal bei Ihnen auf dem Server im CMS. Es werden dadurch keine Daten beim Hersteller gespeichert. In diesem Fall brauchen Sie keinen AVV mit OptimizePress. Sollte es allerdings zusätzliche Funktionen geben, die eine Verarbeitung der Daten durch OptimizePress bedingen, benötigen Sie einen AVV.

 

Sind AV-Verträge zu machen mit Pluginherstellern?

Eigentlich ist das dieselbe Antwort, wie bei der vorherigen Frage. Das kommt immer auf das Plugin an. Arbeitet das Plugin rein lokal und schickt keine Daten an den Pluginhersteller und verarbeitet sie dort, dann brauchen Sie auch keinen AVV, andernfalls schon. Prüfen Sie die Plugins also immer vorher, wie sie arbeiten. Dann können Sie auch bewusst entscheiden, ob Sie das überhaupt möchten, dass Daten beim Pluginhersteller verarbeitet werden.

 

DSGVO Datenschutz FAQ’s – Social Media

Was mache ich mit Facebook, was ist zu tun ? ggf. gehe ich raus.

Wir müssen unterscheiden zwischen Ihrem privaten Profil und der Business Page. Ihr privates Profil hat aus Sicht der DSGVO für Sie als Unternehmer erst mal keine Pflichten.

Die Unternehmensseite benötigt eine Datenschutzerklärung und ein Impressum. Die große Unbekannte ist momentan die Gerichtsentscheidung, wer für die Daten auf der Unternehmensseite verantwortlich ist. Ist es Facebook oder der Unternehmer. Nach dieser Entscheidung des Gerichts wird sich hier sicherlich noch einiges tun.

Ich würde Ihnen trotzdem empfehlen die FB Unternehmensseite in Ihrer Datenschutzerklärung zu erwähnen.

 

DSGVO Datenschutz FAQ’s – Webseite

Was ist mit meiner Website ?

Die sollte DSGVO konform sein – aber schauen wir uns doch die Details in den nächsten Fragen an.

 

Muß der Menüpunkt „Datenschutz“ sofort sichtbar sein, wenn die Website aufgerufen wird, oder reicht bei einer (langen) One-Page-Seite, die Platzierung im Footer, also ganz zum Schluß?

Es reicht auch zum Schluss im Footer. Wichtig ist, das die DSE mit einem Klick erreichbar ist.

 

Ist es ausreichend, den  Menüpunkt „Datenschutz“ unter dem Menüpunkt „Kontakt“ zu setzen? Wobei „Kontakt“ bei Aufruf der Seite sofort sichtbar ist, und „Datenschutz“ erst per Darüberfahren (nicht Klick) mit der Maus.

Ich würde sagen, dass ist grenzwertig. Abschließend beurteilen kann ich das leider nicht. Ich würde es aber nicht empfehlen.

 

Müssen alle Third-party requests von einer Seite für die DSGVO-konformität entfernt werden? Das ist zum Teil gar nicht möglich.

Nein, darum geht es auch gar nicht. Die 3rd party requests müssen nur DSGVO konform sein. Das heißt, es dürfen keine Daten übertragen werden, für die keine Rechtsgrundlage existiert bzw. die 3. Partei die Daten nicht sicher verarbeitet. Dass alles seine Richtigkeit hat, muss dann in der DSE erläutert werden.

 

Gibt es eine Vorgabe für WordPress-Plugins?

Was ist mit Plug-ins der Website? Zum Beispiel ein Backend Plugin oder die Cloud, wo die Backends gespeichert werden?

Sie müssen DSGVO konform sein 🙂 Das ist eine sehr allgemeine Frage. Wichtiger als das Plugin allein finde ich den Einsatzzweck und die Konfiguration. Ich würde nicht verallgemeinern, ob ein Plugin DSGVO konform ist oder nicht, da es manchmal auf den Einsatzzweck ankommt. Erst dadurch wird die Konformität nachvollziehbar.

Es ist nicht grundsätzlich verboten, wenn ein Plugin Daten übermittelt. Wenn es der Zweck rechtfertigt und die Rechtsgrundlage gegeben ist, dann ist der Einsatz ok.

 

Es gibt keine AV von Word Press. Muss ich in meiner Datenschutzerklärung auf diese im Hintergrund laufenden Plug-Ins eingehen, die Word Press benutzt?

Wenn die Plugins personenbezogene Daten verarbeiten, dann ja. Ansonsten nicht.

 

Wie ist ab dem 25.05. in Sachen Cookies/Cookiebanner (DSK-Statement!) zu verfahren? Opt-in? Opt-out? Hinweis-Banner? Gar kein Banner?

Die e-privacy Richtlinie hätte ja ebenfalls am 25.5. in Kraft treten sollen, ist aber nicht geschehen. Meine persönliche Empfehlung ist ein Cookie Banner, den man akzeptieren kann und der auf die Datenschutzerklärung verweist (mit Link zum Klicken). Alles andere ist aus meiner Sicht fernab der Realität. Das ist ein Thema, bei dem ich sehr schnell emotional werde und es mir unter den Fingern brennt zu tippen (es beginnt gerade wieder…)

Ich hab mir Plugins, wie z.B. Borlabs angesehen und kann nur den Kopf schütteln. Natürlich mache ich mich damit als Betreiber der Webseite von allem frei, aber dann frage ich mich mal nach der Usabiltiy. Mein Beispiel, mein über 60jähriger Vater, der hin und wieder mal was im Internet sucht, keine Ahnung von Cookies und DSGVO hat und auch nicht haben muss und will. Was macht der, wenn er auf das Borlabs Plugin trifft? Natürlich sofort die Seite und am besten gleich den ganzen Browser schließen. Also Fazit: Rechtssicherheit trifft Usability !

 

Reicht der normale, obligatorische Link zur Datenschutzerklärung in der Navigation oder müssen Webseiten-Besucher durch ein Pop-Up oder ähnliche Maßnahmen auf die Verwendung von Cookies bzw. einfache Serverlogs hingewiesen werden? Oder müssen Sie sogar Ihre Zustimmung dazu durch einen Klick erklären?

Antwort siehe vorherige Frage.

 

Alle unsere Homepages werden mit google fonts (Schriftarten) betrieben. Darf ich das weiterhin, wenn ich darauf in der DSE hinweise?

Ich würde sagen, mit einem kleinen Restrisiko: ja. Es gibt ja einen Geschäftszweck (Art. 6 (1) lit. f). Solange Google die IP Adressen nicht auswertet und für andere Zwecke als die zur Verfügungstellung der Fonts verwendet, sehe ich es nicht als Problem.

 

Darf ich weiterhin die recaptachs von google nutzen? Ich arbeite mit Joomla (nicht Wordpres) und habe bisher keine Alternativen gefunden. Auch das würde in der DSE erwähnt.

Selbe Antwort, wie obige Frage.

 

Google Adsense: Wie kritisch sehen Sie den Einsatz von Google-Adsense auf der Webite? Man liest auch hier verschiedenes. Einige entfernen Adsense komplett, andere lassen es laufen. Was muss umgesetzt werden, damit es DSGVO konform ist?

Hier muss ich gestehen, dass ich nicht so tief im Thema bin, da das in der Praxis meine Agentur umsetzt, mit der ich zusammen arbeite.

Man muss hier zwischen dem Tracking und dem Einblenden der Werbung unterscheiden würde ich sagen. Für das Tracking würde ich ein Opt-in empfehlen (ich weiß, schwierig zu realisieren). Das reine Einblenden der Werbung würde ich mit einem Opt-out ermöglichen. Ich weiß aber nicht, wie weit man das Trennen kann. Sorry, hier bin ich leider echt nicht fachkundig.

 

Z.B. bei Twitter oder YouTube besteht die Möglichkeit „embedded links“ in die eigenen Websites und Blogbeiträge aufzunehmen. Ist es korrekt, dass diese embedded links nicht DSGVO-konform sind (weil sie gleichzeitig Infos über den eigenen Besucher an Twitter oder YouTube weiterleiten) und besser durch „Screenshots + externe Verlinkung“ ersetzt werden?

Das ist auch ein Thema, an dem sich die Experten noch nicht einig sind. Auf jeden Fall in der DSE erwähnen. Ohne Risiko ist natürlich der Screenshot und die externe Verlinkung. Ich würde das Risiko der eingebetteten Frames als gering sehen, wenn man es in der DSE erwähnt. Das muss aber jeder für sich selbst entscheiden, ob er das machen möchte, bis hier die Rechtsunsicherheit entschieden wurde.

 

Checkboxen bei Kontaktformular und bei Newsletteranmeldung – muss zusätzlich eine Checkbox als Einwilligung bei a) Kontaktformular b) bei Newsletter oder reicht jeweils Text und Link zur Datenschutzerklärung?

Bitte keine Checkboxen!! Dazu hat der Datenschutz Guru auf seiner Webseite einen super Podcast, der mir aus der Seele spricht. Nach zig 100 täglichen Mails fragt ihn zum 20x jemand nach der Checkbox. Sehr witzig wie er das formuliert 🙂 Also nein, es reicht die Rechtsgrundlage, die in der DSE erläutert wird. Hinweis auf den Zweck und die DSE sind natürlich Pflicht.

 

Muss ich bei Formularen auf der Website in Kurzform darauf hinweisen, was mit den Daten passiert, wenn sie gesendet werden? Bzw. reicht hier der Hinweis bzw. Link zur Datenschutzerklärung aus?

Antwort siehe vorherige Frage.

 

Auf der Website: Angabe meiner E-Mail Adresse, beim Klick durch den User öffnet sich jeweiliges E-Mail Fenster (Outlook, GMail etc. davon abhängig was User nutzt) => ist das ok?

Ja, das ist ok. Es werden ja keine personenbezogene Daten verarbeitet. Sie geben freiwillig Ihre persönliche E-mail Adress preis. Da ist kein Dritter im Spiel, den Sie schütze müssen, bzw. dessen Daten Sie schützen müssen.

 

Kein SSL: Reicht es wenn ich bis 25.5. dahin mein Kontakt Formular und meinen Newsletter Anmeldung (Clever Reach) von der Website nehme mit Hinweis das die SSL in Arbeit ist?  oder muss ich die Seite offline stellen bis das geklärt ist?

Ich würde Formular und NL Anmeldung offline nehmen und das Restrisiko tragen, bis das Zertifikat eingestellt ist. Das geht aber ja innerhalb kürzester Zeit.

 

Ich habe bisher das Piwik/Matomo Analysetool auf meine Webseite gehabt. Wegen der EU DS-GVO habe ich dies jetzt vorläufig deaktiviert um Probleme zu vermeiden, da das Programm bisher nur die Opt-Out-Funktion angeboten hat.

Ich habe jedoch eine Mail von Matomo erhalten, aus der es behauptet wird, dass ein Update eben DSGVO-konform sei, da man ab sofort alle Daten komplett anonymisieren kann, d.h. IP-Adresse etc. werden nicht korrekt angezeigt. Jetzt meine Frage: reicht das? Es scheint eben nicht eine Möglichkeit für den Webseitenbesucher zu geben das Einsammeln von Daten zu verhindern, sprich die Daten werden sowieso erhoben (ohne Opt-In/Opt-Out… – kann aber auch sein, dass ich mich irre…). Aber würde das reichen, darauf hinzuweisen, dass alles anonym erhoben werden um weiterhin Piwik zu verwenden?

In Kombination mit der Aussage der DSK schwierig. Wenn man ein Opt-out machen kann, dann würde ich das schon anbieten. Aber ich würde hier dem Hersteller auch vertrauen und die Umsetzung so wie vorgeschlagen durchführen, wenn überhaupt kein Opt-out möglich ist. Natürlich auf jeden Fall die Rechtssprechung in diesem Bereich verfolgen!

 

DSGVO Datenschutz FAQ’s – Software

Muss mit Ticketsystemen, wie Eventim, München Ticket, Reservix o. ä. ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Wenn das System beim Dienstleister gehostet ist, dann ja. Dann muss mit dem Hoster (nicht dem Hersteller) ein AVV geschlossen werden, da ja im Ticketsystem auch personenbezogene Daten gespeichert werden. Wenn der Hersteller oder ein Dienstleister Zugriff auf das System hat zu Wartungszwecken oder Updates, muss auch ein AVV geschlossen werden. Ist das System rein lokal bzw. auf Unternehmensressourcen installiert und Dritte haben keinen Zugriff, im Sinne wie gerade erwähnt, dann ist kein AVV nötig.

 

E-Mail Verschlüsselung: Sie haben angegeben, dass laut DSGVO manche Dinge im Verhältnis gesehen werden müssen. Gilt dies auch bei der Verschlüsselung von E-Mails?
Denn es gibt Anbieter, wo ich zwar Verschlüsseln kann aber wenn der Empfänger diese Art nicht nutzt, bringt mir das herzlich wenig. Oder aber ich zahle einen Haufen Geld für professionelle Lösungen.

Das sehe ich nach wie vor so. Das teuere Lösung, die sogar nicht immer einsetzbar sind, für kleine Unternehmen nicht realisierbar sind. Natürlich ist aber auch wichtig zu bewerten, welche Art der Daten übertragen wird. Auch innerhalb der personenbezogenen Daten gibt es unterschiedlich wertige Inhalte.

Eine einfache Art der Verschlüsselung ist z.B. der Schutz einer Datei beim Speichern mit einem Passwort. Das funktioniert ohne Zusatzkosten und erfordert keine spezielle Software auf beiden Seiten.

 

DSGVO Datenschutz FAQ’s – Newsletter

Das das Freebie vom Newsletter-Abo zu Entkoppeln ist habe ich verstanden. Jedoch wie ist früheren Verlinkungen auf das Freebie umzugehen z. B. in Facebook oder Blogbeiträgen? Müssen diese geändert oder gelöscht werden? Oder Landing Page zum Freebie ganz zu löschen bzw. zu ändern?

Ja, wenn Sie noch alte Seiten haben, die das Freebie mit dem Newsletter koppeln, dann sollten Sie das trennen. Entweder die alten Seiten anpassen oder löschen. Letzteres ist natürlich die Notlösung.

Seit Jahren sammle ich Mails in meinem gmx- Adressbuch. Bisher also ohne Newsletter-Anbieter.

Die Mailadressen sind von ehemaligen Kursteilnehmern und Menschen die mir, meist mündlich, ihr Interesse an meinem Angebot kundtun (neue Kursangebote, anstehende Ausstellungen etc.)

Wie kann ich damit jetzt umgehen, wenn eigentlich eine nachweisbare Erlaubnis vorliegen muss?

So unschön es auch ist, Sie müssen alle anschreiben (am besten vor dem 25.5.) und nach einer Double Opt-in Bestätigung fragen. Das heißt aber auch, Sie müssen weg vom GMX Adressbuch und hin zu einem Newsletterservice.

 

DSGVO Datenschutz FAQ’s – Datenerfassung / Fotos

Bisher erbitte ich: Name, Adresse, Telefon, Email, dann Unterschrift und eine Rubrik in der angekreuzt werden kann, ob jemand Infos von mir möchte oder nicht (gibt ja und nein-Kästchen).

Kann ich das weiter machen, wenn ich erläutere warum?

Ja, das können Sie weiter machen. Sie müssen, wie Sie schon sagen, erklären, warum Sie die Daten erheben.

Muss am Kontaktformular eine Einverständniserklärung dran sein? Oder reicht die Aufklärung und Verlinkung zur Datenschutzerklärung.

Ich würde kurz den Zweck (in Kurzform) angeben und dann auf die DSE verlinken. Das Absenden des Buttons ist damit die Einverständniserklärung.

 

Muss ich alle „Altkunden“ der letzten 10 Jahre auch um eine Einverständniserklärung bitten? Auch wenn ich weiß, dass sie nicht mehr zu mir kommen?

Für Kunden brauchen Sie keine Einverständniserklärung, da Sie deren Daten im Rahmen des Kundenverhältnisses auf Basis des Art. 6 (1) lit. b verarbeiten, also auf Grundlage eines Vertrags. Die Einwilligung bräuchten Sie nur, wenn Sie die Daten der Kunden über das Vertragsverhältnis hinaus verarbeiten wollen, weil Sie z.B. Werbung / Newsletter verschicken.

 

 

Ist es erforderlich, einen Rechtsanwalt über die Einwilligungserklärung schauen zu lassen?

Das ist eine persönliche Frage Ihrer Risikobereitschaft 🙂 Das kann ich Ihnen leider nicht mit Ja oder Nein beantworten.

 

Fotografie

Muss bei Veranstaltungen jeder einzelne Besucher seine Einwilligung wegen eventueller Fotografien/Viedeoaufzeichnungen/Fernsehaufzeichnungen abgeben oder reicht ein allgemeiner Hinweis, dass Fotografien angefertigt werden, wie z.B.: „Im Rahmen unserer Veranstaltungen können durch die oder im Auftrag der Fa. xy Fotografien und/oder Filme erstellt werden.

Bitte nehmen Sie zur Kenntnis, dass mit der Anmeldung zur Veranstaltung Fotografien und Videomaterialien, auf denen Sie abgebildet sind, zur Presse-Berichterstattung verwendet und in verschiedensten (Sozialen) Medien, Publikationen und auf Webseiten der Fa. xy veröffentlicht werden können.“aus – wenn der Hinweis sowohl auf der Webseite als auch im Haus sichtbar angebracht wird?

Das ist ein ganz heißes Thema, welches auch noch viele offene Fragen hat. Dazu habe ich erst kürzlich eine gute Dokumentation von lawLiks gelesen (ich hoffe, du magst rosa 🙂 ) , die einige dieser Fragen beantwortet.

 

 

Muss für die Veröffentlichung des Fotos eines Mitarbeiters mit Außenkontakt auf der Firmenhomepage seine Einwilligung vorhanden sein oder ist das auch beim Foto (und nicht nur dem Namen und Funktion in der Firma) durch ein berechtigtes Interesse des Verantwortlichen zu begründen?

Auf jeden Fall mit Einwilligung nach Art. 6 (1) lit. a und nicht nach lit. f.

 

Die gleiche Fragen, nur für die Weitergabe des Abwesenheitsgrunds „Krankheit“ (ohne Art der Erkrankung) an einen bestehenden Kunden? Einwilligung nötig oder berechtigtes Interesse des Arbeitgebers, da es besser „aussieht“ wie wenn man sagen muss, er ist nicht da und näheres darf ich nicht sagen.
Wie sieht es mit dem Tag der voraussichtlichen Wiedererreichbarkeit des Mitarbeiters aus oder im Falle eines Urlaubs?

Weitergabe dieser Information auch nur nach Zustimmung des Betroffenen. Der Grund warum jemand abwesend ist, muss ja nicht dem Kunden übermittelt werden. Man kann ja sagen, der Kollege ist am  xx wieder im Büro.

 

DSGVO Datenschutz FAQ’s – Informationspflicht

Muss in der E-mail Signatur eine Aufklärung hinein?

Das ist eine Möglichkeit der Informationspflicht nach Art. 13 nachzukommen.

 

Müssen in die Datenschutzerklärung nur Angaben zu personenbezogenen Daten rein, die über die Website erfasst werden oder auch solche die ausschließlich offline gespeichert werden. Bsp.: ein Immobilienmakler erfasst über einen Papierfragebogen auch sensible personenbezogen Daten, etwa zu Einkommens- und Vermögensverhältnissen. Müssen Angaben zu Datenerfassung, Auskunfts- und Löschpflichten in die Datenschutzerklärung.

Das ist eine Frage der Organisation im Unternehmen. Es heißt im Gesetz, diese Informationen müssen vor der Verarbeitung der Daten dem Betroffenen zur Verfügung gestellt werden. Wenn das über die Webseite am besten realisierbar ist oder realisierbar ist, dann würde ich das schon empfehlen. Ich mache das bei meinen Kunden schon meistens, wenn es passt.

 

Ich habe ja eine Dokumentations- und Auskunftspflicht dem Kunden gegenüber. Muss ich jetzt jede Email und jedes Telefonat, das ich mit einem Kunden geführt habe, dokumentieren?

Nein das heißt nur, wenn ein Betroffener anfragt, müssen ihm die gespeicherten Daten zur Verfügung gestellt werden, bzw. Auskunft dazu erteilt werden. Was nicht gespeichert ist, darüber kann auch nicht informiert werden. Aber wenn was dokumentiert ist, dann muss die Info auf Nachfrage dem Kunden gegeben werden.

Was muss ich bei der Erstellung von Angeboten dem Kunden bzgl. der Verarbeitung personenbezogener Daten nennen / worauf hinweisen? Die personenbezogenen Daten die hier relevant sind, abgesehen von Adressdaten, sind in erster Linie solche wie Geburtsdatum, Vertragsdaten, etc. je nach Art der Urkunde oder des Vertrags.

Das betrifft die Information, was mit den Daten „passiert“, also wie sie verarbeitet werden. Das muss dem Kunden vor der Verarbeitung der Daten mitgeteilt werden. Man kann die Informationen beim Vertragsschluss bzw. beim Angebot (mit einem Link zum Beispiel auf die Informationen) mit dazu geben oder auf eine Stelle verweisen, die der Kunde einsehen kann. Es muss aber über alle Daten informiert werden, die für den Prozess des Angebots und vor allem dann für den Prozess der Beauftragung / des Kaufs verarbeitet werden.

 

Wenn ich Astrologie Beratungen zum Beispiel über Skype anbiete und Bezahlungen über Pay Pal auf meiner HP auf was muss ich da achten….was brauche ich dann zusätzlich?

Je nachdem, welcher Online Kanal gewählt wird, würde ich einen Abschluss eines Vertrags zur Auftragsverarbeitung empfehlen. Auf der Homepage in der Datenschutzerklärung sollte genau beschrieben sein, welche Daten verarbeitet und weiter gegeben werden und welche Dienstleister im Spiel sind. Themen wie HTTPS Verschlüsselung sollten Standard sein.

 

Website auf Deutsch, Sitz in Deutschland – aber natürlich auch Leser aus anderen Ländern: muss eine englische Datenschutzerklärung auf der Website eingebunden sein?

Wenn die Zielgruppe englischsprachige Leser sind, also wenn auch der Content teilweise in englisch ist, dann ja. Es heißt, die Information muss leicht verständlich für den Betroffenen sein. Wenn die Webseite aber keine englischsprachigen Leser anspricht, dann würde ich keine englische DSE anbieten, nur für den Fall, dass sich wer „verirrt“ dahin. Diejenigen, die die Artikel in deutsch lesen können, können auch die DSE in deutsch lesen.

 

Wenn auf meiner Website Links zu anderen Websites gesetzt sind und auch eine E-Mail Möglichkeit zu Dritten, ist diesbezüglich etwas zu beachten?

Wenn Sie die E-mails von Dritten auf Ihrer Webseite publizieren, benötigen Sie deren Einverständnis (also von demjenigen, von dem Sie die Adresse veröffentlichen). Wenn Sie nur auf eine andere Webseite verlinken und dort wiederum E-mail Adressen veröffentlicht sind, müssen sie nichts beachten.

 

Eine Hompage die nichts macht außer einem Kontaktformular anzubieten, IP-Adressen werden nur anonymisiert gespeichert. (WordPress-Plugin), Wie sieht die minimale Datenschutzerklärung aus?

Es werden die Punkte die Sie beschrieben haben erläutert und zusätzlich noch die Pflichtangaben aus Art. 13 DSGVO wie z.B. Name und Adresse des Verantwortlichen, Informationen zu den Rechten des Betroffenen, Beschwerderecht bei der Behörde… (sieh Artikel zur Informationspflicht).

 

DSGVO Datenschutz FAQ’s – Datenschutzbeauftragter

Notwendigkeit zur Bestellung eines Datenschutzbeauftragten bei Kleinbetrieben; Bsp.: Schauspieleragentur
Auf der Website veröffentlicht die Agentur Daten wie Körpergröße, ethnische Erscheinung und auch Fotos der Schauspieler. Ich nehme an, dass intern noch weitere Daten gespeichert werden, wenn etwa gesundheitliche Einschränkungen vorliegen, die bestimmte Rollen nicht in Frage kommen lassen. Gegebenenfalls gibt die Agentur diese Daten auch an Dritte, etwa Caster, weiter.
Die Verträge mit den Schauspielern sollten auf jeden Fall eine entsprechende Einwilligung enthalten und im Hinblick auf die DSGVO überprüft werden. In den o. g. Fällen könnte es aber zusätzlich erforderlich sein, einen externen Datenschutzbeauftragten zu bestellen. Siehe: https://www.lda.bayern.de/media/info_dsb.pdf, S. 2
Zitat: „Unabhängig von der Anzahl der beschäftigten Personen ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung …  automatisiert verarbeitet werden.“

 

Sehe ich das richtig, dass in diesem Fall auch ein Einpersonen-Unternehmen einen externen Datenschutzbeauftragten benötigt?

Da haben Sie nur die Hälfte des Satzes gelesen. Der Satz bezieht sich darauf, wenn Sie in der Markt- und Meinungsforschung tätig sind. Dann trifft das zu. Das sind Sie ja nach obiger Beschreibung nicht.

 

Kann ein Gesellschafter bzw. eine 450-Kraft zum DSB ernannt werden?

Es heißt, „…der Verantwortliche benennt…“. Wenn der Gesellschafter zugleich der Verantwortliche ist, würde ich sagen nein, wenn er das nicht ist, hätte ich mit ja geantwortet. Hier würde ich aber noch auf eine konkrete Rechtsberatung verweisen, da ich das nicht eindeutig sagen kann. Eine 450 Euro Kraft kann natürlich bestellt werden, wenn sie das Fach-Know How hat.

Verfahrensverzeichnis DSGVO - Vorschläge für Verfahren

Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.

Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.

 

Jedes Verfahrensverzeichnis ist individuell

An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.

Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.

 

Wichtiges vorweg!

Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.

Keine persönlichen Informationen im Verfahrensverzeichnis!

Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.

 

Verfahrensverzeichnis DSGVO - Vorschläge für Verfahren

 

Mögliche Verfahren in einem Verfahrensverzeichnis DSGVO

Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.

 

Rechtmäßigkeit nach Artikel 6 DSGVO

  • Der Betroffene gibt eine freiwillige Einwilligung (perfekt für den Verarbeiter)
  • Die Verarbeitung der Daten basiert auf einem Vertrag oder torvertraglichen Maßnahmen (also die Verhandlung mit potentiellen Kunden fällt auch darunter, auch wenn es dann ggf. nicht zu einem Vertragsschluss kommt). Übrigens, ein Vertrag kann mündlich und schriftlich erfolgen.
  • Die Verarbeitung basiert aufgrund eines Gesetzes oder sonstigen rechtlichen Verpflichtung
  • Es geht um lebenswichtige Interessen des Betroffenen
  • Zur Wahrung des öffentlichen Interesses oder öffentlicher Gewalt werden personenbezogene Daten verarbeitet
  • Solange die Grundrechte einer Person nicht verletzt werden, kann auch das eigene berechtigte Interesse des Verarbeiters ein Grund zur Verarbeitung der Daten sein

Allgemeine Verfahren in einem Verfahrensverzeichnis nach DSGVO

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
Kommunikation per E-mailDurchführung von interner und externer Kommunikation per E-mail. Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen

Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe
Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter.
Kommunikation per MessengerDurchführung von interner und externer Kommunikation per Messenger Dienst.Art. 6 (1) a - Freiwillige Zustimmung
Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!!
Zahlungsverkehr ( externe Rechnungsstellung )Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren.
Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.
Art. 6 (1) b - VertragBei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
IT-SupportZugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten. Art. 6 (1) b - VertragBeziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.

 

Verfahrensverzeichnis DSGVO: Inhalt für Dienstleister

Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
Persönliches CoachingIndividuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiertArt. 6 (1) c - VertragJe nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Online-CoachingPersönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen. Art. 6 (1) c - VertragAuch hier wieder wird es individuelle Unterschiede geben.
PatientenbehandlungBehandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital).Art. 6 (1) c - VertragJe nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen.
KundenverwaltungVerwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm. Art. 6 (1) c - Vertrag
oder Art. 6 (1) f - Berechtigtes Interesse
Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Schulungen / TrainingDurchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss.Art. 6 (1) c - VertragWenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.

 

Verfahren für Blogger und Onlineunternehmer

An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
WebseiteBetrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS.Art. 6 (1) f - Berechtigtes InteresseFür dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter.
WebseitenanalyseZur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert. Art. 6 (1) f - Berechtigtes InteresseFalls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung.
Kontaktformular Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage. Art. 6 (1) a - Freiwillige Zustimmung
Kommentarfunktion im BlogSeitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen.Art. 6 (1) a - Freiwillige Zustimmung
Mitgliederbereich / Login-BereichDen Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um
- an Diskussionen teilzunehmen
- Beiträge zu verfassen
- auf bezahlte digitale Ware zugreifen zu können
.....
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
...
Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen.
Veröffentlichung von persönlichen Informationen DritterIn Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert. Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt.
Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen.
Affiliate Marketing Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen.Art. 6 (1) f - Berechtigtes InteresseBei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter.
NewsletterversandRegelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden. Art. 6 (1) a - Freiwillige ZustimmungNewsletterpartner ist Auftragsverarbeiter.
OnlineshopVerkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop. Art. 6 (1) f - VertragOb eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab.

 

Verfahren für Unternehmen mit Mitarbeitern

Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
Bewerbungen Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt. Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen

Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe (E-mail Archivierung)
Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.
LohnabrechnungÜberweisung von Löhnen und Gehältern. Abgabe von Steuern und GebührenArt. 6 (1) b - Vertrag Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung.
ZeitwirtschaftZeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten,
sowie Abwesenheitsplanung,
Art. 6 (1) b - Vertrag

 

Verfahren bei IT-Dienstleistern oder größeren IT-Abteilungen

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
FirewalladministrationZum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren.Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse.
IT Serviceprozesse Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten. Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
PC-User ManagementJeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetztArt. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Administration von Applikationen mit personenbezogenen InhaltenZur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten.Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag

 

Verfahren für Vereine in einem Verfahrensverzeichnis DSGVO

Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
MitgliederverwaltungÜbersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung...Art. 6 (1) b - Vertrag Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig.
TerminanmeldungAnmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal. Art. 6 (1) b - Vertrag
JubiläumEhrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen. Art. 6 (1) f - Berechtigtes Interesse
Übermittlung der Mitgliedsdaten an den übergeordneten VerbandMeldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein. Art. 6 (1) f - VertragJe nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist.

 

Wie füllt man ein komplettes Verfahrensverzeichnis aus?

Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.

Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.

 

Vorschläge zur Erweiterung erwünscht

Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.

 

 

 

Bildquelle: @pixabay

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

 

[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]

 

Neben dem sehr wertvollen Papier der Bitkom gehe ich nun auch noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben.

 

Die wesentlichen Informationen, extrahiert und zusammengefasst, möchte ich hier anbieten. Ich bin mir sicher, dass diese Informationen viel viele Leser genauso hilfreich sind, wie sie für mich waren.

 

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Joint Controllership (Gemeinsame Verantwortliche)

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.

Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, dich ich vorher in diesem Artikel auch mehr heraus gehoben habe. Nach der DSGVO gibt es diese nun scheinbar nicht mehr. Ob sich die Urteile später wieder in die Richtung anlehnen, also das Prinzip der Funktionsübertragung in Betracht ziehen? Wie an so vielen Stellen, ist dies ein Fragezeichen, momentan sieht es aber nicht danach aus.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung – ALT

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
  • oder Gemeinsame Verantwortliche

 

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, das aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

 

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

 

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

 

Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
  • Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

 

Fremde Fachleistungen

Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • für die Verarbeitung muss natürlich eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen (ganz ehrlich, hier frage ich mich, warum das überhaupt erwähnt werden muss, das ist ja bei allen Punkten Voraussetzung)

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst…

 

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

 

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für Joint Controllership

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten

 

Wie schon oben erwähnt stammt die Information dieses Beitrags aus einem Leitfaden der Biktom. Ich habe hier die Inhalte kompakt zusammen gefasst. Der gesamte Leitfaden ist hier zu finden: Quelle: Bitkom

Neu dazu kam nun die Quelle der Datenschutzkonferenz unter diesem Link.

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?
Pin it!

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über einen Kommentar!

5 Gründe, warum Sie die DSGVO gut meistern werden

5 Gründe, warum Sie die DSGVO gut meistern werdenJetzt muss ich mal eine Lanze brechen für alle, die sich so viele Gedanken um die bevorstehende DSGVO machen. In vielen digitalen Foren und bei Präsenzveranstaltungen führt das Thema Datenschutzgrundverordnung immer wieder zum selben Ergebnis. PANIK! Jeder Unternehmer, vom Solopreneur bis zum Großunternehmer, jeder IT- und HR-Verantwortliche stellt sich die Frage, ob er der neuen Datenschutzgrundverordnung am 25.5.2018 gewachsen ist.

Seit Monaten dreht sich mein Arbeitsalltag um kaum ein anderes Thema als die DSGVO. Ich bereite meine Kunden auf das neue Gesetz vor und helfe bei Online Unternehmern und in Foren mit Praxistipps rund um die DSGVO und das neue Bundesdatenschutzgesetz (welches übrigens mit dem ganzen DSGVO Hype meistens vergessen wird).

Was fällt mir dabei auf und warum ich der Meinung bin, dass Sie die DSGVO problemlos meistern werden?

 

Darum werden Sie die DSGVO meistern

1.Sie überlegen sich sehr detailliert, was in Ihrem Verfahrensverzeichnis stehen muss

Die Fragen zum Verfahrensverzeichnis überraschen mich sehr oft. Sie gehen fachlich sehr, sehr tief. Das allein spricht für Sie, dass Sie sich unglaublich viel Gedanken machen. Aus meiner Sicht manchmal vielleicht sogar zu viel. Klar soll das Verfahrensverzeichnis eine Übersicht über alle Verfahren in Ihrem (kleinen oder größeren) Unternehmen listen. An welchen Stellen verarbeiten Sie personenbezogene Daten? Aber was soll es nicht werden? Es soll keine zusätzliche Dokumentation von IT-Systemen werden.

 

Ziel des Verfahrensverzeichnisses

Beim Datenschutz handelt es sich um ein Verbot mit Erlaubnisvorbehalt. Das heißt, alles ist erst mal verboten, bis es explizit erlaubt ist. An dieser Stelle greift nun das Verfahrensverzeichnis.

Hier beschreiben Sie, warum Ihre Verfahren legal sind und unter welchen Aspekten der Betrieb des Verfahrens statt findet. Daher ist es so wichtig, dass Sie den Zweck gut beschreiben. Warum führen Sie ein bestimmtes Verfahren durch? Schreiben Sie zum Beispiel beim Newsletterversand nicht einfach „Newsletterversand“. Begründen Sie indes den Zweck Ihrer Mailings. WARUM machen Sie das? Weil Sie über aktuelle Angebote informieren und damit die Konversion erhöhen möchten oder weil Sie die Zugriffe auf Ihre Webseite / Ihren Blog erhöhen möchten? Dieser Grund muss gut beschrieben und schlüssig sein. Zudem beschreiben Sie im Verzeichnis noch, welche Daten von welcher Personengruppe erhoben bzw. verarbeitet werden.

 

Keine IT-Dokumentation

Nutzen Sie, wie beim Newsletterversand, einen externen Dienst? Dann ist es Aufgabe des Dienstleisters, im Vertrag die technischen Maßnahmen zu beschreiben.
Artikel 30 der DSGVO fordert für das Verfahrensverzeichnis eine „wenn möglich, allgemeine Beschreibung der techn. und organisatorischen Schutzmaßnahmen (TOMs)“.

Weniger ist manchmal – und speziell in diesem Fall – mehr!

 

2. Sie wissen, was eine Auftragsdatenverarbeitung ist und dass diese vertraglich geregelt werden muss

Im Rahmen Ihrer Erstellung des Verfahrensverzeichnisses haben Sie verschiedene Dienstleister identifiziert. Sie nutzen deren Services. Die Dienstleister verarbeiten also Daten für Sie im Auftrag. Daher sind es sogenannte Auftragsverarbeiter oder Auftragsdatenverarbeiter.

Sie müssen mit den Dienstleistern eine ADV (oder AV) abschließen – das wissen Sie bereits. Aber auch hier ist der Hauptaufwand auf Seiten des Dienstleisters. Er muss in diesem Vertrag beschreiben, wie das System geschützt ist. In der Regel haben die großen Dienstleister dafür Standardverträge, die Sie Ihnen zukommen lassen.

Ihre Aufgabe ist es, den Auftragsverarbeiter zu kontaktieren und nach einer ADV zu fragen. Behalten Sie die Übersicht, dass Sie von jedem Dienstleister einen unterzeichneten Vertrag erhalten haben!

 

3. Sie haben Ihre Onlinepräsenz im Blick

Ihr Aushängeschild in die ganze Welt und für viele die Plattform für das eigentliche Business. Egal ob Blog, Onlineshop oder Portal, es ist die zentrale Stelle, mit der Sie Geld verdienen. Funktionalität, Usability und aber natürlich auch die Anforderungen des Datenschutzes müssen passen.

Viele Fragen über den konformen Einsatz von Plugins und Widgets werden diskutiert. Achten Sie darauf, dass Sie Plugins von Anbietern verwenden, die transparent darstellen, was mit den Daten passiert. Prüfen Sie, ob sich der Software Hersteller dazu äußert, dass die Funktionen DSGVO bzw. GDPR konform sind.

Betreiben Sie Ihre Webseite nur mit einem SSL-Zertifikat. Aber natürlich ist es auch wichtig, dass Sie Ihre Datenschutzerklärung der Webseite aktualisieren und den neuen Anforderungen anpassen.

Sie sind sensibilisiert und achten darauf, welche Software Sie verwenden und welche Dienste Sie heranziehen. Im Zweifelsfall nachfragen und auch direkt den Anbieter kontaktieren. Damit decken Sie schon einen Großteil der Anforderungen ab.

 

4. Sie investieren Zeit, recherchieren und machen…

… und sind damit definitiv weiter als immer noch viele andere Unternehmen. Ob Sie’s glauben oder nicht. Es gibt immer noch Unternehmer, die noch nicht mal mitbekommen haben, dass sich am 25.05.18 ein paar gravierende Änderungen durchsetzen werden.

Denken Sie an sich! Was haben Sie schon alles gemacht, welche Vorbereitungen haben Sie getroffen. Vergleichen Sie einen Großkonzern nicht mit einem Kleinunternehmen. Machen Sie das, was für Ihre Unternehmensgröße angemessen ist. Machen Sie es gut, hohlen Sie sich Input, aber lassen Sie auch die Kirche im Dorf.

Natürlich bin ich kein Anwalt und Richter und weiß nicht, wie die Urteile fallen werden. Trotzdem habe ich schon viele Auditsituationen in über 10 Jahren Berufserfahrung mitgemacht. Wenn der Auditor etwas finden möchte, wird er immer etwas finden. Das Gesetz ist streng, hat aber auch seine weichen Faktoren. Gerade wie schon oben erwähnt im Punkt Verfahrensverzeichnis. „Wenn möglich, eine allg. Beschreibung….“.

Ich möchte Ihnen Mut und Zuversicht geben! Mit Panik und schlaflosen Nächten ist auch niemanden geholfen 🙂

Und übrigens, der 25.05.2018 ist auch nur ein Freitag 😀

Angst ist ein guter Verkäufer

So sehr es mich auch ärgert, aber die Realität ist leider so. Sehr viele Unternehmen schüren Ängste und machen Panik mit hohen Strafen der DSGVO.

Ich bin davon überzeugt, dass Sie keine Angst vor der DSGVO haben müssen!

Also, lassen Sie sich nicht verunsichern!

 

5. Sie haben die Datenbeschützerin für Fragen an Ihrer Seite

Und natürlich ein unschlagbarer Punkt: Greifen Sie auf meine Erfahrung und Dienstleistung zurück. Schreiben Sie Ihre Fragen als Kommentar zum Artikel oder auf meiner Facebook Seite. Gerne unterstütze ich Sie bei der Umsetzung der DSGVO Anforderungen.

Da ich Ihnen Ihre vielen Fragen und Bedenken soweit wie möglich abnehmen möchte, biete ich für Sie ein exklusives live Webinar zur DSGVO Praxis an. Wenn Sie kompakt und praxisnah die wesentlichen Anforderungen der DSGVO erhalten möchten, melden Sie sich unbedingt an.

Kostenloses live Webinar zur DSGVO Praxis

Schwerpunkt wird die Erstellung des Verfahrensverzeichnisses sein. Sie erhalten meine Tipps und Hilfen zum Ausfüllen des gesetzlich geforderten Verfahrensverzeichnisses. Natürlich gehe ich noch auf weitere wichtige Punkte der DSGVO ein.

Termine und Anmeldung zum Webinar finden Sie hier:

Webinar Praxistipps DSGVO

Verraten Sie mir, was Sie besonders interessieren würde.

Schreiben Sie Ihre Fragen, die ich im Webinar beantworten soll doch in einen Kommentar. Ich versuche, so viel wie möglich im Webinar zu beantworten.

 

Datenschutz Verfahrensverzeichnis nach DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.

 

Was ist überhaupt ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

 

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.

 

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.

Wer „macht“ die Arbeit in der Praxis ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.

Was gehört alles in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM.
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig.

 

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.

 

Datenschutz Verfahrensverzeichnis nach DSGVO
Pin it!

 

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:

  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

 

Hier finden Sie eine Vorlage als PDF, die Sie gerne übernehmen können.

Datenschutz Verfahrensverzeichnis nach DSGVO

Verfahrensverzeichnis Muster DSGVO Vorlage

 

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

 

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

 

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie einen Kommentar!

 

Brauchen Sie Unterstützung?

Ich stehe Ihnen gerne mit Rat und Tat zur Verfügung, um Ihr Verfahrensverzeichnis zu erstellen.

 

 

 

Bildquelle: Nietjuh@Pixabay

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wer was wann wo und bei welcher Gelegenheit? Das klingt zunächst wie der Inhalt eines beliebigen Artikels aus einer Illustrierten im Wartezimmer. Setzt man diese Frage jedoch in Bezug zur DSGVO, steckt mehr dahinter: Mit der neuen EU Grundverordnung zum Datenschutz vervielfältigen sich die Plichten, denen Sie als Verantwortlicher gegenüber derer, deren Daten verarbeitet werden, nachkommen müssen.

 

Warum die Informationspflicht?

Ganz einfach kann man sagen, dass jeder dessen Daten erhoben, verarbeitet bzw. gespeichert werden, ein Recht darauf hat, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, Transparenz darüber, „wer was wann und bei welcher Gelegenheit über Sie weiß.“

Darüber hinaus kann man sagen, dass es den betroffenen Personen ohne dieses Wissen nicht möglich ist, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, wahrzunehmen.

Was ist neu?

Die Informationspflichten derer, die Daten erheben waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG(neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.

Während Artikel 13 die Informationspflicht bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person regelt, enthält Artikel 14 die Regelungen zur Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, welche als Grundlage für den Erlass der Verordnung gesehen werden können.

 

Ihre Pflichten nach Art. 13 DSGVO

Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Über welches Medium (schriftlich oder elektronisch) die Information im Online- bzw. Offlinebereich jeweils zur Verfügung gestellt werden muss oder sollte, ist derzeit noch Thema zahlreicher Diskussionen. Der Inhalt jedoch ist verbindlich und muss präzise, transparent leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen. Grob zusammengefasst handelt es sich dabei um folgende Punkte:

Inhalt der Informationspflicht

  1. Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Zweck und Rechtgrundlage der Verarbeitung
  4. Berechtigte Interessen des Verantwortlichen
  5. Konkrete Empfänger bzw. Kategorien von Empfängern
  6. Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten
  7. Konkrete Dauer der Speicherung
  8. Betroffene Personen sind über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verbreitung und Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit aufzuklären
  9. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  10. Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
  11. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  12. Information über eine mögliche Zweckänderung der Datenverarbeitung

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-13-dsgvo/

 

Ihre Pflichten nach Art. 14 DSGVO

Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen Sie darüber hinaus Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.

Die Information muss in diesem Falle nicht sofort, sondern innerhalb einer angemessenen Frist, spätestens aber nach einem Monat oder zum Zeitpunkt der ersten Kontaktaufnahme oder Weitergabe erfolgen.

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-14-dsgvo/

Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wie erstellen Sie die Dokumente zur Informationspflicht?

Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog.

Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Alle oben genannten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Überlegen Sie sich, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können.

 

Was heißt das für ein kleines oder mittelständisches Unternehmen?

Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder einen Blog betreiben, die Informationspflicht trifft sie immer irgendwo.

Mitarbeiter

Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben).

Kunden

Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Businesskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten, als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren sind es meistens Daten wie E-mail Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen trotzdem personenbezogen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.

Webseitenbesucher

Kein Unternehmen ohne Webseite. Hier können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung vorfinden. Wir haben unsere mit Hilfe des e-Recht24 Generators erstellt, der hier die Anforderungen für Standardverfahren auf Webseiten sehr gut umsetzt.

Trotzdem sollten Sie selber noch offenen Auges über Ihre Webseite gehen und prüfen, ob tatsächlich alle Verfahren in der Datenschutzerklärung dokumentiert sind.

Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle an der Daten eingegeben werden auf Ihre Datenschutzerklärung.

 

Sind Ausnahmen von der Informationspflicht möglich?

Eine Ausnahme für Artikel 13 ist nur dann zulässig, wenn nachweislich alle Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte das schwer zu prüfen sein.

Für Artikel 14 gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.

Was passiert bei Verstößen gegen die Informationspflicht?

Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder. Der Rahmen dafür liegt bei bis zu 20.000.000 EUR oder 4% des Jahresumsatzes.

Diese Zahlen schrecken erst mal ab. Wo sich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.

 

Fazit

Die neuen Gesetze sind sehr umfangreich und gehen über das bisher Erforderliche weit hinaus. Beginnen Sie als Verantwortlicher deshalb frühzeitig mit der Umsetzung. Verbindlicher Stichtag für die Gültigkeit der neuen Informationspflichten ist der 25. Mai 2018.

 

Haben Sie Fragen oder benötigen Sie Hilfe bei der Umsetzung? Dann schreiben Sie einen Kommentar oder melden sich direkt bei uns. Wir freuen uns auf Sie und stehen Ihnen mit kompetenter Hilfe zur Verfügung.

 

Bildquelle:  rawpixel@pixabay

Wer braucht einen Datenschutzbeauftragten?

Datenschutzbeauftragter DSGVO und BDSG (neu)

Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter GSDVO in den Unternehmen Unklarheit. Braucht ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?

Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.

Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.

Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!

Wann muss ein Datenschutzbeauftragter benannt werden?

Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.

Datenschutzbeauftragter DSGVO

Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur „Benennung“.

Artikel 37 listet folgende Punkte auf zur Benennung eines Datenschutzbeauftragten:

  • öffentliche Stellen (Ausnahme Gerichte)
  • wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
  • wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zur:
    • rassische und ethnische Herkunft
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
  • und die Verarbeitung
    • genetischer und biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
  • Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 im Gesamten, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.

Datenschutzbeauftragter BDSG (neu)

§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO, folgendermaßen:

  • wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben

Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung, Personalabteilung haben relativ schnell diese Grenze erreicht!

Unabhängig von dieser 10 Personen Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten:

  • verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen
  • für Zwecke der Markt- oder Meinungsforschung übermitteln (personenbezogen oder anonymisiert)

Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?

  • Artikel 37 Absatz 5 regelt, dass der Benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know How gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.

Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)

  • Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
  • Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
  • Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
  • Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
  • Zusammenarbeit mit der Aufsichtsbehörde und Kontaktperson für diese
  • Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge

Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)

  • Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.

Wann ist ein interner Datenschutzbeauftragter sinnvoll?

  • Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich vom bestehenden Know How mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
  • Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
  • Wenn ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB’s benötigt.

Wann ist ein externer Datenschutz besser geeignet?

  • Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
  • Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
  • Wenn Sie auf das Know How eines Externen zugreifen möchte, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
  • Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.

Beide Varianten haben Ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.